GUÍA DE ADMINISTRACIÓN DEL RIESGO

GUÍA DE

ADMINISTRACIÓN

DEL RIESGO

GE-GA01

Nombre del Proceso

GESTIÓN ESTRATÉGICA

Código: GE-GA01

Versión: 01

Nombre de la Guía

ADMINISTRACIÓN DEL RIESGO

Vigencia: 03/09/2021

Página 2 de 51

Nota: Si usted imprime este documento se considera “Copia No Controlada” por lo tanto debe consultar la

versión vigente en el sitio oficial de los documentos

CONTENIDO INTRODUCCIÓN ............................................................................................................... 1

1. OBJETIVO GENERAL ................................................................................................ 2

2. ALCANCE ................................................................................................................... 2

3. TERMINOS Y DEFINICIONES ................................................................................... 3

3.1 Conceptos básicos relacionados con la gestión del riesgo ......................................... 3

3.2 Conceptos del sistema de gestión de seguridad de la información ............................. 6

4. ADMINISTRACIÓN DEL RIESGO .............................................................................. 8

5. POLITICA DE ADMINISTRACION DEL RIESGO ....................................................... 9

6. ROLES Y RESPONSABILIDADES ........................................................................... 11

7. LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS ................................. 13

8. METODOLOGIA PARA AL ADMINISTRACION DEL RIESGO ................................. 17

9. CONTEXTO ORGANIZACIONAL ............................................................................. 18

9.1. Conocimiento de la entidad ............................................................................... 18

9.2. Definición y análisis de objetivos ....................................................................... 20

10. DEFINICION DEL APETITO DEL RIESGO .............................................................. 20

11. IDENTIFICACION DEL RIESGO .............................................................................. 21

12. VALORACIÓN DE RIESGO...................................................................................... 22

12.1. Valoración de riesgo inherente .......................................................................... 22

12.2. Análisis de riesgos ............................................................................................. 23

12.3. Evaluación de los riesgos .................................................................................. 25

13. TRATAMIENTO DEL RIESGO ................................................................................. 25

13.1. Identificación y redacción de controles .............................................................. 25

13.2. Valoración de controles ..................................................................................... 26

13.3. Riesgo residual .................................................................................................. 29

13.4. PLAN DE MITIGACIÓN E INDICADORES ........................................................ 30

Herramientas para la gestión del riesgo ...................................................... 31

14. MONITOREO Y SEGUIMIENTO .............................................................................. 32

14.1. Seguimiento y eventos ...................................................................................... 32

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 3 de 51



14.2. Actualización del mapa de riesgos ..................................................................... 34

15. COMUNICACIÓN Y CONSULTA .............................................................................. 35

16. ALINEACIÓN CON LA POLÍTICA DE LUCHA CONTRA LA CORRUPCIÓN Y DE EFICIENCIA ADMINISTRATIVA ...................................................................................... 36

16.1. Definición de los Riesgos de Corrupción ........................................................... 37

16.2. Valoración de los Riesgos de Corrupción .......................................................... 37

16.3. Controles y tratamiento de riesgos de corrupción .............................................. 39

17. GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ......................... 42

17.1. Identificación de Riesgos de Seguridad de la Información ................................. 43

17.2. Valoración de Riesgos de Seguridad de la Información ..................................... 44

17.3. Controles y tratamiento del riesgo ..................................................................... 46

18. DOCUMENTOS RELACIONADOS ........................................................................... 46

19. CONTROL DE CAMBIOS ......................................................................................... 46

20. CONTROL DE FIRMAS ............................................................................................ 47

Ilustraciones

Ilustración 1 Modelo de Administración del Riesgo ............................................................ 8 Ilustración 2. Metodología para la administración del Riesgo ........................................... 18

Ilustración 3. Ejemplo categorías de clasificación de riesgos y factores ........................... 22

Ilustración 4. Matriz de calor ............................................................................................ 25

Ilustración 5 Modificación de la probabilidad y el riesgo, con la aplicación de controles ... 29

Ilustración 6. Verificación de eficiencia de control en la matriz de calor ........................... 30

Ilustración 7. etapas de seguimiento de los riesgos ......................................................... 33

Ilustración 8. Validación de seguimiento, segunda línea de defensa ................................ 34

Tablas

Tabla 1. Análisis de Entornos .......................................................................................... 19

Tabla 2 Ejemplo de áreas de impacto .............................................................................. 21

Tabla 3 Niveles para determinar la probabilidad del riesgo .............................................. 23

Tabla 4. Niveles para definir el impacto del riesgo ........................................................... 24

Tabla 5. Tipos de control ................................................................................................. 26

Tabla 6.Atributos y componentes de los tipos de control ................................................ 27

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 4 de 51



Tabla 8. Homologación criterios de probabilidad de riesgos de corrupción y gestión de

riesgos de seguridad digital ............................................................................................. 38

Tabla 9. Valoración del impacto en riesgos de corrupción ............................................... 38

Tabla 10. Análisis y evaluación de los controles para la mitigación de los riesgos. .......... 39

Tabla 11. Rango de calificación, control para riesgos de corrupción ................................ 40

Tabla 12 Evaluación de la solidez individual de cada control (diseño y ejecución) ........... 41

Tabla 13 Resultados de los posibles desplazamientos de la probabilidad y del impacto de

los riesgos ....................................................................................................................... 41

Tabla 14. Homologación Criticidad de infraestructuras cibernéticas ................................ 43

Tabla 15. Tabla de descripción del riesgo del activo ........................................................ 44

Tabla 16. Valoración de riesgos de seguridad de la información ..................................... 45

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 1 de 51



INTRODUCCIÓN En cumplimiento del Decreto Único Reglamentario del Sector de Función 1083 DE 2015, la

NTC ISO 9001 de sistemas de gestión de calidad, la NTC ISO 31000 en lo referente a la

gestión del riesgo, la NTC ISO 27001, de tecnología de la información, técnicas de

seguridad y sistemas de gestión de la seguridad de la información, la Ley 1474 de 2011,

por la cual se “dictan normas orientadas a fortalecer los mecanismos de prevención,

investigación y sanción de actos de corrupción y la efectividad del control de la gestión

pública” la Ley 1712 de 2014 de Transparencia y del Derecho de Acceso a la Información

Pública Nacional, el Decreto 124 de 2016 el cual da lineamientos en relación a la Plan

Anticorrupción y de Atención al Ciudadano”, la Unidad Administrativa Especial Cuerpo

Oficial Bomberos de Bogotá (UAECOB) expide las siguiente guía con el fin de construir una

herramienta de gestión y administración del riesgo, a partir de lo dispuesto y señalado por

el Departamento Administrativo de la Función Pública, (DAFP) en harás de fortalecer y

consolidar una gestión que permita el cumplimiento de la misión, visión, objetivos, metas,

proyectos y programas de la entidad.

Para la adecuada administración del riesgo, la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), aplica la metodología, basándose en el modelo de operación por procesos, esto con el propósito de reducir, mitigar o transferir todas aquellas amenazas que interfieran en la ejecución de las funciones institucionales asignadas a la entidad, y todos aquellos programas y proyectos que se estructuren para cumplir con el objetivo misional de la Unidad. Razón por la cual se hace necesario contar con una herramienta encaminada a la identificación, valoración y tratamiento de los riesgos, y una serie de principios que permitan, prevenir la ocurrencia de riesgos que puedan generar efectos negativos al interior de la entidad. De igual manera la presente guía de gestión del riesgo se estructura organizacionalmente como documentación asociada al modelo de operación de gestión por procesos, presentándose como un marco referencial que busca estandarizar e institucionalizar la práctica de la administración del riesgo, además de fortalecer la gestión pública en la entidad y cumplir con los principios de eficacia, economía, imparcialidad, transparencia, celeridad y publicidad. Finalmente, la presente guía incluye un aspecto teórico-conceptual que permite tener precisión de los conceptos y aborda la articulación y alineación de la administración del riesgo con las políticas de lucha contra la corrupción y la gestión de riesgos de la seguridad informática, en esta última desarrollando criterios de homologación para estandarizar la metodología.

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 2 de 51



1. OBJETIVO GENERAL

Robustecer la implementación y desarrollo de la política de administración del riesgo por medio de una guía metodológica que brinde lineamientos para la adecuada identificación, valoración, tratamiento y control de los riesgos de toda naturaleza a los que se enfrenta la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) , identificados en cada uno de los procesos que hacen parte del Sistema Integrado de Gestión, a fin de garantizar el cumplimiento de la misión y objetivos estratégicos de la entidad. 2. ALCANCE

Con el fin de asegurar responsabilidades y autoridades para la gestión del riesgo en la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) la aplicación y administración del riesgo se encuentra dirigida a los dos (2) procesos estratégicos de la entidad (Gestión Estratégica y gestión del talento humano, los tres (3) proceso misionales (Manejo, Conocimiento y Reducción)los cuatro(4) procesos de apoyo (Gestión Jurídica, Gestión de tecnologías e información y comunicación, Gestión de recursos y Servicio al Ciudadano) y el procesos de evaluación y control, se extiende a todas las dependencias y áreas de la entidad, y como criterios diferenciales se especifica:

Comité Institucional de Coordinación de Control Interno: El Decreto 648 de 2017, asigna como función la de Someter a aprobación del representante legal la política de administración del riesgo y hacer seguimiento, en especial a la prevención y detección de fraude y mala conducta, en este sentido se configura como la instancia responsable de establecer, implementar y mantener la Política de Administración del Riesgo, además de velar por su mejoramiento continuo.

