guÍa polÍtica de riesgos - corporinoquia.gov.co · alcance de la política. la política de...
TRANSCRIPT
BOLETIN DE CONTROL INTERNO
“OCINOTICIAS”
ENERO- FEBRERO 2016
GUÍA POLÍTICA DE RIESGOS
GUÍA POLÍTICA DE RIESGOS
Objetivo de la política. Orientar la
toma de decisiones oportunas y
minimizar efectos adversos al interior
del Departamento, con el fin de dar
continuidad a la gestión institucional y
asegurar el cumplimiento de los
compromisos con los Ciudadanos,
Servidores e Instituciones Públicas.
Alcance de la Política. La política de
riesgos es aplicable a todos los procesos de
la Entidad y a todas las acciones ejecutadas
por los servidores durante el ejercicio de
sus funciones.
Política de Administración de Riesgos: La
Corporación Autónoma Regional de la
Orinoquia Corporinoquia se compromete a
administrar los riesgos inherentes a la gestión
de sus procesos, con el propósito de orientar
las acciones necesarias que conduzcan a
disminuir la vulnerabilidad frente a situaciones
que interfieran en el cumplimiento de su Misión
Institucional.
Responsabilidad y Compromisos frente al riesgo
Rol Función
Alta Dirección - Comité de Coordinación de Controlinterno
Establecer política de riesgo
Realizar seguimiento y análisis periódico a los riesgos
Líderes de Procesos y Equipos de Trabajo Identificar los riesgos y controles de procesos yproyectos a cargo en cada vigencia
Realizar seguimiento y análisis a los controles de losriesgos según periodicidad establecida
Actualizar el mapa de riesgos cuando la administraciónde los mismos lo requiera.
Oficina de Control Interno Asesorar la identificación de los riesgos institucionales
Analizar el diseño e idoneidad de los controlesestablecidos en los procesos
Realizar seguimiento a los riesgos consolidados
Subdirección de Planeación Ambiental Acompañar y orientar sobre la metodología para la
identificación, análisis, calificación y valoración delriesgo.
Consolidar el Mapa de riesgos institucional
Monitorear cambio de entorno y nuevas amenazas
Contexto Estratégico de Función Pública
Analizado el entorno de la Corporación Autónoma
Regional de la Orinoquia - Corporinoquia, se han
identificado los siguientes factores a considerar para
el adecuado análisis de las causas del riesgo en cada
proceso y la gestión del mismo:
Clasificación Factores
EXTERNOS
Económicos: Disminución del presupuesto por prioridades del Gobierno, Austeridad en el gasto.
Políticos: Cambio de gobierno con nuevos planes y proyectos de Desarrollo, Falta de continuidad en los programas establecidos,Desconocimiento de la Entidad por parte de otros órganos de gobierno y Desarticulación de los estamentos gubernamentales.
Sociales: Mala imagen de la Corporación a través de los años
Tecnológicos: Falta de interoperabilidad con otros sistemas, Fallas en la infraestructura tecnológica, falta de recursos para elfortalecimiento tecnológico,
Medio Ambientales: Contaminación por sustancias perjudiciales para la salud, Mala práctica de clasificación de residuos,Inoperancia en el manejo de los riesgos ambientales
Comunicación Externa: Múltiples canales e interlocutores de la Entidad con los usuarios, Los usuarios no utilizan los medios decomunicación que existen, tramitología.
INTERNOS
Financieros: Bajo presupuesto de funcionamiento que impide el desarrollo de proyectos, demoras en apropiación y ejecución derecursos, dificultades para la definición de proyectos.
Personal: Desmotivación de los servidores, Pocos recursos para los incentivos, carrera administrativa sin posibilidades de ascenso,Pocos recursos para capacitación.
Procesos: incoherencia entre procesos establecidos y ejecutados, Desconocimiento de los procesos y procedimientos por parte delos servidores, desactualización de documentos, falta interacción.
Tecnología: sistemas de gestión ineficientes, falta de optimización de sistemas de gestión, falta de coordinación de necesidades detecnología.
Estratégicos: Falta de lineamientos y demoras en la Planeación, mapa de procesos desactualizado, estructura organizacional no
acordes con procesos, indicadores mal formulados que no aportan a la gestión para toma de decisiones, desconocimiento y falta deaplicación de políticas de operación por parte de los servidores.
Comunicación Interna: Falta de control sobre los canales establecidos, Ausencia de una cultura de comunicación interna, demorasen llevar la información.
Tipología del riesgo en la Corporación Autónoma
Regional de la Orinoquia - Corporinoquia
De acuerdo con la naturaleza de la entidad y a los
procesos que se han definido dentro del Sistema de
Gestión Integral se estructuraron los siguientes riesgos:
de Proceso y de Corrupción; estos últimos ajustados a la
normatividad vigente.
Riesgos de Proceso: Aquellos
riesgos asociados al logro de los
objetivos institucionales, se
identifican y/o validan en cada
vigencia por los líderes de proceso y
sus respectivos equipos de trabajo y
se clasifican en:
Estratégicos: Asociado a la administración de la Entidad y se enfoca a asuntos
globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la
definición de políticas, diseño y conceptualización de la entidad por parte de la alta
gerencia.
