Procuraduria · Web viewPROCESO: ADMINISTRACIÓN DEL RIESGO Fecha de Revisión 08/06/2020...

PROCESO: ADMINISTRACIÓN DEL RIESGO Fecha de Revisión 08/06/2020

SUBPROCESO: N.A Fecha de Aprobación 10/06/2020

GUIA: ADMINISTRACIÓN DEL RIESGO Versión 1

CÓDIGO: GUI-AR-00-001 Página 1 de 43

GUIA PARA LA ADMINISTRACIÓN DE RIESGOS

Verifique que ésta es la versión correcta antes de utilizar el documentoProceso: Administración del Riesgo; Subproceso: N.A; Código: GUI-AR-00-001; Versión: 1; Vigencia:10/06/2020





Tabla de contenido1. INTRODUCCIÓN.....................................................................................................................4

2. OBJETIVOS.............................................................................................................................4

3. ALCANCE................................................................................................................................5

4. RESPONSABLE DE LA ACTUALIZACIÓN DE LA GUÍA................................................5

5. DOCUMENTOS DE REFERENCIA......................................................................................5

6. DEFINICIONES........................................................................................................................6

7. ROLES Y RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS...........................11

8. PROCESO PARA LA GESTIÓN DEL RIESGO...............................................................14

8.1. ANTES DE INICIAR LA METOLOGÍA.......................................................................14

8.1.1. CONOCIMIENTO DE LA ENTIDAD Y MODELO DE OPERACIÓN POR PROCESOS...........14

8.1.2. CONOCIMIENTO DE LA ENTIDAD.................................................................................15

8.2. POLITICA PARA LA ADMINISTRACIÓN DEL RIESGO.........................................................16

8.2.1. LINEAMIENTOS DE LA POLITICA....................................................................................16

8.3. IDENTIFICACIÓN DEL RIESGO...........................................................................................18

8.3.1. ESTABLECIMIENTO DE CONTEXTO................................................................................18

8.3.1.1. CONTEXTO POR PROCESO.........................................................................................18

8.3.1.2. CONTEXTO INTERNO.................................................................................................19

8.3.1.3. CONTEXTO EXTERNO................................................................................................22

8.3.2. IDENTIFICACIÓN DEL RIESGO............................................................................................23

8.4. VALORACIÓN DEL RIESGO........................................................................................................26

8.4.1. ANALISIS DEL RIESGO........................................................................................................26

8.4.1.1. CAUSAS Y CONSECUENCIAS..........................................................................................26

8.4.1.2. PROBABILIDAD E IMPACTO...........................................................................................27

8.4.1.3. NIVEL DEL RIESGO.........................................................................................................29

8.4.2. EVALUACIÓN DE RIESGOS.................................................................................................30

8.4.3. TRATAMIENTO DEL RIESGO.............................................................................................31

8.4.3.1. IDENTIFICACIÓN DE CONTROLES:.................................................................................31






8.4.4. MONITOREO.....................................................................................................................36

8.5. SEGUIMIENTO..........................................................................................................................39

8.5.2. COMUNICACIÓN..............................................................................................................40

REFERENCIAS..................................................................................................................................40

ANEXO 1...........................................................................................................................................42

Índice de Ilustraciones Ilustración 1: Proceso para la gestión del Riesgo..................................................................................14Ilustración 2: Identificación de Grupos de Valor...................................................................................16Ilustración 3: Niveles de Madurez de Gestión de Riesgos...................................................................17Ilustración 4: Plantilla para la Caracterización de Proceso...................................................................18Ilustración 5: Análisis de Contexto Interno...........................................................................................21Ilustración 6: Análisis de Contexto Externo..........................................................................................23Ilustración 7: Mapa de riesgos..............................................................................................................24Ilustración 8 Tipología de Riesgos........................................................................................................25Ilustración 9: Mapa de riesgos..............................................................................................................26Ilustración 10 Matriz de calificación de nivel de criticidad de riesgo....................................................30Ilustración 11: Mapa de Riesgos...........................................................................................................30Ilustración 12: Mapa de Riesgos...........................................................................................................32Ilustración 13: Mapa de Riesgos...........................................................................................................34Ilustración 14: Mapa de Riesgos...........................................................................................................34Ilustración 15: Mapa de riesgos............................................................................................................36

Índice de TablasTabla 1: Roles y responsabilidades en la gestión del Riesgo de la PGN................................................11Tabla 2: Matriz RACI.............................................................................................................................13Tabla 3: Matriz DOFA............................................................................................................................20Tabla 4: Clasificación de causas............................................................................................................27Tabla 5: Calificación del Impacto de Riesgos de Corrupción.................................................................28Tabla 6: Medición del Impacto de los Riesgos de corrupción...............................................................29Tabla 7: Controles.................................................................................................................................31Tabla 8: Evaluación de controles..........................................................................................................33Tabla 9: Resultados evaluación diseño de controles............................................................................33Tabla 10: Estrategias para el tratamiento de Riesgos...........................................................................35Tabla 11: Indicadores para el monitoreo..............................................................................................38






1. INTRODUCCIÓN

La Procuraduría General de la Nación (PGN) a través de la Oficina de Planeación diseñó la Guía para la Administración del Riesgo para dar cumplimiento a lo establecido en la Ley 1474 de 2011 “Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública”, en particular el Art. 73 “Plan Anticorrupción y de Atención al Ciudadano”: donde se establece que cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano, y específicamente a lo que se refiere el primer componente sobre gestión del riesgo y a los lineamientos establecidos bajo el Modelo Estándar de Control Interno (MECI).

Para dar cumplimiento a lo anterior, la Oficina de Planeación propone las acciones descritas en este documento, en el marco de la metodología de gestión del Riesgo establecida en la Guía de administración de riesgos de la Función Pública y la NTC ISO 31000: 2018, como instrumento preventivo para gestionar las situaciones adversas que puedan afectar el cumplimiento total o parcial de los objetivos de los procesos descritos en el Sistema de Gestión de la Calidad, así como las oportunidades asociadas a nuevos retos a los que se vea enfrentada la entidad.

2. OBJETIVOS

1. Describir el proceso de gestión de riesgos de la Procuraduría General de la Nación (PGN) su objetivo, alcance, política, y demás elementos necesarios para el cumplimiento de los objetivos institucionales.

2. La creación de valor público mediante resultados observables y medibles que idealmente deben dar respuesta a las necesidades y expectativas de sus grupos de valor.

3. Permitir mediante la gestión del Riesgo, el tratamiento efectivo de la incertidumbre y sus riesgos/oportunidades asociadas.

4. La gestión de riesgos es un proceso dinámico que le permite a la Procuraduría General de la Nación (PGN) identificar, evaluar y gestionar aquellos eventos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales.






3. ALCANCE

La presente Guía aplicará para los riesgos institucionales, siendo transversal a todas las actividades de la Procuraduría general de la Nación y los procesos establecidos en el marco del Sistema de Gestión de la Calidad e involucra a todos los servidores de la Procuraduría General de la Nación, mediante las tres líneas de defensa.1

4. RESPONSABLE DE LA ACTUALIZACIÓN DE LA GUÍA

Líder de proceso Administración del Riesgo.

5. DOCUMENTOS DE REFERENCIA

Ley 87 de 1993 Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011). Artículo 2 Objetivos del control interno: literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos.

Ley 1474 de 2011 Normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.

Decreto 1081 de 2015 Señala como metodología para elaborar la estrategia de lucha contra la corrupción la contenida en el documento “Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano.”

Decreto 1499 de 2017 Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado

Resolución PGN 555 de 2019: Por la cual se actualiza el Sistema de Gestión de Calidad de la Procuraduría General de la Nación, bajo la Norma ISO 9001:2015.

Resolución PGN 861 de 2019: Por medio de la cual se adopta la actualización del Modelo Estándar de Control Interno – MECI y se dictan otras disposiciones.

Resolución PGN 124 de 2020: Por la cual se adopta el Modelo Integrado de Planeación y Gestión de la Procuraduría General de la Nación — MIPGN, y se establece su estructura de implementación y operación.

1 Las Líneas de defensa están definidas en la Resolución 555 de 2029 de la Procuraduría General de la Nación.






Circular 01 de 2015 Circular del Consejo Asesor del Gobierno Nacional en Materia de Control Interno de las Entidades del Orden Nacional y Territorial, relativa al fortalecimiento del Sistema de Control Interno frente a su función preventiva.

Departamento Administrativo de la Función Pública: Guía para la Administración del riesgo y el diseño de controles en entidades públicas. Riesgos de gestión, corrupción y seguridad de la Información - Versión 4.

Icontec: NTC-ISO 31000 Norma Técnica Colombiana Gestión del Riesgo - Principios y Directrices. Versión basada en ISO 31000:2009, y, primera actualización basada en la referencia ISO 31000:2018.

Modelo Estándar de Control Interno (MECI) que se establece para las entidades del Estado proporciona una estructura para el control a la estrategia, la gestión y la evaluación en las entidades del Estado, cuyo propósito es orientarlas hacia el cumplimiento de sus objetivos institucionales y la contribución de estos a los fines esenciales del Estado

6. DEFINICIONES

Activo de información: En el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”. Se puede considerar como un activo de información a: Los datos creados o utilizados por un proceso de la organización en medio digital, en papel o en otros medios.

Control: Medida que modifica al riesgo2.

Consecuencia: Resultado de un evento que afecta a los objetivos (2.18 ISO 31000).3

Nota 1: UN evento puede Originar un rango de consecuencias.

Nota 2. Una consecuencia puede ser cierta o incierta y puede implicar efectos positivos o negativos en los objetivos

Nota 3: las consecuencias se pueden expresar cualitativa o cuantitativamente.