Oficina Asesora de Planeación: es la encargada de capacitar, acompañar, generar recomendaciones y definir la metodología para gestionar los riesgos en la entidad, es la segunda línea de defensa de la entidad.

Oficina de Control Interno (OCI): el decreto 648 de 2017 asigna a la dependencia la gestión del Sistema Institucional de Control Interno, en el cual se integra, la gestión de riesgos, En el cumplimiento del Decreto 555 DE 2011, articulo 5, numeral 7 se asigna como función a la dependencia en mención, la de Liderar la evaluación del proceso de administración del Riesgo de la Unidad.

Líderes y responsable de proceso: Son los directos responsables de llevar a cabo la ejecución de la administración del riesgo de cada uno de los procesos en los cuales participa, desde las etapas de elaboración e identificación de los riesgos, su valoración, tratamiento, revisión y actualización

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 3 de 51



Sobre este responsable es primordial mencionar que durante la aplicación de las acciones de seguimiento cada líder de proceso debe mantener la traza o documentación respectiva de todas las actividades realizadas, alineándolas de igual forma con el modelo de operación por procesos que maneja la entidad y son los responsables también del seguimiento y reporte de avances en el plan de tratamiento, el cual no debe superar los tres meses, con el fin de diseñar mecanismos de control y elementos para la toma de decisiones

Servidores: Son los responsables de ejecutar los diferentes tipos de controles a los riesgos identificados.

3. TERMINOS Y DEFINICIONES

Se presentan a continuación una serie de definiciones generales asociadas a la metodología de administración del riesgo presentada, y algunas otras específicas que aluden a la articulación de la guía con la política de lucha anticorrupción y la gestión de riesgos de seguridad de la información

3.1 Conceptos básicos relacionados con la gestión del riesgo1

Riesgos: Efecto que se causa sobre los objetivos de las entidades, debido a eventos potenciales.

Causa: Todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo.

Eventos potenciales: posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos

Riesgo Residual: Es el resultado de aplicar la efectividad de los controles al riesgo inherente.

Factores de riesgo: son todas aquellas acciones tanto internas como externas

que se constituyen como fuentes generadoras de riesgos

1 Las definiciones acá previstas se refieren a riesgos en el campo de la gestión, diferentes las contempladas en la gestión

de riesgos de desastres que, por su competencia funcional, maneja la Unidad Administrativa Especial Cuerpo Oficial

Bomberos de Bogotá (UAECOB),

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 4 de 51



Consecuencia: Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.

Control: Medida que permite reducir o mitigar un riesgo.

Capacidad del riesgo: se entienden como el nivel máximo de riesgo que puede ser soportada por la entidad a partir del cual la alta dirección consideraría como critico para conllevar el logro de los objetivos propuestos

Impacto: Son las consecuencias o efectos que puede ocasionar a la organización la materialización del riesgo.

Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo.

Probabilidad Inherente: Se entiende como el número de veces que se pasa por el punto de riesgo en el periodo de 1 año. (Sus unidades de medida se asocia a la frecuencia en la que se desarrolla una acción)

Impacto: consecuencia que se genera a la entidad u organización la materialización del riesgo

Administración de riesgos: Proceso efectuado por la Alta Dirección y por todo el personal de la entidad para proveer a la administración una protección institucional con respecto al logro de sus objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación. (INTOSAI, 2000).

Análisis de riesgo: Uso sistemático de la información disponible para valorar y generar categorías analíticas de los riesgos en relación con las causas o agentes generadores, las consecuencias generadas por dicha causa, su severidad y la posibilidad de ocurrencia de la misma.

Causa Raíz: Causa principal por la cual se puede presentar un riesgo

Causa Inmediata: Circunstancia bajo las cuales se presenta los riesgos, pero que no son razón principal o base para que presente el riesgo, se pueden presentar como causas indirectas o de segundo orden

Evaluación del riesgo: Determinación de las prioridades de gestión del riesgo, mediante la comparación del nivel de riesgo hallado (riesgo inherente) y la

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 5 de 51



evaluación de las medidas de control existentes. Es una etapa que busca confrontar los resultados del análisis de riesgo inicial frente a los controles establecidos, con el fin de determinar la zona de riesgo final (riesgo residual).

Gestión del riesgo: Proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.

Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos. En general la fórmula del Nivel del Riesgo poder ser Probabilidad * Impacto, sin embargo, pueden relacionarse las variables a través de otras maneras diferentes a la multiplicación, por ejemplo, mediante una matriz de Probabilidad – Impacto

Mapas de riesgo: documento con la información resultante de la gestión del riesgo.

Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado.

Plan de tratamiento de riesgos: Se define como las decisiones de tratamiento de los riesgos y las actividades de control para su mitigación, a través de la aplicación selectiva de técnicas apropiadas y principios de administración para reducir las probabilidades de ocurrencia de los riesgos, sus consecuencias o ambas.

Política de Administración del Riesgo: Declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo (NTC ISO31000 Numeral 2.4). La gestión o administración del riesgo establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.

Riesgos de Corrupción: Posibilidad que, por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

Plan Anticorrupción y de Atención al Ciudadano: Plan que contempla la estrategia de lucha contra la corrupción que debe ser implementada por todas las entidades del orden nacional, departamental y municipal.

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 6 de 51



Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto, se entiende como el cruce de variables de la probabilidad inherente y el impacto inherente

Apetito al Riesgo: Magnitud y tipo de riesgo que una organización está dispuesta a aceptar, en relación con el cumplimiento de los objetivos, dicho apetito de riesgo puede constituirse de manera diferencial según los distintos tipos de riesgos que la entidad debe gestionar

Tolerancia al Riesgo: Se refiere al valor aceptable de desviación relativa de un riesgo respecto a la consecución de objetivos. Dicho valor es de igual manera la diferencia respecto al apetito del riesgo

Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

3.2 Conceptos del sistema de gestión de seguridad de la información2

Riesgo de Seguridad Digital: Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.

Activo: Se refiere a elementos de hardware y de software de procesamiento, almacenamiento y comunicaciones, bases de datos y procesos, procedimientos y recursos humanos asociados con el manejo de los datos y la información misional, operativa y administrativa de cada entidad, órgano u organismo. (CONPES 3854 de 2016).

Acceso a la información pública: Derecho fundamental consistente en la facultad que tienen todas las personas de conocer sobre la existencia y acceder a la información pública en posesión o bajo control de sujetos obligados. (Ley 1712 de 2014, art 4).

Riesgo de Seguridad de la Información: Posibilidad de que uno o más factores de riesgo puedan generar una situación vulnerabilidad para causar una pérdida o

2 Definiciones tomadas del Modelo nacional de gestión de riesgos de seguridad digital

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 7 de 51



daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000).

Activos de información: Se refiere a cualquier información o elemento relacionado con el tratamiento de esta, que utiliza la organización para funcionar en el entorno digital (sistemas, soportes, edificios, personas...) que tenga valor para la organización.

Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información [ISO/IEC 27000:2014].

Vulnerabilidad: Es una debilidad, atributo, causa o falta de control que permitiría la explotación por parte de una o más amenazas contra los activos, para el caso específico este se homologara como causa del riesgo.

Amenazas: Situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización. Para el caso específico este se homologará como el impacto del riesgo.

Confidencialidad: Propiedad de la información que la hace no disponible, es decir, divulgada a individuos, entidades o procesos no autorizados.

Integridad: Propiedad de exactitud y completitud.

Infraestructura crítica cibernética nacional: Aquella soportada por las TIC y por las tecnologías de operación, cuyo funcionamiento es indispensable para la prestación de servicios esenciales para los ciudadanos y para el Estado. Su afectación, suspensión o destrucción puede generar consecuencias negativas en el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las organizaciones e instituciones, así como de la administración pública. (CONPES 3854, pág. 29).

Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una entidad.

