guÍa de administraciÓn del riesgo
TRANSCRIPT
GUÍA DE
ADMINISTRACIÓN
DEL RIESGO
GE-GA01
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 2 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
CONTENIDO INTRODUCCIÓN ............................................................................................................... 1
1. OBJETIVO GENERAL ................................................................................................ 2
2. ALCANCE ................................................................................................................... 2
3. TERMINOS Y DEFINICIONES ................................................................................... 3
3.1 Conceptos básicos relacionados con la gestión del riesgo ......................................... 3
3.2 Conceptos del sistema de gestión de seguridad de la información ............................. 6
4. ADMINISTRACIÓN DEL RIESGO .............................................................................. 8
5. POLITICA DE ADMINISTRACION DEL RIESGO ....................................................... 9
6. ROLES Y RESPONSABILIDADES ........................................................................... 11
7. LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS ................................. 13
8. METODOLOGIA PARA AL ADMINISTRACION DEL RIESGO ................................. 17
9. CONTEXTO ORGANIZACIONAL ............................................................................. 18
9.1. Conocimiento de la entidad ............................................................................... 18
9.2. Definición y análisis de objetivos ....................................................................... 20
10. DEFINICION DEL APETITO DEL RIESGO .............................................................. 20
11. IDENTIFICACION DEL RIESGO .............................................................................. 21
12. VALORACIÓN DE RIESGO...................................................................................... 22
12.1. Valoración de riesgo inherente .......................................................................... 22
12.2. Análisis de riesgos ............................................................................................. 23
12.3. Evaluación de los riesgos .................................................................................. 25
13. TRATAMIENTO DEL RIESGO ................................................................................. 25
13.1. Identificación y redacción de controles .............................................................. 25
13.2. Valoración de controles ..................................................................................... 26
13.3. Riesgo residual .................................................................................................. 29
13.4. PLAN DE MITIGACIÓN E INDICADORES ........................................................ 30
Herramientas para la gestión del riesgo ...................................................... 31
14. MONITOREO Y SEGUIMIENTO .............................................................................. 32
14.1. Seguimiento y eventos ...................................................................................... 32
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 3 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
14.2. Actualización del mapa de riesgos ..................................................................... 34
15. COMUNICACIÓN Y CONSULTA .............................................................................. 35
16. ALINEACIÓN CON LA POLÍTICA DE LUCHA CONTRA LA CORRUPCIÓN Y DE EFICIENCIA ADMINISTRATIVA ...................................................................................... 36
16.1. Definición de los Riesgos de Corrupción ........................................................... 37
16.2. Valoración de los Riesgos de Corrupción .......................................................... 37
16.3. Controles y tratamiento de riesgos de corrupción .............................................. 39
17. GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ......................... 42
17.1. Identificación de Riesgos de Seguridad de la Información ................................. 43
17.2. Valoración de Riesgos de Seguridad de la Información ..................................... 44
17.3. Controles y tratamiento del riesgo ..................................................................... 46
18. DOCUMENTOS RELACIONADOS ........................................................................... 46
19. CONTROL DE CAMBIOS ......................................................................................... 46
20. CONTROL DE FIRMAS ............................................................................................ 47
Ilustraciones
Ilustración 1 Modelo de Administración del Riesgo ............................................................ 8 Ilustración 2. Metodología para la administración del Riesgo ........................................... 18
Ilustración 3. Ejemplo categorías de clasificación de riesgos y factores ........................... 22
Ilustración 4. Matriz de calor ............................................................................................ 25
Ilustración 5 Modificación de la probabilidad y el riesgo, con la aplicación de controles ... 29
Ilustración 6. Verificación de eficiencia de control en la matriz de calor ........................... 30
Ilustración 7. etapas de seguimiento de los riesgos ......................................................... 33
Ilustración 8. Validación de seguimiento, segunda línea de defensa ................................ 34
Tablas
Tabla 1. Análisis de Entornos .......................................................................................... 19
Tabla 2 Ejemplo de áreas de impacto .............................................................................. 21
Tabla 3 Niveles para determinar la probabilidad del riesgo .............................................. 23
Tabla 4. Niveles para definir el impacto del riesgo ........................................................... 24
Tabla 5. Tipos de control ................................................................................................. 26
Tabla 6.Atributos y componentes de los tipos de control ................................................ 27
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 4 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Tabla 8. Homologación criterios de probabilidad de riesgos de corrupción y gestión de
riesgos de seguridad digital ............................................................................................. 38
Tabla 9. Valoración del impacto en riesgos de corrupción ............................................... 38
Tabla 10. Análisis y evaluación de los controles para la mitigación de los riesgos. .......... 39
Tabla 11. Rango de calificación, control para riesgos de corrupción ................................ 40
Tabla 12 Evaluación de la solidez individual de cada control (diseño y ejecución) ........... 41
Tabla 13 Resultados de los posibles desplazamientos de la probabilidad y del impacto de
los riesgos ....................................................................................................................... 41
Tabla 14. Homologación Criticidad de infraestructuras cibernéticas ................................ 43
Tabla 15. Tabla de descripción del riesgo del activo ........................................................ 44
Tabla 16. Valoración de riesgos de seguridad de la información ..................................... 45
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 1 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
INTRODUCCIÓN En cumplimiento del Decreto Único Reglamentario del Sector de Función 1083 DE 2015, la
NTC ISO 9001 de sistemas de gestión de calidad, la NTC ISO 31000 en lo referente a la
gestión del riesgo, la NTC ISO 27001, de tecnología de la información, técnicas de
seguridad y sistemas de gestión de la seguridad de la información, la Ley 1474 de 2011,
por la cual se “dictan normas orientadas a fortalecer los mecanismos de prevención,
investigación y sanción de actos de corrupción y la efectividad del control de la gestión
pública” la Ley 1712 de 2014 de Transparencia y del Derecho de Acceso a la Información
Pública Nacional, el Decreto 124 de 2016 el cual da lineamientos en relación a la Plan
Anticorrupción y de Atención al Ciudadano”, la Unidad Administrativa Especial Cuerpo
Oficial Bomberos de Bogotá (UAECOB) expide las siguiente guía con el fin de construir una
herramienta de gestión y administración del riesgo, a partir de lo dispuesto y señalado por
el Departamento Administrativo de la Función Pública, (DAFP) en harás de fortalecer y
consolidar una gestión que permita el cumplimiento de la misión, visión, objetivos, metas,
proyectos y programas de la entidad.
Para la adecuada administración del riesgo, la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), aplica la metodología, basándose en el modelo de operación por procesos, esto con el propósito de reducir, mitigar o transferir todas aquellas amenazas que interfieran en la ejecución de las funciones institucionales asignadas a la entidad, y todos aquellos programas y proyectos que se estructuren para cumplir con el objetivo misional de la Unidad. Razón por la cual se hace necesario contar con una herramienta encaminada a la identificación, valoración y tratamiento de los riesgos, y una serie de principios que permitan, prevenir la ocurrencia de riesgos que puedan generar efectos negativos al interior de la entidad. De igual manera la presente guía de gestión del riesgo se estructura organizacionalmente como documentación asociada al modelo de operación de gestión por procesos, presentándose como un marco referencial que busca estandarizar e institucionalizar la práctica de la administración del riesgo, además de fortalecer la gestión pública en la entidad y cumplir con los principios de eficacia, economía, imparcialidad, transparencia, celeridad y publicidad. Finalmente, la presente guía incluye un aspecto teórico-conceptual que permite tener precisión de los conceptos y aborda la articulación y alineación de la administración del riesgo con las políticas de lucha contra la corrupción y la gestión de riesgos de la seguridad informática, en esta última desarrollando criterios de homologación para estandarizar la metodología.
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 2 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
1. OBJETIVO GENERAL
Robustecer la implementación y desarrollo de la política de administración del riesgo por medio de una guía metodológica que brinde lineamientos para la adecuada identificación, valoración, tratamiento y control de los riesgos de toda naturaleza a los que se enfrenta la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) , identificados en cada uno de los procesos que hacen parte del Sistema Integrado de Gestión, a fin de garantizar el cumplimiento de la misión y objetivos estratégicos de la entidad. 2. ALCANCE
Con el fin de asegurar responsabilidades y autoridades para la gestión del riesgo en la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) la aplicación y administración del riesgo se encuentra dirigida a los dos (2) procesos estratégicos de la entidad (Gestión Estratégica y gestión del talento humano, los tres (3) proceso misionales (Manejo, Conocimiento y Reducción)los cuatro(4) procesos de apoyo (Gestión Jurídica, Gestión de tecnologías e información y comunicación, Gestión de recursos y Servicio al Ciudadano) y el procesos de evaluación y control, se extiende a todas las dependencias y áreas de la entidad, y como criterios diferenciales se especifica:
Comité Institucional de Coordinación de Control Interno: El Decreto 648 de 2017, asigna como función la de Someter a aprobación del representante legal la política de administración del riesgo y hacer seguimiento, en especial a la prevención y detección de fraude y mala conducta, en este sentido se configura como la instancia responsable de establecer, implementar y mantener la Política de Administración del Riesgo, además de velar por su mejoramiento continuo.
Oficina Asesora de Planeación: es la encargada de capacitar, acompañar, generar recomendaciones y definir la metodología para gestionar los riesgos en la entidad, es la segunda línea de defensa de la entidad.
Oficina de Control Interno (OCI): el decreto 648 de 2017 asigna a la dependencia la gestión del Sistema Institucional de Control Interno, en el cual se integra, la gestión de riesgos, En el cumplimiento del Decreto 555 DE 2011, articulo 5, numeral 7 se asigna como función a la dependencia en mención, la de Liderar la evaluación del proceso de administración del Riesgo de la Unidad.
Líderes y responsable de proceso: Son los directos responsables de llevar a cabo la ejecución de la administración del riesgo de cada uno de los procesos en los cuales participa, desde las etapas de elaboración e identificación de los riesgos, su valoración, tratamiento, revisión y actualización
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 3 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Sobre este responsable es primordial mencionar que durante la aplicación de las acciones de seguimiento cada líder de proceso debe mantener la traza o documentación respectiva de todas las actividades realizadas, alineándolas de igual forma con el modelo de operación por procesos que maneja la entidad y son los responsables también del seguimiento y reporte de avances en el plan de tratamiento, el cual no debe superar los tres meses, con el fin de diseñar mecanismos de control y elementos para la toma de decisiones
Servidores: Son los responsables de ejecutar los diferentes tipos de controles a los riesgos identificados.
3. TERMINOS Y DEFINICIONES
Se presentan a continuación una serie de definiciones generales asociadas a la metodología de administración del riesgo presentada, y algunas otras específicas que aluden a la articulación de la guía con la política de lucha anticorrupción y la gestión de riesgos de seguridad de la información
3.1 Conceptos básicos relacionados con la gestión del riesgo1
Riesgos: Efecto que se causa sobre los objetivos de las entidades, debido a eventos potenciales.
Causa: Todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo.
Eventos potenciales: posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos
Riesgo Residual: Es el resultado de aplicar la efectividad de los controles al riesgo inherente.
Factores de riesgo: son todas aquellas acciones tanto internas como externas
que se constituyen como fuentes generadoras de riesgos
1 Las definiciones acá previstas se refieren a riesgos en el campo de la gestión, diferentes las contempladas en la gestión
de riesgos de desastres que, por su competencia funcional, maneja la Unidad Administrativa Especial Cuerpo Oficial
Bomberos de Bogotá (UAECOB),
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 4 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Consecuencia: Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.
Control: Medida que permite reducir o mitigar un riesgo.
Capacidad del riesgo: se entienden como el nivel máximo de riesgo que puede ser soportada por la entidad a partir del cual la alta dirección consideraría como critico para conllevar el logro de los objetivos propuestos
Impacto: Son las consecuencias o efectos que puede ocasionar a la organización la materialización del riesgo.
Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo.
Probabilidad Inherente: Se entiende como el número de veces que se pasa por el punto de riesgo en el periodo de 1 año. (Sus unidades de medida se asocia a la frecuencia en la que se desarrolla una acción)
Impacto: consecuencia que se genera a la entidad u organización la materialización del riesgo
Administración de riesgos: Proceso efectuado por la Alta Dirección y por todo el personal de la entidad para proveer a la administración una protección institucional con respecto al logro de sus objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación. (INTOSAI, 2000).
Análisis de riesgo: Uso sistemático de la información disponible para valorar y generar categorías analíticas de los riesgos en relación con las causas o agentes generadores, las consecuencias generadas por dicha causa, su severidad y la posibilidad de ocurrencia de la misma.