Nota 4: las consecuencias iniciales pueden escalar a través de eventos secundarios.

Comunicación y Consulta: Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un dialogo con las partes interesadas.

2 Instituto Colombiano de Normas Técnicas y Certificaciones (2009).3 Ibid.






Contexto externo: Ambiente externo en el cual la organización busca alcanzar sus objetivos4. (2.10 ISO 31000).

Nota: El contexto externo puede incluir:

- El ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, bien sea internacional, nacional, regional o local;- Impulsores clave y tendencias que tienen impacto en los objetivos de la organización; y- Relaciones con las partes involucradas y sus percepciones y valores.

Contexto interno. Ambiente interno en el cual la organización busca alcanzar sus objetivos.5 (2.11 ISO 31000).

Nota: El contexto interno puede incluir:

- Gobierno, estructura organizacional, funciones y responsabilidades;- Políticas, objetivos y estrategias implementadas para lograrlos;- Las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnología);- Sistemas de información, flujos de información y procesos para la toma de decisiones (tanto formales como informales);- Relaciones con las partes involucradas internas y sus percepciones y valores;- La cultura de la organización;- Normas, directrices y modelos adoptados por la organización; y- Forma y extensión de las relaciones contractuales.

Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada, cuando ésta así lo requiera.6

Efecto: Desviación de algo que se espera, ya sea positivo o negativo. Normalmente el riesgo viene expresado como una combinación de las consecuencias de un evento y la probabilidad de que ocurra.

Escenario del riesgo: Conjunto particular de circunstancias en donde puede suceder el riesgo.

Establecimiento del contexto. Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo, establecimiento del alcance y los criterios del riesgo para la política para la gestión del riesgo.

4 Ibid.5 ICONTEC (2009)6 ICONTEC (2013)






Evaluación del riesgo: Proceso de comparación de los resultados del análisis de riesgos con los criterios de los riesgos. Así se determinará si el riesgo, su magnitud, o ambos en conjunto son tolerables o aceptables que permiten tomar decisiones sobre el tratamiento del riesgo.

Gestión del riesgo: Actividades coordinadas para dirigir y controlar la organización con respecto al riesgo.7

Gestores de Riesgo: Personas o funcionarios en la Entidad responsables de gestionar de manera directa y continua los riesgos de la Entidad.8

Grupo de Valor: Medición estadística, mediante la cual se pueden clasificar y asociar conjuntos de personas con características similares.9

Integridad: La propiedad de salvaguardar la exactitud y complejidad de los recursos10.

Impulsor: Elemento facilitador de una estrategia para tener un desempeño óptimo y lograr los resultados de su empresa.

Marco de referencia para la gestión del riesgo. Conjunto de componentes que brindan las bases y las disposiciones de la organización para diseñar, implementar, monitorear, revisar y mejorar continuamente la gestión del riesgo a través de toda la organización.11

Nota 1: Las bases incluyen la política, los objetivos, el comando y el compromiso para gestionar el riesgo.Nota 2: Las disposiciones de la organización incluyen planes, relaciones, rendición de cuentas, recursos, procesos y actividades.Nota 3: El marco de referencia para la gestión del riesgo está incluido en las políticas y prácticas estratégicas y operativos globales de la organización.

Mapa de Riesgos: Documento que resume los resultados de las actividades de gestión de riesgos, incluye una representación gráfica en modo de mapa de calor de los resultados de la evaluación de riesgos. 12

Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos expresada en términos de la combinación de las consecuencias y su probabilidad de ocurrencia13.

7 ICONTEC (2009). 8 Resolución 555 de 2019. Procuraduría General de la Nación. 9 Departamento Administrativo de la Función Pública - DAFP (2018)10 Resolución 55 de 2019.11 ICONTEC (2009).12 DAFP (2018)13 ICONTEC (2009).






Parte Interesada: Persona u organización que puede afectar, verse afectada o percibirse a sí misma como afectada por una decisión o una actividad de la organización.14

Perfil del riesgo: Descripción de cualquier conjunto de riesgos, que definimos como tipologías para la PGN.

Política para la gestión del riesgo: Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo.

Probabilidad: Medida en la que puede ocurrir o materializarse un evento o situación. Ésta puede ser expresada ya sea de manera objetiva o subjetiva, como también de manera cuantitativa como cualitativa.

Riesgo: Efecto de la incertidumbre sobre nuestros objetivos.

Riesgos de gestión: Categoría de agrupación de los riesgos estratégicos, operativos, financieros, de cumplimiento y de imagen o reputacionales15.

Riesgos estratégicos: Posibilidad de ocurrencia de eventos que afecten los objetivos estratégicos de la organización y por tanto impactan toda la Entidad16.

Riesgos operativos: Posibilidad de ocurrencia de eventos que afecten los procesos de la entidad17.

Riesgos financieros: Posibilidad de ocurrencia de eventos que afecten los estados financieros y todas aquellas áreas involucradas con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, costos, etc.18

Riesgos tecnológicos: Posibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura tecnológica (hardware, software, redes, etc.) de la Entidad.

Riesgos de seguridad de la Información: Posibilidad de combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas. 19

14 ICONTEC (2009)15 DAFP (2018)16 Ibid.17 Ibid.18 Ibid.19 Ibid.






Riesgos de cumplimiento: Posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la organización debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.20

Riesgo de imagen o reputacional: Posibilidad de ocurrencia de un evento que afecte la imagen, buen nombre o reputación de la organización ante los ciudadanos y partes interesadas.21

Riesgos de Corrupción: Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.22

Riesgo residual: Es aquel riesgo que subsiste, después de haber implementado los controles.

Riesgo inherente: Riesgo antes de controles.

Riesgos residuales: Riesgo después de controles.

Tratamiento del Riesgo: Proceso para modificar el riesgo23. puede implicar evitar el riesgo decidiendo no iniciar o continuar la actividad que lo causó, compartir el riesgo para conseguir la colaboración de alguna parte interesada en el tratamiento del mismo, reducir la fuente del riesgo, para cambiar la probabilidad o las consecuencias y aceptar el riesgo mediante una decisión informada o para aprovechar una oportunidad.

Tolerancia al riesgo: Preparación de la organización o de la parte involucrada para soportar el riesgo después del tratamiento del riesgo con el fin de lograr sus objetivos24.

7. ROLES Y RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS

Teniendo en cuenta que el proceso para la gestión del riesgo es transversal para toda la Procuraduría General de la Nación, es necesario identificar claramente cuáles son los roles y las responsabilidades de todos los servidores de la PGN con el objetivo de incluir esas actividades a la gestión diaria o continua de la entidad y optimizar sus recursos para lograr los resultados esperados.

En la siguiente tabla se identifican los roles y las responsabilidades, según las tres líneas descritas en el marco de la Resolución 555 de 2019.20 Ibid.21 Ibid.22 Ibid.23 ICONTEC (2009)24 Ibid.






Tabla 1: Roles y responsabilidades en la gestión del Riesgo de la PGN

LINEAS DE DEFENSA

ROLES RESPONSABILIDADES

Línea Estratégica

Procurador General de la Nación.Viceprocurador General de la NaciónComité de Coordinación del Sistema de Control Interno y Comité institucional de Gestión de Desempeño

Definir el marco general para la gestión del riesgo en la PGN

Revisar las necesidades de adaptación al cambio. Definir o actualizar la política de Administración del

Riesgo. Fomentar los escenarios y el clima de trabajo, que

favorezcan el análisis de los riesgos.

Primera Línea

Todos los servidores de la Procuraduría General de la Nación, es decir, líderes de procesos y sus equipos.

Ejecutar procedimientos de riesgo. Supervisar los controles del día a día. Identifica, evalúa, controla y mitiga los riesgos por

medio del autocontrol. Definir, mantener y aplicar los controles internos. Informar a la Oficina de Planeación (segunda

línea) sobre los riesgos materializados. Proporcionar evidencias dentro de los plazos

establecidos para el reporte de la informaciónSegunda Línea

Procuradores delegados, Procuradores auxiliares, Procuradores regionales, Procuradores provinciales, jefes de oficina y en general los funcionarios con personal a cargo.

Jefe Oficina de Planeación

Monitorear la implementación de modelos de gestión de riesgo definidos por la primera línea de defensa y acorde con la estructura de los temas a su cargo.

Evaluar los resultados, por medio de la autoevaluación.

Proponer las acciones de mejora, cuando se requieran

Comunicar los resultados de la gestión del riesgo al equipo de trabajo a su cargo.

Delegar, por parte del líder del proceso, el (los) profesionales que se encargarán de la identificación, monitoreo, reporte y socialización del riesgo asociados al proceso.

Asesorar a la línea estratégica en el análisis del contexto interno y externo, y definición de la política de riesgo.

Consolidar el mapa de riesgos de la entidad. Acompañar, orientar y entrenar a los líderes de

procesos en la identificación, análisis, valoración y evaluación del riesgo.

Monitorear el proceso de Gestión del Riesgo. Comunicar a los líderes de los procesos los

resultados de las mesas de identificación frente a la gestión de Riesgos y recordar la importancia de socializarlos al interior de su dependencia.

Liderar mesas de trabajo para la identificación de riesgos.

Identificar junto con los gestores o equipos de trabajo, los responsables de las acciones y las fechas de realización.

Socializar y publicar el mapa de riesgos institucional.






LINEAS DE DEFENSA

ROLES RESPONSABILIDADES

Auditoría Externa de calidad /Auditoría Interna de calidad

Informar los resultados de la Gestión del Riesgo al Comité Institucional de Gestión y Desempeño.