De Imagen: Relacionado con la percepción y la confianza por parte de los usuarios y
partes interesadas hacia la Corporación
Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de
los sistemas de información de la Corporación, de la definición de los procesos, la
estructura de la entidad y la articulación entre dependencias.
Financieros: Relacionado con el manejo de recursos que incluyen la ejecución
presupuestal, la elaboración de los estados financieros, los pagos, manejos de
excedentes de tesorería y el manejo sobre los bienes
Cumplimiento y conformidad : Se asocian con la capacidad de la entidad para
cumplir con los requisitos legales, contractuales, de ética pública y en general con su
compromiso ante la comunidad
Tecnológicos: Están relacionados con la capacidad tecnológica de la Entidad parasatisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.
De corrupción: Relacionados con acciones, omisiones, uso indebido del poder, de los
recursos o de la información para la obtención de un beneficio particular o de un
tercero.
De Información: Se asocia a la calidad, seguridad, oportunidad, pertinencia y
confiabilidad de la información agregada y desagregada.
Riesgos de Corrupción: Son los eventos que por
acción u omisión, mediante el uso indebido del poder,
de los recursos o de la información, se lesionen los
intereses de una entidad y en consecuencia, del
Estado, para la obtención de un beneficio particular,
se identifican en cada vigencia, se administran
mediante el Mapa de riesgos de corrupción y se
ejecuta monitoreo por parte de la Oficina de Control
Interno el cual se encuentra consolidado en el
Informe de Seguimiento Plan Atención al Ciudadano
y Anticorrupción presentados los días 31 de enero,
30 de abril, 30 de agosto y 31 de diciembre de cada
vigencia; de igual forma cada año se realiza su
actualización y se adopta por medio de acto
administrativo.
El Plan Anual de Anticorrupción y Atención al
Ciudadano se enfoca en los siguientes
componentes:
1. El mapa de riesgos de corrupción y las medidas
para controlarlos y evitarlos
2. Las estrategias anti trámites
3. La rendición de cuentas
Los mecanismos para mejorar la atención al
ciudadano.
Nivel de Aceptación del Riesgo
Acogiendo la Matriz de riesgo sugerida en la Guía para la
Administración del Riesgo de Función Pública- 2014:
PR
OB
AB
ILID
AD
5CASI SEGURO
ZONA DE RIESGO EXTREMA
4PROBABLE
ZONA DE RIESGO ALTA
3POSIBLE
ZONA DE RIESGO MODERADA
2IMPOSIBLE
ZONA DE RIESGO BAJA
1RARA VEZ
1INSIGNIFICANTE
2MENOR
3MODERADO
4MAYOR
5CATASTRÓFICO
IMPACTO
Opciones de Manejo: Y los criterios ERCA (Evitar,
Reducir, Compartir y Asumir), la Corporación
Autónoma Regional de la Orinoquia - Corporinoquia
establece a continuación los niveles de aceptación y
periodicidad de seguimiento a los riesgos
identificado:
Cuando se mide la probabilidad e impacto de un
riesgo residual y éste queda catalogado en nivel
BAJO, se ASUMIRÁ el riesgo y administrará por
medio de las actividades propias del proceso
asociado y su control y registro de avance se
realizará por medio del reporte mensual de su
desempeño; como política de autocontrol.
Cuando el nivel del riesgo residual queda ubicado en la zona de
riesgo MODERADA, se deberá incluir este riesgo en el Mapa de
riesgo, establecer acciones de Control Preventivas que permitan
REDUCIR la probabilidad de ocurrencia del riesgo, se
administrarán mediante seguimiento mensual, como política de
autocontrol; la oficina de Control Interno realizará seguimiento
de todos los riesgos por proceso semestralmente y del mapa de
riesgos anticorrupción de acuerdo a las fechas estipuladas a
saber: 31 de enero, 30 de abril, 30 de agosto y 31 de diciembre
del año en curso.
Cuando el nivel del riesgo residual queda ubicado en
la zona de riesgo ALTA, se deberá incluir el riesgo
tanto en el Mapa de riesgo del Proceso como en el
Mapa de Riesgo Institucional y se establecerán
acciones de Control Preventivas que permitan
EVITAR la materialización del riesgo. La
Administración de estos riesgos será con
periodicidad mensual, como política de autocontrol;
la oficina de Control Interno realizará seguimiento de
todos los riesgos por proceso .