Causa Raíz: Causa principal por la cual se puede presentar un riesgo
Causa Inmediata: Circunstancia bajo las cuales se presenta los riesgos, pero que no son razón principal o base para que presente el riesgo, se pueden presentar como causas indirectas o de segundo orden
Evaluación del riesgo: Determinación de las prioridades de gestión del riesgo, mediante la comparación del nivel de riesgo hallado (riesgo inherente) y la
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 5 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
evaluación de las medidas de control existentes. Es una etapa que busca confrontar los resultados del análisis de riesgo inicial frente a los controles establecidos, con el fin de determinar la zona de riesgo final (riesgo residual).
Gestión del riesgo: Proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.
Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos. En general la fórmula del Nivel del Riesgo poder ser Probabilidad * Impacto, sin embargo, pueden relacionarse las variables a través de otras maneras diferentes a la multiplicación, por ejemplo, mediante una matriz de Probabilidad – Impacto
Mapas de riesgo: documento con la información resultante de la gestión del riesgo.
Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado.
Plan de tratamiento de riesgos: Se define como las decisiones de tratamiento de los riesgos y las actividades de control para su mitigación, a través de la aplicación selectiva de técnicas apropiadas y principios de administración para reducir las probabilidades de ocurrencia de los riesgos, sus consecuencias o ambas.
Política de Administración del Riesgo: Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo (NTC ISO31000 Numeral 2.4). La gestión o administración del riesgo establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.
Riesgos de Corrupción: Posibilidad que, por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.
Plan Anticorrupción y de Atención al Ciudadano: Plan que contempla la estrategia de lucha contra la corrupción que debe ser implementada por todas las entidades del orden nacional, departamental y municipal.
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 6 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto, se entiende como el cruce de variables de la probabilidad inherente y el impacto inherente
Apetito al Riesgo: Magnitud y tipo de riesgo que una organización está dispuesta a aceptar, en relación con el cumplimiento de los objetivos, dicho apetito de riesgo puede constituirse de manera diferencial según los distintos tipos de riesgos que la entidad debe gestionar
Tolerancia al Riesgo: Se refiere al valor aceptable de desviación relativa de un riesgo respecto a la consecución de objetivos. Dicho valor es de igual manera la diferencia respecto al apetito del riesgo
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
3.2 Conceptos del sistema de gestión de seguridad de la información2
Riesgo de Seguridad Digital: Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.
Activo: Se refiere a elementos de hardware y de software de procesamiento, almacenamiento y comunicaciones, bases de datos y procesos, procedimientos y recursos humanos asociados con el manejo de los datos y la información misional, operativa y administrativa de cada entidad, órgano u organismo. (CONPES 3854 de 2016).
Acceso a la información pública: Derecho fundamental consistente en la facultad que tienen todas las personas de conocer sobre la existencia y acceder a la información pública en posesión o bajo control de sujetos obligados. (Ley 1712 de 2014, art 4).
Riesgo de Seguridad de la Información: Posibilidad de que uno o más factores de riesgo puedan generar una situación vulnerabilidad para causar una pérdida o
2 Definiciones tomadas del Modelo nacional de gestión de riesgos de seguridad digital
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 7 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000).
Activos de información: Se refiere a cualquier información o elemento relacionado con el tratamiento de esta, que utiliza la organización para funcionar en el entorno digital (sistemas, soportes, edificios, personas...) que tenga valor para la organización.
Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información [ISO/IEC 27000:2014].
Vulnerabilidad: Es una debilidad, atributo, causa o falta de control que permitiría la explotación por parte de una o más amenazas contra los activos, para el caso específico este se homologara como causa del riesgo.
Amenazas: Situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización. Para el caso específico este se homologará como el impacto del riesgo.
Confidencialidad: Propiedad de la información que la hace no disponible, es decir, divulgada a individuos, entidades o procesos no autorizados.
Integridad: Propiedad de exactitud y completitud.
Infraestructura crítica cibernética nacional: Aquella soportada por las TIC y por las tecnologías de operación, cuyo funcionamiento es indispensable para la prestación de servicios esenciales para los ciudadanos y para el Estado. Su afectación, suspensión o destrucción puede generar consecuencias negativas en el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las organizaciones e instituciones, así como de la administración pública. (CONPES 3854, pág. 29).
Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una entidad.
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 8 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
4. ADMINISTRACIÓN DEL RIESGO
Para la ejecución y correcto desarrollo de la gestión del riesgo de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), presenta a continuación ilustrativamente las fases de administración de riesgo, cuyo marco de referencia se construye necesariamente de manera cíclica a partir de la toma de decisiones de la Alta dirección de la entidad, la producción del documento de referencia para la gestión del riesgo, su implementación, el monitoreo y la revisión en todos los aspectos y la mejora continua en el diseño de la administración de los riesgos
Ilustración 1 Modelo de Administración del Riesgo
Fuente: Elaboración propia con base en la NTC-ISO31000
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 9 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
5. POLITICA DE ADMINISTRACION DEL RIESGO
La Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), en el desarrollo de la correcta gestión administrativa, dentro de las cuales es fundamental la administración del riesgo. asociados a los objetivos estratégicos, los procesos (estratégicos, misionales, de apoyo y de evaluación y control), los proyectos y demás tipos de acciones ejecutadas dirigidas al cumplimiento misional, implementa un Sistema Integral de Gestión de Riesgos como herramienta estratégica que permite anticipar y responder de manera oportuna y óptima las situaciones de riesgo que se presenten, por medio del monitoreo y el seguimiento, además de asistir al cumplimiento de los objetivos y aprovechar al máximo los recursos destinados a planes, programas y proyectos; determinando de tal modo, las mejores condiciones organizacionales que conlleven al desarrollo e institucionalización de los principios de la eficacia, eficiencia, y efectividad. El Modelo integrado de planeación y gestión- MIPG asigna al equipo directivo de las entidades públicas, la tarea de formular lineamientos para la administración del riesgo por medio de la política de riesgo, ejercicio que debe diseñarse desde la dimensión de “Direccionamiento estratégico y de planeación”, dichos lineamientos deben construirse de manera precisas y clara con el fin de lograr un correcto tratamiento, manejo y seguimiento de los riesgos que afectan el logro de los objetivos institucionales. Tanto para el Departamento Administrativo de Función Pública- DAFP, como para la Norma técnica de calidad ISO 31000, la política de administración del riesgo se concibe como la declaración de dirección y las intenciones generales de la entidad con respecto a la gestión del riesgo3, se menciona que esta política debe contemplar y establecer lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos. Además de incluir niveles de aceptación del riesgo, niveles para calificar el impacto, procesos para la modificación o tratamiento del riesgo, y finalmente la periodicidad de seguimiento a los riesgos. De tal modo la política de administración de riesgos del Cuerpo Oficial de Bomberos de Bogotá busca establecer “los niveles aceptables de desviación relativa a la consecución de los objetivos”, asociados a la estrategia de la entidad. Diseñar una correcta gestión y administración del riesgo permite; aumentar la probabilidad de alcanzar los objetivos estratégicos, establecer bases confiables para el ejercicio de toma de decisiones acertada y el desarrollo de procesos de planificación institucional con bases más sólidas, asignar eficazmente recursos, y mejorar los controles en la ejecución de procesos, procedimientos, actividades, programas y proyectos en la entidad.
3 Numeral 2.4 Ntc-iso31000, manual operativo, Manual Operativo del Modelo Integrado de Planeación y Gestión Consejo para la Gestión y Desempeño Institucional V.3-2019 (DAFP)
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 10 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
DECLARACIÓN DE POLITICA
La Alta dirección, líderes de proceso y servidores de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), se comprometen a identificar, analizar y dar tratamiento a los riesgos que puedan afectar el cumplimiento de los objetivos institucionales, la sostenibilidad misional y la imagen reputacional; por ello promovemos el reporte oportuno de cualquier hecho que pueda significar la materialización de un riesgo estratégico, de procesos y de seguridad digital, con posible configuración de acoso, extorción, corrupción, soborno, lavado de activos y financiación del terrorismo, de conformidad con la normatividad vigente. La Entidad mantiene autoridad e independencia en la oficina asesora de planeación como segunda línea de defensa en la prevención de prácticas inadecuadas.
OBJETIVOS DE LA POLÍTICA
1. Establecer mecanismos para la gestión del riesgo que contribuyan al cumplimiento
de los objetivos de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB).
2. Ejecutar actividades de monitoreo que permitan la identificación y el posterior tratamiento de los riesgos identificados, permitiendo el adecuado aprovechamiento de los recursos destinados a planes, programas, y proyectos, siempre bajo las mejores condiciones de eficacia, eficiencia, y efectividad
3. Fomentar la cultura de la prevención del riesgo en todos los niveles organizacionales del Cuerpo oficial de Bomberos de Bogotá.
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 11 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
6. ROLES Y RESPONSABILIDADES
Teniendo en cuenta lo establecido en la dimensión 7: Control Interno del Decreto 1499 de 2017 Modelo Integrado de planeación y gestión el cual asigna las responsabilidades en relación con las líneas de defensa del MECI, La administración y evaluación y funciones asociadas a la gestión de los riesgos de la Entidad debe ser el siguiente:
Línea estratégica; Alta dirección, Comité Institucional de Coordinación de Control Interno
Establecer la política de administración del Riesgo. Específicamente el Comité Institucional de Coordinación de Control Interno,
evaluará y dará línea sobre la administración de los riesgos de la Entidad, Establecer sistemas de gestión de riesgos y las responsabilidades para controlar los riesgos específicos. Con base en esto establecen los mapas de riesgos.
Tabla 1. Roles y responsabilidades primera línea de defensa
Primera Línea de Defensa
Líderes y responsable de proceso
Realimentar a la línea estratégica sobre la efectividad de la gestión del riesgo y de los controles. Así mismo, hacer seguimiento a su gestión, gestionar los riesgos y aplicar controles.
Identificar y controlar los riesgos relacionados con posibles actos de corrupción en el ejercicio de sus funciones y el cumplimiento de sus objetivos, así como en la prestación del servicio y/o relacionados con el logro de los objetivos. Implementan procesos para identificar, disuadir y detectar fraudes; y revisan la exposición de la Entidad al fraude con el auditor interno de la Entidad.
Para tratar los riesgos de seguridad digital, se deben emplear y tomar como referencia el documento de lineamientos para la gestión de riesgos de seguridad digital en entidades públicas (ANEXO 44)
Mantener actualizados los mapas de riesgos por procesos y mapas de riesgo de corrupción, de conformidad con las políticas institucionales aprobadas y las normas nacionales vigentes. Así como de velar por el cumplimiento de los lineamientos señalados por la metodología de administración del riesgo aprobada en lo concerniente al análisis del contexto estratégico, la identificación del riesgo, su análisis, valoración, medidas de tratamiento, monitoreo y seguimiento.
Por su parte a la segunda línea de defensa (Servidores responsables del monitoreo y evaluación de controles y gestión del riesgo) la Oficina Asesora de Planeación a quienes corresponde:
4 https://acortar.link/ERsvi
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 12 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Capacitar a los servidores de la entidad en la metodología de la administración del riesgo, así como, asesorar a los procesos de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), en la implementación de la metodología para la administración de los riesgos. Impulsa a nivel institucional una cultura de gestión del riesgo coherente con el Modelo Integrado de Planeación y Gestión, el Modelo Estándar de Control Interno – MECI, el Modelo de Seguridad y Privacidad de la Información y las Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano.
Informar sobre la incidencia de los riesgos en el logro de objetivos y evaluar si la valoración del riesgo es la apropiada.
Asegurar que las evaluaciones de riesgo y control incluyan los riesgos de fraude. Ayudar a la primera línea con evaluaciones del impacto de los cambios en el SCI. Consolidar los seguimientos a los mapas de riesgos. Establecer un líder de la gestión de riesgos para coordinar las actividades en esa
materia. Elaborar informes consolidados para las diversas partes interesadas. Seguir los resultados de las acciones emprendidas para mitigar los riesgos, cuando
haya lugar. Los supervisores de contratos deben realizar seguimiento a los riesgos de estos e
informar las alertas respectivas. Los responsables del área desde prensa de la Dirección general son los
responsables por el diseño y la publicación de los mapas de riesgos en las páginas web de la entidad.
La Oficina Asesora de Planeación por medio del equipo de mejoramiento continua realizarán la difusión de lineamientos, metodología, seguimiento y consolidación de los mapas de riesgo.