Verificar que los responsables de los procesos determinan de riesgos y oportunidades, además de las acciones necesarias para aumentar efectos deseables y reducir o prevenir efectos no deseados y que se evalúa la eficacia de dichas acciones.

Tercera Línea Jefe Oficina de Control Interno. Informar sobre la efectividad de la Gestión de Riesgos.

Realizar seguimiento a los riesgos consolidados en los mapas de riesgos de conformidad con el Plan Anual de Auditoría y reportar los resultados al comité de Coordinación de Control interno.

Recomendar mejoras a la política de Gestión del Riesgo.

(Evaluación independiente).

En busca de garantizar que los roles y responsabilidades definidas en la Tabla 1 lleven a cabo las actividades claves para la implementación y mantenimiento de la gestión del riesgo de la PGN, se realiza la matriz RACI por sus siglas de:

R: Responsable de ejecución, Aunque la persona que se encargue de ésta se lo haya delegado a terceros, será él quien deba responder por la entrega del producto final como resultado de la ejecución de la actividad.

A: Autoridad Refiere al responsable por la finalización adecuada de la actividad; es decir, es quién delega las actividades que deben ser ejecutadas en pro de realizar la actividad asignada a la persona responsable.

C: Consultado Son aquellos que brindan opiniones de valor que permiten comprender un tema determinando y normalmente son expertos en un tema específico

I: Informado Los informados son actualizados sobre el progreso de las actividades, que generalmente ocurre al momento de la finalización y la entrega de la misma.

Los anterior permite cruzar las actividades clave con los roles definidos ya que muchas veces el mismo rol puede realizar varias actividades de forma transversal. A continuación, la matriz RACI para llevar a cabo las actividades de gestión del riesgo.

Tabla 2: Matriz RACI






ACTIVIDADES CLAVES DE GESTIÓN DEL RIESGO

Línea Estratégica

Primera Línea de defensa

Segunda línea de defensa

Tercera línea de defensa

Grupos de valor

Definición de la Política y lineamientos para laGestión de Riesgos

A I I I-C I

Elaboración de metodologías y herramientas de apoyopara la Gestión del Riesgo

R I R - I- C I-C C

Aplicar la metodología para la Gestión del riesgo

R R R R I

Monitorear el desarrollo de la gestión de riesgos

A R R I I

Presentar resultados de la gestión del Riesgo

I I R I I

Tomar decisiones sobre los resultados

A I A A I

Evaluar la gestión de riesgos A A A A-R I

Implementar mejoras a la gestión de riesgos

A A - R A - R A-C C

R: RESPONSABLE DE EJECUCIÓNA: AUTORIDADC: CONSULTADOI: INFORMADO

8. PROCESO PARA LA GESTIÓN DEL RIESGO

La Ilustración 1 presenta el proceso de Administración del Riesgo de la entidad, de acuerdo a la Guía de Administración de Riesgos del Departamento Administrativo de la Función Pública y con la Norma Técnica Internacional ISO 31000:2018, estableciendo tres pasos para desarrollar las actividades en el marco de la mejora continua (Planear - Hacer - Verificar - Actuar), con el objetivo de garantizar la adecuada implementación, monitoreo, seguimiento y comunicación de todo el proceso de gestión del riesgo.

Ilustración 1: Proceso para la gestión del Riesgo






8.1.ANTES DE INICIAR LA METOLOGÍA8.1.1. CONOCIMIENTO DE LA ENTIDAD Y MODELO DE

OPERACIÓN POR PROCESOS

Entendiendo que la entidad se ve enfrentada todo el tiempo a cambios de diferente índole (internos o externos), y que dichos cambios podrían afectar positivamente (oportunidad) o negativamente (amenaza) el desarrollo de las actividades y la consecución de sus objetivos es necesario tomar acciones que de forma proactiva desde la planificación, diseño e implementación aseguren que no se produzca un incidente generador de riesgos. Lo anterior implica tener una visión estratégica del riesgo dentro de las actividades continuas de la entidad, estableciendo el denominado “pensamiento basado en riesgos” como parte esencial de la gestión rutinaria de la entidad.

Dicho lo anterior es más fácil profundizar sobre, cómo el pensamiento basado en riesgos se articula con el Modelo de Operación por Procesos, que no es más que la forma en que se operativiza el Sistema de Gestión de la Calidad en el desarrollo rutinario de las actividades descritas en manuales, procedimientos, guías y formatos ya que es a través ellos que se materializa documentalmente el enfoque por procesos.






8.1.2. CONOCIMIENTO DE LA ENTIDAD

Antes de empezar a definir la metodología para la Administración del Riesgo, es importante entender el contexto de la Procuraduría General de la Nación revisando los factores internos que son clave para la entidad, y para ello partimos del conocimiento de la Misión, Visión, valores, estructura organizacional, políticas y objetivos institucionales, ya que son el reflejo de la cultura organizacional. Lo anterior nos permitirá definir una Política para la Administración del Riesgo que esté alineada con los objetivos y estrategia de la entidad, garantizando que el marco de referencia para la gestión del Riesgo sea adecuado y coherente con las políticas y necesidades del momento.

Además de lo anterior es importante reconocer los recursos que son necesarios para la implementación de la gestión del riesgo, entendiéndose como recursos desde los aplicativos y sistemas de información, tiempo y personas hasta los recursos económicos, así como las percepciones de los grupos de valor y partes interesadas.

Mediante el Formato REG-AR-00-006 Identificación de Grupos de Valor (Ilustración 2), se busca conocer precisamente esas necesidades, cuya fuente para la construcción puede ir desde información primaria a secundaria, de esta forma se puede conocer si dichas necesidades podrían tener algún impacto sobre el cumplimiento de los Objetivos de la entidad.

Ilustración 2: Identificación de Grupos de Valor






1

1

Nombre TIPO INTERESES (NECESIDADES Y EXPECTATIVAS)

PODER ORGANIZACIÓN-STAKEHOLDER

RESPUESTAS ANTE LOS STAKEHOLDERS

PODER-PREDECIBILIDAD PODER-INTERÉS RESPONSABLE DE

ACCIONES

ExternoPoder del Grupo de Valor - parte

Interesada Colaborar Poderoso pero Predecible Jugadores clave

Externo Poder del Grupo de Valor - parte Interesada

Colaborar Poderoso pero Predecible Jugadores clave

Externo Baja interdependencia Colaborar Impredecible pero manejable

Tener informado

Externo Alta interdependencia Implicar Mayores amenazas u oportunidades

Jugadores clave

Externo Poder del Grupo de Valor - parte Interesada

Colaborar Mayores amenazas u oportunidades

Jugadores clave

Externo Baja interdependencia Colaborar Impredecible pero manejable

Tener informado

Externo Baja interdependencia Colaborar Pocos Problemas Tener informado

Externo Baja interdependencia Controlar Impredecible pero manejable

Tener informado

Externo Baja interdependencia ColaborarImpredecible pero

manejable Tener informado

PROCESO: ADMINISTRACIÓN DEL RIESGO

SUBPROCESO: N.A

FORMATO: IDENTIFICACIÓN DE GRUPOS DE VALOR

CÓDIGO:

Fecha de Revisión:

Fecha de Aprobación:

Versión:

Página:

8.2. POLITICA PARA LA ADMINISTRACIÓN DEL RIESGO8.2.1.LINEAMIENTOS DE LA POLITICA

En el marco de la actualización del Sistema de Gestión de la Calidad de la Procuraduría General de la Nación, en el año 2018 se identificó como una de las brechas y necesidades de la entidad establecer una Política para la Administración del Riesgo que estuviera articulada no únicamente con el Sistema de Gestión de la Calidad y la Guía de Administración de Riesgos de la Función Pública, sino que además respondiera a unas necesidades internas y externas, tanto legales como normativas.

Esta situación llevó a que, en el año 2019, las oficinas de Planeación y de Control Interno trabajaran de la mano en el diseño de la Política para la Administración del Riesgo para precisar los roles y responsabilidades (definidos posteriormente en la Resolución 555 de 2019) y las tres líneas de defensa. Luego, mediante la aplicación de una encuesta a líderes y gestores, se definieron algunos temas que debían ser cruciales contemplar en la construcción de la misma.

Adicionalmente, la aplicación de talleres para definir el contexto externo e interno de la entidad permitirían ampliar la tipología de Riesgos que se venían trabajando desde el proceso de Administración del Riesgo de la PGN, teniendo un alcance más amplio, atendiendo a los cambios de los últimos años y la necesidad de unificar criterios frente a la Gestión del Riesgo. A continuación, se presenta la declaración de esta política:

“La Procuraduría General de la Nación, dando cumplimiento a su misionalidad, identifica las posibles situaciones adversas que pueden afectar el cumplimiento total o parcial de sus






objetivos institucionales y su política de calidad, en el marco de los procesos, proyectos y planes.

Por lo anterior y en busca de identificar y fortalecer las oportunidades que se presenten y de proteger a la entidad de los posibles riesgos tanto de corrupción, de gestión y de seguridad

digital asociados a los objetivos institucionales en el marco de los programas, proyectos, planes, procesos y a los servicios que presta, la Procuraduría General de la Nación se compromete a establecer los mecanismos necesarios para la identificación, análisis,

valoración y tratamiento de los riesgos.”

La Política de Administración del Riesgo establece el alcance, los niveles tolerables de riesgo, así como las posibles estrategias para tratamiento de los Riesgos, tipologías del riesgo establecidas para la PGN, además de los niveles de madurez de la Gestión del Riesgo (Ilustración 3), que permitirán a la entidad realizar lograr una mejora continua de forma planificada.