Si el Nivel del riesgo residual se ubica en la zona de
riesgo EXTREMA, se incluirá el riesgo en el Mapa de
riesgo del Proceso y en el Mapa de Riesgo
Institucional, se establecerán acciones de Control
Preventivas y correctivas que permitan EVITAR la
materialización del riesgo. La Administración de estos
riesgos será con periodicidad mensual, como política
de autocontrol; la oficina de Control Interno realizará
seguimiento de todos los riesgos por proceso
Cuadro resumen:
ZONANIVEL
ACEPTACIÓNREGISTRO
SEGUIMIENTO COMO POLITICA DE
AUTOCONTROL
SEGUIMIENTO CONTROL INTERNO
Extrema
No Aceptable
Mapa de Riesgo Proceso e Institucional
MENSUAL SEMESTRAL
Alta
Mapa de Riesgo Proceso e Institucional
MENSUAL SEMESTRAL
Moderada Mapa de Riesgo Proceso MENSUAL SEMESTRAL
BajaAceptable
Informe de seguimiento Control Interno SEMESTRAL
Cuando mediante el seguimiento se prevea la posible
materialización del riesgo, se establecerá una acción preventiva
de manera inmediata, con acciones diferentes a las planificadas
en el Mapa de Riesgos inicial y se analizarán la pertinencia de los
controles previamente definidos.
Una vez materializado un riesgo el líder del proceso procederá de
manera inmediata a aplicar un plan de contingencia que permita
la continuidad del servicio o el restablecimiento del mismo (si es
el caso), se documentará dicho plan en el Plan de Acción y
replantear los riesgos del proceso.
Metodología para la gestión del riesgo de proceso en la Corporación
Autónoma Regional de la Orinoquia - Corporinoquia
Atendiendo la metodología propia de Función Pública Guía para la
administración del riesgo-2014, se define los siguientes pasos para
la adecuada gestión del riesgo que deberán seguir los equipos de
trabajo de cada proceso al inicio de cada vigencia:
El formato direccionado por la Corporación es el Mapa de Riesgos el
cual se fundamentará en los siguientes ítems:
a. Proceso
b. Objetivo del Proceso
c. Año
d. Contexto estratégico del proceso
e. Riesgo
f. Causas
g. Consecuencias
h. Clasificación del riesgo
i. Riesgo inherente (probabilidad, impacto y nivel)
j. Controles
k. Riesgo Residual (probabilidad, impacto y nivel)
l. Opción de manejo
m. Acciones
n. Responsable de la Acción
o. Registro Evidencia
p. Indicador (Este indicador debe medir el riesgo y permitir realizar
su monitoreo)
Paso 1: Establecimiento del contexto en cada proceso: a partir del análisis de los entornos estratégico de la
Entidad y del objetivo del proceso. A continuación se evidencia el formato Mapa de riesgos.
Paso 2: Análisis de Causas: Mediante lluvia de ideas al interior del equipo de trabajo del proceso, se analizan
las causas que podrían afectar el cumplimiento del objetivo del proceso, sus posibles efectos, se nombra el
riesgo y se clasifica, haciendo uso del formato establecido en el sistema de gestión integral de la Corporación.
Paso 3: Consecuencias: Se definen en mesas de trabajo las posibles consecuencias de los riesgos
identificados; este ejercicio debe estar soportado por un acta de reunión.
Paso 4: Clasificación del Riesgo: Haciendo uso de la matriz de probabilidad e impacto se determina el nivel del
riesgo inherente para poder dirimir su clasificación; algunos aspectos a tener en cuenta para el nivel de
clasificación del impacto de los riesgos evidenciados, a manera de ejemplo tenemos:
SISTEMA DE GESTIÓN INTEGRAL CÓDIGO
PROCESO EVALUACIÓN
INDEPENDIENTEVERSIÓN
MATRIZ DE PROBABILIDAD E
IMPACTO
FECHA DE
ACTUALIZACI
ÓN
NIVELES PARA CALIFICAR EL IMPACTO IMPACTO (CONSECUENCIAS) CUANTITATIVO IMPACTO (CONSECUENCIAS) CUALITATIVO
CATASTRÓFICO
Impacto que afecte la ejecución presupuestal en un mayor valor o igual
al 50%
Pérdida de cobertura en la prestación del servicio mayor o igual al 50%
Pago indemnizaciones a terceros por acciones legales que puedan
afectar el presupuesto total de la entidad en un valor mayor o igual a un
50%
Pago de Sanciones económicas por incumplimiento en la normatividad
aplicable ante un ente regulador, las cuales afecten en un valor mayor o
igual del 50% del presupuesto general de la entidad.
Interrupción de las operaciones de la Entidad por más de 5 días
Intervención por parte de un ente de control u otro ente regulador
Pérdida de Información crítica para la entidad que no se puede
recuperar
Incumplimiento en las metas y objetivos institucionales afectando de
forma grave la
ejecución presupuestal
Imagen institucional afectada en el orden nacional o regional por actos
o hecho de
corrupción comprobados.
MAYOR
Impacto que afecte la ejecución presupuestal en un mayor valor o igual
al 20%
Pérdida de cobertura en la prestación del servicio mayor o igual al 20%
Pago indemnizaciones a terceros por acciones legales que puedan
afectar el presupuesto total de la entidad en un valor mayor o igual a un
20%
Pago de Sanciones económicas por incumplimiento en la normatividad
aplicable ante un ente regulador, las cuales afecten en un valor mayor o
igual del 20% del presupuesto general de la entidad.
Interrupción de las operaciones de la Entidad por más de 2 días
Pérdida de información crítica que puede ser recuperada de forma
parcial o
incompleta
Sanción por parte del ente de control u otro ente regulador.