El equipo de riesgos de la entidad debe apoyar la identificación de los riesgos de corrupción y la política de transparencia de la Entidad, Aun así, los riesgos de corrupción son responsabilidad de cada uno de los procesos.
Todos los servidores públicos son responsables de asegurar el adecuado control sobre los riesgos, ejecutando y gestionado las políticas de administración de riesgo aprobadas, bajo los principios de autocontrol y autogestión.
Los auditores internos y externos son los responsables de incluir en su plan de auditorías la revisión del cumplimiento y coherencia de la gestión de riesgos de sus procesos, alineado al sistema de calidad de la entidad
La tercera línea de defensa estará conformada por la Oficina de Control Interno, a quienes corresponde:
Asesorar en la metodología para la identificación y administración de los riesgos y oportunidades, en coordinación con la primera y segunda línea de defensa
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 13 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Identificar y evaluar cambios que podrían tener un impacto significativo en el SCI, durante las evaluaciones periódicas de riesgos y en el curso del trabajo de auditoría internas, seguimientos e informes de ley.
Comunicar al comité de coordinación de Control Interno posibles cambios e impactos en la evaluación del riesgo y oportunidades, detectados en las auditorias, seguimientos e informes de ley.
Revisar la efectividad y la aplicación de controles, planes de contingencia y actividad de monitoreo vinculadas a riesgos claves de la Entidad.
Alerta sobre la probabilidad de riesgo de fraude o corrupción en las áreas auditadas. Los auditores internos de calidad y de los demás sistemas de gestión son los
responsables de incluir en su plan de auditorías la revisión del cumplimiento y coherencia de la gestión de riesgos de sus procesos, alineado al sistema de calidad de la entidad.
7. LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS
Para el desarrollo y la consolidación de las políticas de administración de riesgos, se deben tener en cuenta tanto las etapas anteriormente desarrolladas, como los objetivos estratégicos propuestos. La política de administración de riesgos institucional se enfoca en la información y análisis del mapa de riesgos institucional y la matriz de riesgos (matriz de calor y zonas de riesgo) así:
a. El mapa de riesgos institucional y el mapa de riesgos de corrupción de la entidad, será de conocimiento de la Alta Dirección, y su riesgo residual será el soporte para aprobación y/o modificación de la política de administración del riesgo.
b. Los mapas de riesgos deben estar alineados con el Sistema Integrado de gestión y con la planeación estratégica de la entidad.
c. Se deberá enfatizar la atención sobre los riesgos estratégicos y operacionales residuales que queden ubicados en zona de severidad de riesgos extremos, altos y moderados con propósito de toma de decisiones en cuanto a su tratamiento.
d. La política institucional de Gestión Integral de riesgos asociados a las estrategias, procesos, la seguridad de la información y medidas anticorrupción, será determinada y aprobada por el comité institucional de coordinación de control interno; previa revisión del Comité de Gestión Desempeño Institucional.
e. El Comité Institucional de Coordinación de Control Interno determinarán y aprobarán el apetito de riesgo y las opciones de tratamiento de los riesgos estratégicos.
f. La opción de tratamiento o manejo para los riesgos residuales ubicados en zona de riesgo extremo, alto o moderado, podrán tener diferentes opciones de manejo
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 14 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
“reducir, evitar o aceptar” según lo establece la metodología, esto considerando los eventos registrados para dichos riesgos en periodos anteriores.
g. Los riesgos residuales que queden ubicados en zona de riesgo bajo podrán llevar cualquiera de las opciones de manejo indicadas por el presente manual “aceptar, evitar, reducir”. Sin embargo, si se elige como tratamiento para el riesgo la opción de “aceptar el riesgo”, para el año vigente no se generaran nuevos planes de acción para mitigar el riesgo, No obstante, el que se incluya esta opción no omite la obligación de continuar aplicando los controles establecidos, y hacer el respectivo seguimiento tanto a estos controles ya implementados como a la posible materialización del riesgo. Para riesgos de corrupción no se puede aceptar o asumir el riesgo.
h. El Comité de Gestión y Desempeño Institucional, podrá incluir en los diferentes mapas de riesgos, aquellos riesgos potenciales que no hayan sido incluidos en los mapas de riesgos del proceso que considere pertinente.
i. Se deberán asignar recursos que permitan evaluar el desempeño de los controles, asignar indicadores claves de riesgos y metas, que permita identificar o alertar estados de criticidad o posibles materializaciones de estos.
j. Las acciones de mitigación del riesgo, así como las acciones para desarrollar las oportunidades deben ser incluidas en el plan de acción de la Entidad con el fin de llevar un solo control.
k. De igual forma los ajustes o nuevos lineamientos de política para la administración de riesgos y medidas de transparencia que deba tomar la alta dirección, podrán ser legalizados a través de actas aclaratorias o memorandos en el comité de coordinación de control interno Para las cuales se sugiere tener en cuenta lo siguiente:
Primero definir los objetivos que se esperan obtener tras la gestión de los riesgos, segundo, priorizar los riesgos que pueden generar mayor impacto en la entidad y que afecte a los productos y servicios generados para el cumplimiento de la misión y objetivos institucionales, tercero, se deben tener en cuenta el plan estratégico, plan sectorial y planes de acción, los procedimientos aprobados dentro del Sistema Integrado de Gestión, la cadena productiva y de valor del proceso y no solo las áreas, cuarto determinar políticas y/o estrategias a largo, mediano y corto plazo las cuales deben tener un líder responsable, quinto se debe determinar una línea base de recursos disponibles, y como componente transversal y quinto factor se deben plantear responsables para la implementación, seguimiento de las políticas y otros responsables diferentes para actividades de evaluación de efectividad y auditoria.
l. La política de transparencia será determinada, modificada y aprobada por la alta dirección de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), bajo los lineamientos normativos existentes
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 15 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
m. A partir de la política y los objetivos de transparencia, la Oficina Asesora de planeación, apoyara la implementación de la política de Transparencia, al menos una vez por año o cuando se identifiquen oportunidades de mejora que sean diferentes de las acciones para abordar los Riesgos de corrupción priorizados.
n. Con base en la identificación de oportunidades se establecerán procedimientos documentados o Planes de Mejoramiento Institucional, sujetos a aplicación y posterior seguimiento y auditoría.
o. Los planes, deben establecer indicadores de eficacia para evaluar el logro de los objetivos de acciones para abordar las oportunidades.
p. Debido a su naturaleza, los controles asociados a los riesgos de seguridad digital se clasificarán como reservados., en este sentido no deben ser públicos ya que esto expondría a la entidad y daría oportunidad de acceso a información reservada a terceros, situación que podría ser usada en su contra como posibles ataques cibernéticos lo que generaría una vulneración de la plataforma informática y de los activos de información en especial los denominados reservados y confidenciales.
Esta información quedara en custodia del área de tecnología
A continuación se presentan los lineamientos operativos para mapas de riesgos institucionales, corrupción, soborno, fraude y tecnológicos.
a. Las actividades de consolidación y difusión de políticas sobre los mapas de
riesgos de la entidad serán coordinadas por la Oficina Asesora de Planeación. b. Los mapas de riesgos deberán ser aprobados por los líderes de los
correspondientes procesos. Sin embargo, la Oficina Asesora de Planeación; y/o el Comité Institucional de gestión del desempeño, podrán solicitar se incluyan en el Mapa de Riesgo Institucional, aquellos riesgos potenciales que no hayan sido incluidos en los mapas de riesgos por procesos.
c. El mapa de riesgos anticorrupción se realizará para los procesos misionales, estratégicos, así como para los de apoyo, enfocando las áreas identificadas en la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) como áreas posiblemente vulnerables en razón a sus actividades y procedimientos.
d. El mapa de riesgos de corrupción se realizará de manera institucional, y solo se implementarán acciones de mitigación a aquellos riesgos ubicados en zona moderada y alta.
f. En las actividades permanentes de revisión de las matrices de riesgos de corrupción, no deben eliminarse “hechos” de soborno previamente identificados, salvo que pueda demostrarse que es absolutamente imposible que se presente. Es pertinente que en las revisiones se incluyan nuevos hechos de soborno no previstos.
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 16 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
g. En la formulación de los “hechos de soborno” normalmente se incluyen dos componentes: a) El soborno en sí mismo (ofrecer, prometer o entregar; aceptar o recibir dádivas) y b) Un posible hecho de corrupción (fraude, prevaricato, celebración indebida de contratos, enriquecimiento ilícito, etc.). Para el efecto del Sistema de Gestión Antisoborno, los riesgos son los efectos que se pueden dar sobre el Soborno, y no sobre la corrupción; así mismo los planes de acción se formulan para evitar el soborno y no la corrupción.
h. Es normal y frecuente que, al analizar un proceso con respecto a los riesgos de soborno, los planes de acción no son ejecutables por el área o áreas que participan en el proceso; puesto que las prácticas de soborno se previenen normalmente a partir de acciones de alcance institucional y no en todos los casos de acciones puntuales. Es normal entonces que en el análisis de un proceso se concluya en la necesidad de emprender acciones que deben liderar otras áreas de la entidad.
i. Los mapas de riesgos deberán ser consolidados, publicados y socializados a toda la entidad propendiendo por el desarrollo de la cultura organizacional de gestión de riesgos.
j. Los mapas de riesgo deben como mínimo cubrir los riesgos asociados a las políticas del Modelo Integrado de Planeación y Gestión- MIPG (Planeación Institucional (Gestión presupuestal y eficiencia del gasto público, Talento
humano, Integridad, Transparencia, acceso a la información pública y lucha contra la corrupción, Fortalecimiento organizacional y simplificación de procesos, Servicio al ciudadano, Participación ciudadana en la gestión pública, Racionalización de trámites, Gobierno digital, Seguridad digital, Defensa jurídica, Mejora normativa, Gestión del conocimiento y la innovación, Gestión documental, Gestión de la información estadística, Seguimiento y evaluación del desempeño institucional, Control interno)
k. La actualización de los mapas de riesgos y oportunidades institucional y de cada proceso, así como los mapas de riesgos de corrupción, soborno y seguridad digital, se realizará de forma anual según lineamientos normativos, salvo que las necesidades del servicio requieran su actualización con otra periodicidad.
l. La eliminación de cualquier riesgo deberá ser justificada y aprobada por el líder del proceso y deberá registrarse en la matriz de cambios de la Entidad. Sin embargo, de presentarse justificaciones poco argumentadas, la Oficina de Control Interno encargada de la evaluación de riesgos de la Entidad deberá pedir ampliación de la justificación hasta tanto encuentre que la entidad no tendrá inconvenientes por dicha eliminación. Para lo cual se podrá solicitar la intervención de otros líderes de procesos que puedan dirimir la decisión.
m. La Oficina de Control interno, efectuará seguimiento cada 4 meses a los riesgos de corrupción y semestralmente a los riesgos institucionales y monitoreo anual a los mapas de riesgos; liderará las actividades de evaluación de conformidad con el plan anual de auditorías internas y de acuerdo con las necesidades
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 17 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
requeridas, sin embargo, esto no exime de la función de monitoreo y seguimiento permanente que deberán realizar los líderes de cada proceso.
n. Teniendo en cuenta la norma ISO 27001 de Seguridad de la Información y el Decreto 612 de 2018, el área TICS deberá apoyar en la actualización de los riesgos de seguridad de la información a los que se puedan ver expuestos los diferentes procesos de la Entidad, teniendo en cuenta los principios de gestión de riesgos para procesos del que trata el presente manual.
p. Todos los servidores públicos del, la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), en el marco de sus funciones y obligaciones son responsables por aplicar mecanismos de control adecuados que busquen mitigar los riesgos a los que están expuestas las labores designadas. Incluso aquellos riesgos que enmarcados en sus responsabilidades no se encuentren especificados en el mapa de riesgos institucional y de Anticorrupción.
q. La confiabilidad de la información a publicar será responsabilidad de los líderes de proceso quienes tienen las funciones de la administración y la gestión de riesgos de la Entidad.
r. Se realizará socialización por parte de la Oficina Asesora de Planeación a los gestores o equipos de riesgos designados por cada proceso, de la metodología de gestión del riesgo, con el fin de que ellos realicen la construcción de matriz de riesgos, mapas de calor y demás documentos asociados a su respectivo proceso.
s. De acuerdo con lo que establece la guía de riesgos del DAFP, la identificación de riesgos de la Entidad deberá tener una cobertura mínima (Riesgos que afecten la capacidad de cumplir con la estrategia de la Entidad, Riesgos operativos, Riesgos de cumplimiento, Riesgos de contratación, Riesgos para la defensa jurídica, Riesgos de seguridad digital
8. METODOLOGIA PARA AL ADMINISTRACION DEL RIESGO En concordancia con la Guía para la administración del riesgo y el diseño de controles en entidades públicas Emitida en Versión 5 por el Departamento Administrativo de la Función Pública, Las etapas definidas para la administración del riesgo en la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) son las que se ilustra a continuación:
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 18 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Ilustración 2. Metodología para la administración del Riesgo
Fuente: Elaboración propia con base en la Guía para la administración del riesgo y el diseño de controles en entidades
públicas. V5
9. CONTEXTO ORGANIZACIONAL
Antes de abordar la identificación de riesgos es importante analizar contextualmente la situación propia de la entidad, toda vez que esta confluye en una serie de campos organizacionales muy variados y a su vez posee características endógenas que la hacen diferente a las demás entidades Estatales y Distritales.