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 8 de 51



4. ADMINISTRACIÓN DEL RIESGO

Para la ejecución y correcto desarrollo de la gestión del riesgo de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), presenta a continuación ilustrativamente las fases de administración de riesgo, cuyo marco de referencia se construye necesariamente de manera cíclica a partir de la toma de decisiones de la Alta dirección de la entidad, la producción del documento de referencia para la gestión del riesgo, su implementación, el monitoreo y la revisión en todos los aspectos y la mejora continua en el diseño de la administración de los riesgos

Ilustración 1 Modelo de Administración del Riesgo

Fuente: Elaboración propia con base en la NTC-ISO31000

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 9 de 51



5. POLITICA DE ADMINISTRACION DEL RIESGO

La Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), en el desarrollo de la correcta gestión administrativa, dentro de las cuales es fundamental la administración del riesgo. asociados a los objetivos estratégicos, los procesos (estratégicos, misionales, de apoyo y de evaluación y control), los proyectos y demás tipos de acciones ejecutadas dirigidas al cumplimiento misional, implementa un Sistema Integral de Gestión de Riesgos como herramienta estratégica que permite anticipar y responder de manera oportuna y óptima las situaciones de riesgo que se presenten, por medio del monitoreo y el seguimiento, además de asistir al cumplimiento de los objetivos y aprovechar al máximo los recursos destinados a planes, programas y proyectos; determinando de tal modo, las mejores condiciones organizacionales que conlleven al desarrollo e institucionalización de los principios de la eficacia, eficiencia, y efectividad. El Modelo integrado de planeación y gestión- MIPG asigna al equipo directivo de las entidades públicas, la tarea de formular lineamientos para la administración del riesgo por medio de la política de riesgo, ejercicio que debe diseñarse desde la dimensión de “Direccionamiento estratégico y de planeación”, dichos lineamientos deben construirse de manera precisas y clara con el fin de lograr un correcto tratamiento, manejo y seguimiento de los riesgos que afectan el logro de los objetivos institucionales. Tanto para el Departamento Administrativo de Función Pública- DAFP, como para la Norma técnica de calidad ISO 31000, la política de administración del riesgo se concibe como la declaración de dirección y las intenciones generales de la entidad con respecto a la gestión del riesgo3, se menciona que esta política debe contemplar y establecer lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos. Además de incluir niveles de aceptación del riesgo, niveles para calificar el impacto, procesos para la modificación o tratamiento del riesgo, y finalmente la periodicidad de seguimiento a los riesgos. De tal modo la política de administración de riesgos del Cuerpo Oficial de Bomberos de Bogotá busca establecer “los niveles aceptables de desviación relativa a la consecución de los objetivos”, asociados a la estrategia de la entidad. Diseñar una correcta gestión y administración del riesgo permite; aumentar la probabilidad de alcanzar los objetivos estratégicos, establecer bases confiables para el ejercicio de toma de decisiones acertada y el desarrollo de procesos de planificación institucional con bases más sólidas, asignar eficazmente recursos, y mejorar los controles en la ejecución de procesos, procedimientos, actividades, programas y proyectos en la entidad.

3 Numeral 2.4 Ntc-iso31000, manual operativo, Manual Operativo del Modelo Integrado de Planeación y Gestión Consejo para la Gestión y Desempeño Institucional V.3-2019 (DAFP)

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 10 de 51



DECLARACIÓN DE POLITICA

La Alta dirección, líderes de proceso y servidores de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), se comprometen a identificar, analizar y dar tratamiento a los riesgos que puedan afectar el cumplimiento de los objetivos institucionales, la sostenibilidad misional y la imagen reputacional; por ello promovemos el reporte oportuno de cualquier hecho que pueda significar la materialización de un riesgo estratégico, de procesos y de seguridad digital, con posible configuración de acoso, extorción, corrupción, soborno, lavado de activos y financiación del terrorismo, de conformidad con la normatividad vigente. La Entidad mantiene autoridad e independencia en la oficina asesora de planeación como segunda línea de defensa en la prevención de prácticas inadecuadas.

OBJETIVOS DE LA POLÍTICA

1. Establecer mecanismos para la gestión del riesgo que contribuyan al cumplimiento

de los objetivos de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB).

2. Ejecutar actividades de monitoreo que permitan la identificación y el posterior tratamiento de los riesgos identificados, permitiendo el adecuado aprovechamiento de los recursos destinados a planes, programas, y proyectos, siempre bajo las mejores condiciones de eficacia, eficiencia, y efectividad

3. Fomentar la cultura de la prevención del riesgo en todos los niveles organizacionales del Cuerpo oficial de Bomberos de Bogotá.

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 11 de 51



6. ROLES Y RESPONSABILIDADES

Teniendo en cuenta lo establecido en la dimensión 7: Control Interno del Decreto 1499 de 2017 Modelo Integrado de planeación y gestión el cual asigna las responsabilidades en relación con las líneas de defensa del MECI, La administración y evaluación y funciones asociadas a la gestión de los riesgos de la Entidad debe ser el siguiente:

Línea estratégica; Alta dirección, Comité Institucional de Coordinación de Control Interno

Establecer la política de administración del Riesgo. Específicamente el Comité Institucional de Coordinación de Control Interno,

evaluará y dará línea sobre la administración de los riesgos de la Entidad, Establecer sistemas de gestión de riesgos y las responsabilidades para controlar los riesgos específicos. Con base en esto establecen los mapas de riesgos.

Tabla 1. Roles y responsabilidades primera línea de defensa

Primera Línea de Defensa

Líderes y responsable de proceso

Realimentar a la línea estratégica sobre la efectividad de la gestión del riesgo y de los controles. Así mismo, hacer seguimiento a su gestión, gestionar los riesgos y aplicar controles.

Identificar y controlar los riesgos relacionados con posibles actos de corrupción en el ejercicio de sus funciones y el cumplimiento de sus objetivos, así como en la prestación del servicio y/o relacionados con el logro de los objetivos. Implementan procesos para identificar, disuadir y detectar fraudes; y revisan la exposición de la Entidad al fraude con el auditor interno de la Entidad.

Para tratar los riesgos de seguridad digital, se deben emplear y tomar como referencia el documento de lineamientos para la gestión de riesgos de seguridad digital en entidades públicas (ANEXO 44)

Mantener actualizados los mapas de riesgos por procesos y mapas de riesgo de corrupción, de conformidad con las políticas institucionales aprobadas y las normas nacionales vigentes. Así como de velar por el cumplimiento de los lineamientos señalados por la metodología de administración del riesgo aprobada en lo concerniente al análisis del contexto estratégico, la identificación del riesgo, su análisis, valoración, medidas de tratamiento, monitoreo y seguimiento.

Por su parte a la segunda línea de defensa (Servidores responsables del monitoreo y evaluación de controles y gestión del riesgo) la Oficina Asesora de Planeación a quienes corresponde:

4 https://acortar.link/ERsvi

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 12 de 51



Capacitar a los servidores de la entidad en la metodología de la administración del riesgo, así como, asesorar a los procesos de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), en la implementación de la metodología para la administración de los riesgos. Impulsa a nivel institucional una cultura de gestión del riesgo coherente con el Modelo Integrado de Planeación y Gestión, el Modelo Estándar de Control Interno – MECI, el Modelo de Seguridad y Privacidad de la Información y las Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano.

Informar sobre la incidencia de los riesgos en el logro de objetivos y evaluar si la valoración del riesgo es la apropiada.

Asegurar que las evaluaciones de riesgo y control incluyan los riesgos de fraude. Ayudar a la primera línea con evaluaciones del impacto de los cambios en el SCI. Consolidar los seguimientos a los mapas de riesgos. Establecer un líder de la gestión de riesgos para coordinar las actividades en esa

materia. Elaborar informes consolidados para las diversas partes interesadas. Seguir los resultados de las acciones emprendidas para mitigar los riesgos, cuando

haya lugar. Los supervisores de contratos deben realizar seguimiento a los riesgos de estos e

informar las alertas respectivas. Los responsables del área desde prensa de la Dirección general son los

responsables por el diseño y la publicación de los mapas de riesgos en las páginas web de la entidad.

La Oficina Asesora de Planeación por medio del equipo de mejoramiento continua realizarán la difusión de lineamientos, metodología, seguimiento y consolidación de los mapas de riesgo.

El equipo de riesgos de la entidad debe apoyar la identificación de los riesgos de corrupción y la política de transparencia de la Entidad, Aun así, los riesgos de corrupción son responsabilidad de cada uno de los procesos.

Todos los servidores públicos son responsables de asegurar el adecuado control sobre los riesgos, ejecutando y gestionado las políticas de administración de riesgo aprobadas, bajo los principios de autocontrol y autogestión.

Los auditores internos y externos son los responsables de incluir en su plan de auditorías la revisión del cumplimiento y coherencia de la gestión de riesgos de sus procesos, alineado al sistema de calidad de la entidad

La tercera línea de defensa estará conformada por la Oficina de Control Interno, a quienes corresponde:

Asesorar en la metodología para la identificación y administración de los riesgos y oportunidades, en coordinación con la primera y segunda línea de defensa

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 13 de 51



Identificar y evaluar cambios que podrían tener un impacto significativo en el SCI, durante las evaluaciones periódicas de riesgos y en el curso del trabajo de auditoría internas, seguimientos e informes de ley.

Comunicar al comité de coordinación de Control Interno posibles cambios e impactos en la evaluación del riesgo y oportunidades, detectados en las auditorias, seguimientos e informes de ley.

Revisar la efectividad y la aplicación de controles, planes de contingencia y actividad de monitoreo vinculadas a riesgos claves de la Entidad.

