gestión del riesgo - secretaría general · definición de los parámetros internos y externos que...

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Dirección de Gestión y Desempeño Institucional

Septiembre de 2018

Gestión del Riesgo(Articulado Riesgos de

Corrupción y de seguridad

digital)

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Metodología

Panel Preguntas

Agenda

3

Alineación con el MIPG y Plan Anticorrupción

y de Atención al Ciudadano

1 Objetivos de la Sesión

2

5

4

Antes de Iniciar con la Metodología

v

Objetivos de la Sesión1

Generar lineamientos sobre el tema de riesgos en el marco

del Modelo Integrado de Planeación y Gestión.

Dar a conocer las actualizaciones y alineación de la Guía de

Administración del Riesgo

Establecer los principales aspectos en relación con el diseño de

controles.

Objetivos

v

Alineación con el MIPG y Plan

Anticorrupción y de Atención

al Ciudadano

2

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

MIPG

Política de Administración

de Riesgo, por la Línea

Estratégica de Defensa

definida en la Dimensión de

Control Interno

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo,

es viable definir el contexto estratégico así:

Factores de Riesgo Principales (Análisis Interno y Externo)

Principales procesos susceptibles de corrupción

Impactos principales por nivel de riesgo

De igual forma se define el Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción,

estrategias para trámites, rendición de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información.

MIPG

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Gestión con Valores

para resultados

D I M E N S I Ó N 3

RELACIÓN

ESTADO – CIUDADANO

Transparencia, acceso a la información pública y lucha contra la corrupción

Servicio al ciudadano

Racionalización de trámites

Participación ciudadana en la gestión

Gobierno digitalTIC para la Sociedad

DE LA VENTANILLA

HACIA ADENTRO

Fortalecimiento organizacionaly simplificación de procesos

Ejecución Presupuestal y eficiencia del gasto público

Contratación

Gobierno digitalTIC para el Estado

MIPG

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

v

Antes de Iniciar con la

Metodología3

Act 1

DI

RE

CC

IO

NA

MI

EN

TO

E

ST

RA

TÉ

GI

CO

Y

P

LA

NE

AC

IÓ

N

Establecer la Visión

(que busca la entidad a futuro)

Act. 2

Act. 3

Act. 4.

Analizar marconormativo de la

entidad

Revisar la Misión

(QuehacerInstitucional)

Caracterizar losgrupos de valor

Analizardiagnóstico de capacidades

Definir ObjetivosInstitucionales(estrategicos)

como propósitoso logros alcanzar

.

Act. 5

Act. 6.

Direccionamiento Estratégico1


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Análisis del contexto de la entidad2

(D) DEBILIDADES (factoresnegativos internos)

(O) OPORTUNIDADES (factorespositivos externos)

(F) FORTALEZAS (factorespositivos internos)

(A) AMENAZAS (factores negativosexternos)

MATRIZ DOFA

Identificación de factores

Políticos: Este apartado se refiere entre otras a políticas gubernamentales,

período gubernamental, elecciones, situación política de la región.

Económicos: Aquí se puede destacar la inflación, el desempleo, nivel de

endeudamiento, entre otros.

Sociales: Abarca aspectos demográficos, población vulnerable,

desplazados, factores étnicos y religiosos, entre otros.

Tecnológicos: Cubre la tecnología en la industria, la agricultura, los

servicios y las Tics, adicional las tendencias tecnológicas asociadas con las

políticas de Estado, entre otros.

Ecológicos: Uso de combustibles fósiles y su influencia en el cambio

climático, la contaminación del aire, suelo, tierra, agua, residuos, reciclaje,

energías renovables, entre otros.

Legales: Legislación cambiante, legislación sobre empleo, licencias,

propiedad industrial, entre otros.


Modelo de Operación por Procesos

Por qué existimos

Misión

Qué queremos ser

Visión

En qué creemos

Valores Fundamentales – Código de Integridad

Nuestras Directrices

Estrategia - Objetivos Estratégicos

Qué necesito hacer en mi proceso

Objetivos de los Procesos

PROGRAMASMETAS PROYECTOS

GE

ST

IÓ

N

CO

N

VA

LO

RE

S

PA

RA

E

L

RE

SU

LT

AD

O

3


La mayoría de dificultades en la identificación del riesgo, parte de una inconsistente identificación o estructura de los objetivos de los procesos.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Formulación de Objetivos4


La entidad debe analizar los

objetivos estratégicos y

revisar que se encuentren

alineados con la Misión y la

Visión Institucional, así como,

analizar su adecuada

formulación, es decir, que

contengan las siguientes

características mínimas:

Lo importante es resolver cuestiones como “qué, cuándo,

cómo, dónde, con qué, quién”.

Considerar el orden y los necesarios para el cumplimiento

de la misión.

Para ello es necesario involucrar algunos números en

su definición, por ejemplo, porcentajes o cantidades

exactas (cuando aplique).

Para hacer alcanzable un objetivo se necesita un

previo análisis de lo que se ha hecho y logrado hasta

el momento. Esto ayudará a saber si lo que se propone

es posible o cómo resultaría mejor.

Considerar recursos, factores externos e información

de actividades previas, a fin de contar con elementos

de juicio para su determinación.

Establecer un tiempo al objetivo ayudará a saber si lo

que se está haciendo es lo óptimo para llegar a la

meta, así mismo permite determinar el cumplimiento y

mediciones finales.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Formulación de Objetivos4


Establecer

Identificar

Recopilar

Investigar

Buscar

Registrar

Tener en cuenta para los Objetivos

Un objetivo es un

enunciado que

expresa una acción

por lo tanto debe

iniciarse con un

verbo fuerte

Los objetivos

deben ser:

Medibles, realistas

y se deben evitar

frases subjetivas

v

Metodología4

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Definiciones Básicas Relacionadas con la

Gestión del Riesgo

Riesgo de Gestión: Posibilidadde que suceda algún evento quetendrá un impacto sobre elcumplimiento de los objetivos. Seexpresa en términos deprobabilidad y consecuencias.

Riesgo de Corrupción:Posibilidad de que por acción uomisión, se use el poder paradesviar la gestión de lo públicohacia un beneficio privado.

Riesgo de Seguridad Digital:Combinación de amenazas yvulnerabilidades en el entorno digital.Puede debilitar el logro de objetivoseconómicos y sociales, así como afectarla soberanía nacional, la integridadterritorial, el orden constitucional y losintereses nacionales. Incluye aspectosdel ambiente físico, digital y las personas.

Activo: En el contexto deseguridad digital son elementostales como aplicaciones de laorganización, servicios web, redes,Hardware, información física odigital, recurso humano, entreotros, que utiliza la organizaciónpara funcionar en el entorno digital.

Riesgo Inherente: Es aquel alque se enfrenta una entidad enausencia de acciones de ladirección para modificar suprobabilidad o impacto.

Riesgo Residual: Nivel deriesgo que permanece luego detomar medidas de tratamiento delriesgo.

Probabilidad: se entiende laposibilidad de ocurrencia delriesgo, ésta puede ser medidacon criterios de Frecuencia oFactibilidad.

Impacto: se entienden lasconsecuencias que puedeocasionar a la organización lamaterialización del riesgo.

Causa: Todos aquellos factoresinternos y externos que solos oen combinación con otros,pueden producir lamaterialización de un riesgo

Consecuencia: Los efectos osituaciones resultantes de lamaterialización del riesgo queimpactan en el proceso, laentidad, sus grupos de valor ydemás partes interesadas.

Plan Anticorrupción y deAtención al Ciudadano: Planque contempla la estrategia delucha contra la corrupción quedebe ser implementada por todaslas entidades del orden nacional,departamental y municipal.

Mapa de Riesgos: Documentocon la información resultante dela gestión del riesgo decorrupción.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Definiciones Básicas Relacionadas con la

Gestión del Riesgo

Riesgo

Gestión del Riesgo

Posibilidad de que suceda algún evento que tendrá un impacto sobre el

cumplimiento de los objetivos.

El riesgo se expresa en términos de probabilidad y consecuencias.

Proceso efectuado por la Alta Dirección de la entidad y por todo el

personal para proporcionar a la administración un aseguramiento

razonable con respecto al logro de los objetivos.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Paso 1: Política Institucional de Riesgos

Declaración de la Dirección y las intenciones generales de una organización con respecto a

la gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión o Administración del riesgo

establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.

La debe establecer la Alta Dirección en cabeza

del Representante Legal en el marco del

Comité Institucional de Coordinación de Control

Interno

Objetivo: Alineada con los obj institucionales

Alcance: Aplicable a todos los procesos

Niveles de aceptación del Riesgo: Decisión

informada de tomar un riesgo particular.

Periodicidad para el seguimiento y sus responsables.

Los riesgos aceptados están sujetos a monitoreo.

Tabla Impacto, Factores de Riesgo, entre otros.

Los riesgos de corrupción no admiten

aceptación del riesgo.

Definir procesos susceptibles de posibles

actos de corrupción.

¿Quién la establece?¿Qué debe contener? Frente a los Riesgos de Corrupción

Incorporar Anexo 4 “Lineamientos para la

gestión del riesgo de seguridad digital.