9.1. Conocimiento de la entidad
Me
tod
olo
gía
Ad
min
istr
ac
ión
d
e R
iesg
os
Antes de Iniciar con la Metodología
Conocimiento de la Entidad
Misión
Visión
Objetivos Estratégicos
Planeación Institucional
Modelo de Operación por Procesos
Caracterización
Objetivos
Planes, Programas y Proyectos
1. Política de Administración de Riesgos
Lineamientos de PolíticaLineamientosMarco conceptual del apetito del riesgo
2. Identificación de Riesgos
Analisis de objetivos estrategicos y de los procesos
Identificacion de puntos de riesgos, areas de impacto , factores de riesgo, descripcion del riesgo, y clasificacion del riesgo
3. Valoración de Riesgos
Análisis de riesgos
Evaluación de Riesgos
Estrategias para combatir el riesgo
Herramientas para la gestion del riesgo
Monitoreo y revision
4. Lineamientos riesgos relacionados con
posibles actos de corrupción
5. Gestión del riesgo de seguridad digital y
de la información
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 19 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
En la gestión de los riesgos resulta fundamental realizar análisis de contextos tanto internos como externos a los que se enfrenta la entidad, toda vez que la arquitectura Estatal sus organizaciones se encuentran dentro de ecosistemas institucionales, en donde se configuran campos funcionales, sectores administrativos, etc., a su vez las entidades participan directa o indirectamente en el desarrollo de sectores sociales, económicos, ambientales entre otros, los cuales configuran una serie de entornos en donde las entidades actúan para conllevar al logro de sus objetivos, los análisis del entorno externo permite identificar la capacidad competitiva de la entidad, y las dinámicas en las que subsiste esta, mientras estudiar los entornos internos permiten identificar internamente, la capacidad o los posibles riesgos de la interrelación entre los procesos y las habilidades o fortalezas de la entidad
De tal manera el análisis de contexto esta mediado por el entorno interno; en donde se definen las características endógenas del ámbito organizacional de la entidad, y se realiza mediante análisis introspectivo, y el entorno externo, que representa, situaciones exógenas, es decir aquellas que se conciben fuera del ámbito organizacional de la entidad y se identifican de en mayor medida por la clasificación de factores o Sectores
A continuación, se presentan una serie de características de los entornos para el análisis y definición de estos
Tabla 2. Análisis de Entornos Contexto o Entorno Interno Contexto o Entorno externo
Financieros: Son situaciones, acciones o temas
relacionados al presupuesto de la entidad, tanto de funcionamiento, como de inversión, se asocia a temas tales como la capacidad financiera, el nivel de endeudamiento, la amortización de la deuda, El marco fiscal de mediano plazo, los planes plurianuales de inversión Etc.
Económico: permite identificar las ventajas o que se
derivan de la aplicación de las políticas macroeconómicas, presupuestales y fiscales, que enmarcan el quehacer de la entidad, estas tienen incidencia tanto directa como indirecta en el costo de la prestación de los servicios por parte de la entidad y afectan parcial o completamente el cumplimiento misional de entidad
Estructura organizacional: consiste en la
identificación de del optimo diseño institucional y la conformación de este en harás del cumplimiento misional de la entidad, la estructura organizacional contempla temas de direccionamiento estratégico,
planeación institucional, liderazgo, trabajo en equipo. Articulación entre dependencias y armonización
Político: son todas aquellas variables que se
generan por el accionar del Estado, en las tres ramas del poder público y se entrelazan al accionar de la entidad (Lineamientos con Planes de desarrollo, políticas públicas, Nueva legislación, sentencias, etc.)
Personal: se refiere a la disponibilidad de personal
para el correcto desarrollo de actividades y funciones que permitan a la entidad el cumplimiento de los objetivos, además del número de personal debe contemplar el nivel de competencia de estos y la Seguridad y Salud en el Trabajo de los referidos.
Social: se presentan como situaciones de
modificación de demandas sociales, necesidades o requerimientos en donde la entidad posee la capacidad de actuar, corresponde también a las modificaciones de la estructura social, en el sentido de su posición, composición, actuar (crecimiento demográfico, orden público)
Comunicación Interna: Canales utilizados para
consolida el flujo de la información necesaria para el
Ambiental: Se refiere a la identificación de las
condiciones tanto bióticas como abióticas que confluyen en el medio ambiental, estos factores
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 20 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
desarrollo de las operaciones organizacionales de manera efectiva y eficiente
ambientales identificados, pueden relacionarse a temas de gestión basados en el ambiente, tales como la sostenibilidad ambiental, políticas de cero papeles, desarrollo sostenible, responsabilidad ambiental etc.
Tecnológico: este entorno busca comprender las
dinámicas de desarrollo de las tecnologías de la información y las comunicaciones que se desarrollan al margen de la entidad
Fuente: Elaboración propia, con base en definiciones DAFP
9.2. Definición y análisis de objetivos
En el ámbito organizacional corresponde a la segunda línea de defensa de las entidades públicas realizar un análisis de objetivos estratégicos, confrontándolos y alineándolos con la misión y la visión de la entidad, a su vez desde la perspectiva estratégica el desarrollo institucional y el diseño administrativo se estipula la evaluación e incidencia de nuevas funciones o metas asignadas al organismo o entidad, en relación con productos y/ o servicios y cobertura institucional para garantizar la mejora en la prestación de servicios, aspecto en donde se desenvuelve toda una serie de acciones administrativas ligadas al modelo e operación por proceso (diseño de procesos, procedimientos, actividades etc.). El análisis estratégico de los procesos se puede contemplar desde la metodología de opciones prioritarias y lo contemplado en la Guía para la gestión por procesos en el marco del modelo integrado de planeación y gestión (MIPG) El análisis de objetivos y proceso en cuanto a metodología debe partir de la construcción de los objetivos, es decir responder a ciertas características, el objetivo debe ser específico, medible, alcanzable, relevante y proyectado en el tiempo, la redacción de objetivos debe contemplar además un “qué”, “cómo”, “para qué”, “cuándo”, “cuánto”. Si los objetivos no se encuentran bien definidos, no se puede continuar con la metodología de gestión de riesgo El Departamento Administrativo de la Función Pública sugiere para ello la metodología SMART5.
10. DEFINICION DEL APETITO DEL RIESGO6
Como se mencionó en la política de administración del riesgo se requiere para la
metodología, la determinación por parte de la alta dirección como del comité institucional
de coordinación de control interno, el valor máximo de la escala de determinación del riesgo
5 La metodología SMART se puede acompañar con la taxonomía de Bloom 6 Este apartado hace referencia a la definición del apetito de riesgo como acción de adjudicar dicha medida, la
definición conceptual de lo términos mencionados se encuentra en el numeral 3 de la guía
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 21 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
en cuanto a probabilidad e impacto, el valor de capacidad y el valor de la tolerancia del
riesgo con el fin de establecer criterios objetivos sobre la valoración de estos.
11. IDENTIFICACION DEL RIESGO
Una vez definidos los parámetros metodológicos se debe realizar una identificación o tipificación del riesgo existente en determinado campo, la tipificación se realiza y realizar una correcta descripción de este
1. Identificando los puntos de riesgo: es decir identificar la actividad dentro de los flujos de procesos que pueden generar indicios de posibles eventos de riesgo, para esa identificación se recomienda un análisis macro del modelo de operación desde la visualización de la cadena de valor público de la entidad.
2. Identificación de áreas de Impacto: estas áreas están determinadas por las fuentes
generadoras de riesgos, tales como:
Tabla 3 Ejemplo de áreas de impacto Factor Definición Descripción
Procesos Eventos relacionados con errores en las actividades que deben realizar los servidores de la organización
Falta de procedimientos
Errores de grabación, autorización
Errores en cálculos para pagos internos y externos
Falta de capacitación, temas relacionados con la persona
Talento humano
Incluye seguridad y salud en el trabajo. Se analiza posible dolo e intención frente a la corrupción
Hurtos activos
Posibles comportamientos no éticos de los empleados
Fraude interno (corrupción, soborno)
Tecnología Eventos relacionados con la infraestructura tecnológica de la entidad
Errores en programas
Daño de equipos
Infraestructura Eventos relacionados con la infraestructura física de la entidad
Inundaciones
Daños a activos fijos
Evento externo Situaciones externas que afectan la entidad.
Suplantación de identidad
Atentados, vandalismo, orden público Fuente: Ejemplos tomados de la Guía para la administración del riesgo y el diseño de controles en entidades públicas V.5
Una vez identificado la posición del riesgo en el modelo de operación de gestión por procesos y los factores que componen sus áreas de impacto se debe generar una descripción del Riesgo.
Los parámetros estas definidos por 1) la asignación de un nombre corto del riesgo y una descripción compuesta de la siguiente forma
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 22 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
𝐷𝑒𝑠𝑐𝑟𝑖𝑝𝑐𝑖𝑜𝑛 𝑑𝑒𝑙 𝑅𝑖𝑒𝑠𝑔𝑜 = 𝑃𝑜𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑑𝑒 +¿ 𝑞𝑢𝑒? (𝐼𝑚𝑝𝑎𝑐𝑡𝑜)+¿ 𝑐𝑜𝑚𝑜? (𝐶𝑎𝑢𝑠𝑎 𝑖𝑛𝑚𝑒𝑑𝑖𝑎𝑡𝑎)+ ¿ 𝑝𝑜𝑟 𝑞𝑢𝑒? (𝑐𝑎𝑢𝑠𝑎 𝑟𝑎𝑖𝑧 )
Realizada la identificación y la descripción, la metodología permite generar una clasificación de los riesgos confrontándolos con los factores, algunas de las categorías son:
Ilustración 3. Ejemplo categorías de clasificación de riesgos y factores
Fuente: Elaboración propia con base en guía de Guía para la administración del riesgo y el diseño de controles en entidades públicas. V5
Clasificado el riesgo es importante generar relación entre dichas clasificaciones y los factores de riesgo7, tanto internos como externos, con el fin de tener claridad conceptual y ubicar estratégicamente el riesgo para su abordaje, finalizada la identificación del riesgo, se procede a su valoración.
12. VALORACIÓN DE RIESGO
Como componente siguiente a la Administración del riesgo planteada desde la gestión del
riesgo y basada tanto en el sistema de calidad como en la metodología DAFP, se procede
a la valoración del riesgo.
12.1. Valoración de riesgo inherente
7 Remitirse a la tabla de identificación de áreas de impacto para asociarlos
Ejecución y administración de procesos: Perdidas
derivadas de errores en la ejecucion y administracion
de proceso
Fraude externo o interno perdidad derivada de actos
de fraude por personas ajenas o internas a la
organizacion
Fallas tecnologicas: son aquellos errores en el
hadrare, sofware o interrupciones en los
servicios basicos
Usuarios, productos y practicas : fallas o
negligencias involuntarias frente a los usuarios que
impiden satisfacer los requerimientos de los
mismos
Daños a activos fijos/Eventos externos: Perdidas o daños de los
activos fijos debido a fatures naturales o de orden publico
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 23 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
La valoración del riesgo contempla: I) el análisis de riesgos en donde se busca establecer la probabilidad de ocurrencia que presentan los riesgos junto con la consecuencia o impacto del mismo, estableciendo una zona inicial del riesgo, denominada (riesgo inherente), II) la evaluación del riesgo, en donde se confrontan los resultados de análisis de riesgo inicial, frente a los diferentes tipos de controles establecidos, estos con el fin de determinar la zona final del riesgo (riesgo residual). Enseguida se desagregan los componentes de cada una de las variables de la valoración de riesgos.