Ilustración 3: Niveles de Madurez de Gestión de Riesgos

8.3. IDENTIFICACIÓN DEL RIESGO8.3.1.ESTABLECIMIENTO DE CONTEXTO






La definición del contexto interno y externo es el punto de partida para una adecuada identificación de posibles riesgos u oportunidades de la PGN, lo que hace necesario usar herramientas que permitan llevar a cabo esta labor y que dichas herramientas respondan al nivel de madurez al cual se encuentre la entidad. Entre las herramientas mencionadas es posible utilizar entrevistas con expertos en cada proceso, reuniones con líderes o jefes de oficina, incluso también con sus equipos de trabajo, generando sesiones de lluvias de ideas, entre otras.

8.3.1.1. CONTEXTO POR PROCESO

Para el establecimiento de contexto por proceso se tomará como referencia la caracterización por proceso, ya que ahí se describen responsables, actividades clave, recursos y activos de información que podrán ser potenciados para buscar oportunidades y afrontar nuevos retos o que según el escenario puedan ser identificados como posibles riesgos para el cumplimiento del objetivo establecido por el proceso. El formato establecido en el Sistema de Gestión de la Calidad para la caracterización de procesos es la Plantilla Caracterización REG-MC-GC-019 (Ilustración 4).

Ilustración 4: Plantilla para la Caracterización de Proceso

En muchos casos, los parámetros de control establecidos en la caracterización del proceso corresponderán a aquellos controles establecidos para mitigar algunos de los riesgos identificados, y los riesgos relacionados con seguridad de la información, serán aquellos


Fecha de Revisión dia/mes/año

Fecha de Aprobación dia/mes/año

Versión

Página X de X

OBJETIVO DEL PROCESO:

ALCANCE

NIVEL NACIONAL

NIVEL REGIONAL

PROCESO - PROVEEDOR ENTRADAS SALIDAS

P

H

V

A

HUMANOS:

FÍSICOS:

TECNOLÓGICOS: Equipos de computo

PROCESO - USUARIO

PARÁMETROS CONTROL / SEGUIMIENTO INFORMACIÓN DOCUMENTADA INDICADORES

REQUISITOS NTC - ISO - 9001:2015DOCUMENTOS DE REFERENCIA (INTERNOS) DOCUMENTOS DE REFERENCIA (EXTERNOS)

1

CONTROL DE CAMBIOSFECHA VERSIÓN N° DESCRIPCIÓN DEL CAMBIO

PROCESO:

NORMAS APLICABLES

ACTIVIDADES

PROCESO:

PROCESO (AL QUE PERTENECE)

SUBPROCESO (AL QUE PERTENECE) si aplica

CARACTERIZACIÓN DE PROCESOS

CÓDIGO: XXXXXXX

RESPONSABLE DEL PROCESO

RECURSOS

Fecha: dia/mes/año

Aprobó: Revisó: Elaboro:

Cargo: Cargo: Cargo:

Fecha: dia/mes/año Fecha: dia/mes/año





inherentes a los documentos relacionados en la misma cuya relación es inherente al a identificación y clasificación de los activos de información.

8.3.1.2. CONTEXTO INTERNO

El análisis de contexto Interno permite determinar las características o aspectos esenciales del ambiente en el cual la entidad busca alcanzar sus objetivos, dentro de esas características se pueden considerar factores como: Plan Estratégico Institucional (PEI), el Plan Operativo Anual (POA), estructura organizacional, flujos de comunicación, estilos de dirección y seguimiento, disponibilidad de recursos, tanto tecnológicos, humanos, como económicos. La técnica propuesta para realizar el Análisis de Contexto Interno es la matriz DOFA, por sus siglas D: Debilidades, O: Oportunidades, F: Fortalezas y A: Amenaza, cada una de éstas se describen a continuación.

Debilidades: Deficiencias propias del proceso o la entidad que impiden que alcance los objetivos deseados. Al tratarse de factores internos son controlables y pueden ser reducidos y modificados para reducir su impacto.

Oportunidades: Acontecimientos externos al proceso que pueden favorecer el cumplimiento de sus objetivos. Se trata de factores externos que pueden ser potenciados para obtener beneficios.

Fortalezas: Capacidad del proceso para lograr sus objetivos. Pueden ser tangibles o intangibles y contribuyen al cumplimiento de la misión institucional.

Amenazas: Circunstancias externas que entorpecen o ponen en peligro el cumplimiento del objetivo del Proceso e institucional.

Por medio de una construcción colectiva entre los líderes, gestores y sus equipos respectivos de trabajo se realiza un listado por cada una de las variables establecidas anteriormente, construyendo una matriz con cuatro cuadrantes, como la que se muestra a continuación:

Tabla 3: Matriz DOFA

INTERNOS






Lista de fortalezasF1.…Fn

Lista de DebilidadesD1.…Dn

Lista de OportunidadesO1.…On

FO - De éxito (Max- Max): Cómo usar nuestras fortalezas, para aprovechar nuestras Oportunidades.FO1…FOn

DO - De adaptación (Min – Max) Cómo aprovechar las oportunidades para corregir nuestras debilidades.DO1…DOn

Lista de AmenazasA1.A2.…An

FA - De reacción: (Max- Min): cómo usar nuestras fortalezas para mitigar las amenazasFA1…FAn

DA- De adaptación (Min – Max) cómo podemos mantenernos en pie aun con las amenazas a las que nos enfrentamos.FA1…FAn

Luego, se identifican los posibles factores más comunes para la entidad, por cada criterio de la DOFA con el objetivo de focalizar los esfuerzos para mitigar riesgos transversales para los procesos o potencializar oportunidades comunes. Esta información se establece por cada componente de la DOFA, mediante el Formato de Análisis de Contexto Interno REG-AR-00-005 (). Lo anterior quiere decir que los factores establecidos acá descritos, serán susceptibles de cambio cada vez que se realice el análisis de contexto Interno, ya que permite tener una comprensión de la entidad un poco más amplia y determinar el estado interno y la capacidad de los procesos y el cumplimiento de los objetivos de la entidad, permitiendo responder estratégica y oportunamente a dichos cambios que pueden ser fuente de posibles riesgos u oportunidades de mejora.

Ilustración 5: Análisis de Contexto Interno






Como se mencionó anteriormente, la fuente de la información podrá ir desde información cualitativa, como por ejemplo los resultados de lluvia de ideas, grupos focales hasta el análisis de información cuantitativa (datos históricos, resultados de indicadores) dependiendo del nivel de madurez en el que se encuentre el proceso frente a la gestión del riesgo, como lo describe la Política para la administración del Riesgo POL-AR-00-001.

8.3.1.3. CONTEXTO EXTERNO


25/05/2020

11

FECHA DE ELABORACION Día: Mes: Año:

F-1 D-1

F-2 D-2

F-3 D-3

F-4 D-4

F-5 D-5

F-6 D-6

FI-7 D-7

F-8 D-8

F-9 D-9

F-10 D-10

F-11 D-11

F-12 D-12

F-13 D-13

F-14 D-14

F-15 D-15

F-16 D-16

F-17 D-17

F-18 D-18

F-19 D-19

F-20 D-20

F-21 D-21

F-22 D-22

F-23 D-23

F-24 D-24

F-25 D-25

F-26 D-26

F-27 D-27

F-28 D-28

O-1 A-1

O-2 A-2

O-3 A-3

O-4 A-4

O-5 A-5

O-6 A-6

O-7 A-7

O-8 A-8

O-9 A-9

O- 10 A-10

O- 11 A-11

¿Se está cumpliendo actualmente con los requisitos legales asociados a la Gestión

FACTOR LEGALEntrada en vigencia del Nuevo Código Disciplinario

¿Existe tráfico de influencias en los trámites y servicios?

FACTOR SOCIO AMBIENTAL¿Se mide el Impacto y logros en el nivel Socio ambiental de los planes, programas y

¿Se hace uso de los mecanismos de participación ciudadana?

¿Las comunidades ejercen sus derechos de control político?

FACTOR POLÍTICO¿Se planifican los cambios de administración?

¿Son eficaces los mecanismos de concertaciónentre la entidad y la comunidad?

¿Se tienen mecanismos de Cooperación internacional.

¿Se cuenta con fondos de financiación para los proyectos.

FACTORES EXTERNOS-GENERADORES DE RIESGOOPORTUNIDADES AMENAZAS

FACTORES ECONÓMICOS¿Conoce o a buscado fuentes de financiación externas para proyectos de su

¿Existe y conoce el Código de Integridad ?

¿ Existen controles establecidos para Identificar las situaciones que pueden conllevar

¿Existen controles establecidos para garantizar el acceso únicamente a personal

RIESGO DE CORRUPCIÓN¿Esta definido en la entidad en Plan anticorrupción y Atención al ciudadano?

¿Hay un Sistema efectivo de control de proyectos tecnológicos?SI

¿En su proceso se encuentran identificados los Activos de Información?

RIESGOS DE SEGURIDAD DIGITAL¿El equipo y aplicativos que soportan el proceso permiten su eficacia y eficiencia?

¿La Tecnología actual es apropiada para las necesidades del proceso?

¿Los pagos a proveedores y contratistas se realizan de manera oportuna?

¿Internamente cómo gestionan los recursos para llevar a cabo a los proyectos?

RIESGO FINANCIERO¿El Presupuesto cubre el costo de los programas, planes y proyectos?

¿El flujo de caja de Tesorería es coherente con el flujo de caja de los proyectos?

CONTROL¿Están claramente definidos los controles dentro de los Procedimientos?

¿Se hace Análisis de causas en la toma de acciones correctivas.

¿Se han definido Políticas claras de operación?

¿Se hace Seguimiento a la Ejecución acorde a lo planeado?

DIRECCIÓN¿El estilo de dirección posibilita la toma de decisiones?