Alerta sobre la probabilidad de riesgo de fraude o corrupción en las áreas auditadas. Los auditores internos de calidad y de los demás sistemas de gestión son los

responsables de incluir en su plan de auditorías la revisión del cumplimiento y coherencia de la gestión de riesgos de sus procesos, alineado al sistema de calidad de la entidad.

7. LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS

Para el desarrollo y la consolidación de las políticas de administración de riesgos, se deben tener en cuenta tanto las etapas anteriormente desarrolladas, como los objetivos estratégicos propuestos. La política de administración de riesgos institucional se enfoca en la información y análisis del mapa de riesgos institucional y la matriz de riesgos (matriz de calor y zonas de riesgo) así:

a. El mapa de riesgos institucional y el mapa de riesgos de corrupción de la entidad, será de conocimiento de la Alta Dirección, y su riesgo residual será el soporte para aprobación y/o modificación de la política de administración del riesgo.

b. Los mapas de riesgos deben estar alineados con el Sistema Integrado de gestión y con la planeación estratégica de la entidad.

c. Se deberá enfatizar la atención sobre los riesgos estratégicos y operacionales residuales que queden ubicados en zona de severidad de riesgos extremos, altos y moderados con propósito de toma de decisiones en cuanto a su tratamiento.

d. La política institucional de Gestión Integral de riesgos asociados a las estrategias, procesos, la seguridad de la información y medidas anticorrupción, será determinada y aprobada por el comité institucional de coordinación de control interno; previa revisión del Comité de Gestión Desempeño Institucional.

e. El Comité Institucional de Coordinación de Control Interno determinarán y aprobarán el apetito de riesgo y las opciones de tratamiento de los riesgos estratégicos.

f. La opción de tratamiento o manejo para los riesgos residuales ubicados en zona de riesgo extremo, alto o moderado, podrán tener diferentes opciones de manejo

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 14 de 51



“reducir, evitar o aceptar” según lo establece la metodología, esto considerando los eventos registrados para dichos riesgos en periodos anteriores.

g. Los riesgos residuales que queden ubicados en zona de riesgo bajo podrán llevar cualquiera de las opciones de manejo indicadas por el presente manual “aceptar, evitar, reducir”. Sin embargo, si se elige como tratamiento para el riesgo la opción de “aceptar el riesgo”, para el año vigente no se generaran nuevos planes de acción para mitigar el riesgo, No obstante, el que se incluya esta opción no omite la obligación de continuar aplicando los controles establecidos, y hacer el respectivo seguimiento tanto a estos controles ya implementados como a la posible materialización del riesgo. Para riesgos de corrupción no se puede aceptar o asumir el riesgo.

h. El Comité de Gestión y Desempeño Institucional, podrá incluir en los diferentes mapas de riesgos, aquellos riesgos potenciales que no hayan sido incluidos en los mapas de riesgos del proceso que considere pertinente.

i. Se deberán asignar recursos que permitan evaluar el desempeño de los controles, asignar indicadores claves de riesgos y metas, que permita identificar o alertar estados de criticidad o posibles materializaciones de estos.

j. Las acciones de mitigación del riesgo, así como las acciones para desarrollar las oportunidades deben ser incluidas en el plan de acción de la Entidad con el fin de llevar un solo control.

k. De igual forma los ajustes o nuevos lineamientos de política para la administración de riesgos y medidas de transparencia que deba tomar la alta dirección, podrán ser legalizados a través de actas aclaratorias o memorandos en el comité de coordinación de control interno Para las cuales se sugiere tener en cuenta lo siguiente:

Primero definir los objetivos que se esperan obtener tras la gestión de los riesgos, segundo, priorizar los riesgos que pueden generar mayor impacto en la entidad y que afecte a los productos y servicios generados para el cumplimiento de la misión y objetivos institucionales, tercero, se deben tener en cuenta el plan estratégico, plan sectorial y planes de acción, los procedimientos aprobados dentro del Sistema Integrado de Gestión, la cadena productiva y de valor del proceso y no solo las áreas, cuarto determinar políticas y/o estrategias a largo, mediano y corto plazo las cuales deben tener un líder responsable, quinto se debe determinar una línea base de recursos disponibles, y como componente transversal y quinto factor se deben plantear responsables para la implementación, seguimiento de las políticas y otros responsables diferentes para actividades de evaluación de efectividad y auditoria.

l. La política de transparencia será determinada, modificada y aprobada por la alta dirección de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), bajo los lineamientos normativos existentes

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 15 de 51



m. A partir de la política y los objetivos de transparencia, la Oficina Asesora de planeación, apoyara la implementación de la política de Transparencia, al menos una vez por año o cuando se identifiquen oportunidades de mejora que sean diferentes de las acciones para abordar los Riesgos de corrupción priorizados.

n. Con base en la identificación de oportunidades se establecerán procedimientos documentados o Planes de Mejoramiento Institucional, sujetos a aplicación y posterior seguimiento y auditoría.

o. Los planes, deben establecer indicadores de eficacia para evaluar el logro de los objetivos de acciones para abordar las oportunidades.

p. Debido a su naturaleza, los controles asociados a los riesgos de seguridad digital se clasificarán como reservados., en este sentido no deben ser públicos ya que esto expondría a la entidad y daría oportunidad de acceso a información reservada a terceros, situación que podría ser usada en su contra como posibles ataques cibernéticos lo que generaría una vulneración de la plataforma informática y de los activos de información en especial los denominados reservados y confidenciales.

Esta información quedara en custodia del área de tecnología

A continuación se presentan los lineamientos operativos para mapas de riesgos institucionales, corrupción, soborno, fraude y tecnológicos.

a. Las actividades de consolidación y difusión de políticas sobre los mapas de

riesgos de la entidad serán coordinadas por la Oficina Asesora de Planeación. b. Los mapas de riesgos deberán ser aprobados por los líderes de los

correspondientes procesos. Sin embargo, la Oficina Asesora de Planeación; y/o el Comité Institucional de gestión del desempeño, podrán solicitar se incluyan en el Mapa de Riesgo Institucional, aquellos riesgos potenciales que no hayan sido incluidos en los mapas de riesgos por procesos.

c. El mapa de riesgos anticorrupción se realizará para los procesos misionales, estratégicos, así como para los de apoyo, enfocando las áreas identificadas en la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) como áreas posiblemente vulnerables en razón a sus actividades y procedimientos.

d. El mapa de riesgos de corrupción se realizará de manera institucional, y solo se implementarán acciones de mitigación a aquellos riesgos ubicados en zona moderada y alta.

f. En las actividades permanentes de revisión de las matrices de riesgos de corrupción, no deben eliminarse “hechos” de soborno previamente identificados, salvo que pueda demostrarse que es absolutamente imposible que se presente. Es pertinente que en las revisiones se incluyan nuevos hechos de soborno no previstos.

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 16 de 51



g. En la formulación de los “hechos de soborno” normalmente se incluyen dos componentes: a) El soborno en sí mismo (ofrecer, prometer o entregar; aceptar o recibir dádivas) y b) Un posible hecho de corrupción (fraude, prevaricato, celebración indebida de contratos, enriquecimiento ilícito, etc.). Para el efecto del Sistema de Gestión Antisoborno, los riesgos son los efectos que se pueden dar sobre el Soborno, y no sobre la corrupción; así mismo los planes de acción se formulan para evitar el soborno y no la corrupción.

h. Es normal y frecuente que, al analizar un proceso con respecto a los riesgos de soborno, los planes de acción no son ejecutables por el área o áreas que participan en el proceso; puesto que las prácticas de soborno se previenen normalmente a partir de acciones de alcance institucional y no en todos los casos de acciones puntuales. Es normal entonces que en el análisis de un proceso se concluya en la necesidad de emprender acciones que deben liderar otras áreas de la entidad.

i. Los mapas de riesgos deberán ser consolidados, publicados y socializados a toda la entidad propendiendo por el desarrollo de la cultura organizacional de gestión de riesgos.

j. Los mapas de riesgo deben como mínimo cubrir los riesgos asociados a las políticas del Modelo Integrado de Planeación y Gestión- MIPG (Planeación Institucional (Gestión presupuestal y eficiencia del gasto público, Talento

humano, Integridad, Transparencia, acceso a la información pública y lucha contra la corrupción, Fortalecimiento organizacional y simplificación de procesos, Servicio al ciudadano, Participación ciudadana en la gestión pública, Racionalización de trámites, Gobierno digital, Seguridad digital, Defensa jurídica, Mejora normativa, Gestión del conocimiento y la innovación, Gestión documental, Gestión de la información estadística, Seguimiento y evaluación del desempeño institucional, Control interno)

k. La actualización de los mapas de riesgos y oportunidades institucional y de cada proceso, así como los mapas de riesgos de corrupción, soborno y seguridad digital, se realizará de forma anual según lineamientos normativos, salvo que las necesidades del servicio requieran su actualización con otra periodicidad.