12.2. Análisis de riesgos
Esta etapa contempla como primera unidad de medida, la probabilidad; esta entendida como la posibilidad de ocurrencia del riesgo. Medida a partir de criterios de periodicidad o frecuencia de veces en la que un evento, actividad o acción se ejecuta, para el cálculo de la probabilidad se requiere completar la tabla de atributos del riesgo con sus respectivos pesos y realizar los siguientes cálculos.
Tabla 4 Niveles para determinar la probabilidad del riesgo8 Frecuencia de la actividad Probabilidad
Muy baja La actividad que conlleva al riesgo se ejecuta máximo 3 veces por año
20%
Baja La actividad que conlleva al riesgo se ejecuta de 3 a 24 veces por año
40%
Media La actividad que conlleva al riesgo se ejecuta de 24 a 500 veces por año
60%
Alta La actividad que conlleva al riesgo se ejecuta mínimo 500 veces y máximo 5000 veces al año
80%
Muy Alta La actividad que conlleva al riesgo se ejecuta más de 5000 veces por año
100%
Fuente; Elaboración propia con base en Guía para la administración del riesgo y el diseño de controles en entidades públicas. V5,
El análisis de frecuencia se podrá analizar utilizando como recurso datos históricos, o utilizando metodologías de estándares estadísticos tanto de La Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) como de sus colaboradores y
8 Los criterios de veces por año y % de probabilidad puede ser ajustados
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 24 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
demás fuentes de información.
En caso de que el líder del proceso no cuente con datos históricos sobre el número de eventos en que se ha materializado el riesgo, los integrantes del equipo de trabajo por medio de metodologías similares a la de estándares subjetivos deberán calificar en privado el nivel de probabilidad en términos de factibilidad y el promedio resultante de todas las calificaciones se asumirá como el valor a registrar.
El resultado porcentual de definir una escala de probabilidad del riesgo se denominará probabilidad inherente Una vez identificada esta se debe realizar un análisis de impacto como segunda unidad de medida del análisis de riesgo, para ello debe entenderse cómo impacto; las consecuencias que trae para la entidad la materialización del riesgo. Los impactos contemplan dos variables principales, los impactos económicos e impactos reputacionales, las primeras contemplando afectaciones como la ejecución presupuestal, pagos por sanciones económicas, indemnización a terceros etc., mientras que, el impacto reputaciones se refiere a las afectaciones de la imagen institucional.
Los criterios para determinar el nivel de los impactos se presentan a continuación:
Tabla 5. Niveles para definir el impacto del riesgo Impacto Económico Impacto Reputacional
Muy baja Afectación menor a 10 SMLMV El riesgo afecta la imagen de alguna área de la organización
Baja Afectación entre 10 y 50 SMLMV El Riesgo afecta la imagen de la entidad internamente, la afectación es de conocimiento general a nivel interno, de la junta directiva y proveedores
Media Afectación entre 50 y 100 SMLMV El riesgo afecta a la imagen de la entidad con algunos usuarios de relevancia frente al logro de los objetivos
Alta Afectación entre 100 y 500 SMLMV
El riesgo afecta la imagen de la entidad con efecto publicitario sostenido a nivel de sector administrativo y nivel distrital
Muy Alta El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitario sostenido a nivel nacional
Fuente; Elaboración propia con base en Guía para la administración del riesgo y el diseño de controles en entidades públicas. V5,
Como resultado de aplicar los criterios porcentuales de evaluación de impacto, se determinaría el Impacto inherente de un riesgo. Es importante mencionar que para el análisis de riesgos no se considera necesario el criterio experto, si no que este debe ser dado a partir de la experiencia de los líderes de los procesos, como conocedores de su
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 25 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
respectivo quehacer, de otra parte, se debe contemplar que una vez analizados los riesgos y en situaciones cuando se presenten ambos impactos para un riesgo, tanto económico como reputaciones, con diferentes niveles se debe tomar el nivel más alto del riesgo.
12.3. Evaluación de los riesgos
Una vez identificados los valores % de la probabilidad inherente y el impacto inherente, podremos por medio de un cruce de porcentajes en la matriz de calor, identificar el Riesgo inherente, y clasificarlo en un nivel de severidad del riesgo
Ilustración 4. Matriz de calor
Fuente: Guía para la administración del riesgo y el diseño de controles en entidades públicas. V5
13. TRATAMIENTO DEL RIESGO
Una vez se realizada la valoración del riesgo deben implementarse una serie de medidas para tratar de la manera más adecuada el riesgo identificado, el tratamiento del riesgo inicia en la identificación y descripción de los controles, y e extiende hasta el cálculo del Riesgo Residual, como producto de la implementación de medidas de control.
13.1. Identificación y redacción de controles
Nivel de
Severidad del
Riesgo
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 26 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
La valoración del riesgo prevista como control, permite definir acciones concretas en aras de reducir mitigar o transferir el riesgo, al valorar los controles se deben tener en cuenta distintas metodologías que afrontar de la mejor manera los riesgos, los controles deben ser definidos tanto por los líderes de procesos como por servidores expertos en su quehacer, los responsables de implementar y monitoreas los controles son igualmente los líderes de procesos con apoyo de su equipo de trabajo. En este sentido se considera como controles aquellas políticas, lineamientos, mecanismos o acciones que son aplicadas en la institución para minimizar o mitigar las amenazas que pueden presentarse en la entidad, de igual forma como mecanismo, el control puede potenciar aquellas oportunidades sobre las cueles se quiere aumentar los efectos deseables, de manera que se garantice el desarrollo de las actividades acorde con los requisitos institucionales. Al definir un control, al igual que al describir un riesgo debe contemplar un diseño conceptual metodológico que permita dar claridad de aspectos relevantes del control, su estructura debe estar dada por
𝑫𝒆𝒔𝒄𝒓𝒊𝒑𝒄𝒊𝒐𝒏 𝒅𝒆𝒍 𝑪𝒐𝒏𝒕𝒓𝒐𝒍= 𝑹𝒆𝒔𝒑𝒐𝒏𝒔𝒂𝒃𝒍𝒆 𝒅𝒆 𝒆𝒋𝒆𝒄𝒖𝒕𝒂𝒓 𝒆𝒍 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 + 𝒍𝒂 𝒂𝒄𝒄𝒊𝒐𝒏 + 𝒄𝒐𝒎𝒑𝒍𝒆𝒎𝒆𝒏𝒕𝒐
13.2. Valoración de controles
Una vez utilizada la estructura para la descripción del control, debe identificarse la tipología a la que corresponde el control para esto cada una se define de la siguiente manera:
Tabla 6. Tipos de control Tipo de control Descripción Actuación en el Ciclo de
procesos
Control Preventivo
Control accionado en la entrada del proceso y antes de que se realice la actividad originadora del riesgo, este busca establecer las condiciones que aseguren el resultado final esperado
Ataca la probabilidad de ocurrencia desde las causas, y se ubica en los recursos que requiere el proceso con la situación de riesgo
Control Defectivo control accionado durante la ejecución del proceso, estos controles detectan el riesgo, pero pueden ocasionar reprocesos
Se identifica en la actividad y se encuentra en el desarrollo del proceso, pues detecta la ocurrencia del riesgo
Control Correctivo
es aquel que se acciona en la salida del proceso y después de que se ha materializado el riesgo, desarrollar estos controles implica asumir algunos costos
Ataca el impacto que se presento en productos o servicios y evite que se materialice el riesgo frente a ellos
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 27 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
implícitos Fuente: Elaboración Propia, con base en la Guía para la administración del riesgo y el diseño de controles en entidades
públicas
La tipología del control puede estar definida, además, de dos maneras, dependiendo su implementación, la primera de ellas diseñada por medio de un control manual, es decir; aquellos controles ejecutados directamente por el talento humano de la entidad, y la segunda por medio de un control automático, diseñado a partir de sistemas tecnológicos y operaciones automáticas de matrices, programas etc. Definido el tipo de control, deben identificarse los atributos que presentan los controles, para esto, el Departamento Administrativo de la Función Pública DAFP, basado en criterios de eficiencia y formalización, ha diseñado una serie de variables como lo son las características, la descripción y el peso, para definir los atributos del control, según su tipo, estos criterios son:
Tabla 7.Atributos y componentes de los tipos de control 9 CARACTERÍSTICAS DESCRIPCIÓN PESO
Atributos de eficiencia
Tipo Preventivo Dirigido hacia las causas del riesgo, asegurando el final esperado
25%
Detectivo Detecta la ocurrencia y devuelve el proceso a los controles preventivos
15%
Correctivo Reduce el impacto de la materialización del riesgo
10%
Implementación Automático Actividades con procesamiento sistematizado
25%
Manual Son controles ejecutados por personas, puede tener implícito el factor d error humano
15%
Atributos informativos
Documentación Documentado
Controles documentados en los procesos, procedimientos, manuales
Sin documentar
Controles que se ejecutan y que no posee soporte documental
Frecuencia Continua El control se aplica cada vez que se realiza la actividad que conlleva al riesgo
Aleatoria La aplicación del control es esporádica
Evidencia Con registro
El control produce un registro que evidencia la aplicación de este
Sin registro No se puede evidenciar la aplicación del control
Valoración del control Total %
9 Esta tabla debe construirse para cada uno de los controles diseñados
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 28 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Fuente Guía para la administración del riesgo y el diseño de controles en entidades públicas
Los atributos de información, si bien se constituyen como variables inherentes a los controles, no determinan afectaciones directas a la efectividad del control, por lo cual no se pondera un valor cuantitativo para el análisis, en cambio, funcionan como elementos descriptivos de índole cualitativo que permite caracterizar de una mejor manera el control. Diseñado el control y asignados una serie de atributos a los controles con los respectivos criterios porcentuales (%) del peso del control, se deben realizar las siguientes operaciones, según corresponda el tipo de control, con el fin de visualizar la modificación de valores de riesgo, y desplazamiento del mismo, ejecutadas las operaciones, se encontrará la probabilidad residual, el impacto residual, y como suma de estos dos el riesgo residual. Las operaciones son las siguientes:
% 𝒅𝒆 𝒑𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒊𝒏𝒉𝒆𝒓𝒆𝒏𝒕𝒆10
∗ % 𝒅𝒆𝒍 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 𝒅𝒆𝒕𝒆𝒄𝒕𝒊𝒗𝒐 𝒐 𝒑𝒓𝒆𝒗𝒆𝒏𝒕𝒊𝒗𝒐 𝒅𝒊𝒔𝒆ñ𝒂𝒅𝒐11 = 𝑽𝒂𝒍𝒐𝒓 𝟏
% 𝒅𝒆 𝒑𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒊𝒏𝒉𝒆𝒓𝒆𝒏𝒕𝒆 − % 𝑽𝒂𝒍𝒐𝒓 𝟏 = % 𝒅𝒆 𝑷𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 Para el cálculo del impacto residual, se utilizan el mismo criterio reflejado de la siguiente manera:
% 𝒅𝒆 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒊𝒏𝒉𝒆𝒓𝒆𝒏𝒕𝒆12 ∗ % 𝒅𝒆𝒍 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 𝑪𝒐𝒓𝒓𝒆𝒄𝒕𝒊𝒗𝒐 13 = 𝑽𝒂𝒍𝒐𝒓 𝟐
% 𝒅𝒆 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒊𝒏𝒉𝒆𝒓𝒆𝒏𝒕𝒆 − % 𝑽𝒂𝒍𝒐𝒓 𝟐 = 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 El cálculo de la probabilidad residual y del impacto residual debe realizarse por cada uno de los controles que se diseñen, en el caso de que estos sean más de uno, debe recoger como resultado de la operación el % de probabilidad residual o el impacto residual obtenido en la operación inmediatamente anterior, por ejemplo:
% 𝒅𝒆 𝒑𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 (𝑹𝒆𝒔𝒖𝒍𝒕𝒂𝒅𝒐 𝟏)∗ % 𝒅𝒆𝒍 𝒔𝒆𝒈𝒖𝒏𝒅𝒐 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 𝒅𝒆𝒕𝒆𝒄𝒕𝒊𝒗𝒐 𝒐 𝒑𝒓𝒆𝒗𝒆𝒏𝒕𝒊𝒗𝒐 𝒅𝒊𝒔𝒆ñ𝒂𝒅𝒐= 𝑽𝒂𝒍𝒐𝒓 𝟑
% 𝒅𝒆 𝒑𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 (𝑹𝒆𝒔𝒖𝒍𝒕𝒂𝒅𝒐 𝟏) − % 𝑽𝒂𝒍𝒐𝒓 𝟑= % 𝒅𝒆 𝑷𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍
10 Calculado a partir de la tabla de niveles para determinar la probabilidad del riesgo 11Producto de la suma del peso de la tabla de atributos y componentes de los tipos de control 12 Calculado a partir de la tabla de niveles para determinar el impacto inherente del riesgo 13producto de la suma del peso de la tabla de atributos y componentes de los tipos de control
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 29 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
% 𝒅𝒆 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 (𝑹𝒆𝒔𝒖𝒍𝒕𝒂𝒅𝒐 𝟐) ∗ % 𝒅𝒆𝒍 𝒔𝒆𝒈𝒖𝒏𝒅𝒐 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 𝒄𝒐𝒓𝒓𝒆𝒄𝒕𝒊𝒗𝒐= 𝑽𝒂𝒍𝒐𝒓 𝟒
% 𝒅𝒆 𝒊𝒎𝒑𝒂𝒄𝒕𝒐 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 (𝑹𝒆𝒔𝒖𝒍𝒕𝒂𝒅𝒐 𝟐) − % 𝑽𝒂𝒍𝒐𝒓 𝟒 = % 𝒅𝒆 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍
13.3. Riesgo residual
El cálculo de la probabilidad residual y el impacto residual permitirá identificar y clasificar en el nivel de severidad el riesgo residual, en la matriz de calor, como se a mencionado anteriormente se realiza un ajuste producto de atacar por medio de controles, preventivos y detectivos la probabilidad inherente del riesgo y controles correctivos para atacar el impacto
Ilustración 5 Modificación de la probabilidad y el riesgo, con la aplicación de controles
Fuente; Guía para la administración del riesgo y el diseño de controles en entidades públicas
De este modo, y a manera de ejemplo, el riesgo inherente (1), ubicado en una zona de probabilidad alta de riesgo, con impacto catastrófico y nivel de severidad del riesgo extremo, modifica su posiciona una vez aplicada la medida de control respectiva, el desplazamiento del riesgo se dirige a la posición (2) en donde la probabilidad es media, el impacto menor y la severidad del riesgo moderada, esta posición final del riesgo es conocida como riesgo residual.