Frente a los Riesgos de Seguridad Digital

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Paso 2: Identificacióndel Riesgo

En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus

causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis

teóricos, opiniones informadas y expertas y las necesidades de las partes involucradas. (NTC

ISO31000, Numeral 2.15).

ESTABLECIMIENTO DEL CONTEXTO

Definición de los parámetros internos y externos

que se han de tomar en consideración para la

administración del riesgo. (NTC ISO31000,

Numeral 2.9).

Contexto Externo Contexto Interno Contexto del Proceso

Se determinan las

características o aspectos

esenciales del entorno en

el cual opera la entidad. Se

pueden considerar factores

como: Legales, Políticos,

Sociales, Tecnológicos,

Financieros, Sectoriales.

Se determinan las


esenciales del ambiente en

el cual la organización

busca alcanzar sus

objetivos. Se pueden

considerar factores como:

Talento Humano,

Infraestructura,

Planeación, Recursos

financieros.

Se determinan las


esenciales del proceso y

sus interrelaciones. Se

pueden considerar factores

como: Objetivo, alcance,

interrelación con otros

procesos, procedimientos,

responsables.


Tabla ilustrativa 1 - Factores para cada categoría del contexto


Cómo puede

Suceder?

1

2

3

Qué puede

suceder?

Cuándo puede

suceder?

Identificar la afectación del cumplimiento del

objetivo estratégico o del proceso según sea

el caso.

Establecer las causas a partir de los factores

determinados en el contexto

Determinar de acuerdo al desarrollo del proceso

4Qué

consecuencias

tendría su

materialización?

Determinar los posibles efectos por la

materialización del riesgo

Evitar iniciar con palabras negativas como: “No…” “Que

no…”, o con palabras que denoten un factor de riesgo

(causa) tales como: “ausencia de”, “falta de”, “Poco(a)”,“

Escaso(a)”,“Insuficiente”, “Deficiente”, “Debilidades en”

Pregúntese si el riesgo identificado esta relacionado

directamente con las características del objetivo. Si la

respuesta es “no” este puede ser la causa o la

consecuencia.


Los objetivos estratégicos y de proceso se desarrollan a

través de actividades, pero no todas tienen la misma

importancia, por tanto se debe establecer cuáles de ellas

contribuyen mayormente al logro de los objetivos y estas

son las actividades críticas o factores claves de éxito; estos

factores se deben tener en cuenta al identificar las causas

que originan la materialización de los riesgos.

Análisis de CausasNro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom

1 Insuficiente capacitación del

personal de contratos.

10 8 9 7 10 9 53 8,8

2 Fallas en la radicación de

propuestas

1 6 2 6 5 6 26 4,3

3 Mala atención a los

proveedores

5 3 1 5 4 3 21 3,5

4 Inadecuadas políticas de

operación

7 9 7 8 7 10 48 8,0

5 Desconocimiento de la

normatividad contractual

6 4 3 1 2 1 17 2,8

6 Débil gestión de adquisiciones 2 1 5 2 1 2 13 2,2

7 Desconocimiento de los

cambios en la regulación

contractual

8 7 10 9 8 7 49 8,2

8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3,8

9 Carencia de controles en el

procedimiento de contratación

9 10 8 10 9 8 54 9,0

10 Normograma desactualizado 4 2 6 3 3 5 23 3,8

CRITERIOS DE PRIORIZACIÓN

• En esta matriz se deben incluir todas las debilidades y

amenazas identificadas en el establecimiento del

contexto

• Cada integrante priorizará en orden de importancia de

menor a mayor las causas utilizando una escala donde 1

es la de menor importancia y «N» la de mayor

importancia dependiendo del número de causas.

• Un integrante del grupo debe organizar en la tabla las

calificaciones y calcular el promedio aritmético de cada

causa, siendo las de mayor promedio las causas raíz.

Priorización de Causas


RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS

“In

op

ort

un

idad

enla

adq

uis

ició

nd

elo

sb

ien

esy

serv

icio

sre

qu

erid

os

po

rla

enti

dad

La combinación de factores como,

insuficientes capacitación del personal de

contratos, cambios en la regulación

contractual, inadecuadas políticas de

operación y Carencia de controles en el

procedimiento de contratación pueden

ocasionar la Inoportunidad en la adquisición

de los bienes y servicios requeridos por la

entidad, repercutiendo en la continuidad de la

operación de la entidad.

Operativo Carencia de controles en el

procedimiento de contratación1. Demoras en los procesos

2. incumplimiento en la entrega de

bienes y servicios a los grupos de

valor

3. Demandas y demás acciones

jurídicas

4. Detrimento de la imagen de la

entidad ante sus grupos de valor

5. Investigaciones disciplinarias

Insuficiente capacitación del personal

de contratos.

Desconocimiento de los cambios en la

regulación contractual

Inadecuadas políticas de operación

Proceso Contratación:

Objetivo “Adquirir con oportunidad y calidad técnica los bienes

y servicios requeridos por la entidad para su continua

operación”

Ejemplo

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Análisis de la Probabilidad

Se analiza qué tan posible es que ocurra el riesgo, se expresa en

términos de frecuencia o factibilidad, donde frecuencia implica

analizar el número de eventos en un periodo determinado, se trata de

hechos que se han materializado o se cuenta con un historial de

situaciones o eventos asociados al riesgo, y factibilidad implica

analizar la presencia de factores internos y externos que pueden

propiciar el riesgo, se trata en este caso de un hecho que no se ha

presentado pero es posible que suceda.

Nivel Descriptor Descripción Frecuencia

5 Casi seguro Se espera que el evento ocurra en la

mayoría de las circunstancias

Mas de 1 vez al año.

4 Probable Es viable que el evento ocurra en la


Al menos 1 vez en el

último año.

3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los

últimos 2 años.

2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los

últimos 5 años.

1 Rara vez El evento puede ocurrir solo en

circunstancias excepcionales (poco

comunes o anormales)

No se ha presentado en

los últimos 5 años.

Paso 3: Valoración del riesgo – Análisis de Riesgos

Criterios parar calificar la probabilidad

Importante

El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la

disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de

no contar con datos históricos, se trabajará de acuerdo con la experiencia de los

servidores que desarrollan el proceso y de sus factores internos y externos. (Revisar

matriz de análisis de priorización de probabilidad).

Permite establecer la probabil idad de ocurrencia del riesgo y el nivel de

consecuencias o impacto, con el fin de estimar la zona de riesgo inicial

(RIESGO INHERENTE).

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Criterios para calificar el Impacto – Riesgos de GestiónNivel Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

CA

TAST

RÓ

FIC

O- Impacto que afecte la ejecución presupuestal en un valor ≥50%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥50%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por más de cinco (5) días.- Intervención por parte de un ente de control u otro ente regulador.- Pérdida de Información crítica para la entidad que no se puede recuperar.- Incumplimiento en las metas y objetivos institucionales afectando de forma grave laejecución presupuestal.- Imagen institucional afectada en el orden nacional o regional por actos o hechos decorrupción comprobados.

MA

YOR

- Impacto que afecte la ejecución presupuestal en un valor ≥20%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥20%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por más de dos (2) días.- Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.- Sanción por parte del ente de control u otro ente regulador.- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento enlas metas de gobierno.- Imagen institucional afectada en el orden nacional o regional por incumplimientos en laprestación del servicio a los usuarios o ciudadanos.

MO

DER

AD

O

- Impacto que afecte la ejecución presupuestal en un valor ≥5%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥5%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por un (1) día.- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante losentes reguladores o una demanda de largo alcance para la entidad.- Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.- Reproceso de actividades y aumento de carga operativa.- Imagen institucional afectada en el orden nacional o regional por retrasos en laprestación del servicio a los usuarios o ciudadanos.- Investigaciones penales, fiscales o disciplinarias.

MEN

OR

- Impacto que afecte la ejecución presupuestal en un valor ≥1%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥1%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por algunas horas.- Reclamaciones o quejas de los usuarios que implican investigaciones internasdisciplinarias.- Imagen institucional afectada localmente por retrasos en la prestación del servicio a losusuarios o ciudadanos.

INSI

GN

IFIC

AN

TE

- Impacto que afecte la ejecución presupuestal en un valor ≥0,5%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥0,5%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.

- No hay interrupción de las operaciones de la entidad.- No se generan sanciones económicas o administrativas.- No se afecta la imagen institucional de forma significativa.

FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Análisis del Impacto Mapa de calor (Riesgo inherente)

El impacto se debe analizar y calificar a partir de las consecuencias identificadas

en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el

impacto fue identificado como mayor por cuanto genera interrupción de las

operaciones.

Mapa de Calor

Se toma la calificación de probabilidad (resultante de la tabla Matriz de

priorización de probabilidad), en el ejemplo: probable y la calificación de

impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en

la fila y la de impacto en la columnas correspondientes, establezca el punto de

cruce de las dos y este punto corresponderá al nivel de riesgo, que para el

ejemplo es nivel extremo – color rojo determinando así el riesgo

inherente..

R1


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Es la respuesta establecida por la Primer Línea de Defensa para la

mitigación de los diferentes riesgos. Ningún riesgo de corrupción podrá ser

aceptado.