l. La eliminación de cualquier riesgo deberá ser justificada y aprobada por el líder del proceso y deberá registrarse en la matriz de cambios de la Entidad. Sin embargo, de presentarse justificaciones poco argumentadas, la Oficina de Control Interno encargada de la evaluación de riesgos de la Entidad deberá pedir ampliación de la justificación hasta tanto encuentre que la entidad no tendrá inconvenientes por dicha eliminación. Para lo cual se podrá solicitar la intervención de otros líderes de procesos que puedan dirimir la decisión.

m. La Oficina de Control interno, efectuará seguimiento cada 4 meses a los riesgos de corrupción y semestralmente a los riesgos institucionales y monitoreo anual a los mapas de riesgos; liderará las actividades de evaluación de conformidad con el plan anual de auditorías internas y de acuerdo con las necesidades

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 17 de 51



requeridas, sin embargo, esto no exime de la función de monitoreo y seguimiento permanente que deberán realizar los líderes de cada proceso.

n. Teniendo en cuenta la norma ISO 27001 de Seguridad de la Información y el Decreto 612 de 2018, el área TICS deberá apoyar en la actualización de los riesgos de seguridad de la información a los que se puedan ver expuestos los diferentes procesos de la Entidad, teniendo en cuenta los principios de gestión de riesgos para procesos del que trata el presente manual.

p. Todos los servidores públicos del, la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), en el marco de sus funciones y obligaciones son responsables por aplicar mecanismos de control adecuados que busquen mitigar los riesgos a los que están expuestas las labores designadas. Incluso aquellos riesgos que enmarcados en sus responsabilidades no se encuentren especificados en el mapa de riesgos institucional y de Anticorrupción.

q. La confiabilidad de la información a publicar será responsabilidad de los líderes de proceso quienes tienen las funciones de la administración y la gestión de riesgos de la Entidad.

r. Se realizará socialización por parte de la Oficina Asesora de Planeación a los gestores o equipos de riesgos designados por cada proceso, de la metodología de gestión del riesgo, con el fin de que ellos realicen la construcción de matriz de riesgos, mapas de calor y demás documentos asociados a su respectivo proceso.

s. De acuerdo con lo que establece la guía de riesgos del DAFP, la identificación de riesgos de la Entidad deberá tener una cobertura mínima (Riesgos que afecten la capacidad de cumplir con la estrategia de la Entidad, Riesgos operativos, Riesgos de cumplimiento, Riesgos de contratación, Riesgos para la defensa jurídica, Riesgos de seguridad digital

8. METODOLOGIA PARA AL ADMINISTRACION DEL RIESGO En concordancia con la Guía para la administración del riesgo y el diseño de controles en entidades públicas Emitida en Versión 5 por el Departamento Administrativo de la Función Pública, Las etapas definidas para la administración del riesgo en la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) son las que se ilustra a continuación:

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 18 de 51



Ilustración 2. Metodología para la administración del Riesgo

Fuente: Elaboración propia con base en la Guía para la administración del riesgo y el diseño de controles en entidades

públicas. V5

9. CONTEXTO ORGANIZACIONAL

Antes de abordar la identificación de riesgos es importante analizar contextualmente la situación propia de la entidad, toda vez que esta confluye en una serie de campos organizacionales muy variados y a su vez posee características endógenas que la hacen diferente a las demás entidades Estatales y Distritales.

9.1. Conocimiento de la entidad

Me

tod

olo

gía

Ad

min

istr

ac

ión

d

e R

iesg

os

Antes de Iniciar con la Metodología

Conocimiento de la Entidad

Misión

Visión

Objetivos Estratégicos

Planeación Institucional

Modelo de Operación por Procesos

Caracterización

Objetivos

Planes, Programas y Proyectos

1. Política de Administración de Riesgos

Lineamientos de PolíticaLineamientosMarco conceptual del apetito del riesgo

2. Identificación de Riesgos

Analisis de objetivos estrategicos y de los procesos

Identificacion de puntos de riesgos, areas de impacto , factores de riesgo, descripcion del riesgo, y clasificacion del riesgo

3. Valoración de Riesgos

Análisis de riesgos

Evaluación de Riesgos

Estrategias para combatir el riesgo

Herramientas para la gestion del riesgo

Monitoreo y revision

4. Lineamientos riesgos relacionados con

posibles actos de corrupción

5. Gestión del riesgo de seguridad digital y

de la información

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 19 de 51



En la gestión de los riesgos resulta fundamental realizar análisis de contextos tanto internos como externos a los que se enfrenta la entidad, toda vez que la arquitectura Estatal sus organizaciones se encuentran dentro de ecosistemas institucionales, en donde se configuran campos funcionales, sectores administrativos, etc., a su vez las entidades participan directa o indirectamente en el desarrollo de sectores sociales, económicos, ambientales entre otros, los cuales configuran una serie de entornos en donde las entidades actúan para conllevar al logro de sus objetivos, los análisis del entorno externo permite identificar la capacidad competitiva de la entidad, y las dinámicas en las que subsiste esta, mientras estudiar los entornos internos permiten identificar internamente, la capacidad o los posibles riesgos de la interrelación entre los procesos y las habilidades o fortalezas de la entidad

De tal manera el análisis de contexto esta mediado por el entorno interno; en donde se definen las características endógenas del ámbito organizacional de la entidad, y se realiza mediante análisis introspectivo, y el entorno externo, que representa, situaciones exógenas, es decir aquellas que se conciben fuera del ámbito organizacional de la entidad y se identifican de en mayor medida por la clasificación de factores o Sectores

A continuación, se presentan una serie de características de los entornos para el análisis y definición de estos

Tabla 2. Análisis de Entornos Contexto o Entorno Interno Contexto o Entorno externo

Financieros: Son situaciones, acciones o temas

relacionados al presupuesto de la entidad, tanto de funcionamiento, como de inversión, se asocia a temas tales como la capacidad financiera, el nivel de endeudamiento, la amortización de la deuda, El marco fiscal de mediano plazo, los planes plurianuales de inversión Etc.

Económico: permite identificar las ventajas o que se

derivan de la aplicación de las políticas macroeconómicas, presupuestales y fiscales, que enmarcan el quehacer de la entidad, estas tienen incidencia tanto directa como indirecta en el costo de la prestación de los servicios por parte de la entidad y afectan parcial o completamente el cumplimiento misional de entidad

Estructura organizacional: consiste en la

identificación de del optimo diseño institucional y la conformación de este en harás del cumplimiento misional de la entidad, la estructura organizacional contempla temas de direccionamiento estratégico,

planeación institucional, liderazgo, trabajo en equipo. Articulación entre dependencias y armonización

Político: son todas aquellas variables que se

generan por el accionar del Estado, en las tres ramas del poder público y se entrelazan al accionar de la entidad (Lineamientos con Planes de desarrollo, políticas públicas, Nueva legislación, sentencias, etc.)

Personal: se refiere a la disponibilidad de personal

para el correcto desarrollo de actividades y funciones que permitan a la entidad el cumplimiento de los objetivos, además del número de personal debe contemplar el nivel de competencia de estos y la Seguridad y Salud en el Trabajo de los referidos.

Social: se presentan como situaciones de

modificación de demandas sociales, necesidades o requerimientos en donde la entidad posee la capacidad de actuar, corresponde también a las modificaciones de la estructura social, en el sentido de su posición, composición, actuar (crecimiento demográfico, orden público)

Comunicación Interna: Canales utilizados para

consolida el flujo de la información necesaria para el

Ambiental: Se refiere a la identificación de las

condiciones tanto bióticas como abióticas que confluyen en el medio ambiental, estos factores

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 20 de 51



desarrollo de las operaciones organizacionales de manera efectiva y eficiente

ambientales identificados, pueden relacionarse a temas de gestión basados en el ambiente, tales como la sostenibilidad ambiental, políticas de cero papeles, desarrollo sostenible, responsabilidad ambiental etc.

Tecnológico: este entorno busca comprender las

dinámicas de desarrollo de las tecnologías de la información y las comunicaciones que se desarrollan al margen de la entidad

Fuente: Elaboración propia, con base en definiciones DAFP

9.2. Definición y análisis de objetivos

En el ámbito organizacional corresponde a la segunda línea de defensa de las entidades públicas realizar un análisis de objetivos estratégicos, confrontándolos y alineándolos con la misión y la visión de la entidad, a su vez desde la perspectiva estratégica el desarrollo institucional y el diseño administrativo se estipula la evaluación e incidencia de nuevas funciones o metas asignadas al organismo o entidad, en relación con productos y/ o servicios y cobertura institucional para garantizar la mejora en la prestación de servicios, aspecto en donde se desenvuelve toda una serie de acciones administrativas ligadas al modelo e operación por proceso (diseño de procesos, procedimientos, actividades etc.). El análisis estratégico de los procesos se puede contemplar desde la metodología de opciones prioritarias y lo contemplado en la Guía para la gestión por procesos en el marco del modelo integrado de planeación y gestión (MIPG) El análisis de objetivos y proceso en cuanto a metodología debe partir de la construcción de los objetivos, es decir responder a ciertas características, el objetivo debe ser específico, medible, alcanzable, relevante y proyectado en el tiempo, la redacción de objetivos debe contemplar además un “qué”, “cómo”, “para qué”, “cuándo”, “cuánto”. Si los objetivos no se encuentran bien definidos, no se puede continuar con la metodología de gestión de riesgo El Departamento Administrativo de la Función Pública sugiere para ello la metodología SMART5.