2
1
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 30 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
El tratamiento finalizaría identificando la eficiencia del control, en la matriz de calor se muestra de la siguiente manera
Ilustración 6. Verificación de eficiencia de control en la matriz de calor
Fuente; Guía para la administración del riesgo y el diseño de controles en entidades públicas
El tratamiento del riesgo contempla además de los análisis señalados, la perspectiva de planeación en la gestión organizativa, como aspecto de transformación y modificación de los riesgos, en tal sentido es importante que se configuren a partir del tratamiento del riesgo, escenarios de decisión estructural sobre los mismos
13.4. PLAN DE MITIGACIÓN E INDICADORES
Los líderes de proceso deben evaluar las opciones existentes en materia de tratamiento de riesgo, partiendo de la política de administración de riesgos y teniendo en cuenta su importancia, los efectos que puede tener sobre la entidad, su probabilidad e impacto y la relación costo-beneficio de las medidas de tratamiento.
El tratamiento del riesgo Permite identificar las estrategias para combatir el riesgo, capturar la ocurrencia de uno o varios incidentes y generar alertas o alarmas frente a la materialización de los riesgos, El tiramiento del riesgo se fundamenta como la decisión tomada frente a las situaciones de riesgos residuales, la metodología del DAFP, propone abordar el tratamiento desde tres enfoques:
• Reducir el riesgo: Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos; por lo general conlleva a la implementación de controles apropiados y
Eficiencia del control
Riesgo
residual
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 31 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
con una adecuada segregación de funciones. La decisión de reducir el riesgo va asociada a dos vías, la de mitigar el riesgo, cuyo fundamento es contemplar en el plan de acción de la entidad vías para el tratamiento del riesgo, o transferir como mecanismo que desprenda el riesgo de la entidad, sin embargo, trasladar o tercerizar una actividad que conlleve al riesgo, no evita un impacto reputacional en la entidad, si este se llegase a materializar. La elaboración de un plan de acción para la reducción del riesgo debe contemplar como mínimo: un responsable, una fecha de implementación y una fecha de seguimiento.
• Aceptar el riesgo: Se configura como opción partiendo del bajo riesgo que posee y de la definición del apetito y tolerancia del riesgo, optar por la aceptación significaría no adoptar controles que impacten sobre la probabilidad o el impacto del riesgo, al tomar la decisión de aceptación del riesgo, es necesario que el líder del proceso realice seguimiento continuo al riesgo. Evitando que este no conlleve al desarrollo o materialización de otros riesgos
• Evitar el riesgo: Se abandonan las actividades que dan lugar al riesgo, es decir se decide, no iniciar o no continuar con la actividad que lo provoca, dicha tratamiento puede configurarse como el más simple y la manera menos riesgosa de afrontar el riesgo, sin embargo, se debe determinar si su no ejecución, conllevaría implícita el desarrollo de otro riesgo
Herramientas para la gestión del riesgo
Además del diseño de la matriz de calor como instrumento metodológico existen algunas otras que refuerzan el estudio del riesgo para su tratamiento, y aportan datos cuantitativos y cualitativos que justifique la toma de decisiones de los líderes de proceso a la hora de abordar el tratamiento de un riesgo.
Para dicho análisis se puede trabajar con la gestión y desarrollo de fuentes de información que puede fortalecer la gestión del riesgo, institucionalmente la entidad cuenta con bases de datos dispuestas en áreas como, por ejemplo: PQRD, Mesas de ayuda, datos históricos de la oficina jurídica de actividades judiciales y denuncias tanto por línea interna como por línea externa
Las herramientas permiten además por medio del indicador de desempeño del control, conocer la probabilidad de ocurrencia del riesgo, este indicador se formula de la siguiente manera.
𝐷𝑒𝑠𝑒𝑚𝑝𝑒ñ𝑜 𝑑𝑒𝑙 𝑐𝑜𝑛𝑡𝑟𝑜𝑙 =𝑒𝑣𝑒𝑛𝑡𝑜𝑠
𝐹𝑟𝑒𝑐𝑢𝑒𝑛𝑐𝑖𝑎 𝑑𝑒𝑙 𝑟𝑖𝑒𝑠𝑔𝑜 (# 𝑣𝑒𝑐𝑒𝑠 𝑞𝑢𝑒 𝑠𝑒 ℎ𝑎𝑐𝑒 𝑙𝑎 𝑎𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑)
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 32 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
En este caso los eventos son concebidos como el número de veces que se a materializado un riesgo, el desempeño del control permite evaluar tanto en labores relativos como porcentuales los riesgos de la entidad. Existe también, el indicador clave del riesgo como herramienta metodológica para la construcción base de datos o colección de datos históricos, agrupados por periodos de tiempo y relacionados con comportamientos, gráficos o porcentajes que pueden indicar la exposición a determinado riesgo (capturando y clasificando la ocurrencia y periodicidad de incidentes).
14. MONITOREO Y SEGUIMIENTO
Como siguiente aspecto en la administración del riesgo, el monitoreo y el seguimiento
permiten observar y recolectar información de la situación específica de la gestión de
riesgos, en aras de la toma de decisiones frente al aumento de afectaciones generadas por
un riesgo. Para efectos de la presente guía se dispondrá de las líneas de defensa,
plasmadas a partir del Modelo integrado de Planeación y gestión (MIPG), en su dimensión
número Siete (7) y en articulación con el alcance y la descripción de involucrados del
numeral 2 de este documento. En donde se definen responsabilidad especificas entorno a
la gestión del riesgo
14.1. Seguimiento y eventos
El seguimiento del riesgo parte de cuatro (4) Lineamientos sustantivos, ellos son: I) La
Periodicidad, en la cual se sugiere la construcción de reporte de eventos trimestralmente,
II) los reportes oportunos, es decir que, los riesgos materializados deben ser reportados
en el momento en el que ocurren, y sobre los cuales deben generarse las acciones
correctivas por parte de la primera línea. III) la prevención, en este sentido el informe de
seguimiento debe establecer los nuevos controles y/o acciones de mitigación en caso de
ser necesario, así como las propuestas de actualización, tener en cuenta esos tres (3)
lineamientos para el seguimiento de eventos trae consigo IV) Generar valor público a
partir de la toma de decisiones basadas en riesgos.
Claros los lineamientos es fundamental aclarar las etapas del seguimiento de eventos para
la gestión y administración de los riesgos, a continuación, se presentan estas y sus
respectivos descriptores de acción
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 33 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Ilustración 7. etapas de seguimiento de los riesgos
Fuente: Elaboración propia, Metodología DAFP
Es importante resaltar que para el ejercicio de seguimiento de eventos y para efectos de la
metodología utilizada en la matriz de calor, cada una de las etapas de seguimiento tendrá
subcomponente que deben de ser diligenciados, las tablas de seguimiento a eventos
estarán conformadas por las siguientes categorías:
Tabla 8. Tabla de seguimiento a eventos Fecha Seguimiento a Controles Seguimiento a Indicadores
Periodo de seguimiento
Fecha e corte del seguimiento
Frecuencia del riesgo
No de Eventos
Desempeño del control
Análisis de la información reportada
Resultado del Indicador clave del riesgo
Análisis de la información reportada y evidenciada
Seguimiento al plan de mitigación Reporte de materialización
% de cumplimiento del plan de mitigación
¿la acción esta incluida en el plan operativo
Análisis de la información reportada y evidenciada
Materialización del riesgo
Causa de la materialización
Acción propuesta de mitigación
Nueva identificación Resultados
Nuevos riesgos identificados Oportunidades identificadas Resultados de auditorías OCI, externar
Fuente: elaboración propia, Metodología DAFP
Una vez establecida la matriz de etapas de seguimiento del riesgo debe ser diligenciada la
matriz de eventos, esta tendrá la siguiente información y las siguientes categorías:
Controles
El seguimiento se realiza a través del análisis del indicador de desempeño de control
Indicadores
Se debe hacer el reporte trimestral de los KIR (Indicadores claves de riesgos)
Plan de Mitigación
Se debe reportar semestral a través del formato de seguimiento. y se debe ralizar seguimiento de las acciones en el plan operativo
Materialización
Se debe reportar inmediatamente se materializa un riesgos y se debe proseguir a generar un plan de acción
se debe hacer el análisis trimestral a través de la matriz de eventos
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 34 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Tabla 9. Matriz de eventos Información del evento
fecha del evento fuente descripción del evento tipo de evento
ID DEL RIESGO RELACIONADO
Características del evento
causa(s) del evento Tipo de impacto generado por el evento
Descripción del impacto generado por el evento
Descripción del impacto
reputacional (si aplica)
cuantía afectada ($) (si aplica)
Cuantía recuperada ($) (si aplica)
Fuente: elaboración propia, Metodología DAFP
Finalmente corresponde a las segundas líneas de defensa, generar procesos de validación,
enfocándose en tres actividades.
Fuente: elaboración propia, Metodología DAFP
14.2. Actualización del mapa de riesgos
Corresponde a los líderes de procesos la actualización y modificación de los mapas de riesgo de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), tanto por modificaciones de diseño metodológico de la administración del riesgo
Ejecución de procesos Fraude Interno Fraude Externo Fallas Tecnológicas Relaciones laborales Usuario, producto y practicas Daños de activos físicos Hallazgos, no conformidades
Todo riesgo debe contener un
identificador (ID)
1) Reputacional
2) Económico
3) Económico- Reputacional
Revisar el reporte de cada una
de las etapas de seguimiento Generar recomendaciones a
la primera línea de defensa
Generar informe para la línea
estratégica, el cual se debe
presentar semestralmente
Ilustración 8. Validación de seguimiento, segunda línea de defensa
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 35 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
como de modificación de procesos evaluados que presenten cambios organizacionales, modificación de objetivos, alcance o actividades de los procesos o cuando existan modificaciones del contexto estratégico y organizativo a nivel institucional, en dado caso se debe proceder a una revisión exhaustiva y completa de cada uno de los riesgos gestionados. Para efectos de actualización y seguimiento a la misma, el mapa de riesgos de los procesos debe como mínimo establecer revisión y/o actualización anual a partir de última fecha de revisión. Sin embargo, debe contemplarse que cada uno de los riesgos identificados podrán ser actualizado individualmente, cuando exista requerimiento de estos. las Auditorias y consultorías tanto internas como externar podrán ser insumo para la modificación de los riesgos.