¿La delegación de autoridades se da por competencias?

¿La definición de responsabilidades y funciones en el manual están alineadas a los

¿El proceso cuenta con los servidores Publicos suficientes?

ORGANIZACIÓN¿Se tiene una estructura organizacional que propicie el flujo de los procesos?

¿La unidad de mando en el Organigrama facilita la toma de decisiones de los

¿Es eficaz el actual control a contratistas?

¿Se tiene un Plan de Comunicaciones que asegure la interacción entre áreas y

RIESGO ESTRATÉGICOPLANIFICACIÓN

¿Se tiene el Poa ( Plan Operativo Annual) alineado al Plan Estratégico?

¿Se tienen Metas y objetivos Estratégicos claros?

Verifique que ésta es la versión correcta antes de utilizar el documentoProceso: Administración del Riesgo; Subproceso: N.A Código: RXXXXX– ; Versión: 1; Vigencia:

PROCESO: ADMINISTRACIÓN DEL RIESGO Fecha de Revisión:SUBPROCESO: N.A Fecha de Aprobación:

FORMATO: ANÁLISIS DE CONTEXTO INTERNO Versión:CÓDIGO: Página:

OBJETIVO DEL PROCESO

FACTORES INTERNOS- GENERADORES DE RIESGOFORTALEZAS DEBILIDADES

PROCESO Planeación Estrategica

¿El Presupuesto de Inversión está estructurado por proyectos?

¿Se tiene definido un Plan de adquisisciones?





Para el diseño e implementación del marco de referencia de la gestión de riesgos es necesario evaluar y entender también la dinámica del contexto externo, conocer las tendencias de sus grupos de valor, así como sus motivadores o impulsores clave para establecer mecanismos para la presentación de informes o comunicación de situaciones complejas, cuáles son los recursos destinados para la gestión de dichas situaciones y si la fuente de recursos es externa, cómo esto afecta el cumplimiento de los objetivos institucionales.

Por lo anterior es necesario establecer un instrumento que nos permita identificar algunos factores externos que son importantes tener en cuenta, como el progreso económico del país, desarrollo, relaciones internacionales, cambios demográficos y culturales, sociales o políticos, entre otros. Dicho lo anterior se propone el análisis PESTEL como herramienta descriptiva para detallar de la mejor manera el entorno en el que operará la entidad en función de aspectos P: político, E: económico, S: social, T: tecnológico E: ecológico L: legal. Revisemos cada uno:

Político: Aspectos gubernamentales que inciden de forma directa en la Entidad. Políticas impositivas o de incentivos, regulaciones sobre empleo, fomento del comercio exterior, estabilidad gubernamental, sistema de gobierno, tratados internacionales o la existencia de conflictos internos o externos entre otros.

Económico: Datos macroeconómicos, evolución del PIB, tasas de interés, inflación, tasa de desempleo, nivel de renta, tipos de cambio, acceso a recursos, nivel de desarrollo y los ciclos económicos si como investigar los escenarios económicos.

Sociales: Evolución demográfica, la movilidad social y cambios en el estilo de vida. También el nivel educativo y otros patrones culturales, la religión, las creencias, los roles de género, los gustos, costumbres y los hábitos de consumo de los grupos de valor.

Tecnológicas: Conocer la inversión pública en investigación y la promoción del desarrollo tecnológico, la penetración de la tecnología, el grado de obsolescencia, el nivel de cobertura, la brecha digital, los fondos destinados a I+D, así como las tendencias en el uso de las nuevas tecnologías.

Ecológicas/ambientales: Cambio climático y variaciones de las temperaturas, los riesgos naturales, emergencias sanitarias y las medidas públicas para enfrentarlas, niveles de reciclaje, regulación energética y posibles cambios normativos en esta área.

Legales: Legislación que tenga relación directa con la entidad información sobre licencias, legislación sobre derechos humanos, laborales, comerciales y todo lo relacionado con la misionalidad de la entidad.






Al igual que el Análisis de Contexto Interno, para el Análisis del Contexto Externo se identifican algunos aspectos que son relevantes, mediante el desarrollo de grupos focales se identifican algunos factores que tienen un impacto transversal para la entidad, como se muestra en la siguiente ilustración.

Ilustración 6: Análisis de Contexto Externo

Por cada aspecto político, económico, social, ecológico y legal se listan los factores que podrían ser más relevantes y se evalúa el impacto de ese factor (muy negativo, negativo, indiferente, positivo a muy positivo.) con el objetivo de establecer acciones (eliminar, mitigar, trasladar, fortalecer, monitorear, mantener, etc.) para tratamiento de los posibles riesgos u oportunidades de mejora, dependiendo del resultado de la valoración del impacto.

8.3.2. IDENTIFICACIÓN DEL RIESGO

La identificación del riesgo se lleva a cabo determinando las causas con base en el contexto interno, externo y del proceso que pueden afectar el logro de los objetivos. Algunas causas externas no controlables por la entidad se podrán evidenciar en el análisis del contexto externo, para ser tenidas en cuenta en el análisis y valoración del riesgo. A partir de este contexto se identifica el riesgo, el cual estará asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estratégicos.

Las anteriores taxonomías permitirán actualizar el mapa de riesgos de la entidad REG-AR-00-003 ( Ilustración 7) en la primera etapa de identificación del riesgo, de acuerdo al macroproceso, proceso y subproceso/delegada al que haga parte, donde el Punto 4 hace referencia a los Riesgos que están definidos en el catálogo de riesgos, y el código


26 de Mayo 2020

1

1

PARTICIPANTES : Fecha:

ECONÓMICOS

• Situación económica de la Nación

• Tendencias en la economía nacional

• Economía y tendencias en otros países

• Asuntos generales de impuestos

• Intereses y tasas de cambio

• Factores específicos de los entes de Control.

•Tratados Comerciales

• Motivadores de los ciudadanos (costos por trámites)

•Plan Nacional de Desarrollo

•Aumento de la demanda de los servicios

POLITICOS SOCIAL TECNOLÓGICOS ECOLÓGICOS LEGALES

• Procesos y entidades regulatorias • Tendencias de estilo de vida de los ciudadanos • Desarrollos tecnológicos de otras entidades. • Asuntos ecológicos/ambientales • Legislación actual

• Políticas gubernamentales • Demografía • Acceso a la tecnología, licenciamiento, patentes • Asuntos climáticos • Legislación futura

• Cambios período de Gestión • Opinión y actitud de los grupos de valor • Tecnologías asociadas/dependientes • Políticas y regulación medioambientales • Legislación internacional

• Políticas de comercio exterior • Punto de vista de los medios de comunicación • Tecnologías/soluciones sustitutas • Regulación medioambiental • Decretos

• Financiamiento e iniciativas • Factores étnicos y reliogiosos • Madurez de la tecnología • Amigabilidad medioambiental • Reglamentación nacional

• Líderes de un sector se unen para demandar cambios. • Imagen de la PGN frente a los ciudadanos • Capacidad para proteger la información • Consumo de recursos ( Huella de carbono, cero Papel) • Licencias y permisos

• Grupos de asuntos internacionales sobre derechos Humanos

• Acceso y tendencias al solicitar un servicio • Información y comunicación • Consumo de energía/agua • Legislación laboral

•Elecciones Políticas • Grandes eventos e influencias • Mecanismos/tecnología nueva • Disposición de residuos • Legislación sobre los Derechos Humanos

•Plan Nacional de Desarrollo •Plan Nacional de Desarrollo • Tendencias TI en la prestación de servicios • Responsabilidad social • Sectores protegidos o regulados

•Relaciones con la Rama legislativa • Relaciones públicas • Potencial de innovación • Normas técnicas • Normas específicas sobre un tema en particular ( Por ejemplo JEP)

•Compromisos con organizaciones Internacionales ( OCDE otros)

• Mecanismos de Participación Ciudadana • Ley de protección de datos

•Plan Nacional de Desarrollo

• Normatividad especifica de la Fución Púbica

• Cambios de leyes que afecten factores sociales• Legislación tecnológica

Fecha de Revisión:

Fecha de Aprobación:

Versión:

Página:

PROCESO: ADMINISTRACIÓN DEL RIESGO

SUBPROCESO: N.A

FORMATO ANÁLISIS DE CONTEXTO EXTERNO

CÓDIGO:





corresponde al asignado en el catálogo, de ésta forma se diligencian los puntos del 1 al 5, como se muestra a continuación:

Ilustración 7: Mapa de riesgos

Se debe tener en cuenta para esta etapa, el conocimiento de situaciones que han o que pueden llegar a obstaculizar, retrasar, acelerar o degradar el logro de un objetivo, la obtención de un resultado, la prestación de un servicio o tramite, el cumplimiento de un requisito legal, y/o la satisfacción de los grupos de valor o partes interesadas.

Se deberán incluir los riesgos independientemente de que su causa esté bajo el control de la entidad o no, mientras afecte el cumplimiento de los objetivos institucionales o de proceso debe ser contemplada, así como los riesgos asociados a posibles oportunidades, ya que su posterior evaluación ayudará a tomar decisiones que permitan proteger y generar valor para sus grupos de interés.

En el proceso de identificación de los riesgos es importante validar la tipología a la que pertenece: de Gestión, de Seguridad Digital o de Corrupción (Ilustración 6), según lo descrito en la Política para la Administración del Riesgo. Por lo anterior, es esencial que para los riesgos de seguridad de la información se tengan previamente identificados y clasificados los activos de información acorde a lo descrito en el procedimiento: Identificación Y Clasificación De Activos De Información (PRO-GD-AM-011) y en el formato: Matriz De Inventario Y Clasificación De Activos De Información. REG-GD-AM-005.25

Ilustración 8: Tipología de Riesgos

25 Cabe recordar que la identificación y clasificación de los activos de información hacen parte de uno de los ítems de la Ley 1712 de 2014, conocida como la Ley de Transparencia y del Derecho de Acceso a la Información Pública.