10. DEFINICION DEL APETITO DEL RIESGO6

Como se mencionó en la política de administración del riesgo se requiere para la

metodología, la determinación por parte de la alta dirección como del comité institucional

de coordinación de control interno, el valor máximo de la escala de determinación del riesgo

5 La metodología SMART se puede acompañar con la taxonomía de Bloom 6 Este apartado hace referencia a la definición del apetito de riesgo como acción de adjudicar dicha medida, la

definición conceptual de lo términos mencionados se encuentra en el numeral 3 de la guía

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 21 de 51



en cuanto a probabilidad e impacto, el valor de capacidad y el valor de la tolerancia del

riesgo con el fin de establecer criterios objetivos sobre la valoración de estos.

11. IDENTIFICACION DEL RIESGO

Una vez definidos los parámetros metodológicos se debe realizar una identificación o tipificación del riesgo existente en determinado campo, la tipificación se realiza y realizar una correcta descripción de este

1. Identificando los puntos de riesgo: es decir identificar la actividad dentro de los flujos de procesos que pueden generar indicios de posibles eventos de riesgo, para esa identificación se recomienda un análisis macro del modelo de operación desde la visualización de la cadena de valor público de la entidad.

2. Identificación de áreas de Impacto: estas áreas están determinadas por las fuentes

generadoras de riesgos, tales como:

Tabla 3 Ejemplo de áreas de impacto Factor Definición Descripción

Procesos Eventos relacionados con errores en las actividades que deben realizar los servidores de la organización

Falta de procedimientos

Errores de grabación, autorización

Errores en cálculos para pagos internos y externos

Falta de capacitación, temas relacionados con la persona

Talento humano

Incluye seguridad y salud en el trabajo. Se analiza posible dolo e intención frente a la corrupción

Hurtos activos

Posibles comportamientos no éticos de los empleados

Fraude interno (corrupción, soborno)

Tecnología Eventos relacionados con la infraestructura tecnológica de la entidad

Errores en programas

Daño de equipos

Infraestructura Eventos relacionados con la infraestructura física de la entidad

Inundaciones

Daños a activos fijos

Evento externo Situaciones externas que afectan la entidad.

Suplantación de identidad

Atentados, vandalismo, orden público Fuente: Ejemplos tomados de la Guía para la administración del riesgo y el diseño de controles en entidades públicas V.5

Una vez identificado la posición del riesgo en el modelo de operación de gestión por procesos y los factores que componen sus áreas de impacto se debe generar una descripción del Riesgo.

Los parámetros estas definidos por 1) la asignación de un nombre corto del riesgo y una descripción compuesta de la siguiente forma

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 22 de 51



𝐷𝑒𝑠𝑐𝑟𝑖𝑝𝑐𝑖𝑜𝑛 𝑑𝑒𝑙 𝑅𝑖𝑒𝑠𝑔𝑜 = 𝑃𝑜𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑑𝑒 +¿ 𝑞𝑢𝑒? (𝐼𝑚𝑝𝑎𝑐𝑡𝑜)+¿ 𝑐𝑜𝑚𝑜? (𝐶𝑎𝑢𝑠𝑎 𝑖𝑛𝑚𝑒𝑑𝑖𝑎𝑡𝑎)+ ¿ 𝑝𝑜𝑟 𝑞𝑢𝑒? (𝑐𝑎𝑢𝑠𝑎 𝑟𝑎𝑖𝑧 )

Realizada la identificación y la descripción, la metodología permite generar una clasificación de los riesgos confrontándolos con los factores, algunas de las categorías son:

Ilustración 3. Ejemplo categorías de clasificación de riesgos y factores

Fuente: Elaboración propia con base en guía de Guía para la administración del riesgo y el diseño de controles en entidades públicas. V5

Clasificado el riesgo es importante generar relación entre dichas clasificaciones y los factores de riesgo7, tanto internos como externos, con el fin de tener claridad conceptual y ubicar estratégicamente el riesgo para su abordaje, finalizada la identificación del riesgo, se procede a su valoración.

12. VALORACIÓN DE RIESGO

Como componente siguiente a la Administración del riesgo planteada desde la gestión del

riesgo y basada tanto en el sistema de calidad como en la metodología DAFP, se procede

a la valoración del riesgo.

12.1. Valoración de riesgo inherente

7 Remitirse a la tabla de identificación de áreas de impacto para asociarlos

Ejecución y administración de procesos: Perdidas

derivadas de errores en la ejecucion y administracion

de proceso

Fraude externo o interno perdidad derivada de actos

de fraude por personas ajenas o internas a la

organizacion

Fallas tecnologicas: son aquellos errores en el

hadrare, sofware o interrupciones en los

servicios basicos

Usuarios, productos y practicas : fallas o

negligencias involuntarias frente a los usuarios que

impiden satisfacer los requerimientos de los

mismos

Daños a activos fijos/Eventos externos: Perdidas o daños de los

activos fijos debido a fatures naturales o de orden publico

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 23 de 51



La valoración del riesgo contempla: I) el análisis de riesgos en donde se busca establecer la probabilidad de ocurrencia que presentan los riesgos junto con la consecuencia o impacto del mismo, estableciendo una zona inicial del riesgo, denominada (riesgo inherente), II) la evaluación del riesgo, en donde se confrontan los resultados de análisis de riesgo inicial, frente a los diferentes tipos de controles establecidos, estos con el fin de determinar la zona final del riesgo (riesgo residual). Enseguida se desagregan los componentes de cada una de las variables de la valoración de riesgos.

12.2. Análisis de riesgos

Esta etapa contempla como primera unidad de medida, la probabilidad; esta entendida como la posibilidad de ocurrencia del riesgo. Medida a partir de criterios de periodicidad o frecuencia de veces en la que un evento, actividad o acción se ejecuta, para el cálculo de la probabilidad se requiere completar la tabla de atributos del riesgo con sus respectivos pesos y realizar los siguientes cálculos.

Tabla 4 Niveles para determinar la probabilidad del riesgo8 Frecuencia de la actividad Probabilidad

Muy baja La actividad que conlleva al riesgo se ejecuta máximo 3 veces por año

20%

Baja La actividad que conlleva al riesgo se ejecuta de 3 a 24 veces por año

40%

Media La actividad que conlleva al riesgo se ejecuta de 24 a 500 veces por año

60%

Alta La actividad que conlleva al riesgo se ejecuta mínimo 500 veces y máximo 5000 veces al año

80%

Muy Alta La actividad que conlleva al riesgo se ejecuta más de 5000 veces por año

100%

Fuente; Elaboración propia con base en Guía para la administración del riesgo y el diseño de controles en entidades públicas. V5,

El análisis de frecuencia se podrá analizar utilizando como recurso datos históricos, o utilizando metodologías de estándares estadísticos tanto de La Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) como de sus colaboradores y

8 Los criterios de veces por año y % de probabilidad puede ser ajustados

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 24 de 51



demás fuentes de información.

En caso de que el líder del proceso no cuente con datos históricos sobre el número de eventos en que se ha materializado el riesgo, los integrantes del equipo de trabajo por medio de metodologías similares a la de estándares subjetivos deberán calificar en privado el nivel de probabilidad en términos de factibilidad y el promedio resultante de todas las calificaciones se asumirá como el valor a registrar.

El resultado porcentual de definir una escala de probabilidad del riesgo se denominará probabilidad inherente Una vez identificada esta se debe realizar un análisis de impacto como segunda unidad de medida del análisis de riesgo, para ello debe entenderse cómo impacto; las consecuencias que trae para la entidad la materialización del riesgo. Los impactos contemplan dos variables principales, los impactos económicos e impactos reputacionales, las primeras contemplando afectaciones como la ejecución presupuestal, pagos por sanciones económicas, indemnización a terceros etc., mientras que, el impacto reputaciones se refiere a las afectaciones de la imagen institucional.

Los criterios para determinar el nivel de los impactos se presentan a continuación:

Tabla 5. Niveles para definir el impacto del riesgo Impacto Económico Impacto Reputacional

Muy baja Afectación menor a 10 SMLMV El riesgo afecta la imagen de alguna área de la organización

Baja Afectación entre 10 y 50 SMLMV El Riesgo afecta la imagen de la entidad internamente, la afectación es de conocimiento general a nivel interno, de la junta directiva y proveedores

Media Afectación entre 50 y 100 SMLMV El riesgo afecta a la imagen de la entidad con algunos usuarios de relevancia frente al logro de los objetivos

Alta Afectación entre 100 y 500 SMLMV

El riesgo afecta la imagen de la entidad con efecto publicitario sostenido a nivel de sector administrativo y nivel distrital

Muy Alta El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitario sostenido a nivel nacional

Fuente; Elaboración propia con base en Guía para la administración del riesgo y el diseño de controles en entidades públicas. V5,

Como resultado de aplicar los criterios porcentuales de evaluación de impacto, se determinaría el Impacto inherente de un riesgo. Es importante mencionar que para el análisis de riesgos no se considera necesario el criterio experto, si no que este debe ser dado a partir de la experiencia de los líderes de los procesos, como conocedores de su

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 25 de 51



respectivo quehacer, de otra parte, se debe contemplar que una vez analizados los riesgos y en situaciones cuando se presenten ambos impactos para un riesgo, tanto económico como reputaciones, con diferentes niveles se debe tomar el nivel más alto del riesgo.