15. COMUNICACIÓN Y CONSULTA
Teniendo en cuenta que la comunicación y consulta se fundamenta sobre principios de transparencia, accesibilidad y publicación de la información, tanto de manera interna como externa, la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) determina las siguientes actividades para el total de las etapas del proceso de la administración del riesgo: El Mapa de Riesgos de cada uno de los procesos tendrá que ser divulgado, esta función estará a cargado del área de prensa de la Dirección general, por su parte la publicación para la consulta debe ejecutarse por parte de los líderes de proceso con apoyo del grupo de informática la Oficina asesora de planeación verificara que todos los miembros del proceso comprenden la guía y administración de los riesgos asociados a las dinámicas de las actividades requeridas para implementar la gestión del riesgo, La Oficina Asesora de planeación en coordinación ya articulación con la Oficina de Control Interno, impulsarán la institucionalización de la cultura de gestión del riesgo, a través de capacitaciones, mesas de trabajo y asesorías, con el fin de mejorar continuamente en la ejecución de los procesos y diseñando mecanismos para la gestión del conocimiento y apropiación del enfoque basado en riesgos. Cuando el riesgo implique a terceros, se deben diseñar encuentros de socialización y planes de trabajo conjunto para el abordaje y tratamiento de los mismos, actividad que corresponderá ejecutar a los líderes responsables de cada proceso.
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 36 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
La consulta y divulgación del Mapa de Riesgos de Corrupción a partes interesadas y comunidad en general se realizará a través de su publicación en la página Web de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB)
16. ALINEACIÓN CON LA POLÍTICA DE LUCHA CONTRA LA CORRUPCIÓN Y DE EFICIENCIA ADMINISTRATIVA
La guía para la gestión del riesgo de la Unidad Administrativa Especial Cuerpo Oficial
Bomberos de Bogotá (UAECOB) en el cumplimiento de la Constitución Política de
Colombia: Artículos relacionados con la lucha contra la corrupción; 23, 90, 122, 123, 124,
125, 126, 127,128,129,183,184,209, el Estatuto Anticorrupción Ley 1474 de julio 12, lo
dispuesto en el Artículo 73; Plan Anticorrupción y Atención al Ciudadano, la ley 1712 de
2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la
Información Pública Nacional y se dictan otras disposiciones. Y el Decreto 1081 de 2015:
Decreto reglamentario único del Sector Presidencia de la República. Título 4. Plan
Anticorrupción y de Atención al Ciudadano.
Contempla en la administración del riesgo Estrategias de lucha contra la corrupción y de
Atención al ciudadano. Por medio de la aplicación metodología de la gestión del riesgo a la
estrategia de lucha contra la corrupción, de la entidad en la cual se articula la gestión del
Riego al Plan Anticorrupción y Atención al Ciudadano PAAC , el plan contemplan seis
componentes, estos son : 1) Gestión de riesgos de corrupción, 2) Racionalización de
trámites, 3) Rendición de cuentas, 4) Mecanismos de atención al ciudadano, 5)
Transparencia y acceso a la información y 6) Iniciativas adicionales que, para el caso del
Cuerpo Oficial de Bomberos, corresponden al Plan de Integridad.
El componente de Gestión del riesgo de corrupción, desarrolla una serie de
subcomponentes, estos son la Política de Administración de Riesgos de Corrupción, la
Construcción del Mapa de Riesgos de Corrupción, la Consulta y divulgación, el Monitoreo
y revisión del plan y el Seguimiento y asigna responsabilidades a la Oficina Asesora de
Planeación, la Subdirección de Gestión Corporativa en lo relacionado al Control
disciplinario interno y Control interno y a la oficina de control interno como garantes de la
implementación de la gestión del riesgo para contrarrestar.
Como objetivo de plan se define: Establecer el plan de lucha contra la corrupción y
fortalecimiento del servicio a la ciudadanía de la Unidad Administrativa Especial Cuerpo
Oficial Bomberos de Bogotá mediante la formulación, ejecución y seguimiento de
actividades en los componentes de gestión de riesgos de corrupción, rendición de cuentas,
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 37 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
racionalización de trámites, servicio a la ciudadanía, transparencia y acceso a la
información e integridad para la vigencia 2021.14
De igual manera se estructuran una serie de objetivos específicos dirigidos a Fortalecer la
gestión de riesgos de corrupción de la Unidad Administrativa Especial Cuerpo Oficial
Bomberos de Bogotá.
Para la gestión de riesgos de corrupción la UAECOB a asignados una serie de
responsabilidades a las Oficina asesora de planeación, la oficina de control interno y la
Subdirección de Gestión Corporativa en relación al Control disciplinario interno, no obstante
se debe considerar que los riesgos de corrupción se convierten en una tipología de riesgos
que debe ser controlada por la totalidad organizacional de la entidad de modo tal que cada
responsable o líder de procesos pueda realizar el seguimiento correspondiente a sus
procesos propios del proceso.
Ahora bien, para la gestión de los riesgos asociados a la lucha contra la corrupción y la
eficacia administrativa, la Unidad Administrativa Especial Cuerpo Oficial Bomberos de
Bogotá, aplica la metodología diseñada por el Departamento de la Función Pública,
explicada en el presente documento, para tal efecto se complementan a continuación una
serie de aspectos diferenciales en la metodología, como Lineamientos sobre los riesgos
relacionados con posibles actos de corrupción
16.1. Definición de los Riesgos de Corrupción
Los riesgos de corrupción se constituyen a partir de la posibilidad de que, por acción u
omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado, en
ese sentido su definición debe comprender los componentes primarios reseñados, de la
siguiente manera:
𝑨𝒄𝒄𝒊ó𝒏 𝒖 𝑶𝒎𝒊𝒔𝒊ó𝒏 + 𝑼𝒔𝒐 𝒅𝒆𝒍 𝑷𝒐𝒅𝒆𝒓 + 𝒅𝒆𝒔𝒗𝒊𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒅𝒆 𝒍𝒂 𝑮𝒆𝒔𝒕𝒊ó𝒏 𝒅𝒆 𝒍𝒐 𝑷ú𝒃𝒍𝒊𝒄𝒐+ 𝑩𝒆𝒏𝒆𝒇𝒊𝒄𝒊𝒐 𝑷𝒓𝒊𝒗𝒂𝒅𝒐
Una vez descrito el riesgo de corrupción debe de aplicarse la metodología explicada en los
apartados anteriores de la presente guía
16.2. Valoración de los Riesgos de Corrupción
14 Cita del plan
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 38 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Los criterios para la definición de probabilidad de los riesgos de corrupción estarán
mediados por la ocurrencia de los hechos, los valores se presentan a continuación
Tabla 10. Homologación criterios de probabilidad de riesgos de corrupción y gestión de riesgos de seguridad digital
Descripción
Nivel Descriptor Frecuencia Descripción de la probabilidad
Descripción
5 Casi seguro Más de 1 vez al año Muy baja Se espera que el evento ocurra
4 Probable Al menos 1 vez en el último año
Baja Es viable que el evento ocurra
3 Posible Al menos 1 vez en los últimos 2 años
Media El evento podrá ocurrir en cualquier momento
2 Improbable Al menos 1 vez en los últimos 5 años
Alta El evento podría ocurrir esporádicamente
1 Rara vez No sé a Presentado en los últimos 5 años
Muy Alta El evento podría ocurrir excepcionalmente
Fuente: Elaboración propia, tomado del DAFP
Por su parte, el impacto de los riesgos de corrupción debe ser calculados a partir de una
serie de preguntas que se presentan a continuación:
Tabla 11. Valoración del impacto en riesgos de corrupción
N° Pregunta:
Si el riesgo de corrupción se materializa podría… SI No
1 ¿Afectar al grupo de funcionarios del proceso?
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
3 ¿Afectar el cumplimiento de misión de la entidad?
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la entidad?
5 ¿Generar pérdida de confianza de la entidad, afectando su reputación?
6 ¿Generar pérdida de recursos económicos?
7 ¿Afectar la generación de los productos o la prestación de servicios?
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien, servicios o recursos públicos?
9 ¿Generar pérdida de información de la entidad?
10 ¿Generar intervención de los órganos de control, de la Fiscalía u otro ente?
11 ¿Dar lugar a procesos sancionatorios?
12 ¿Dar lugar a procesos disciplinarios?
13 ¿Dar lugar a procesos fiscales?
14 ¿Dar lugar a procesos penales?
15 ¿Generar pérdida de credibilidad del sector?
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17 ¿Afectar la imagen regional?
18 ¿Afectar la imagen nacional?
19 ¿Generar daño ambiental? Nivel de impacto
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 39 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
N° Pregunta:
Si el riesgo de corrupción se materializa podría… SI No
Responder afirmativamente de UNA a CINCO preguntas(s) genera un impacto moderado. Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor.
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastrófico.
Fuente: Departamento Administrativo de Función Pública. DAFP 2018
De tal modo identificar un riesgo moderado en la entidad, podría significar medianas
consecuencias sobre la entidad, un riesgo mayor altas consecuencias sobre la entidad y un
riesgo catastrófico, consecuencias desastrosas para la entidad, una vez identificados la
probabilidad y el impacto, debe graficarse el riesgo en la matriz de calor, cabe resaltar que
para la valoración de los riesgos de corrupción no se contempla la calificación de impacto
leve ni bajo.
16.3. Controles y tratamiento de riesgos de corrupción
Para efectuar el control de los riesgos de corrupción debe utilizarse una metodología
basada en los criterios presentados a continuación.
Tabla 12. Análisis y evaluación de los controles para la mitigación de los riesgos. Criterio Aspecto para evaluar en el diseño
del control
Opción de
respuesta
Peso en la
evaluació
n
1. Responsable ¿Existe un responsable asignado a la ejecución del control?
Asignado 15
No asignado 0
¿El responsable tiene la autoridad y adecuada segregación de funciones en la ejecución del control?
Adecuado 15
Inadecuado 0
2. Periodicidad ¿La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación del riesgo o a detectar la materialización del riesgo de manera oportuna?
Oportuna 15
Inoportuna 0
3. Propósito ¿Las actividades que se desarrollan en el control realmente buscan por si sola prevenir o detectar las causas que pueden dar origen al riesgo, Ej.: verificar, validar, cotejar, comparar, revisar, etc.?
Prevenir 15
Detectar 10
No es control 0
4. Cómo se realiza
la actividad de
control
¿La fuente de información que se utiliza en el desarrollo del control es información confiable que permita mitigar el riesgo?
Confiable 15
No confiable 0
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 40 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
5. Qué pasa con
las
observaciones o
desviaciones
¿Las observaciones, desviaciones o dife-rencias identificadas como resultados de la ejecución del control son investigadas y resueltas de manera oportuna?
Se investigan y resuelven oportunamente
15
No se investigan y
resuelven
oportunamente
0
6. Evidencia de la
ejecución del
control
¿Se deja evidencia o rastro de la ejecución del control que permita a cualquier tercero con la evidencia llegar a la misma conclusión?
Completa 10
Incompleta 5
No existe 0
Resultado – Peso en la evaluación del diseño del control VALOR
Fuente: Departamento Administrativo de Función Pública. DAFP 2018
Una vez diseñado el control y calculado su peso, la efectividad del control se mide a partir
del resultado de este, de la siguiente manera:
Tabla 13. Rango de calificación, control para riesgos de corrupción Resultado – Peso en la evaluación del
diseño del control Rango de calificación del Diseño
Calificación entre 96 y 100 Fuerte
Calificación entre 86 y 95 Moderado
Calificación entre 0 y 85 Débil
Fuente: Departamento Administrativo de Función Pública. DAFP 2018
Evaluada la efectividad del control, debe considerase que si este tiene un rango de
calificación moderado o débil debe rediseñarse, toda vez que el control en sí mismo no es
una garantía para abordar el riesgo de corrupción.
Ante la posibilidad de diseñarse más de un control para la mitigación de riesgos de
corrupción, el Departamento Administrativo de la Función Pública, ha diseñado una
metodología que permita, agrupar los controles de un riesgo, y evaluarlos para identificar
su solides, para ello se debe presentar una agrupación individual de los controles que se
evaluarían de la siguiente manera.