Bajo el supuesto que un riesgo no fuese identificado, esto equivaldría a aceptar las consecuencias de su materialización, ya que no es posible planificar su control ni definir medidas para disminuir la probabilidad de ocurrencia o minimizar su impacto. Para que lo anterior no suceda o suceda en menor medida, se construyó un Catálogo de Riesgos (REG-AR-00-008) donde se identifican una serie de taxonomías de riesgo.

En pro de contribuir y fortalecer la cultura frente a la gestión del riesgo, cada vez que se desee incluir un nuevo riesgo en dicho catálogo se deberá realizar la solicitud mediante el Formato Solicitud de Cambios y Gestión de Oportunidades PAAC (REG-AR-00-011) y se podrán incluir cada vez que se realicen los monitoreos 26a la gestión del riesgo informando a la Oficina de Planeación. De esa forma se busca que transversalmente se genere en la entidad gestión del conocimiento con pensamiento basado en riesgos, mediante lecciones aprendidas o experiencia de otros que unifiquen criterios y se establezca un lenguaje común.

De la correcta y oportuna identificación de los riesgos dependerá el éxito de las etapas posteriores de la administración de los riesgos.

8.4. VALORACIÓN DEL RIESGO8.4.1. ANALISIS DEL RIESGO

8.4.1.1. CAUSAS Y CONSECUENCIAS

26 Monitoreo: verificación supervisión observación critica o determinación continua del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado.






El análisis de riesgos busca establecer la probabilidad de ocurrencia y las consecuencias (impacto) de su materialización, calificándolos y evaluándolos para determinar la zona de riesgo inherente (riesgo antes de controles) e implica el desarrollo y comprensión de los riesgos. Para realizar este análisis, lo primero será asociar las causas del riesgo (agentes generadores), cuyas fuentes pueden ser internas o externas, donde el catálogo de causas está establecido mediante el formato Catálogo de Causas (REG-AR-00-009) y que será fuente para la identificación del riesgo del Mapa de Riesgos (REG-AR-00-003) para los puntos 6, 7 y 8 (Ilustración 9).


Lo anterior significa que las causas identificadas son dinámicas y están relacionadas directamente con los resultados del análisis de contexto interno y externo, teniendo en cuenta la clasificación contenida en la Tabla 4.

Tabla 4: Clasificación de causas

Factores Externos Factores InternosFactores Políticos Método/ProcesoFactores Económicos Personas / Factor HumanoFactores Sociales Medición o seguimiento

Factores Tecnológicos Recursos /Equipos/Infraestructura






Factores Externos Factores InternosFactores Ecológicos InformaciónFactores Legales

Al igual que con el catálogo de riesgos, el catálogo de causas es susceptible de modificaciones permanentes mediante el formato Solicitud de Cambios y Gestión de Oportunidades PAAC (REG-AR-00-011) y se podrán incluir o eliminar durante la realización de los monitoreos a la gestión del riesgo informando a la Oficina de Planeación.

Ahora bien, para el caso de las consecuencias es necesario establecer los efectos concretos que produciría la materialización del riesgo como por ejemplo: demoras y/o interrupción del servicio, toma errada de decisiones, quejas e insatisfacción de otros procesos o áreas, ineficiencia en el uso de recursos (económicos, humanos, de información, etc.), daño ambiental, pérdida de imagen, credibilidad o confianza, sanciones, nulidad del proceso, información, datos o estimaciones equivocadas o incompletas que no permiten entregar información apropiada a la ciudadanía y partes interesadas, incumplimiento de requisitos legales, pérdida de imagen credibilidad o confianza reprocesos, incumplimiento con las metas establecidas, vulneración de los derechos, pérdida de información, incumplimiento de las normas de conservación y de archivo, afectación de la confidencialidad, afectación de la integridad, entre otros.

8.4.1.2. PROBABILIDAD E IMPACTO

La probabilidad de ocurrencia es una medida con base a los criterios de frecuencia en la que se materializa un evento, donde se contabiliza las veces que se ha presentado una situación en un espacio de tiempo determinado. En caso de contar con información documentada sobre la frecuencia de la ocurrencia del evento (datos, estadísticas, indicadores) puede servir para poder realizar su cálculo o estimación, de lo contrario dicha probabilidad podrá medirse en términos de posibilidad de ocurrencia teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado, lo cual implica un grado de ocurrencia y factibilidad del hecho. En el ANEXO 1 de este documento se establecen los criterios para la medición de probabilidad e impacto según lo establecido en el marco de la Política del Riesgo POL-AR-00-001 se define la Tabla de probabilidad e impacto.

Los criterios para la calificación del riesgo son subjetivos y dependen de su particularidad y de los antecedentes del proceso, así como del conocimiento y experiencia de las personas que participan en su análisis. En el caso de los riesgos de corrupción, la medición del impacto se realiza aplicando la siguiente tabla de valoración de la Guía de Administración de Riesgos de la Función Pública.

Tabla 5: Calificación del Impacto de Riesgos de Corrupción27

27 (Departamento Administrativo de la Función Pública, 2018)






N

¿Si el riesgo se materializa, podría? RESPUESTA

SI NO1 ¿Afectar al grupo de funcionarios del proceso?

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?

3 ¿Afectar el cumplimiento de misión de la Entidad?

4 ¿Afectar el cumplimiento de misión del sector al cual pertenece la Entidad?

5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación?

6 ¿Generar pérdida de recursos económicos?

7 ¿Afectar la generación de los productos o la prestación de servicios?

8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien o servicios o los recursos públicos?

9 ¿Generar perdida de información de la Entidad?

10 ¿Generar intervención de los órganos de control, de la fiscalía u otro ente?

11 ¿Dar lugar a procesos sancionatorios?

12 ¿Dar lugar a procesos disciplinarios?

13 ¿Dar lugar a procesos fis cales?

14 ¿Dar lugar a procesos penales?

15 ¿Generar pérdida de credibilidad del sector?

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?

17 ¿Afectar la imagen regional?

18 ¿Afectar la imagen nacional?

19 ¿Generar daño ambiental?

Dependiendo del número de respuestas afirmativas de cada uno de los ítems se identifica el nivel del impacto y se mapea en la matriz de nivel de impacto del riesgo, siguiendo los criterios establecidos en la Tabla 6.

Tabla 6: Medición del Impacto de los Riesgos de corrupción28

Medición del Impacto de los Riesgos de corrupciónDESCRIPTOR DESCRIPCIÓN NIVEL Cantidad de respuestas

afirmativasMODERADO Afectación parcial al proceso o a la

dependencia / Genera medianas consecuencias para la entidad.

5 Entre 1 y 5

MAYOR Impacto negativo de la entidad /Genera altas 10 Entre 6 y 11

28 Departamento Administrativo de la Función Pública (2018)






consecuencias para la entidad.

CATASTROFICO Consecuencias desastrosas sobre el sector y /Genera consecuencias desastrosas para la entidad

20 entre 12 y 19

8.4.1.3. NIVEL DEL RIESGO

Para estimar el nivel del riesgo, los valores determinados para la probabilidad y el impacto o consecuencias del riesgo analizado interactúan bajo el siguiente concepto.

A partir de la anterior ecuación se realiza la calificación de riesgo estableciendo las zonas para determinar la gravedad del riesgo, donde a cada zona se le asocia un color, lo cual, según su resultado, permite determinar las acciones que se deben tomar para gestionarlo, como se muestra en la Ilustración 10.

Ilustración 10: Matriz de calificación de nivel de criticidad de riesgo


NIVEL DEL RIESGO = PROBABILIDAD x IMPACTO





De esta forma se establecen los puntos del 9 al 11 del mapa de Riesgos (definición de probabilidad e impacto) y finalmente obtenemos la evaluación del riesgo como resultado, así como se ve a continuación:

Ilustración 11: Mapa de Riesgos

8.4.2. EVALUACIÓN DE RIESGOS

La evaluación del riesgo tiene como propósito facilitar la toma decisiones con base a los resultados del Análisis del Riesgos de la etapa anterior y así determinar cuáles riesgos requieren tratamiento y priorizar las acciones para su manejo, teniendo en cuenta los requisitos legales, reglamentarios y otros.






8.4.3. TRATAMIENTO DEL RIESGO8.4.3.1. IDENTIFICACIÓN DE CONTROLES:

Los controles corresponden a las medidas de tratamiento que permiten modificar el riesgo, porque actúan sobre alguna de las dos variables de su medición (probabilidad o impacto), bien sea para detectarlo a tiempo (evitar que se materialice) o reducirlo (minimizar sus consecuencias). De acuerdo a la zona de evaluación del riesgo se proponen algunas estrategias y acciones de control, establecidas en la política para la administración del riesgo.

Antes de entrar a identificar los controles, es necesario identificar los siguientes puntos:

No existen Controles Existen controles, pero no están documentados Existen controles, están documentados, pero no son efectivos Existen controles, están documentados, pero no están socializados Existen Controles, están documentados, están socializados se les realiza seguimiento y

han sido evaluados de manera satisfactoria.

Es importante tener en cuenta que se debe revisar que los controles identificados correspondan a actividades que deben ejecutarse con una frecuencia determinada y no con tareas puntuales que se realizan una sola vez en el tiempo. Así como identificar las actividades de control que pueden ser transversales en temas de gestión, operativos o legales.