No se adopta ninguna

medida que afecte la

probabilidad o el impacto

del riesgo.

OPCIONES DE

TRATAMIENTO

Aceptar el Riesgo

Se adoptan medidas para

reducir la probabilidad o el

impacto del riesgo, o ambos;

por lo general conlleva a la

implementación de controles.

Reducir el Riesgo

Se abandonan las actividades

que dan lugar al riesgo,

decidiendo no iniciar o no

continuar con la actividad que

causa el riesgo.

Evitar el Riesgo

Se reduce la probabilidad o el

impacto del riesgo,

transfiriendo o compartiendo

una parte del riesgo.

Compartir el Riesgo

Paso 3: Valoración del riesgo – Tratamiento del Riesgo

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser aceptado. Esto debería

aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.

Aceptar el Riesgo

RIESGO

ANTES DE

MEDIDAS DE

TRATAMIENTO

RIESGO

DESPUES DE

MEDIDA DE

TRATAMIENTO

MEDIDA DE TRATAMIENTO

ACEPTAR

No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo.

La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también

pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el

riesgo. En ambos escenarios debe existirun seguimiento continuo del riesgo.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la

cancelación de una actividad o conjunto de actividades.

Evitar el Riesgo

Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos

arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo

tanto hay situaciones donde no es una opción.

RIESGO

ANTES DE

MEDIDA DE

TRATAMIENTO

NO HAY RIESGOS

DESPUES DE

MEDIDA DE

TRATAMIENTO


EVITAR

Se abandonan las actividades que dan lugar alriesgo, decidiendo no iniciar o no continuar con laactividad que causa el riesgo.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Compartir el Riesgo

MEDIDA DE TRATAMIENTORIESGO

ANTES DE

MEDIDA DE

TRATAMIENTO

COMPARTIR

Se reduce la probabilidad o el impacto del riesgo,transfiriendo o compartiendo una parte del riesgo.

RIESGO

DESPUES DE

MEDIDA DE

TRATAMIENTO

Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser

compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del

riesgo.

Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y

tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un

acuerdo contractual.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como algo

aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.

Reducir el Riesgo

Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo

que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo.

RIESGO

ANTES DE

MEDIDA DE

TRATAMIENTO

RIESGO

DESPUES DE

MEDIDA DE

TRATAMIENTO


REDUCIR

Se adoptan medidas para reducir la probabilidad oel impacto del riesgo, o ambos; esto conlleva a laimplementación de controles.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

¿Qué son las Actividades de

Control?

Son las acciones establecidas a través de políticas y procedimientos que

contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección

para mitigar los riesgos que inciden en el cumplimiento de los objetivos.

ACTIVIDADES DE CONTROL DOCUMENTADAS EN

Políticas Procedimientos

Una política por si sola

no es un control.

Los controles se despliegan a

través de los procedimientos

documentados.

La actividad de control debe por si sola mitigar o

tratar la causa del riesgo y ejecutarse como parte

del día a día de las operaciones.

Paso 3: Valoración del riesgo – Diseño de Controles

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

CLASIFICACIÓN DE LAS

ACTIVIDADES DE

CONTROL

CONTROLES PREVENTIVOS CONTROLES DETECTIVOS

Controles que están diseñados para evitar un evento no

deseado en el momento en que se produce. Este tipo de

controles intentan evitar la ocurrencia de los riesgos que puedan

afectar el cumplimiento de los objetivos.

Controles que están diseñados para identificar un evento o

resultado no previsto después de que se haya producido.

Buscan detectar la situación no deseada para que se corrija y se

tomen las acciones correspondientes.

Revisión al cumplimiento de los requisitos

contractuales, en el proceso de selección

del contratista o proveedor.

Realizar una conciliación bancaria, para

verificar que los saldos en libros corresponden

con los saldos en Bancos.


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Diseño de Controles

VARIABLES A

EVALUAR PARA EL

ADECUADO DISEÑO DE

CONTROLES

PASO

1Debe tener definido el responsable de realizar la actividad de

control.

PASO

2Debe tener una periodicidad definida para su ejecución.

PASO

3Debe indicar cuál es el propósito del control.

PASO

4Debe establecer el cómo se realiza la actividad de control.

PASO

5

Debe indicar qué pasa con las observaciones o desviaciones

resultantes de ejecutar el control.

PASO

6Debe dejar evidencia de la ejecución del control.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

1Debe tener definido el responsable de realizar la actividad de

control.

El Profesional de Contratación

El Auxiliar de Cartera.

El Coordinador de Operaciones.

La Coordinadora de Nomina.

El aplicativo de nomina.

El aplicativo de contratación.

El aplicativo de activos fijos

Cuando un control se hace de manera manual (ejecutado por

personas) es importante establecer el cargo responsable de su

realización.

Cuando el control lo hace un sistema o una aplicación de manera

automática a través de un sistema programado, es importante

establecer como responsable de ejecutar el control, el sistema o

aplicación.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

2Debe tener una periodicidad definida para su ejecución.

El control debe tener una periodicidad especifica para su ejecución (diario, mensual,

trimestral, anual) .

Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si

con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo

El Profesional de Contratación cada vez que se va a

realizar un contrato con un proveedor de servicios.

El Auxiliar de Cartera mensualmente.

El Coordinador de Operaciones diariamente

La Coordinadora de Nomina quincenalmente

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

3Debe indicar cuál es el propósito del control.

Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar,

detectar)

El profesional de Contratación cada vez que se va a

realizar un contrato verifica que la información

suministrada por el proveedor corresponda con los

requisitos establecidos de contratación.

PASO

4Debe establecer el cómo se realiza la actividad de control.

Cómo se realiza el control? permite evaluar si la fuente u origen de la información que

sirve para ejecutar el control, es confiable para la mitigación del riesgo.

El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada

por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo

donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

5Debe indicar qué pasa con las observaciones o desviaciones

resultantes de ejecutar el control.

Si como resultado de un control preventivo se observan diferencias o aspectos que no se

cumplen, la actividad no debería continuarse hasta que se subsane la situación.

El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada

por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo

donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En

caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la

información y poder continuar con el proceso de contratación.

Si es un control que detecta una posible materialización de un riesgo, debería gestionarse

de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u

observaciones.

Si el responsable de ejecutar el control no realiza ningunaactividad de seguimiento a las observaciones odesviaciones, o la actividad continúa a pesar de indicaresas observaciones o desviaciones, el control tendríaproblemas de diseño.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

6Debe dejar evidencia de la ejecución del control.

Esta evidencia ayuda a que se pueda revisar la misma información por parte de un

tercero y llegue a la misma conclusión de quien ejecutó el control.

Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros

establecidos en el diseño.

El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada

por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo

donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En

caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la

información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo

diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en

los casos que aplique.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Evaluación de los controles

para la mitigación de los

riesgos.

DISEÑO EJECUCIÓN

Que cumpla con los 6 aspectos

explicados

El control se ejecuta como fue

diseñado y de manera consistente.

Para la adecuada mitigación de los riesgos, no basta conque un control este bien diseñado, el control debeejecutarse por parte de los responsables tal como sediseño. Por que un control que no se ejecute, o un controlque se ejecute y este mal diseñado, no va a contribuir a lamitigación del riesgo


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Análisis y Evaluación de los Controles para

la Mitigación de los Riesgos

Criterio de Evaluación Aspecto a Evaluar en el Diseño del Control Opción de Respuesta

1. Responsable

¿Existe un responsable asignado a la ejecución del control ? Asignado No asignado

¿El responsable tiene la autoridad y adecuada segregación de

funciones en la ejecución del control?Adecuado Inadecuado

2. Periodicidad¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación

del riesgo o a detectar la materialización del riesgo de manera oportuna?Oportuna Inoportuna

3. Propósito

¿Las actividades que se desarrollan en el control realmente buscan por si

sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo

Verificar, Validar Cotejar, Comparar, Revisar (…)?

Prevenir

DetectarNo es un control

4. Cómo se realiza la actividad de

control

¿La fuente de información que se utiliza en el desarrollo del control es

información confiable que permita mitigar el riesgo.Confiable No confiable

5. Qué pasa con las observaciones o

desviaciones

¿Las observaciones , desviaciones o diferencias identificadas como

resultados de la ejecución del control son investigadas y resueltas de manera

oportuna?