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 41 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Tabla 14 Evaluación de la solidez individual de cada control (diseño y ejecución) Peso del
Diseño de cada control
Peso de la ejecución de cada control
Solidez individual de cada control:
Fuerte: 100 Moderado: 50
Débil: 0
Se debe establecer acciones para
fortalecer el control Si / No
Fuerte: calificación entre 96 y 100
fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No
moderado (algunas veces) fuerte + moderado = moderado Si
débil (no se ejecuta) fuerte + débil = débil Si
Moderado: calificación entre 86 y 95
fuerte (siempre se ejecuta) moderado + fuerte = moderado Si
moderado (algunas veces) moderado + moderado = moderado Si
débil (no se ejecuta) moderado + débil = débil Si
Débil: calificación entre 0 y 85
fuerte (siempre se ejecuta) débil + fuerte = débil Si
moderado (algunas veces) débil + moderado = débil Si
débil (no se ejecuta) débil + débil = débil Si
Fuente: Departamento Administrativo de Función Pública. DAFP 2018
Una vez individualizados los controles debe calcularse la solides en conjunto de estos para atacar el riesgo, en tal sentido los valores obtenidos de la cuantificación de los controles estarán dado de la siguiente manera; el control será fuerte si al ponderar los controles su valor es igual a 100, moderado si al ponderarlos está entre 50 y 99, y débil se al sumarlos y ponderarlos es menor a 50. Cabe resaltar que los controles son diseñados en mayor medida para atacar la probabilidad de ocurrencia de situaciones y evitar la materialización del riesgo, diseñar controles para el impacto, significa un espacio de exposición del riesgo en la entidad. El desplazamiento en la matriz de calor de los riesgos de corrupción estará mediado por las siguientes relaciones
Tabla 15 Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos
Solidez - conjunto de controles
Controles ayudan a disminuir
probabilidad
Controles ayudan a disminuir impacto
# Columnas en la matriz de riesgo
que se desplaza en el eje de
probabilidad
# Columnas en la matriz de riesgo
que se desplaza en el eje de impacto
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 42 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No disminuye 1 0
Moderado No disminuye Directamente 0 1
Fuente: Departamento Administrativo de Función Pública. DAFP 2018
Finalmente, el tratamiento de los riesgos de corrupción debe abordarse por la primera línea
de defensa para la mitigación de los diferentes riesgos, su tratamiento de igual manera debe
ir dirigido a reducir, evitar o aceptar el riesgo, los riesgos de corrupción puede ser
compartidos o transferidos, no obstante, esto no excluye la responsabilidad jurídica, legal y
social que ostenta la entidad.
17. GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
Basados en las Constitución Política de Colombia: Artículo 15 (Derecho a la intimidad y
buen nombre), artículo 20 (Derecho de información) y artículo 74 (Acceso a documentos
públicos). Se articula la administración y la metodología de gestión del riesgo a los
lineamientos de seguridad y privacidad de la información, con el fin de reducir, aceptar o
evitar los riesgos que del ámbito en mención se desprendan, y cuyos principios se
estructuran a partir de la confidencialidad, integridad y disponibilidad, mediante la
implementación del modelo de seguridad y privacidad de la información acorde a las guías
de buenas prácticas y requerimientos legales vigentes.
En tal sentido la planificación de la gestión del riesgo de seguridad digital y la información
(GRSDI) debe ir asociada al análisis y definición de los entornos, descritos en el numeral
siete (7) de la presente guía, la planificación contempla dimensionar el alcance de
aplicación de las gestiones de riesgos en seguridad digital razón por la cual se han definido
la Alta gerencia como la primera línea de defensa para estos riesgos
Resulta fundamental que, en la planeación de la gestión de riesgos de seguridad Digital, la asignación de recursos específicos permita abordar los riesgos de una manera diferencial,
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 43 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
pero acogiéndose y homologándose a la metodología propuesta en la presente guía, de tal manera la identificación del riesgo se hará contemplando:
17.1. Identificación de Riesgos de Seguridad de la Información
Para desarrollar el análisis de riesgo, se debe en un primer momento, realizarse un
inventario de activos que asocien los procesos al que este pertenece, La identificación de
los activos debe contemplar una descripción breve, un consecutivo y un responsable de los
mismos, a su vez la descripción del activo debe incluir la tipología15 de los mismos, una
vez definida la tipología del activo se requiere clasificar el activo tanto normativamente junto
con su eje temático estipulado en la norma.
Criticidad de los activos
La metodología anterior del anexo 4 de la guía de gestión del riesgo de la seguridad digital
contempla 3 criterios para el establecimiento del nivel de criticidad, estas variables son; la
criticidad respecto a su confidencialidad, la criticidad respecto a la completitud o integridad
del activo, y la criticidad respecto a su disponibilidad.
Una vez se ejecute la identificación de los activos, la entidad pública debe definir si
gestionará los riesgos en todos los activos del inventario o solo en aquellos que tengan un
nivel de criticidad Alto (el nivel de criticidad aceptable se debe establecer conforme a la
definición del apetito del riesgo de la metodología) esto debe estar debidamente
documentando y aprobado por la línea estratégica – Alta dirección.
El análisis de activos incluye el análisis de infraestructuras críticas cibernéticas, para
homologar la metodología se plantea asignar las siguientes interpretaciones metodológicas
Las variables de las valoraciones de infraestructuras críticas cibernética se agruparán así
Tabla 16. Homologación Criticidad de infraestructuras cibernéticas metodología Antigua Tipo de riesgo asociado % de riesgo asignado
según metodología
Criterios Afectación a más de (0,5%) de Población
Nacional
(Impacto Inherente del riesgo) 100%
Tipo de impacto Impacto social
Criterios Afectación de PIB de un Día o 0,123%
del PIB Anual
(Impacto Inherente del riesgo) 100%
Tipo de impacto Impacto económico
15 Revisar ISO 27001 y anexo 4 lineamientos para la gestión de riesgos de seguridad digital en entidades públicas para
establecer y definir tipologías
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 44 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
Criterios Afectación a Ecosistemas cuya recuperación dure más
de 3 años
(Impacto Inherente del riesgo) 100%
Fuente: Departamento Administrativo de Función Pública. DAFP 2018
Como resultado de la identificación los lideres responsables de cada proceso de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), estarán en la capacidad de identificar los riesgos construyendo como mínimo un modelo de tabla como la siguiente
Tabla 17. Tabla de descripción del riesgo del activo Nombre del proceso
Activo Descripción del activo
Responsable del activo
Clasificación Normativa
Factor de riesgo
Clasificación temática
Criticidad del activo
Fuente: Departamento Administrativo de Función Pública. DAFP 2018
La criticidad del activo debe desprenderse de los tres (3) riesgos inherentes de seguridad
de la información:
Pérdida de la confidencialidad
Pérdida de la integridad
Pérdida de la disponibilidad
Para realizar un buen análisis de los activos y de los riesgos de la seguridad digital y de la
información, el Departamento Administrativo de la Función Pública a Dispuesto el Anexo 4
“Modelo Nacional de Gestión de Riesgos de Seguridad de la Información para entidades
públicas”16 donde se encuentran las siguientes tablas necesarias para este análisis:
Tabla 5. Tabla de amenazas comunes
Tabla 6. Tabla de amenazas dirigida por el hombre
Tabla 7. Tabla de Vulnerabilidades Comunes
Identificadas y asociadas las amenazas y las vulnerabilidades a las cuales se ve sometido
un activo, debe procederse a la valoración del riesgo
17.2. Valoración de Riesgos de Seguridad de la Información
Para la valoración del riesgo se debe adoptar el mismo análisis de cálculo de probabilidad
e impacto inherentes abordados en la primera parte del documento, en las tablas número
16 https://acortar.link/tO7W6
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 45 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
3 y 4, sin embargo, su valoración puede ir acompañada del cálculo a partir de los tres
riesgos inherentes a los activos de seguridad de la información, en tal sentido se facilita el
siguiente cuadro, como criterio articulador de la definición del riesgo inherente.
Tabla 18. Valoración de riesgos de seguridad de la información
Prin
cip
io
NIVELES DE IMPACTO/CONSECUENCIA
Insignificante 1
Menor 2
Moderado 3
Mayor 4
Catastrófico 5
Co
nfi
den
cia
lid
ad
La divulgación no autorizada o el acceso no autorizado a un activo de información no tendrán efecto sobre la operación de la organización, los activos de la organización o los colaboradores.
La divulgación no autorizada o el acceso no autorizado a un activo de información tendrán un efecto adverso muy pobre sobre la operación de la organización, los activos de la organización o los colaboradores.
La divulgación no autorizada o el acceso no autorizado a un activo de información tendrán un serio efecto adverso sobre la operación de la organización, los activos de la organización o los colaboradores.
La divulgación no autorizada o el acceso no autorizado a un activo de información tendrán un efecto adverso Importante sobre la operación de la organización, los activos o los colaboradores.
La divulgación no autorizada o el acceso no autorizado a un activo de información tendrán un efecto severo o catastrófico sobre la operación de la organización, los activos o los colaboradores.
Inte
gri
da
d
La modificación o destrucción no autorizada de cualquier activo de información no tendrá efecto sobre la operación de la organización, los activos de la organización o los colaboradores.
La modificación o destrucción no autorizada de cualquier activo de información tendrá un efecto adverso muy pobre sobre la operación de la organización, los activos de la organización o los colaboradores.
La modificación o destrucción no autorizada de cualquier activo de información tendrá un efecto adverso serio sobre la operación de la organización, los activos de la organización o los colaboradores.
La modificación o destrucción no autorizada de cualquier activo de información tendrá un efecto adverso importante sobre la operación de la organización, los activos de la organización o los colaboradores.
La modificación o destrucción no autorizada de cualquier activo de información tendrá un efecto adverso severo o catastrófico sobre la operación de la organización, los activos de la organización o los colaboradores.
Dis
po
nib
ilid
ad
La interrupción de acceso o el uso inadecuado de cualquier activo de información no tendrán efectos sobre la operación de la organización, los activos de la organización, o los colaboradores.
La interrupción de acceso o el uso inadecuado de cualquier activo de información tendrán efectos adversos limitados sobre la operación de la organización, los activos de la organización, o los colaboradores.
La interrupción de acceso o el uso inadecuado de cualquier activo de información tendrán efectos adversos serios sobre la operación de la organización, los activos de la organización, o los colaboradores.
La interrupción de acceso o el uso inadecuado de cualquier activo de información tendrán efectos adversos importantes sobre la operación de la organización, los activos de la organización, o los colaboradores.
La interrupción de acceso o el uso inadecuado de cualquier activo de información tendrán efectos adversos severos o catastróficos sobre la operación de la organización, los activos de la organización, o los colaboradores
Fuente: Departamento Administrativo de Función Pública. DAFP 2018
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 46 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
17.3. Controles y tratamiento del riesgo
Para el tratamiento de los riesgos de seguridad de la información se debe contemplar la tipificación de Controles para riesgos de seguridad de la información visibles en el documento maestro del modelo de seguridad y privacidad de la información (MSPI)17 , si bien la metodología tiene algunas variantes, el tratamiento del riesgo de la seguridad de la información se diseña a partir de la necesidad de reducir, evitar o aceptar el riesgo. Bajo el mapa de calor, y con las mismas consideraciones descritas en los numerales anteriores
18. DOCUMENTOS RELACIONADOS
CÓDIGO DOCUMENTO
GE-PL01 PLAN ANTICORRUPCIÓN Y ATENCIÓN AL CIUDADANO PAAC 2021
TIC-MN01 MANUAL DE POLÍTICAS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
GE-GA01-FT01 MAPA DE RIESGOS INSTITUCIONAL
GE-GA01-FT02 MAPA DE RIESGOS DE CORRUPCIÓN
GE-GA01-PR01 (PROCEDIMIENTO) ADMINISTRACIÓN DEL RIESGO
19. CONTROL DE CAMBIOS
VERSIÓN FECHA DESCRIPCIÓN DE LA MODIFICACIÓN
01 03/09/2021 Creación del Documento
17 https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/Estrategias/MSPI/
Nombre del Proceso
GESTIÓN ESTRATÉGICA
Código: GE-GA01
Versión: 01
Nombre de la Guía
ADMINISTRACIÓN DEL RIESGO
Vigencia: 03/09/2021
Página 47 de 51
Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la
versión vigente en el sitio oficial de los documentos
20. CONTROL DE FIRMAS
Elaboró Cristian Camilo Suarez Herrera
Cargo
Vo.Bo. de Mejora Continua – OAP
Firma:
Revisó Ingrid Johanna Maldonado Martínez
Cargo
Líder de mejora Continua- OAP
Firma
Aprobó Comité de coordinación de control interno
Cargo Comité de coordinación de control interno
Firma Acta No. 03