Incumplimiento en las metas y objetivos institucionales afectando el
cumplimiento
en las metas de gobierno
Imagen institucional afectada en el orden nacional o regional por
incumplimientos
en la prestación del servicio a los usuarios o ciudadanos.
MODERADO
Impacto que afecte la ejecución presupuestal en un valor mayor o igual
al 5%
Pérdida de Cobertura en la prestación del servicio mayor o igual al 10%
Pago indemnizaciones a terceros por acciones legales que puedan
afectar el presupuesto total de
la entidad en un valor mayor o igual al 5%
Pago de Sanciones Económicas por incumplimiento en la normatividad
aplicable ante un ente regulador, las cuales afectan en un valor mayor o
igual del 5% del presupuesto general de la
entidad.
Interrupción de las operaciones de la Entidad por 1 dio
Reclamaciones o quejas de los usuarios que podrían implicar una
denuncia ante los
entes reguladores o una demanda e largo alcance para la entidad.
Inoportunidad en la información ocasionando retrasos en la atención a
los usuarios.
Reproceso de actividades y aumento de carga operativa
Imagen institucional afectada en el orden nacional o regional por
retrasos en la
prestación del servicio a los usuarios o ciudadanos
Investigaciones penales, fiscales o disciplinarias
MENORTendría consecuencias o efectos sobre la entidad sin ocasionar
mayores daños
INSIGNIFICANTETendría consecuencias o efectos sobre la entidad sin ocasionar
mayores daños
Paso 4: Riesgo Inherente: Allí se define de acuerdo al análisis de
la mesa de trabajo la probabilidad de ocurrencia del riesgo; de
acuerdo a eventos históricos (estos pueden o no estar
documentados), el impacto de acuerdo a la matriz de probabilidad
e impacto y el nivel lo vislumbra la matriz de calificación del
riesgo.
Paso 5: Se identifican los posibles controles, se valoran según la
matriz de valoración de controles la cual se evidencia a
continuación (este formato se encuentra definido en el sistema de
gestión integral de la Corporación), se determinan el nuevo nivel
del riesgo, se documenta el resultado fina como riesgo Residual,
calificando su manejo:
Análisis de Controles Existentes
Los controles son las acciones que el proceso ejecuta con
el fin de mitigar la probabilidad de ocurrencia de un riesgo
identificado; de igual forma para poder dar observancia a
su eficacia se debe tener en cuenta:
En las columnas de evaluación (Si / No) se realiza una
ponderación del cumplimiento al criterio de evaluación la
cual debe estar soportada por mesas de trabajo que
permitan realizar un análisis objetivo.
SISTEMA DE GESTIÓN INTEGRAL CÓDIGO
PROCESO EVALUACIÓN
INDEPENDIENTEVERSIÓN
MATRIZ DE VALORACIÓN DE
CONTROLESFECHA DE
ACTUALIZACIÓN
Descripción del control Criterios para la evaluación Evaluación ObservacionesSI NO
¿Existen manuales, instructivos o
procedimientos para el manejo del
control?
15
¿Están definidos los responsables de la
ejecución del control y del seguimiento?
5
¿El control es automático? (sistemas,
software, contraseñas, indicadores,
aprobaciones, sistemas de seguridad,
scanner, sistemas de grabación, entre
otros)
15
¿El control es manual? (políticas de
operación, firmas, archivos,
consecutivos, listas de chequeo, controle
de seguridad con personal
especializado, entre otros)
10
¿La frecuencia de ejecución del control y
seguimiento es adecuada?
15
¿Se cuenta con evidencia de la
ejecución y seguimiento del control?
10
¿En el tiempo que lleva la herramienta
ha demostrado ser efectiva?
30
Paso 5. Riesgos Residuales: Después de realizar un análisis de los controles existentes y de su
efectividad en la administración del riesgo se vuelve a definir su probabilidad, impacto y el nivel en el
cual se encuentra ubicado.
Paso 6. Opción de Manejo: Una vez se realiza el análisis en la matriz de calificación del riesgo se
da observancia a las diferentes opciones de manejo que está arroja.
Paso 7. Acciones; Se identifican las acciones a emprender durante cada vigencia para la adecuada
administración del riesgo, se determina el responsable de cada una de ellas; realizando el registro de
la evidencia; las evidencias deben ser remitidas a la Oficina de Control interno a más tardar los diez
(10) primeros días de forma trimestral.
Paso 8. Indicador. Este indicador debe medir el riesgo y permitir realizar su monitoreo, el seguimiento del
indicador lo realizará el líder del proceso en el formato definido para tal fin en el sistema de gestión integral; de
igual manera este deber ser enviado a la Oficina de Control Interno a más tardar los diez (10) primeros días con
una periodicidad trimestral.
Paso 9. Consolidación del Mapa de Riesgos Institucional. La Oficina de Control Interno consolida el Mapa de
riesgos Institucional con los riesgos en nivel Alto, Extremo y de Corrupción, lo presenta ante el Comité de
Coordinación de Control Interno, antes del 30 de enero de cada vigencia y realiza su correspondiente publicación
en el Portal web. El formato será el mismo del Mapa de Riesgos
Paso 10. Publicación en la carpeta _Sistema de Gestión Integral. Cada uno de los procesos tendrá que
publicar el mapa de riesgos de su proceso en la carpeta que corresponda titulada Mapa de Riesgos.