Se investigan y

resuelven

oportunamente

No se investigan ni

se resuelven

oportunamente

6. Evidencia de Ejecución del Control¿Se deja evidencia o rastro de la ejecución del control, que permita a

cualquier tercero con la evidencia, llegar a la misma conclusión?Completa Incompleta

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Criterio de Evaluación Opción de Respuesta al Criterio de EvaluaciónPeso en la Evaluación del

Diseño del control

1. Asignación del

Responsable

Asignado 15

No asignado 0

2. Segregación y

autoridad del responsable

Adecuado 15

Inadecuado 0

2. PeriodicidadOportuna 15

Inoportuna 0

3. Propósito

Prevenir 15

Detectar 10

No es un control 0

4. Cómo se realiza la

actividad de control

Confiable 15

No Confiable 0

5. Qué pasa con las

observaciones o

desviaciones

Se investigan y resuelven oportunamente 15

No se investigan ni resuelven oportunamente 0

6. Evidencia de Ejecución

del Control

Completa 10

Incompleta 5

No Existe 0

Tabla de Valoración Controles (Diseño y Ejecución)

Rango

Calificación del

Diseño

Opción de Respuesta al Criterio

de Evaluación

Fuerte Calificación entre 96 y 100

Moderado Calificación entre 86 y 95

DébilCalificación entre 0 y 85

Rango

Calificación de la

Ejecución

Opción de Respuesta al Criterio

de Evaluación

Fuerte

El control se ejecuta de manera

consistente por parte del

responsable

ModeradoEl control se ejecuta algunas veces

por parte del responsable

DébilEl control no se ejecuta por parte del

responsable

Ejecución

Diseño

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


realizar un contrato, verifica que la información


requisitos establecidos de contratación, a través de

una lista de chequeo donde están los requisitos de

información y la revisión con la información física

suministrada por el proveedor. En caso de encontrar

información faltante, requiere al proveedor a través de

correo para el suministro de la información y poder

continuar con el proceso de contratación. Como

evidencia deja Lista de Chequeo diligenciada con

la información de la carpeta del cliente, y correos

solicitando la información faltante en los casos

que aplique.

Criterio de EvaluaciónOpción de Respuesta al Criterio de

Evaluación

Peso en la Evaluación

del Diseño del control

1. Asignación del ResponsableAsignado (Califica 15)

No asignado (Califica 0)

2. Segregación y autoridad del

responsable

Adecuado (Califica 15)

Inadecuado (Califica 0)

2. PeriodicidadOportuna (Califica 15)

Inoportuna (Califica 0)

3. Propósito

Prevenir (Califica 15)

Detectar (Califica 10)

No es un control (Califica 0)

4. Cómo se realiza la actividad de

control

Confiable (Califica 15)

No Confiable (Califica 0)

5. Qué pasa con las observaciones o

desviaciones

Se investigan y resuelven oportunamente

(Califica 15)

No se investigan ni resuelven

oportunamente (Califica 0)

6. Evidencia de Ejecución del Control

Completa (Califica 10)

Incompleta (Califica 5)

No Existe (Califica 0)

TOTAL

Evaluación Final del Control

Diseño

15

15

Tipo Control: Preventivo

Directamente ataca probabilidad de

ocurrencia del riesgo e

indirectamente ataca el impacto

15

15

15

15

10

100

Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación

Fuerte Calificación entre 96 y 100

Moderado Calificación entre 86 y 95

Débil Calificación entre 0 y 85

-F

UN

CI

ÓN

P

ÚB

LI

CA

-














que aplique.

Rango Calificación de la

EjecuciónOpción de Respuesta al Criterio de Evaluación

FuerteEl control se ejecuta de manera consistente por

parte del responsable

ModeradoEl control se ejecuta algunas veces por parte del

responsable

Débil El control no se ejecuta por parte del responsable

Ejecución

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Peso del diseño

individual o promedio de

los Controles. (DISEÑO)

El Control se ejecuta de manera

consistente por los responsables.

(EJECUCION)

Solidez individual de cada control

Fuerte:100 Moderado:50

Debil:0

Aplica acciones para

fortalecer el Control

Si / NO

Fuerte

Calificación Entre 96 y 100

Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte NO

Moderado ( Algunas veces) Fuerte + Moderado = Moderado SI

Débil (No se ejecuta) Fuerte + Débil = Débil SI

Moderado

Calificación Entre 86 y 95

Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado SI

Moderado (Algunas veces) Moderado + Moderado = Moderado SI

Débil (No se ejecuta) Moderado + Débil = Débil SI

Débil

Entre 0 y 85

Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil SI

Moderado (Algunas veces) Débil + Moderado = Débil SI

Débil (No se ejecuta) Débil + Débil = Débil SI

Solidez del Control Integralmente (Diseño y Ejecución)

-F

UN

CI

ÓN

P

ÚB

LI

CA

-














que aplique.


Peso del diseño

individual o

promedio de los

Controles.

(DISEÑO)

El Control se ejecuta de manera

consistente por los responsables.

(EJECUCION)

Solidez individual de cada

control Fuerte:100

Moderado:50

Debil:0

Fuerte

Calificación Entre

96 y 100

Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte

Moderado ( Algunas veces) Fuerte + Moderado =

Moderado

Débil (No se ejecuta) Fuerte + Débil = Débil

Moderado

Calificación Entre

86 y 95

Fuerte (Siempre se ejecuta) Moderado + Fuerte =

Moderado

Moderado (Algunas veces) Moderado + Moderado =

Moderado

Débil (No se ejecuta) Moderado + Débil = Débil

Débil

Entre 0 y 85

Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil

Moderado (Algunas veces) Débil + Moderado = Débil

Débil (No se ejecuta) Débil + Débil = Débil

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Riesgo 1

Riesgos Causas o Fallas ControlesDiseño del

Control

Ejecución

del Control

Solidez

Individual del

Control

Solidez del

Conjunto de

Controles

Causa 1

Causa 2

Control 1

Control 2

Control 3

Fuerte

Fuerte

Débil

Fuerte

Moderado

Fuerte

Fuerte (100)

Moderado (50)

Débil (0)

¿Como

evaluamos la

solidez del

conjunto de los

controles?

Calificación de la Solidez del Conjunto de Controles

FuerteEl promedio de la solidez individual de cada control al

sumarlos y ponderarlos es igual a 100.

ModeradoEl promedio de la solidez individual de cada control al

sumarlos y ponderarlos la calificación está entre 50 y 99

DébilEl promedio de la solidez individual de cada control al

sumarlos y ponderarlos la calificación es menor a 50.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual

Solidez del

conjunto de los

controles.

Controles ayudan

a disminuir la

probabilidad

Controles ayudan a

disminuir Impacto

# Columnas en la

matriz de riesgo que

se desplaza en el eje

de la Probabilidad

# Columnas en la matriz

de riesgo que se

desplaza en el eje de

Impacto

Fuerte Directamente Directamente 2 2

Fuerte Directamente Indirectamente 2 1

Fuerte Directamente No Disminuye 2 0

Fuerte No disminuye Directamente 0 2

Moderado Directamente Directamente 1 1

Moderado Directamente Indirectamente 1 0

Moderado Directamente No Disminuye 1 0

Moderado No disminuye Directamente 0 1

Si la solidez del conjunto de los controles es Débil, este nodisminuirá ningún cuadrante de impacto o probabilidadasociado al riesgo.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual

Solidez del

conjunto de los

controles.

Controles ayudan

a disminuir la

probabilidad

Controles ayudan a

disminuir Impacto

# Columnas en la

matriz de riesgo que

se desplaza en el eje

de la Probabilidad

# Columnas en la matriz

de riesgo que se

desplaza en el eje de

Impacto

Fuerte Directamente Directamente 2 2

Fuerte Directamente Indirectamente 2 1

Fuerte Directamente No Disminuye 2 0

Fuerte No disminuye Directamente 0 2

Moderado Directamente Directamente 1 1

Moderado Directamente Indirectamente 1 0

Moderado Directamente No Disminuye 1 0

Moderado No disminuye Directamente 0 1


Directamente ataca probabilidad de

ocurrencia del riesgo e

indirectamente ataca el impacto

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Resultados del Mapa de Riesgo Residual.

Una vez realizado el análisis y evaluación de los controles para la mitigación de los riesgos, procedemos

a la elaboración del mapa de riesgo residual (después de los controles ).

Riesgo 1 – Inoportunidad en la adquisición de los

bienes y servicios requeridos por la entidad.

Con una calificación de riesgo inherente de

probabilidad e impacto como se muestra en la siguiente

gráfica:

Control - Fuerte (bien diseñados y que siempre se

ejecutan), disminuyen de manera directa la probabilidad

e indirectamente el Impacto.

En nuestro ejemplo disminuiría dos cuadrantes de

probabilidad, pasa de probable a improbable y un

cuadrante de impacto, pasa de mayor a moderado.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)

Nro Riesgo Clasificación

Causas Probabilidad Impacto Riesgo Residual

Opción Manejo

Actividad de Control Soporte Responsable Tiempo

1

Ino

po

rtu

nid

ad e

n la

ad

qu

isic

ión

de

los

bie

nes

y s

ervi

cio

s r

equ

erid

os

po

r la

enti

dad

Op

erat

ivo

Carencia de controles en

el procedimiento de

contratación

Imp

rob

able

Mo

der

ado

Mo

der

ado

Reducir Procedimiento e instrumentos decontratación (lista de chequeo)

Para cada contrato, verifica que lainformación suministrada por elproveedor corresponda con losrequisitos establecidos de contratación,a través de una lista de chequeo dondeestán los requisitos de información y larevisión con la información físicasuministrada por el proveedor

Lista de Chequeo diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique

Profesional de Contratación

Siempre que se realice un contrato

Inadecuadas políticas de

operación

Formato Mapa y Plan de Tratamiento de Riesgos.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Mapa de Riesgos (Gestión y Corrupción)



Pos

ibili

dad

de r

ecib

ir o

solic

itar

cual

quie

r da

diva

o b

enef

icio

a

nom

bre

prop

io o

de

terc

eros

con

el f

in c

eleb

rar

un c

ontr

ato. Situaciones como: debilidades en la

etapa de la planeación del contrato, la

excesiva discrecionalidad, las presiones

indebidas, la carencia de controles, la

falta de conocimiento y/o experiencia,

sumados a la falta de integridad pueden

generar un riesgo de corrupción en la

contratación, como por ejemplo

“Exigencias de condiciones en los

procesos de selección que solo cumple

un determinado proponente”.