Al momento de definir las actividades de control por parte de la primera línea de defensa, es importante considerar que la entidad ha definido previamente algunos controles de tipo operativo, de gestión o legal que son transversales como se ve en la Tabla 7 de Controles.

Tabla 7: Controles

ACTIVIDADES DE CONTROL

Controles de Gestión

Evaluación de desempeñoGeneración de informes de gestión o reportesIndicadores de gestión por: Procesos, Planes, programas, Proyectos.

Monitoreo de los riesgosSeguimiento a bases de datosSeguimiento a Plan Operativo Anual (POA)Validación de información por parte de un sistema o aplicativo.

Controles Operativos

Aplicación de listas de chequeo, formatos estandarizados.Aplicación de: lineamientos, Manuales, Guías, Procedimientos, instructivos, de índole (Interna y/o Externa)






ACTIVIDADES DE CONTROL

Capacitación/ Divulgación/ socializaciónValidación de información por parte de una persona o comité (Conciliación, revisión, comparación, validación, inspección)

Niveles de autorización: Revisión de jefes inmediatos, superiores, verificación de firmas.Copias de seguridad, contingencias y respaldo de información.Custodia Apropiada de la InformaciónEnvío de comunicaciones escritas informando o solicitando información.PólizasRealización de visitas en sitio.Segregación de funcionesSolicitud o recepción de concepto, asesoría o acompañamiento de otras dependencias o partes interesadas (Grupos de valor).

Uso de consecutivos dentro de los documentos.Controles Legales

Actualización de normatividadSeguimiento al cumplimiento de normas o tiempos de respuesta.Realización de Conversatorios ético.

De los controles establecidos en la tabla anterior se diligencia los puntos 12 y 13 del mapa de riesgos, tal como se puede observar en la siguiente Ilustración.


Finalmente se evalúa la solidez de cada uno de los controles siguiendo los criterios establecidos en la Tabla 8.






Tabla 8: Evaluación de controles

De la tabla anterior, se suman los resultados y de acuerdo al peso en la evaluación del diseño del control se califica la solidez del mismo teniendo en cuenta la siguiente tabla.

Tabla 9: Resultados evaluación diseño de controles

De acuerdo al nivel de madurez del riesgo en el que se encuentre el proceso de Administración del Riesgo se irán fortaleciendo los controles hasta llegar a niveles entre el 96 y 100.

Lo anterior se ve reflejado en el punto 13 (puntos de 1 a 6) como se muestra en la siguiente imagen:







Luego es necesario evaluar el riesgo residual (Riesgos después de Controles) de la misma forma como se evaluó el riesgo inherente. Una vez realizado esto, es posible diligenciar los puntos del 14 al 16 del mapa de Riesgos, tal como lo señala la siguiente ilustración.


Los resultados nos indicaran el plan de acción o tratamiento para el riesgo de acuerdo a las siguientes estrategias:

Evitar: Busca minimizar la probabilidad de materialización del riesgo. Para tomar esta opción de manejo se debe eliminar la actividad que genera riesgo o sustituirla por otra menos riesgosa. Se parte del principio de que su probabilidad es alta.

Compartir o Transferir: Consiste en trasladar o compartir la gestión del riesgo a un tercero ajeno al proceso. En este caso, la opción más común es minimizar el impacto por medio de la adquisición de pólizas o seguros.






Reducir: No siempre es posible eliminar el riesgo completamente, pero es viable disminuir la probabilidad o el impacto de la materialización del riesgo, debilitando los efectos negativos que repercuten en la situación o activo amenazado.

Aceptar: Se asumen las pérdidas que ocasionen los riesgos. Por lo general, los riesgos se asumen cuando la frecuencia es baja y el impacto es leve y no ponen en peligro a la entidad ni sus objetivos, significando que no es necesario desarrollar medidas adicionales de prevención o protección del riesgo analizado y que podría ser suficiente con la ejecución de procedimientos o formatos previamente establecidos, ya que el proceso puede estar controlado, pero deben ser monitoreados periódicamente. Los únicos riesgos que no se aceptan son los riesgos de corrupción. Las estrategias para el tratamiento de riesgos estarán directamente relacionadas con los resultados de la evaluación de control, establecidos en la política para la administración del riesgo, como se ve en la siguiente tabla:

Tabla 10: Estrategias para el tratamiento de Riesgos

COLOR ZONA DE RIESGO ROLES Y RESPONSABILDADES

EVIT

AR

REDU

CIR

COM

PART

IR O

TRA

NSFE

RIR

ACEP

TAR

ACCIONES DE CONTROL

ROJOMUY ALTO/ INACEPTABLE

Los riesgos extremos deben ponerse en conocimiento de Procurador general, Viceprocurador, Comité de control Interno, jefes de oficina Procuradores Regionales, departamentales y provinciales

X X Realizar acciones de control y atención de forma inmediata. Son objeto de seguimiento permanente.

NARANJA ALTO/ IMPORTANTE

Los riesgos Altos requieren la atención de jefes de oficina, Procuradores Regionales, departamentales y provinciales los Líderes de Proceso, Coordinadores, Supervisores de Contrato.

X X XEstablecer acciones de control y evaluar las medidas propuestas, asignar recursos que permitan EVITAR la materialización del riesgo. Se monitorea MENSUALMENTE.

AMARILLO MEDIO/ TOLERABLE

Los riesgos Moderados deben ser objeto de Seguimiento adecuado por parte de los Líderes o Gestores Calidad, Gestores de Riesgos, Todos los funcionarios.

X

Gestionar mediante acciones de control anticipadas, como procedimientos, instructivos, monitoreo y/o mantenimiento de acciones que permitan REDUCIR la probabilidad o el impacto de ocurrencia del riesgo, se hace seguimiento BIMESTRAL.

VERDE BAJO/ ACEPTABLELos riesgos Bajos deben ser Objeto de seguimiento por parte de todos los funcionarios

XGestionar mediante procedimientos, es improbable que se necesite la aplicación específica de recursos, y se realiza en el reporte mensual de su desempeño.

Con la información de la tabla anterior se podrán establecer los planes de acción o tratamiento (puntos del 18 al 21 del mapa de Riesgos) identificando qué, cómo, cuándo y dónde, así como los responsables del riesgo y los grupos de valor o partes interesadas con quien se comparte (cuando aplique). En estos puntos, el soporte o evidencia de la ejecución de la actividad será vital para las siguientes etapas del proceso de gestión del riesgo.







8.4.4. MONITOREO

La etapa de monitoreo consiste en un proceso planificado de análisis sobre el cumplimiento de los objetivos, la eficacia de los controles, tanto en el diseño como en la operación y mediante lecciones aprendidas retroalimentar a líderes y gestores sobre las posibles mejoras frente a la valoración del riesgo, cambios, tendencias, éxitos y fracasos del Proceso de Administración del Riesgo.

La frecuencia con la que se realizará el monitoreo será la descrita en el Plan Anticorrupción y de Atención al ciudadano, ya que hace parte del primer componente de Plan.

La revisión de los cambios en el contexto interno o externo está incluida en esta etapa, actualizando la etapa de establecimiento del contexto e identificación de riesgos emergentes.Debido a que los riesgos no son estáticos y pueden cambiar de forma radical sin previo aviso, se requiere una supervisión continua del marco de referencia. El resultado del monitoreo de los riesgos podrá o no generar una nueva versión del mapa de riesgos del proceso, que deberá divulgarse con las partes interesadas.

En la etapa de monitoreo es pertinente determinar el grado de cumplimiento en la ejecución de los planes de tratamiento propuestos y gestionar los riesgos materializados, así como establecer la forma como se mide la Gestión del Riesgo (Indicadores), que establecen los procesos en los puntos 22 a 25, como se ve en la Ilustración 16.

En esa misma línea las auditorías internas de calidad revisarán el cumplimiento de las acciones propuestas para mitigar los riesgos, con el objetivo de obtener un juicio debidamente sustentado sobre el nivel en que se encuentra el componente gestión del riesgo y a partir de esto recomendar mejoras que permitan alcanzar mayor madurez del proceso de Administración del Riesgo. Finalmente, los entes externos evaluadores o entes






de certificación, de acuerdo con el cumplimiento a los requerimientos normativos aplicables, pueden emitir conceptos sobre los niveles de confianza frente al proceso de gestión del riesgo.


22. TIPO DE INDICADOR(Seleccione si el indicadores de

efectividad eficiencia o eficacia)

23. FÓRMULA DEL INDICADOR

(describa la fórmula para el calculo del

Indicador)

24. Periodicidad /

Frecuencia

25. METAUnicamente

ingresar meta en números

Trimestral

Trimestral

Trimestral

INDICADOR

La columna 22 describe el tipo de indicador. En ella, se indica si el indicador con el cuál se medirá la Gestión del Riesgo es un indicador de eficacia, eficiencia o efectividad (Tabla 11). La columna 23, por su parte, indica la formula o expresión matemática con la cuál se realiza el cálculo del indicador en cuestión. Finalmente, las columnas 24 y 25 corresponden a la periodicidad o frecuencia temporal en la cuál se realiza la medición del indicador y la meta a la cuál se aspira alcanzar frente al cumplimiento del indicador.

Tabla 11: Tipos de indicador

Tipo de Indicador Definición EjemploEficiencia Establecen una relación entre

el avance de un logro o un objetivo y los recursos disponibles para el mismo

Número de solicitudes atendidas/número de funcionarios de la entidad, oficina, dependencia, etc.

Eficacia Permiten identificar el grado de cumplimiento del logro u objetivo frente a las metas programadas para el mismo

Número de capacitaciones realizadas/Número de capacitaciones programada






Efectividad Establecen una relación entre el avance de un logro fu objetivo frente a los recursos disponibles y sus metas programadas

Disminución de reclamos y quejas en los servicios de la entidad con respecto a periodos anteriores

Fuente: Departamento Administrativo de la Función Pública (2018).