12.3. Evaluación de los riesgos

Una vez identificados los valores % de la probabilidad inherente y el impacto inherente, podremos por medio de un cruce de porcentajes en la matriz de calor, identificar el Riesgo inherente, y clasificarlo en un nivel de severidad del riesgo

Ilustración 4. Matriz de calor

Fuente: Guía para la administración del riesgo y el diseño de controles en entidades públicas. V5

13. TRATAMIENTO DEL RIESGO

Una vez se realizada la valoración del riesgo deben implementarse una serie de medidas para tratar de la manera más adecuada el riesgo identificado, el tratamiento del riesgo inicia en la identificación y descripción de los controles, y e extiende hasta el cálculo del Riesgo Residual, como producto de la implementación de medidas de control.

13.1. Identificación y redacción de controles

Nivel de

Severidad del

Riesgo

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 26 de 51



La valoración del riesgo prevista como control, permite definir acciones concretas en aras de reducir mitigar o transferir el riesgo, al valorar los controles se deben tener en cuenta distintas metodologías que afrontar de la mejor manera los riesgos, los controles deben ser definidos tanto por los líderes de procesos como por servidores expertos en su quehacer, los responsables de implementar y monitoreas los controles son igualmente los líderes de procesos con apoyo de su equipo de trabajo. En este sentido se considera como controles aquellas políticas, lineamientos, mecanismos o acciones que son aplicadas en la institución para minimizar o mitigar las amenazas que pueden presentarse en la entidad, de igual forma como mecanismo, el control puede potenciar aquellas oportunidades sobre las cueles se quiere aumentar los efectos deseables, de manera que se garantice el desarrollo de las actividades acorde con los requisitos institucionales. Al definir un control, al igual que al describir un riesgo debe contemplar un diseño conceptual metodológico que permita dar claridad de aspectos relevantes del control, su estructura debe estar dada por

𝑫𝒆𝒔𝒄𝒓𝒊𝒑𝒄𝒊𝒐𝒏 𝒅𝒆𝒍 𝑪𝒐𝒏𝒕𝒓𝒐𝒍= 𝑹𝒆𝒔𝒑𝒐𝒏𝒔𝒂𝒃𝒍𝒆 𝒅𝒆 𝒆𝒋𝒆𝒄𝒖𝒕𝒂𝒓 𝒆𝒍 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 + 𝒍𝒂 𝒂𝒄𝒄𝒊𝒐𝒏 + 𝒄𝒐𝒎𝒑𝒍𝒆𝒎𝒆𝒏𝒕𝒐

13.2. Valoración de controles

Una vez utilizada la estructura para la descripción del control, debe identificarse la tipología a la que corresponde el control para esto cada una se define de la siguiente manera:

Tabla 6. Tipos de control Tipo de control Descripción Actuación en el Ciclo de

procesos

Control Preventivo

Control accionado en la entrada del proceso y antes de que se realice la actividad originadora del riesgo, este busca establecer las condiciones que aseguren el resultado final esperado

Ataca la probabilidad de ocurrencia desde las causas, y se ubica en los recursos que requiere el proceso con la situación de riesgo

Control Defectivo control accionado durante la ejecución del proceso, estos controles detectan el riesgo, pero pueden ocasionar reprocesos

Se identifica en la actividad y se encuentra en el desarrollo del proceso, pues detecta la ocurrencia del riesgo

Control Correctivo

es aquel que se acciona en la salida del proceso y después de que se ha materializado el riesgo, desarrollar estos controles implica asumir algunos costos

Ataca el impacto que se presento en productos o servicios y evite que se materialice el riesgo frente a ellos

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 27 de 51



implícitos Fuente: Elaboración Propia, con base en la Guía para la administración del riesgo y el diseño de controles en entidades

públicas

La tipología del control puede estar definida, además, de dos maneras, dependiendo su implementación, la primera de ellas diseñada por medio de un control manual, es decir; aquellos controles ejecutados directamente por el talento humano de la entidad, y la segunda por medio de un control automático, diseñado a partir de sistemas tecnológicos y operaciones automáticas de matrices, programas etc. Definido el tipo de control, deben identificarse los atributos que presentan los controles, para esto, el Departamento Administrativo de la Función Pública DAFP, basado en criterios de eficiencia y formalización, ha diseñado una serie de variables como lo son las características, la descripción y el peso, para definir los atributos del control, según su tipo, estos criterios son:

Tabla 7.Atributos y componentes de los tipos de control 9 CARACTERÍSTICAS DESCRIPCIÓN PESO

Atributos de eficiencia

Tipo Preventivo Dirigido hacia las causas del riesgo, asegurando el final esperado

25%

Detectivo Detecta la ocurrencia y devuelve el proceso a los controles preventivos

15%

Correctivo Reduce el impacto de la materialización del riesgo

10%

Implementación Automático Actividades con procesamiento sistematizado

25%

Manual Son controles ejecutados por personas, puede tener implícito el factor d error humano

15%

Atributos informativos

Documentación Documentado

Controles documentados en los procesos, procedimientos, manuales

Sin documentar

Controles que se ejecutan y que no posee soporte documental

Frecuencia Continua El control se aplica cada vez que se realiza la actividad que conlleva al riesgo

Aleatoria La aplicación del control es esporádica

Evidencia Con registro

El control produce un registro que evidencia la aplicación de este

Sin registro No se puede evidenciar la aplicación del control

Valoración del control Total %

9 Esta tabla debe construirse para cada uno de los controles diseñados

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 28 de 51



Fuente Guía para la administración del riesgo y el diseño de controles en entidades públicas

Los atributos de información, si bien se constituyen como variables inherentes a los controles, no determinan afectaciones directas a la efectividad del control, por lo cual no se pondera un valor cuantitativo para el análisis, en cambio, funcionan como elementos descriptivos de índole cualitativo que permite caracterizar de una mejor manera el control. Diseñado el control y asignados una serie de atributos a los controles con los respectivos criterios porcentuales (%) del peso del control, se deben realizar las siguientes operaciones, según corresponda el tipo de control, con el fin de visualizar la modificación de valores de riesgo, y desplazamiento del mismo, ejecutadas las operaciones, se encontrará la probabilidad residual, el impacto residual, y como suma de estos dos el riesgo residual. Las operaciones son las siguientes:

% 𝒅𝒆 𝒑𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒊𝒏𝒉𝒆𝒓𝒆𝒏𝒕𝒆10

∗ % 𝒅𝒆𝒍 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 𝒅𝒆𝒕𝒆𝒄𝒕𝒊𝒗𝒐 𝒐 𝒑𝒓𝒆𝒗𝒆𝒏𝒕𝒊𝒗𝒐 𝒅𝒊𝒔𝒆ñ𝒂𝒅𝒐11 = 𝑽𝒂𝒍𝒐𝒓 𝟏

% 𝒅𝒆 𝒑𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒊𝒏𝒉𝒆𝒓𝒆𝒏𝒕𝒆 − % 𝑽𝒂𝒍𝒐𝒓 𝟏 = % 𝒅𝒆 𝑷𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 Para el cálculo del impacto residual, se utilizan el mismo criterio reflejado de la siguiente manera:

% 𝒅𝒆 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒊𝒏𝒉𝒆𝒓𝒆𝒏𝒕𝒆12 ∗ % 𝒅𝒆𝒍 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 𝑪𝒐𝒓𝒓𝒆𝒄𝒕𝒊𝒗𝒐 13 = 𝑽𝒂𝒍𝒐𝒓 𝟐

% 𝒅𝒆 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒊𝒏𝒉𝒆𝒓𝒆𝒏𝒕𝒆 − % 𝑽𝒂𝒍𝒐𝒓 𝟐 = 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 El cálculo de la probabilidad residual y del impacto residual debe realizarse por cada uno de los controles que se diseñen, en el caso de que estos sean más de uno, debe recoger como resultado de la operación el % de probabilidad residual o el impacto residual obtenido en la operación inmediatamente anterior, por ejemplo:

% 𝒅𝒆 𝒑𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 (𝑹𝒆𝒔𝒖𝒍𝒕𝒂𝒅𝒐 𝟏)∗ % 𝒅𝒆𝒍 𝒔𝒆𝒈𝒖𝒏𝒅𝒐 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 𝒅𝒆𝒕𝒆𝒄𝒕𝒊𝒗𝒐 𝒐 𝒑𝒓𝒆𝒗𝒆𝒏𝒕𝒊𝒗𝒐 𝒅𝒊𝒔𝒆ñ𝒂𝒅𝒐= 𝑽𝒂𝒍𝒐𝒓 𝟑