Corrupción

Debilidades en la etapa de planeación,

que faciliten la inclusión en los estudios

previos, y/o en los pliegos de

condiciones de requisitos orientados a

favorecer a un proponente.

1. Pérdida de la imagen

institucional

2. Demandas contra el estado

3. Pérdida de confianza en lo

público

4. Investigaciones penales,

disciplinarias y fiscales

5. Detrimento patrimonial

6. Obras inconclusas

7. Mala calidad de las obras

8. Enriquecimiento ilícito de

contratistas

y/o servidores públicos

Presiones indebidas

Carencia de controles en elprocedimiento de contrataciónFalta de conocimiento y/o experiencia del personal que maneja la contrataciónExcesiva discrecionalidad

Adendas que modifican las condiciones generales del proceso de contratación para favorecer a un proponente

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Nr.Riesgo Activo Tipo Amenazas Vulnerabilidades

Pro

bab

ilid

ad

Imp

acto Riesgo

residual

Op

ció

n

trat

amie

nto

Actividad de Control Soporte

Res

po

nsa

ble

Tie

mp

o

Pér

dida

de

la in

tegr

idad

Bas

e de

Dat

os d

e N

ómin

a

Seg

urid

ad D

igita

l

Ausencia de

políticas de control

de acceso.

Pro

babl

e

Men

or

Mod

erad

o

Reducir

A.9.1.1 Política de control de acceso

Política creada y comunicada Oficina TI

Tercer trimestr e de 2018

1 Modificació

n no

autorizada

Contraseñas

sin

protecciónReducir

A.9.4.3 Sistema de gestión de contraseñas

Procedimientos para la gestión y

protección de contraseñas

Oficina TI Tercer trimestre de 2018

Ausencia de

mecanismos de

identificación y

autenticación de

usuarios

ReducirA 9.4.2 Procedimiento

de ingreso seguro

Procedimiento para ingreso

seguroOficina TI Cuarto

trimestre de 2018

Ausencia de

bloqueo

de sesión

Reducir A.11.2.8 Equipos deusuario desatendidos

Configuracionespara bloqueo automático de

sesión

Oficina TI Cuarto Trimestre de

2018


Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Monitoreo y Revisión – Rol de las Líneas de Defensa.

El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través

de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue:

• Corresponde al área encargada de la

gestión del riesgo (Oficina Asesora de

Planeación, Gerencias de Riesgos u otra

instancia definida) a quienes corresponde la

difusión y asesoría de la metodología, así

como de los planes de tratamiento de riesgo

identificados en todos los niveles de la

entidad, de tal forma que se asegure su

implementación.

Corresponde al Comité de Auditoría de las Empresas Industriales y Comerciales del Estado y/o a los Comités Institucionales de Coordinación de Control Interno,

establecer la Política de Gestión de Riesgos y asegurarse de su aplicación en todos los niveles de la organización, de tal forma que se conozcan claramente los

niveles de responsabilidad y autoridad que posee cada una de las tres líneas de defensa frente a la gestión del riesgo.

1ª. Línea de Defensa

• Controles de Gerencia Operativa (Líderes de

proceso y sus equipos), a quienes

corresponde asegurarse de implementar la

metodología para mitigar los riesgos en la

operación, reportando a la segunda línea sus

avances y/o dificultades.

2ª. Línea de Defensa 3ª. Línea de Defensa

• A cargo de la Oficina de Control Interno,

Auditoría Interna o quién haga sus veces,

quienes aplican la evaluación

independiente sobre la gestión del riesgo

en la entidad, se pronuncian sobre la

efectividad de los controles.

LÍNEA ESTRATÉGICA

AutoevaluaciónEvaluación

IndependienteAutocontrol

v

Riesgos de Seguridad Digital

TENER EN CUENTA….

Riesgo de Seguridad Digital: Combinaciónde amenazas y vulnerabilidades en elentorno digital. Puede debilitar el logro deobjetivos económicos y sociales, así comoafectar la soberanía nacional, la integridadterritorial, el orden constitucional y losintereses nacionales. Incluye aspectos delambiente físico, digital y las personas.

Activo: En el contexto de seguridad digitalson elementos tales como aplicaciones de laorganización, servicios web, redes,Hardware, información física o digital, recursohumano, entre otros, que utiliza laorganización para funcionar en el entornodigital.

Confidencialidad:

Propiedad de la información que la hace nodisponible o sea divulgada a individuos,entidades o procesos no autorizados

Integridad:

Propiedad de exactitud y completitud.

Disponibilidad:

Propiedad de ser accesible y utilizable ademanda por una entidad

TENER EN CUENTA….


Declaración de la Dirección y las intenciones generales de una

organización con respecto a la gestión del riesgo, (NTC ISO31000

Numeral 2.4). La gestión o Administración del riesgo establece

lineamientos precisos acerca del tratamiento, manejo y seguimiento a los

riesgos.

Incorporar Anexo 4 Lineamientos para la

gestión del riesgo de seguridad digital.

Frente a los Riesgos de Seguridad Digital

Paso 2.1: Identificacióndel Contexto

Contexto del Proceso

Se determinan las características o aspectos esenciales del proceso y sus interrelaciones. Se

pueden considerar factores como:

Objetivo y Alcance del proceso

Interrelación con otros procesos

Procedimientos asociados

Responsables del proceso

Activos de seguridad digital del proceso

Tabla ilustrativa 1 - Factores para cada categoría del contexto

GESTIÓN DE ACTIVOS

¿Qué son los activos? ¿Por qué identificar los activos?

Un activo es cualquier elemento que tenga valor para la

organización, sin embargo, en el contexto de seguridad digital

son activos elementos tales como:

Permite determinar qué es lo más importante que cada entidad y

sus procesos poseen (sean bases de datos, archivos, servidores web

o aplicaciones claves para que la entidad pueda prestar sus servicios).

La entidad puede saber qué es lo que debe proteger para garantizar

tanto su funcionamiento tanto interno como su funcionamiento de

cara al ciudadano, aumentando así su confianza en el uso del entorno

digital.

Aplicaciones de la organización.

Servicios web

Redes

Información física o digital

Tecnologías de información -TI-

Tecnologías de operación -TO- que

utiliza la organización para funcionar

en el entorno digital.

Anexo 4 “Lineamientos para la

gestión del riesgo de seguridad

digital en entidades públicas”

¿Cómo Identificar los Activos?Paso 1: Listar los Activos por Proceso

En cada proceso, deberán listarse los activos, indicando algún consecutivo, nombre y

descripción breve de cada uno.

PROCESO ACTIVO DESCRIPCION

Gestión Financiera Base de datos de nóminaBase de datos con información de

nómina de la entidad

Gestión Financiera Aplicativo de NóminaServidor web que contiene el front office

de la entidad

Gestión Financiera Cuentas de Cobro Formatos de cobro diligenciados

Ejemplo

¿Cómo Identificar los Activos?Paso 2: Identificar el dueño de los Activos

Cada uno de los activos identificados deberá tener un dueño designado, Si un activo no

posee un dueño, nadie se hará responsable ni lo protegerá debidamente.

Ejemplo

ACTIVO DESCRIPCION DUEÑO DEL ACTIVO

Base de datos de

nómina

Base de datos con información

de nómina de la entidadJefe Oficina de Nómina

Aplicativo de NóminaSistema que permite gestionar

la nómina y los pagosJefe Oficina de Nómina

Cuentas de Cobro Formatos de cobro diligenciados Jefe Oficina de Nómina

¿Cómo Identificar los Activos?Paso 3: Clasificar los Activos

Cada activo debe tener una clasificación o pertenecer a un determinado grupo de activos

según su naturaleza cómo, por ejemplo: Información, Software, Hardware, Componentes de

Red entre otros.

Tabla 4. Tipología de Activos

Tipo Activo Descripción Ejemplo

Información

Información almacenada en formatos

físicos (papel, carpetas, CD, DVD) o

en formatos digitales o electrónicos

(ficheros en bases de datos, correos

electrónicos, archivos o servidores)

Contratos, acuerdos de confidencialidad, manuales de

usuario, procedimientos operativos o de soporte, planes

para la continuidad del negocio, registros contables,

estados financieros, archivos ofimáticos, documentos y

registros del sistema integrado de gestión, bases de datos

con información personal o con información relevante

para algún proceso (bases de datos de nóminas, estados

financieros), entre otros.

¿Cómo Identificar los Activos?

Tabla 4. Tipología de Activos


Software Activo informático lógico.Programas, herramientas ofimáticas o sistemas lógicos

para la ejecución de las actividades.