Paso 11. Seguimiento Autocontrol: Los líderes de procesos realizarán el monitoreo de las acciones con
periodicidades no mayor a tres meses; dichos monitoreos se deberán realizar en mesas de trabajo de tal
actividad deben quedar actas de reunión suscritas; si es necesario realizar modificaciones el mapa de riesgos en
cualquiera de sus ítems se realizará el ajuste avalado por el líder del proceso y su equipo de trabajo y se remitirá
la actualización a la Oficina de Control Interno.
Nota: En el caso del Mapa Anticorrupción se
ajustará a los requerimientos normativos y a
este se le realizará seguimiento como parte
de la política de autocontrol por cada
responsable y por el Jefe de la Oficina de
Control Interno; este mapa al igual que el
mapa institucional reposará en la Carpeta del
Proceso Evaluación independiente con sus
correspondientes documentos soportes.
EIN-FOR-007
3
30/11/2015
CÓDIGO:
VERSIÓN:
FECHA DE APROBACIÓN:
SISTEMA DE GESTIÓN INTEGRAL
PROCESO EVALUACION INDEPENDIENTE
MAPA DE RIESGOS
PROCESO: Evaluación Independiente
OBJETIVO DEL PROCESO:
Evaluar objetivamente el Sistema Gestión Integral, así como la gestión, resultados deretroalimentación de clientes de la Corporación, con el fin de orientar a las dependenciasen la identificación y planteamiento de soluciones, promoviendo el mejoramientocontinuo y el fomento de la cultura de autocontrol.
AÑO: 2015
EIN-FOR-007
3
30/11/2015
CÓDIGO:
VERSIÓN:
FECHA DE APROBACIÓN:
SISTEMA DE GESTIÓN INTEGRAL
PROCESO EVALUACION INDEPENDIENTE
MAPA DE RIESGOS
CONTEXTO ESTRATÉGICO PROCESO RIESGO CAUSAS CONSECUENCIASCLASIFICACIÓN DEL
RIESGO
RIESGO 1
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 2
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 3
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
EIN-FOR-007
3
30/11/2015
CÓDIGO:
VERSIÓN:
FECHA DE APROBACIÓN:
SISTEMA DE GESTIÓN INTEGRAL
PROCESO EVALUACION INDEPENDIENTE
MAPA DE RIESGOS
CONTEXTO ESTRATÉGICO PROCESO RIESGO CAUSAS CONSECUENCIASCLASIFICACIÓN DEL
RIESGO
RIESGO 1
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 2
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 3
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
EIN-FOR-007
3
30/11/2015
CÓDIGO:
VERSIÓN:
FECHA DE APROBACIÓN:
SISTEMA DE GESTIÓN INTEGRAL
PROCESO EVALUACION INDEPENDIENTE
MAPA DE RIESGOS
CONTEXTO ESTRATÉGICO PROCESO RIESGO CAUSAS CONSECUENCIASCLASIFICACIÓN DEL
RIESGO
RIESGO 1
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 2
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 3
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
EIN-FOR-007
3
30/11/2015
CÓDIGO:
VERSIÓN:
FECHA DE APROBACIÓN:
SISTEMA DE GESTIÓN INTEGRAL
PROCESO EVALUACION INDEPENDIENTE
MAPA DE RIESGOS
CONTEXTO ESTRATÉGICO PROCESO RIESGO CAUSAS CONSECUENCIASCLASIFICACIÓN DEL
RIESGO
RIESGO 1
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 2
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 3
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
EIN-FOR-007
3
30/11/2015
CÓDIGO:
VERSIÓN:
FECHA DE APROBACIÓN:
SISTEMA DE GESTIÓN INTEGRAL
PROCESO EVALUACION INDEPENDIENTE
MAPA DE RIESGOS
CONTEXTO ESTRATÉGICO PROCESO RIESGO CAUSAS CONSECUENCIASCLASIFICACIÓN DEL
RIESGO
RIESGO 1
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 2
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 3
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
EIN-FOR-007
3
30/11/2015
CÓDIGO:
VERSIÓN:
FECHA DE APROBACIÓN:
SISTEMA DE GESTIÓN INTEGRAL
PROCESO EVALUACION INDEPENDIENTE
MAPA DE RIESGOS
CONTEXTO ESTRATÉGICO PROCESO RIESGO CAUSAS CONSECUENCIASCLASIFICACIÓN DEL
RIESGO
RIESGO 1
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 2
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO 3
CAUSA 1 CONSECUENCIAS
CAUSA 2
CAUSA 3
RIESGO INHERENTE
CONTROLES
RIESGO RESIDUAL
OPCION DE MANEJO
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
CONTROL 1
CONTROL 2
CONTROL 3
CONTROL 4
CONTROL 5
CONTROL 6
CONTROL 7
CONTROL 8
CONTROL 9
RIESGO INHERENTE
CONTROLES
RIESGO RESIDUAL
OPCION DE MANEJO
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
CONTROL 1
CONTROL 2
CONTROL 3
CONTROL 4
CONTROL 5
CONTROL 6
CONTROL 7
CONTROL 8
CONTROL 9
RIESGO INHERENTE
CONTROLES
RIESGO RESIDUAL
OPCION DE MANEJO
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
CONTROL 1
CONTROL 2
CONTROL 3
CONTROL 4
CONTROL 5
CONTROL 6
CONTROL 7
CONTROL 8
CONTROL 9
RIESGO INHERENTE
CONTROLES
RIESGO RESIDUAL
OPCION DE MANEJO
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
CONTROL 1
CONTROL 2
CONTROL 3
CONTROL 4
CONTROL 5
CONTROL 6
CONTROL 7
CONTROL 8
CONTROL 9
RIESGO INHERENTE
CONTROLES
RIESGO RESIDUAL
OPCION DE MANEJO
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
CONTROL 1
CONTROL 2
CONTROL 3
CONTROL 4
CONTROL 5
CONTROL 6
CONTROL 7
CONTROL 8
CONTROL 9
Descripción del control Criterios para la evaluación Evaluación Observaciones
SI NO
¿Existen manuales, instructivos o
procedimientos para el manejo del
control?