La información anterior permitirá a los procesos tener una base sólida de lo que se debe medir para reportar en los puntos del 26 al 28 sobre el avance de los planes de acción propuestos en cada Monitoreo.

Ilustración 17. Mapa de Riesgos

26. 1er Monitoreo

27. 2do Monitoreo

28. 3er Monitoreo

0 0 33

0 0 33

0 0 33

MONITOREO

Desde la Oficina de Planeación para Monitorear la gestión del Riesgo de la Entidad se tomarán los indicadores propuestos en la Tabla 12.

Tabla 12: Indicadores para el monitoreo

Nombre Descripción FormulaCobertura de la gestión del riesgo

Porcentaje de procesos de la entidad que cuentan con mapa de riesgos

∑ Procesos conMapa de RiesgosTotal de Procesos de la PGN

Promedio de riesgos por proceso

Media aritmética de riesgos que existen en cada proceso de la entidad

Totalde Riesgos de la PGNTotal de Procesos

Probabilidad promedio de ocurrencia de los riesgos inherentes por proceso

Probabilidad promedio en la cual pueden materializarse los riesgos de un proceso después de controles

∑ Probabilidad deriesgos residuales por procesoTotalde riesgos inherentes por proceso






Nombre Descripción FormulaPromedio de controles por proceso

Número de controles promedio con los que cuenta cada proceso

TotaldeControles de la PGNTotal de Procesos

Promedio de planes detratamiento por proceso

Media aritmética de los planes de tratamiento Totalde Planes deMejoramiento de la PGN

Total de Procesos

Nivel de automatización de controles

% de controles automatizados

TotaldeControles Automatizados de la PGNTotal de Procesos

Nivel de controlespreventivos

% de controles preventivos TotaldeControles Preventivos de la PGNTotal de Procesos

Nivel de riesgos inherentesignificativos

% de riesgos inherente significativos ubicadosen zona alta y extrema

Totalde Riesgos Inherentes de la PGNTotal de Procesos

Probabilidad promedio de ocurrencia de los riesgos inherentes por proceso

Probabilidad promedio en la cual pueden materializarse los riesgos de un proceso antes de controles

∑ Probabilidad deriesgos inherentes por procesoTotalde riesgos inherentes

Impacto promedio de riesgos inherentes por proceso

Impacto medio de los riesgos antes de controles por proceso

∑ Impactoderiesgo inherente por procesoTotal de riesgos inherentes

Nivel de riesgos residualessignificativos

Porcentaje de riesgos inherente significativos ubicadosen zona alta y extrema

Totalde Riesgos Residualesde la PGNTotal de Procesos

Probabilidad promedio de ocurrencia de los riesgos residuales por proceso

Probabilidad promedio en la cual pueden materializarse los riesgos de un proceso después de controles

∑ Probabilidad deriesgos residuales por procesoTotalde riesgos inherentes

Impacto promedio de riesgos residuales por proceso

Impacto medio de los riesgos después de controles por proceso

∑ Impactoderiesgo residuales por procesoTotal deriesgos inherentes

8.5. SEGUIMIENTO

Es importante aclarar que la etapa de monitoreo es diferente a la etapa de seguimiento. La primera se trata de una autoevaluación del proceso, mientras que la segunda hace relación a la evaluación independiente que incorpora la mirada de la tercera línea de defensa (un tercero ajeno al proceso).






Mediante la evaluación independiente, la Oficina de Control Interno evaluará la eficiencia de controles propuestos por cada uno de los procesos (líderes y gestores) de la entidad en la Gestión del Riesgo y con la frecuencia que lo considere, como herramienta institucional que permite recolectar y validar la información entregada, y las evidencias de los procesos para determinar si se cumple con las actividades propuestas para el tratamiento de los Riesgos y los controles de los mismos.

8.5.2. COMUNICACIÓN

La comunicación es transversal en todas las etapas del proceso para la administración de riesgos, por lo cual debe ser participativo. El objetivo de esta etapa es el intercambio de información con los grupos de valor y partes interesadas, tanto internas como externas para lograr:

Informar y apoyar a los procesos de la entidad a que se involucren en el proceso de gestión del riesgo, solicitando la actualización de líderes y gestores, con el objetivo de tener una comunicación más efectiva.

Comunicar resultados de desempeño a los grupos de valor y partes interesadas. Monitorear la eficacia de las medidas de tratamiento. Revisar con regularidad el proceso de Administración del riesgo para detectar

oportunidades de mejora y posibles riesgos emergentes. Fomentar la toma de decisiones en la Entidad basada en pensamiento basado en

riesgos.

Para llevar a cabo una adecuada comunicación es pertinente utilizar el plan de comunicaciones institucional, donde se contemplen las campañas de expectativa, los canales de comunicación que la entidad disponga para comunicar el plan de monitoreo, fortaleciendo desde la Oficina de Planeación la imagen de la Gestión del Riesgo en la entidad.

El plan de comunicación es crucial para la unificación del mensaje frente a la Gestión del Riesgo dando a conocer las iniciativas planteadas por la entidad, así como las estrategias para que la información sea más transparente, oportuna y participativa, además, de permitir planificar mejor los recursos de manera ordenada y estratégica. Por lo anterior cada vez que se realice una modificación o actualización deberá ser cargado en la página web de la entidad en el link de transparencia y Acceso a la información.

REFERENCIASDepartamento Administrativo de la Función Pública. (2018). Guia de Administración del Riesgo.

Bogotá.

ICONTEC. (2009). Gestión del Riesgo Normas y directrices NTC-ISO 31000. Bogotá.






Instituto Colombiano de Normas Técnicas y Certificación. (2013). NTC ISO/IEC 27000. Bogotá.

FECHA VERSION DESCRIPCIÓN DEL CAMBIO1 Creación de la Política de Administración del Riesgo

Elaboró:

Jhenifer Echeverri Cusgüén

Revisó:

Luzmila Fajardo EspañolJairo Alonso Sánchez Vásquez

Aprobó:

José Alirio Salinas Bustos

Cargo: Contratista Oficina de Planeación

Cargo: Asesor Oficina de PlaneaciónProfesional Oficina de Planeación

Cargo: Jefe Oficina de Planeación

Fecha: 10/06/2020 Fecha: 10/06/2020 Fecha: 10/06/2020

ORIGINAL FIRMADO






ANEXO 1

Tabla de Calificación de Probabilidad e Impacto.NIVEL DE LA

PROBABILIDAD

DESCRIPCIÓN NIVEL DEL IMPACTO

DESCRIPCIÓN DEL IMPACTO PARA RIESGOS DE GESTIÓN

(Cualitativo)

DESCRIPCIÓN DEL IMPACTO PARA RIESGOS DE SEGURIDAD DE LA

INFORMACIÓN (Cualitativo)29

1. Rara vez El evento puede ocurrir solo en circunstancias excepcionales/ No se ha presentado en los últimos (5) cinco años.

1. Insignificante

- No hay interrupción de las operaciones de la entidad.- No se generan sanciones económicas o administrativas. - No se afecta la imagen institucional de forma significativa.

- Sin afectación de la disponibilidad.- Sin afectación de la confidencialidad.

2 improbable El evento puede ocurrir en algún momento/ se ha presentado al menos una vez en los últimos (5) cinco años.

2. Menor - Interrupción de las operaciones de la Entidad por algunas horas.- Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias.- Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.

- Afectación leve de la disponibilidad. - Afectación leve de la confidencialidad.- Afectación leve de la integridad.

3. Posible El evento podría ocurrir en algún momento/al menos una vez en los últimos (2) dos años.

3. Moderado - Interrupción de las operaciones de la Entidad por un (1) día. - Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad. - Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.- Reproceso de actividades y aumento de carga operativa. -Imagen institucional afectada en el orden nacional o

- Afectación moderada de la integridad de la información debido al interés particular de los empleados y terceros. - Afectación moderada de la disponibilidad de la información debido al interés particular de los empleados y terceros. - Afectación moderada de la confidencialidad de la información debido al interés

29 El impacto se tomará según lo establecido por el DAFP y Políticas Internas de Seguridad de la Información de la PGN.






Tabla de Calificación de Probabilidad e Impacto.regional por retrasos en la prestación del servicio a los usuarios o ciudadanos.

- Investigaciones penales, fiscales o disciplinarias.

particular de los empleados y terceros.

4. Probable El evento probablemente ocurrirá en la mayoría de las circunstancias/ al menos (1) una vez en el último año.

4. Mayor -Interrupción de las operaciones de la Entidad por más de dos (2) días. - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta. -Sanción por parte del ente de control u otro ente regulador.- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno. - Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

- Afectación leve de la integridad.- Afectación leve de la disponibilidad.- Afectación leve de la confidencialidad.

5. Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias/ más de una vez al año.

5. Catastrófico

-Interrupción de las operaciones de la Entidad por más de cinco (5) días.

-Intervención por parte de un ente de control u otro ente regulador.

-Pérdida de Información crítica para la entidad que no se puede recuperar. - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal. - Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.

-Afectación muy grave de la Integridad de la información debido al interés- Afectación muy grave de la disponibilidad de la información debido al interés particular de los funcionarios y terceros. -Afectación muy grave de la confidencialidad de la información debido al interés particular de los funcionarios y terceros.


Procuraduria · Web viewPROCESO: ADMINISTRACIÓN DEL RIESGO Fecha de Revisión 08/06/2020...

Documents

Transcript of Procuraduria · Web viewPROCESO: ADMINISTRACIÓN DEL RIESGO Fecha de Revisión 08/06/2020...