HardwareEquipos físicos de cómputo y de

comunicaciones

Servidores, biométricos que por su criticidad son

considerados activos de información.

Servicios

Servicio brindado por parte de la

entidad para el apoyo de las

actividades de los procesos.

Servicios WEB, intranet, CRM, Portales

organizacionales, Aplicaciones entre otros (Pueden estar

compuestos por hardware y software).

Intangibles

Aquellos activos inmateriales que

otorgan a la entidad una ventaja

competitiva relevante.

Imagen corporativa, reputación o el good will, entre

otros.

Componentes de Red

Medios necesarios para realizar la

conexión de los elementos de

hardware y software en una red.

Cableado estructurado y tarjetas de red, routers,

switches, entre otros.

¿Cómo Identificar los Activos?Tabla 4. Tipología de Activos


Personas

Roles que, por su conocimiento,

experiencia y criticidad para el

proceso, son considerados activos de

información

Personal con experiencia y capacitado para realizar una

tarea específica en la ejecución de las actividades.

Instalaciones

Espacio o área asignada para alojar y

salvaguardar los datos considerados

como activos críticos para la entidad.

Espacio definido (acorde con cada entidad).

ACTIVO TIPO DE ACTIVO

Base de datos de nómina Información

Aplicativo de Nómina Software

Cuentas de Cobro Información

Ejemplo

¿Cómo Identificar los Activos?Paso 4: Clasificar la Información

Realizar la clasificación de la información conforme lo indican las leyes 1712 de 2014, 1581

de 2012, el Modelo de Seguridad y Privacidad en su Guía de Gestión de Activos, el dominio

8 del Anexo A de la norma ISO27001:2013 y demás normatividad aplicable.

Ejemplo

ACTIVO TIPO DE ACTIVO Ley 1712 de 2014 Ley 1581 de 2012

Base de datos de nómina Información Información Reservada No Contiene datos personales

Aplicativo de Nómina Software N/A N/A

Cuentas de Cobro Información Información Pública No contiene datos personales

¿Cómo Identificar los Activos?Paso 5: Determinar la Criticidad del Activo

Ahora la entidad pública debe evaluar la criticidad de los activos, a través de preguntas que le permitan determinar el grado

de importancia de cada uno, para posteriormente, durante el análisis de riesgos tener presente esta criticidad para hacer

una valoración adecuada de cada caso.

Consultar: http://www.mintic.gov.co/gestionti /615/w3-propertyvalue-7275.html - Guía #5 Gestión Clasificación de Activos

Esquema Clasificación por Confidencialidad

Información Pública

Reservada

Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros

sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen

o económica.

Información Pública

Clasificada

Información disponible para todos los procesos de la entidad y que en caso de ser conocida por

terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma.

Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios

de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros

sin autorización del propietario.

Información Pública Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera

de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.

No ClasificadaActivos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados,

deben ser tratados como activos de INFORMACIÓN PUBLICA RESERVADA

¿Cómo Identificar los Activos?Esquema Clasificación por Integridad

A

(ALTA)

Información cuya pérdida de exactitud y completitud puede conllevar un impacto

negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de

imagen severas de la entidad.

M

(MEDIA)

Información cuya pérdida de exactitud y completitud puede conllevar un impacto

negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de

imagen moderado a funcionarios de la entidad.

B

(BAJA)

Información cuya pérdida de exactitud y completitud conlleva un impacto no

significativo para la entidad o entes externos.

No

Clasificada

Activos de Información que deben ser incluidos en el inventario y que aún no han sido

clasificados, deben ser tratados como activos de información de integridad ALTA.

Esquema Clasificación por Disponibilidad

1

(ALTA)

La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o

económica, retrasar sus funciones, o generar pérdidas de imagen severas a entes externos.

2

(MEDIA)

La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o

económica, retrasar sus funciones, o generar pérdida de imagen moderado de la entidad.

3

(BAJA)

La no disponibilidad de la información puede afectar la operación normal de la entidad o

entes externos, pero no conlleva implicaciones legales, económicas o de pérdida de imagen.

No

Clasificada

Activos de Información que deben ser incluidos en el inventario y que aún no han sido

clasificados, deben ser tratados como activos de información de disponibilidad ALTA.

ALTA

Activos de información en los cuales la

clasificación de la información en dos (2) o todas

las propiedades (confidencialidad, integridad, y

disponibilidad) es alta.

MEDIA


clasificación de la información es alta en una (1) de

sus propiedades o al menos una de ellas es de

nivel medio.

BAJA


clasificación de la información en todos sus niveles

es baja.

¿Cómo Identificar los Activos?Paso 5: Determinar la Criticidad del Activo

Ejemplo

ACTIVO TIPO DE ACTIVOCriticidad respecto a

su confidencialidad

Criticidad respecto a

completitud o

integridad

Criticidad respecto a

su disponibilidadNivel de Criticidad

Base de datos de

nóminaInformación ALTA ALTA ALTA ALTA

Aplicativo de Nómina Información BAJA MEDIA BAJA MEDIA

Cuentas de Cobro Información BAJA BAJA BAJA BAJA

Una vez se ejecute la identificación de los activos, la entidad pública debe definir si

gestionará los riesgos en todos los activos del inventario o solo en aquellos que

tengan un nivel de criticidad Alto, esto debe estar debidamente documentando y

aprobado por la Línea Estratégica – Alta dirección.

¿Cómo Identificar los Activos?Paso 6: Identificar si existen Infraestructuras Críticas Cibernéticas -ICC-

Se invita a que las entidades públicas identifiquen y reporten a las instancias y autoridades respectivas en el Gobierno

nacional si poseen ICC. Un activo es considerado infraestructura crítica si su impacto o afectación podría superar alguno de

los siguientes 3 criterios:

IMPACTO SOCIAL

(0,5%) de Población

Nacional

IMPACTO ECONÓMICO

PIB de un Día o 0,123%

del PIB Anual

IMPACTO AMBIENTAL

250.000 personas $464.619.736 3 años en recuperación

Fuente: Tomado de Comando Conjunto Cibernético (CCOC), Comando General Fuerzas Militares de Colombia. Guía

para la Identificación de Infraestructura Crítica Cibernética (ICC) de Colombia Primera

Si la entidad pública determina que tiene ICC, es importante que se

identifiquen los componentes que conforman dicha infraestructura. Por

ejemplo, dicha ICC puede tener componentes de TI (como servidores)

o de TO (como sistemas de control industrial o sensores).

Gestión del RiesgoPaso 1: Identificación del Riesgo

Pérdida de la integridad

1

2

3

Pérdida de la confidencialidad

Pérdida de la disponibilidad

Se podrán identificar los siguientes tres (3) riesgos inherentes de

seguridad digital:

Para cada riesgo, se deben asociar el grupo de activos o activos

específicos del proceso, y conjuntamente analizar las posibles

amenazas y vulnerabilidades que podrían causar su

materialización.

Anexo 4 “Lineamientos para la gestión del riesgo de

seguridad digital en entidades públicas” encontrarán:

Tabla 5. Tabla de amenazas comunes

Tabla 6. Tabla de amenazas dirigida por el hombre

Tabla 7. Tabla de Vulnerabilidades Comunes

Gestión del Riesgo

Tipo de activo Ejemplos de vulnerabilidades Ejemplos de amenazas

HardwareAlmacenamiento de medios sin

protecciónHurto de medios o documentos

Software Ausencia de parches de seguridad Abuso de los derechos

Red Líneas de comunicación sin protección Escucha encubierta

Información Falta de controles de acceso físico Hurto de información

Personal Falta de capacitación en las herramientas Error en el uso

Organización Ausencia de políticas de seguridad Abuso de los derechos

Paso 1: Identificación del Riesgo

La sola presencia de una vulnerabil idad no causa daños por sí misma, ya que representa

únicamente una debilidad de un activo o un control, para que la vulnerabil idad pueda causar

daño, es necesario que una amenaza pueda explotar esa debil idad. Una vulnerabil idad que

no tiene una amenaza puede no requerir la implementación de un control.

Tabla 8. Tabla de Amenazas y Vulnerabilidades (De acuerdo con el tipo de activo)

Gestión del RiesgoPaso 2: Identificaciónde Riesgo de Seguridad Digital

ACTIVO RIESGO DESCRIPCION AMENAZA TIPO CAUSAS/VULNERABILIDADES CONSECUENCIAS

Base de

datos de

Nómina

Pérdida de

Integridad

La falta de políticas de seguridad

digital, ausencia de políticas de

control de acceso, contraseñas

sin protección y mecanismos de

autenticación débil, pueden

facilitar una modificación no

autorizada causando la pérdida

de la integridad de la base de

datos de nómina.

Modificación

no

autorizada

Seguridad

Digital

Falta de políticas de seguridad

digitalRetrasos en el pago de la nómina

Inconsistencias en los pagos

Reprocesos internos

Legales (por la no devolución de

pagos adicionales realizados)

Ausencia de políticas de control

de acceso

Contraseñas sin protección

Autenticación débil

Proceso Talento Humano

Ejemplo

Seleccionar la vulnerabilidades asociadas a la amenaza identificada

Gestión del Riesgo

















último año.