15
¿Están definidos los responsables
de la ejecución del control y del
seguimiento?
5
¿El control es automático?
(sistemas, software, contraseñas,
indicadores, aprobaciones,
sistemas de seguridad, scanner,
sistemas de grabación, entre otros)
15
¿El control es manual? (políticas de
operación, firmas, archivos,
consecutivos, listas de chequeo,
controle de seguridad con personal
especializado, entre otros)
10
¿La frecuencia de ejecución del
control y seguimiento es
adecuada?
15
¿Se cuenta con evidencia de la
ejecución y seguimiento del
control?
10
¿En el tiempo que lleva la
herramienta ha demostrado ser
efectiva?
30
SISTEMA DE GESTIÓN INTEGRAL CÓDIGO
PROCESO EVALUACIÓN INDEPENDIENTE VERSIÓN
MATRIZ DE VALORACIÓN DE CONTROLESFECHA DE
ACTUALIZACIÓN
RIESGO INHERENTE
CONTROLES
RIESGO RESIDUAL
OPCION DE MANEJO
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
PR
OB
AB
ILID
AD
IMPA
CTO
NIV
EL
CONTROL 1
CONTROL 2
CONTROL 3
CONTROL 4
CONTROL 5
CONTROL 6
CONTROL 7
CONTROL 8
CONTROL 9
Cuando se mide la probabilidad e impacto de un riesgo residual y éste queda catalogado en nivel
BAJO, se ASUMIRÁ el riesgo y administrará por medio de las actividades propias del proceso
asociado y su control y registro de avance se realizará por medio del reporte mensual de su
desempeño; como política de autocontrol.
Cuando el nivel del riesgo residual queda ubicado en la zona de riesgo MODERADA, se deberá
incluir este riesgo en el Mapa de riesgo, establecer acciones de Control Preventivas que permitan
REDUCIR la probabilidad de ocurrencia del riesgo, se administrarán mediante seguimiento
mensual, como política de autocontrol; la oficina de Control Interno realizará seguimiento de todos
los riesgos por proceso semestralmente y del mapa de riesgos anticorrupción de acuerdo a las
fechas estipuladas a saber: 31 de enero, 30 de abril, 30 de agosto y 31 de diciembre del año en
curso.
Cuando el nivel del riesgo residual queda ubicado en la zona de riesgo ALTA, se deberá incluir el
riesgo tanto en el Mapa de riesgo del Proceso como en el Mapa de Riesgo Institucional y se
establecerán acciones de Control Preventivas que permitan EVITAR la materialización del riesgo. La
Administración de estos riesgos será con periodicidad mensual, como política de autocontrol; la
oficina de Control Interno realizará seguimiento de todos los riesgos por proceso .
Si el Nivel del riesgo residual se ubica en la zona de riesgo EXTREMA, se incluirá el riesgo en el
Mapa de riesgo del Proceso y en el Mapa de Riesgo Institucional, se establecerán acciones de
Control Preventivas y correctivas que permitan EVITAR la materialización del riesgo. La
Administración de estos riesgos será con periodicidad mensual, como política de autocontrol; la
oficina de Control Interno realizará seguimiento de todos los riesgos por proceso.
ZONA DE RIESGO OPCIÓN DE MANEJOZona de Riesgo Extrema EvitarZona de Riesgo Alta EvitarZona de Riesgo Moderada ReducirZona de Riesgo Baja Asumir
ZONANIVEL
ACEPTACIÓNREGISTRO
SEGUIMIENTO COMO POLITICA DE
AUTOCONTROL
SEGUIMIENTO CONTROL INTERNO
Extrema
No Aceptable
Mapa de Riesgo Proceso e Institucional
MENSUAL SEMESTRAL
AltaMapa de Riesgo Proceso
e InstitucionalMENSUAL SEMESTRAL
Moderada Mapa de Riesgo Proceso MENSUAL SEMESTRAL
BajaAceptable
Informe de seguimiento Control Interno SEMESTRAL
Cuando mediante el seguimiento se prevea la posible materialización del riesgo, se
establecerá una acción preventiva de manera inmediata, con acciones diferentes a las
planificadas en el Mapa de Riesgos inicial y se analizarán la pertinencia de los controles
previamente definidos.