últimos 2 años.


últimos 5 años.






Paso 3: Valoración del riesgo - Análisis de Riesgos




(RIESGO INHERENTE).

Gestión del RiesgoPaso 3: Valoración del riesgo - Análisis de Riesgos

Criterios para calificar el Impacto – Riesgos de Seguridad Digital

FUENTE: Ministerio de Tecnologías de la Información y las Comunicaciones

NIVELVALOR DEL

IMPACTO

CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL

Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

INSIGNIFICANTE 1

Afectación ≥X% de la población

Afectación ≥X% del presupuesto anual de la entidad

No hay Afectación medioambiental

Sin afectación de la integridad

Sin afectación de la disponibilidad

Sin afectación de la confidencialidad

MENOR 2



Afectación leve del Medio Ambiente requiere de ≥X días de

recuperación

Afectación leve de la integridad

Afectación leve de la disponibilidad

Afectación leve de la confidencialidad

MODERADO 3



Afectación leve del Medio Ambiente requiere de ≥X semanas

de recuperación

Afectación moderada de la integridad de la información

debido al interés particular de los empleados y terceros

Afectación moderada de la disponibilidad de la información


Afectación moderada de la confidencialidad de la información


MAYOR 4



Afectación importante del Medio Ambiente que requiere de

≥X meses de recuperación

Afectación grave de la integridad de la información debido al

interés particular de los empleados y terceros

Afectación grave de la disponibilidad de la información


Afectación grave de la confidencialidad de la información


CATASTRÓFICO 5



Afectación muy grave del Medio Ambiente que requiere de

≥X años de recuperación

Afectación muy grave de la integridad de la información


Afectación muy grave de la disponibilidad de la información


Afectación muy grave confidencialidad de la información


Paso 3: Valoración del riesgo - Análisis de Riesgos

Análisis del Impacto Mapa de calor (Riesgo inherente)

El impacto se debe analizar y calificar a partir de las consecuencias identificadas

en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el

impacto fue identificado como mayor debido a la afectación grave de la

confidencialidad de la información debido al interés particular de los

empleados y terceros.

Mapa de Calor

Se toma la calificación de probabilidad (resultante de la tabla Matriz de

priorización de probabilidad), en el ejemplo: probable y la calificación de

impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en

la fila y la de impacto en la columnas correspondientes, establezca el punto de

cruce de las dos y este punto corresponderá al nivel de riesgo, que para el

ejemplo es nivel extremo – color rojo determinando así el riesgo

inherente..

R1

Gestión del Riesgo

RIESGO ACTIVO AMENAZA VULNERABILIDADPROBA

BILIDADIMPACTO

ZONA DE

RIESGO

Pérdida de la

Confidencialidad

Base de datos

de Nómina

Modificación

no autorizada

Ausencia de políticas de control

de acceso

4-Probable 4- Mayor Extrema

Contraseñas sin protección

Ausencia de mecanismos de

identificación y autenticación de

usuarios

Ausencia de bloqueo de sesión

Ejemplo

IMPORTANTE

La probabilidad y el impacto se determinan con base a la

amenaza, no en las vulnerabilidades.

Gestión del RiesgoPaso 3: Valoración del riesgo – Diseño de Controles

Las entidades públicas podrán mitigar/tratar

los riesgos de seguridad digital empleando

los siguientes controles, tomados del Anexo

A del estándar ISO/IEC 27001:2013 y los

dominios a los que pertenecen, siempre y

cuando se ajusten al análisis de riesgos.

A.12 Seguridad de las operaciones

Procedimientos operacionales

y responsabilidades

Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de

procesamiento de información.

Procedimientos de operación

documentados

Control: Los procedimientos de operación se deberían documentar y poner a disposición de

todos los usuarios que los necesiten.

Gestión de cambios

Control: Se deberían controlar los cambios en la organización, en los procesos de negocio, en

las instalaciones y en los sistemas de procesamiento de información que afectan la seguridad

de la información.

Gestión de capacidad

Control: Para asegurar el desempeño requerido del sistema se debería hacer seguimiento al

uso de los recursos, hacer los ajustes, y hacer proyecciones de los requisitos sobre la

capacidad futura.

Separación de los ambientes de

desarrollo, pruebas y operación

Control: Se deberían separar los ambientes de desarrollo, prueba y operación, para reducir los

riesgos de acceso o cambios no autorizados al ambiente de operación.

Protección contra códigos

maliciosos

Objetivo: Asegurarse de que la información y las instalaciones de procesamiento de

información estén protegidas contra códigos maliciosos.

Controles contra códigos

maliciosos

Control: Se deberían implementar controles de detección, de prevención y de recuperación,

combinados con la toma de conciencia apropiada de los usuarios, para proteger contra códigos

maliciosos.

Copias de respaldo Objetivo: Proteger contra la perdida de datos.

Respaldo de información

Control: Se deberían hacer copias de respaldo de la información, del software e imágenes de

los sistemas, y ponerlas a prueba regularmente de acuerdo con una política de copias de

respaldo aceptada.

Ejemplo

Acorde con el control seleccionado

será necesario considerar las

características de Diseño y

Ejecución definidas para su

valoración.

Gestión del Riesgo

Nr.

Riesgo Activo Tipo Amenazas Vulnerabilidades

Pro

bab

ilid

ad

Imp

act

o

Riesgoresidual

Op

ción

trata

mie

nto

Actividad de Control Soporte

Res

pon

sab

le

Tie

mp

o

Pér

did

a de

la i

nte

gri

dad

Bas

e de

Dat

os

de

Nóm

ina

Seg

uri

dad

Dig

ital

Ausencia de

políticas de

control de

acceso.

Pro

bab

le

Men

or

Moder

ado

Reducir

A.9.1.1 Política de

control de acceso

Política creada y

comunicada Oficina

TI

Tercer

trimestr e de

2018

1 Modificac

ión no

autorizada

Contraseñas

sin

protecció

n

ReducirA.9.4.3 Sistema de

gestión de contraseñas

Procedimientos

para la gestión y

protección de

contraseñasOficina TI Tercer

trimestre de

2018Ausencia de

mecanismos de

identificación y

autenticación de

usuarios

ReducirA 9.4.2

Procedimiento de

ingreso seguro

Procedimiento

para ingreso

seguroOficina

TI

Cuarto

trimestre de

2018

Ausencia de

bloqueo

de sesión

Reducir A.11.2.8 Equipos deusuario desatendidos

Configuraciones

para bloqueo

automático de

sesión

Oficina

TI

Cuarto

Trimestre de

2018


v

Riesgos relacionados con

Posibles Actos de Corrupción

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Plan

Anticorrupción y

de Atención al

Ciudadano

Mapas de Riesgos

Asociados a posibles

actos de corrupción

Servicio al Ciudadano

Transparencia y

Acceso a la

Información

Rendición de

CuentasEstrategia Anti-

trámites

Posibilidad de que por acción u

omisión, se use el poder para

desviar la gestión de lo público

hacia un beneficio privado.

Acción u omisión

Uso del Poder

Desviar la gestión de lo público

Beneficio particular

Riesgo de Corrupción

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Los riesgos de corrupción no admiten

aceptación del riesgo.

Definir procesos susceptibles de posibles

actos de corrupción.

Frente a los Riesgos de Corrupción

Tomado de: https://lexlatin.com/

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Paso 2: Identificacióndel Riesgo – Análisis de Contexto

Orientación Práctica para el Análisis de procesos, procedimientos o

actividades susceptibles de actos de corrupción

Direccionamiento Estratégico

(Alta Dirección)

Concentración de autoridad o Exceso de

poder.

Extralimitación de funciones.

Ausencia de canales de comunicación

Amiguismo y clientelismo.

Fuente: Secretaría de Transparencia. 2012.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-




Financiero (Está relacionado con áreas de

Planeación y Presupuesto) Inclusión de gastos no autorizados.

Inversiones de dineros públicos en entidades de dudosa

solidez financiera, a cambio de beneficios indebidos para

servidores públicos encargados de su administración.

Inexistencia de registros auxiliares que permitan identificar y

controlar los rubros de inversión.

Inexistencia de archivos contables.

Afectar rubros que no corresponden con el objeto del gasto en

beneficio propio o a cambio de una retribución económica.


-F

UN

CI

ÓN

P

ÚB

LI

CA

-




De contratación

(Como proceso o bien los procedimientos ligados a éste)

Estudios previos o de factibilidad deficientes.

Estudios previos o de factibilidad manipulados por personal interesado en el futuro proceso de

contratación. (Estableciendo necesidades inexistentes o aspectos que benefician a una firma en

particular).

Pliegos de condiciones hechos a la medida de una firma en particular.

Disposiciones establecidas en los pliegos de condiciones que permiten a los participantes direccionar

los procesos hacia un grupo en particular. (Ej. media geométrica).

Visitas obligatorias establecidas en el pliego de condiciones que restringen la participación.

Adendas que cambian condiciones generales del proceso para favorecer a grupos determinados.

Urgencia manifiesta inexistente.

Concentrar las labores de supervisión en poco personal.

Contratar con compañías de papel que no cuentan con experiencia.


-F

UN

CI

ÓN

P

ÚB

LI

CA

-



De información y documentación

Ausencia o debilidad de medidas y/o políticas de conflictos de

interés.

Concentración de información de determinadas actividades o

procesos en una persona.

Ausencia de sistemas de información, que pueden facilitar el

acceso a información y su posible manipulación o

adulteración.

Ocultar la información considerada pública para los usuarios.

Ausencia o debilidad de canales de comunicación



-F

UN

CI

ÓN

P

ÚB

LI

CA

-



De Investigación y Sanción

Inexistencia de canales de denuncia interna o

externa.

Dilatar el proceso para lograr el vencimiento de

términos o la prescripción del mismo.

Desconocimiento de la ley, mediante

interpretaciones subjetivas de las normas

vigentes para evitar o postergar su aplicación.

Exceder las facultades legales en los fallos.



-F

UN

CI

ÓN

P

ÚB

LI

CA

-



De trámites y/o servicios internos y externos

Cobros asociados al trámite.

Influencia de tramitadores

Tráfico de influencias: (amiguismo, persona influyente).

De reconocimiento de un derecho

(Expedición de Licencias y/o Permisos)

Falta de procedimientos claros para el trámite

Imposibilitar el otorgamiento de una licencia o permiso.

Tráfico de influencias: (amiguismo, persona influyente).



-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Posibilidad de recibir o solicitar

cualquier dadiva o beneficio a

nombre propio o de terceros por

obtener la adjudicación de un

proceso de selección.

“…recibió coimas por 1.800 millones de pesos para direccionar la licitación de estudios y

diseños en favor de la empresa….” (El Tiempo – septiembre 15 /2017

Presiones indebidas

Debilidades en la etapa de planeación.

Falta de conocimiento técnico

Discrecionalidad

Pérdida de imagen institucional

Investigaciones

Obras inconclusas.

Mala calidad de las obras

Situación

Causas

Consecuencias

Se busca de manera general identificar un conjunto sistemático de situaciones que por

sus características, pueden originar prácticas corruptas.

Ejemplo

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Los riesgos de corrupción se establecen sobre procesos. El riesgo debe estar

descrito de manera clara y precisa. Su redacción no debe dar lugar a

ambigüedades o confusiones con la causa generadora de los mismos.

Con el fin de facilitar la identificación de riesgos de corrupción y de evitar que se

presenten confusiones entre un riesgo de gestión y uno de corrupción, se sugiere

la utilización de la Matriz de definición de riesgo de corrupción, que incorpora cada

uno de los componentes de su definición. Si en la descripción del riesgo, las

casillas son contestadas todas afirmativamente, se trata de un riesgo de

corrupción.

Paso 2: Identificaciónde Riesgo de Corrupción


Dir

ecci

on

amie

nto

de

con

trat

ació

na

favo

rd

eu

n

terc

ero

Adendas que cambian condiciones generales del

proceso de contratación para favorecer a un

proponente

Corrupción Intereses personales 1. Demandas contra el estado

2. Perdida de confianza en lo público

3. Investigaciones disciplinarias

4. Detrimento patrimonial

5. Declaración de nulidad del proceso

- inoportunidad en la entrega de los

bienes

6. Enriquecimiento ilícito de

contratistas y/o servidores públicos

Presiones indebidas

Injerencia de externos sobre la entidad

para favorecer intereses particulares

Carencia de controles en el


ImportanteEn la descripción de los riesgos de corrupción deben concurrir TODOS los

componentes de su definición:

Acción u omisión + uso del poder + desviación de la gestión

de lo público + el beneficio privado.

Proceso Contratación: “Adquirir con oportunidad y calidad

técnica los bienes y servicios requeridos por la entidad para su

continua operación”

Ejemplo

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

















último año.


últimos 2 años.


últimos 5 años.






Paso 3: Valoración del riesgo – Análisis de Riesgo




(RIESGO INHERENTE).

Nro PREGUNTA: Si el riesgo de corrupción se materializa podría...

Respuesta

SI NO

1 ¿Afectar al grupo de funcionarios del proceso? X

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X

3 ¿Afectar el cumplimiento de misión de la Entidad? X

4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? X

5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? X

6 ¿Generar pérdida de recursos económicos? X

7 ¿Afectar la generación de los productos o la prestación de servicios? X

8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida

del bien o servicios o los recursos públicos?

X

9 ¿Generar pérdida de información de la Entidad? X

10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X

11 ¿Dar lugar a procesos sancionatorios? X

12 ¿Dar lugar a procesos disciplinarios? X

13 ¿Dar lugar a procesos fiscales? X

14 ¿Dar lugar a procesos penales? X

15 ¿Generar pérdida de credibilidad del sector? X

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? X

17 ¿Afectar la imagen regional? X

18 ¿Afectar la imagen nacional? X

19 ¿Genera daño ambiental X

Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado.

Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor.

Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico.

10

MODERADO Genera medianas consecuencias sobre la entidad

MAYOR Genera altas consecuencias sobre la entidad.

CATASTROFICO Genera consecuencias desastrosas para la entidad

Cri

teri

os

pa

ra c

ali

fic

ar

el

Imp

ac

to –

Rie

sg

os

de

Co

rru

pc

ión

Nivel de Impacto MAYOR

Importante

Se debe diligenciar una tabla de estas por

cada riesgo de corrupción identificado.

Los niveles de impacto Insignificante y

Menor no aplica para riesgos de

corrupción.



Análisis del Impacto en riesgos de corrupción Mapa de calor (Riesgo inherente)

Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en

cuenta solamente los niveles moderado, mayor y catastrófico, dado que estos

riesgos siempre serán significativos; en este orden de ideas, no aplican los

niveles de impacto insignificante y menor, que si aplican para los demás

riesgos.

De acuerdo a la tabla de criterios para calificar el impacto de la página anterior,

nuestro ejemplo tiene en nivel de impacto MAYOR. La probabilidad de los

riesgos de corrupción se califica con los mismos cinco niveles de los demás

riesgos .

Por ultimo ubique en el mapa de calor el punto de cruce resultante de la

probabilidad y el impacto para establecer el nivel del riego inherente, para el

ejemplo corresponde a: EXTREMO

ImportanteAunque se utilice el mismo mapa de calor , para los riesgos de gestión y de

corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado,

Mayor y Catastrófico.

Aplica para

los riesgos

de

corrupción

R1

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

RIESGO DESCRIPCIÓN CAUSAS CONSECUENCIASPROBABI

LIDADIMPACTO

ZONA DE

RIESGO

Direccionamiento de

contratación a favor

de un tercero

Adendas que

cambian condiciones

generales del

proceso de

contratación para

favorecer a un

proponente

Intereses personalesDeclaración de nulidad

del proceso

4-Probable 4- Mayor Extrema

inoportunidad en la

entrega de los bienesCarencia de controles en el


Investigaciones

disciplinarias Presiones indebidas

Injerencia de externos sobre la

entidad para favorecer intereses

particulares

Demandas

Ejemplo


Para la definición del nivel de

Impacto se debe utilizar la tabla

Criterios para calificar el Impacto -

Riesgos de Corrupción

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Acorde con el control seleccionado será

necesario considerar las características

de Diseño y Ejecución definidas para

su valoración.


Manual de contratación Implementado con parámetros técnicos y

financieros para cada tipo de contratación, formalizado en un

procedimiento.

Ejemplo Control

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Nro Riesgo Clasificación Causas Probabilidad

Impacto RiesgoResidual

OpciónManejo

Actividad de Control Soporte Responsable

Tiempo

2

Pos

ibili

dad

de r

ecib

ir o

solic

itar

cual

quie

r da

diva

o b

enef

icio

a n

ombr

e pr

opio

o d

e

terc

eros

par

a ce

lebr

ar u

n co

ntra

to

Cor

rupc

ión

Debilidades en la etapa de planeación

Pro

babl

e

Cat

astr

ófic

o

Cat

astr

ófic

o

Reducir Manual de contrataciónImplementado conparámetros técnicos yfinancieros para cada tipode contratación,formalizado enprocedimiento.

Manual decontratación

Jefe deContratos

Primer trimestre de…

Presiones indebidas

Reducir Comité de Contratación Acto administrativo conformando comité

Jefe de Contratos

Trimestral mente

Carenciad e controles en el procedimiento de contratación

Excesiva discrecionalidad

Reducir Difusión y capacitación a todos los funcionarios del proceso.

Actas de capacitación

DirectorTalentoHumano

Del (día /mes/año)

al (día /mes/año)

Acción deContingen- cia

Iniciar la investigación disciplinaria, fiscal o remitir a las instancias correspondientes para el proceso penal.

Comunica-

ción iniciando o remitiendo investigación

Jefe Control Disciplina-rio Interno

1 semana una vez el riesgo de iliquidez se materialice

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Dirección de Gestión y Desempeño [email protected]

Tel: 7395656 exts. 610 hasta 620Secretaria de Transparencia

Teléfono: 562 9300

www.funcionpubl ica.gov.co/eva/mipg/.

mailto:[email protected]

gestión del riesgo - secretaría general · definición de los parámetros internos y externos que...

Documents