Una vez materializado un riesgo el líder del proceso procederá de manera inmediata a
aplicar un plan de contingencia que permita la continuidad del servicio o el
restablecimiento del mismo (si es el caso), se documentará dicho plan en el Plan de
Acción y replantear los riesgos del proceso.
ACCIONESRESPONSABLE DE LA
ACCIÓNREGISTRO - EVIDENCIA
INDICADOR (Este indicador debe medir el riesgo y permitir
realizar su monitoreo)
ACCIÓN 1
ACCIÓN 2
ACCIÓN 3
ACCIÓN 4
ACCIÓN 5
ACCIÓN 6
ACCIÓN 7
ACCIÓN 8
ACCIÓN 9
ACCIONESRESPONSABLE DE LA
ACCIÓNREGISTRO - EVIDENCIA
INDICADOR (Este indicador debe medir el riesgo y permitir
realizar su monitoreo)
ACCIÓN 1
ACCIÓN 2
ACCIÓN 3
ACCIÓN 4
ACCIÓN 5
ACCIÓN 6
ACCIÓN 7
ACCIÓN 8
ACCIÓN 9
ACCIONESRESPONSABLE DE LA
ACCIÓNREGISTRO - EVIDENCIA
INDICADOR (Este indicador debe medir el riesgo y permitir
realizar su monitoreo)
ACCIÓN 1
ACCIÓN 2
ACCIÓN 3
ACCIÓN 4
ACCIÓN 5
ACCIÓN 6
ACCIÓN 7
ACCIÓN 8
ACCIÓN 9
En esta columna se debe registrar la evidencia y el
registro de la acción que se proyectó realizar; por otra parte se debe colocar el lugar donde
se puede encontrar la evidencia; este registro omite la apertura del plan de acción por
cada una de las acciones.
ACCIONESRESPONSABLE DE LA
ACCIÓNREGISTRO - EVIDENCIA
INDICADOR (Este indicador debe medir el riesgo y permitir
realizar su monitoreo)
ACCIÓN 1
ACCIÓN 2
ACCIÓN 3
ACCIÓN 4
ACCIÓN 5
ACCIÓN 6
ACCIÓN 7
ACCIÓN 8
ACCIÓN 9
Se debe proyectar un indicador que permita monitorear el
riesgo como parte de la política de autocontrol y como
seguimiento de la Oficina de Control Interno.
PROCESO: Evaluación independiente
OBJETIVO DEL PROCESO:
Evaluar objetivamente el Sistema Gestion Integral, así como la gestión, resultados de retroalimentación de clientes de la Corporación, con el fin de orientar a las dependencias en la identificación y planteamiento de soluciones, promoviendo el mejoramiento continuo y el fomento de la cultura de autocontrol.
AÑO: 2015
CONTEXTO ESTRATÉGICO PROCESO
RIESGO CAUSASCONSECUENCI
AS
CLASIFICACIÓN DEL
RIESGO
RIESGO INHERENTE
CONTROLES
RIESGO RESIDUAL
OPCION DE MANEJO
ACCIONESRESPONSABLE DE LA ACCIÓN
REGISTRO -EVIDENCIA
INDICADOR (Este indicador debe
medir el riesgo y permitir realizar su monitoreo)P
RO
BA
BIL
IDA
D
IMP
AC
TO
NIV
EL
PR
OB
AB
ILID
AD
IMP
AC
TO
NIV
EL
Procesos
Incumpliendo
del Plan Anual
de
Auditoria
Inertna.
Falta de
recursos para
desarrollar el
PAA
Sanciones de leyCumplimiento y
Conformidad
1 Rara Vez
3 ModeradoZona de Riesgo
Moderada
Aprobación del PAA por
parte del Comité de
Coordinación de Control
Interno
1 Rara Vez
2 Menor
Zona de Riesgo
BajaAsumir
Realizar dos talleres de simulación
de auditorías al
equipo auditor con
un periodicidad
semestral
Jefe de la OCI
Nro de auditorías
realizadas en el periodo / Total de auditorías programadas
Procesos
Falta de
conocimiento de
los auditores
internos en las
temáticas
expuestas
Procesos de
retroalimentación
deficiente
Cumplimiento y
Conformidad
1 Rara Vez
3 ModeradoZona de Riesgo
Moderada
Capacitación a los
auditores internos en técnicas de auditoría
1 Rara Vez
2 Menor
Zona de Riesgo
BajaAsumir
Acompañamiento en las auditorías
internas del líder para
que las directrices
se estén cumpliendo
de acuerdo a los
lineamientos de la OCI
Jefe de la OCI
ProcesosDesorganizació
n de la Oficina
Apertura de
procesos
disciplinarios por
incumplimiento
de funciones
Cumplimiento y
Conformidad
1 Rara Vez
3 ModeradoZona de Riesgo
Moderada
Estructuración del Plan
Estratégico de la OCI
1 Rara Vez
2 Menor
Zona de Riesgo
BajaAsumir
Consolidación de un equipo
multidisciplinario
Jefe de la OCI
ALGUNOS EJEMPLOS DE RIESGOS DE DIFERENTES ÁREAS
• Demora en la expedición de licencias• Ineficiencia en la atención a las quejas• Incumplimiento de los Términos para atender solicitudes de la Ciudadanía • Inadecuada asignación de solicitudes y quejas • Pérdida de expedientes o de piezas procesales • Demora en la entrega de elementos de oficina • La no confiabilidad del sistema de información • No cumplir con los requisitos de entrada al almacén • No efectuar una inspección adecuada ( ocular de estado y cantidad de los bienes • Que el interventor haga la certificación sin realmente haber efectuada la verificación de cantidad
calidad y especiación del contrato. • Expedición de resoluciones para la baja de bienes incompleta • Demoras en trámites y fallas en el objeto contractual • Identificación errada de las necesidades internas reales • Estudios previos sin los requisitos esenciales para la identificación de la modalidad a contratar • No cumplimiento de lo establecido en el Plan de Adquisiciones
• Deficiencia de sistemas y equipos • Desconocimiento de los productos de comunicación ( escrito, audiovisuales,y de audio,entre otros). • Deficiente atención al usuario • Demora o falta de respuesta de las entidades. • Fallas en la actividad de notificación• Inadecuado manejo de archivos • Demora en trámite de correspondencia. • Pérdida de documentos • Daño documental por inundación, goteras, humedad y otros que afectan la calidad de la conservación
documental. • Pérdida de información institucional • Que no se seleccione documentación con valor histórica para la entidad. • Falta de asignación de recursos financieros logísticos y talento humano. • Que no tengan en cuenta las recomendaciones originales en el desarrollo del programa de salud para
el trabajo y desarrollo humano
ALGUNOS EJEMPLOS DE RIESGOS DE DIFERENTES ÁREAS
• No se realizaron el mejoramiento de los ambientes de trabajo o no se identifique la condiciones inseguras.
• Se presentaron roces entre personales de la entidad que dañan el clima laboral • Incumplimiento de los requisitos para posesión establecidos por la norma • Rechazo de la afiliación al Sistema General de Seguridad Social por documentación incompleta y mal
diligenciamiento en el momento de realizar las afiliaciones• Respuestas inoportunas o incompletas en el tiempo establecido • Que se quede sin fondos la Caja Menor • Que los datos incluidos en la nomina no correspondan al soporte enviado o al funcionario y se
genere un error en el valor cancelado mensual • No inclusión de las novedades de ingreso y retiro de funcionarios • No contar con recursos para la• ejecución de los programas de• Bienestar a nivel Nacional• Pérdida de credibilidad por errónea imputación presupuestal en la expedición de un CDP o en el
registro presupuestal de un compromiso u obligación.
ALGUNOS EJEMPLOS DE RIESGOS DE DIFERENTES ÁREAS
• Pérdida de imagen y credibilidad por baja ejecución presupuestal del presupuesto de vigencia o rezago, y alta constitución de reservas presupuestales
• Pérdida de credibilidad y afectación económica por ineficiencia en la ejecución del PAC. • No realizar la legalización definitiva de las cajas menores antes de la fecha establecida por la
Dirección de Presupuesto Nacional. • Afectación económica por retraso en los procesos de contratación atribuible a insuficiencia de
disponibilidad presupuestal o no trámite de vigencias futuras • Pérdida de confiabilidad por estados financieros que no reflejan razonablemente la situación financiera
de la entidad • Inoportunidad en respuesta a derechos de petición y/o tutelas • Falta de oportunidad en el cobro coactivo • Inadecuada defensa Institucional • Conceptualización equivoca• Inadecuado diagnostico del Plan Estratégico • Lineamientos estratégicos inadecuados • Inadecuado seguimiento del Plan• Estratégico
ALGUNOS EJEMPLOS DE RIESGOS DE DIFERENTES ÁREAS
• Falta de efectividad del Plan Estratégico • Inadecuado flujo de la información • Falta de confiabilidad de la información que suministran los sistemas de gestión institucionales • Inadecuada financiación del plan estratégico • No cumplimiento con los riesgos de Corrupción y Institucionales • Pérdida de imagen y credibilidad debido a no disponibilidad de las capacidades y desempeño
requeridas para los recursos de tecnologías de información • Deficiente calidad de los diseños curriculares • Deficientes competencias del formador • Perdida de comunicación con los usuarios del sistema debido a no contar con canales adecuados para
mantener una debida retroalimentación, no escuchar inquietudes y sugerencias de mejora en la fuente primaria
• Perdida de control sobre las actividades de seguimiento y acompañamiento a los requerimientos de usuario debido a falta de documentación
ALGUNOS EJEMPLOS DE RIESGOS DE DIFERENTES ÁREAS