% 𝒅𝒆 𝒑𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 (𝑹𝒆𝒔𝒖𝒍𝒕𝒂𝒅𝒐 𝟏) − % 𝑽𝒂𝒍𝒐𝒓 𝟑= % 𝒅𝒆 𝑷𝒓𝒐𝒃𝒂𝒃𝒊𝒍𝒊𝒅𝒂𝒅 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍

10 Calculado a partir de la tabla de niveles para determinar la probabilidad del riesgo 11Producto de la suma del peso de la tabla de atributos y componentes de los tipos de control 12 Calculado a partir de la tabla de niveles para determinar el impacto inherente del riesgo 13producto de la suma del peso de la tabla de atributos y componentes de los tipos de control

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 29 de 51



% 𝒅𝒆 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 (𝑹𝒆𝒔𝒖𝒍𝒕𝒂𝒅𝒐 𝟐) ∗ % 𝒅𝒆𝒍 𝒔𝒆𝒈𝒖𝒏𝒅𝒐 𝒄𝒐𝒏𝒕𝒓𝒐𝒍 𝒄𝒐𝒓𝒓𝒆𝒄𝒕𝒊𝒗𝒐= 𝑽𝒂𝒍𝒐𝒓 𝟒

% 𝒅𝒆 𝒊𝒎𝒑𝒂𝒄𝒕𝒐 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍 (𝑹𝒆𝒔𝒖𝒍𝒕𝒂𝒅𝒐 𝟐) − % 𝑽𝒂𝒍𝒐𝒓 𝟒 = % 𝒅𝒆 𝑰𝒎𝒑𝒂𝒄𝒕𝒐 𝒓𝒆𝒔𝒊𝒅𝒖𝒂𝒍

13.3. Riesgo residual

El cálculo de la probabilidad residual y el impacto residual permitirá identificar y clasificar en el nivel de severidad el riesgo residual, en la matriz de calor, como se a mencionado anteriormente se realiza un ajuste producto de atacar por medio de controles, preventivos y detectivos la probabilidad inherente del riesgo y controles correctivos para atacar el impacto

Ilustración 5 Modificación de la probabilidad y el riesgo, con la aplicación de controles

Fuente; Guía para la administración del riesgo y el diseño de controles en entidades públicas

De este modo, y a manera de ejemplo, el riesgo inherente (1), ubicado en una zona de probabilidad alta de riesgo, con impacto catastrófico y nivel de severidad del riesgo extremo, modifica su posiciona una vez aplicada la medida de control respectiva, el desplazamiento del riesgo se dirige a la posición (2) en donde la probabilidad es media, el impacto menor y la severidad del riesgo moderada, esta posición final del riesgo es conocida como riesgo residual.

2

1

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 30 de 51



El tratamiento finalizaría identificando la eficiencia del control, en la matriz de calor se muestra de la siguiente manera

Ilustración 6. Verificación de eficiencia de control en la matriz de calor

Fuente; Guía para la administración del riesgo y el diseño de controles en entidades públicas

El tratamiento del riesgo contempla además de los análisis señalados, la perspectiva de planeación en la gestión organizativa, como aspecto de transformación y modificación de los riesgos, en tal sentido es importante que se configuren a partir del tratamiento del riesgo, escenarios de decisión estructural sobre los mismos

13.4. PLAN DE MITIGACIÓN E INDICADORES

Los líderes de proceso deben evaluar las opciones existentes en materia de tratamiento de riesgo, partiendo de la política de administración de riesgos y teniendo en cuenta su importancia, los efectos que puede tener sobre la entidad, su probabilidad e impacto y la relación costo-beneficio de las medidas de tratamiento.

El tratamiento del riesgo Permite identificar las estrategias para combatir el riesgo, capturar la ocurrencia de uno o varios incidentes y generar alertas o alarmas frente a la materialización de los riesgos, El tiramiento del riesgo se fundamenta como la decisión tomada frente a las situaciones de riesgos residuales, la metodología del DAFP, propone abordar el tratamiento desde tres enfoques:

• Reducir el riesgo: Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos; por lo general conlleva a la implementación de controles apropiados y

Eficiencia del control

Riesgo

residual

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 31 de 51



con una adecuada segregación de funciones. La decisión de reducir el riesgo va asociada a dos vías, la de mitigar el riesgo, cuyo fundamento es contemplar en el plan de acción de la entidad vías para el tratamiento del riesgo, o transferir como mecanismo que desprenda el riesgo de la entidad, sin embargo, trasladar o tercerizar una actividad que conlleve al riesgo, no evita un impacto reputacional en la entidad, si este se llegase a materializar. La elaboración de un plan de acción para la reducción del riesgo debe contemplar como mínimo: un responsable, una fecha de implementación y una fecha de seguimiento.

• Aceptar el riesgo: Se configura como opción partiendo del bajo riesgo que posee y de la definición del apetito y tolerancia del riesgo, optar por la aceptación significaría no adoptar controles que impacten sobre la probabilidad o el impacto del riesgo, al tomar la decisión de aceptación del riesgo, es necesario que el líder del proceso realice seguimiento continuo al riesgo. Evitando que este no conlleve al desarrollo o materialización de otros riesgos

• Evitar el riesgo: Se abandonan las actividades que dan lugar al riesgo, es decir se decide, no iniciar o no continuar con la actividad que lo provoca, dicha tratamiento puede configurarse como el más simple y la manera menos riesgosa de afrontar el riesgo, sin embargo, se debe determinar si su no ejecución, conllevaría implícita el desarrollo de otro riesgo

Herramientas para la gestión del riesgo

Además del diseño de la matriz de calor como instrumento metodológico existen algunas otras que refuerzan el estudio del riesgo para su tratamiento, y aportan datos cuantitativos y cualitativos que justifique la toma de decisiones de los líderes de proceso a la hora de abordar el tratamiento de un riesgo.

Para dicho análisis se puede trabajar con la gestión y desarrollo de fuentes de información que puede fortalecer la gestión del riesgo, institucionalmente la entidad cuenta con bases de datos dispuestas en áreas como, por ejemplo: PQRD, Mesas de ayuda, datos históricos de la oficina jurídica de actividades judiciales y denuncias tanto por línea interna como por línea externa

Las herramientas permiten además por medio del indicador de desempeño del control, conocer la probabilidad de ocurrencia del riesgo, este indicador se formula de la siguiente manera.

𝐷𝑒𝑠𝑒𝑚𝑝𝑒ñ𝑜 𝑑𝑒𝑙 𝑐𝑜𝑛𝑡𝑟𝑜𝑙 =𝑒𝑣𝑒𝑛𝑡𝑜𝑠

𝐹𝑟𝑒𝑐𝑢𝑒𝑛𝑐𝑖𝑎 𝑑𝑒𝑙 𝑟𝑖𝑒𝑠𝑔𝑜 (# 𝑣𝑒𝑐𝑒𝑠 𝑞𝑢𝑒 𝑠𝑒 ℎ𝑎𝑐𝑒 𝑙𝑎 𝑎𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑)

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 32 de 51



En este caso los eventos son concebidos como el número de veces que se a materializado un riesgo, el desempeño del control permite evaluar tanto en labores relativos como porcentuales los riesgos de la entidad. Existe también, el indicador clave del riesgo como herramienta metodológica para la construcción base de datos o colección de datos históricos, agrupados por periodos de tiempo y relacionados con comportamientos, gráficos o porcentajes que pueden indicar la exposición a determinado riesgo (capturando y clasificando la ocurrencia y periodicidad de incidentes).

14. MONITOREO Y SEGUIMIENTO

Como siguiente aspecto en la administración del riesgo, el monitoreo y el seguimiento

permiten observar y recolectar información de la situación específica de la gestión de

riesgos, en aras de la toma de decisiones frente al aumento de afectaciones generadas por

un riesgo. Para efectos de la presente guía se dispondrá de las líneas de defensa,

plasmadas a partir del Modelo integrado de Planeación y gestión (MIPG), en su dimensión

número Siete (7) y en articulación con el alcance y la descripción de involucrados del

numeral 2 de este documento. En donde se definen responsabilidad especificas entorno a

la gestión del riesgo

14.1. Seguimiento y eventos

El seguimiento del riesgo parte de cuatro (4) Lineamientos sustantivos, ellos son: I) La

Periodicidad, en la cual se sugiere la construcción de reporte de eventos trimestralmente,

II) los reportes oportunos, es decir que, los riesgos materializados deben ser reportados

en el momento en el que ocurren, y sobre los cuales deben generarse las acciones

correctivas por parte de la primera línea. III) la prevención, en este sentido el informe de

seguimiento debe establecer los nuevos controles y/o acciones de mitigación en caso de

ser necesario, así como las propuestas de actualización, tener en cuenta esos tres (3)

lineamientos para el seguimiento de eventos trae consigo IV) Generar valor público a

partir de la toma de decisiones basadas en riesgos.

Claros los lineamientos es fundamental aclarar las etapas del seguimiento de eventos para

la gestión y administración de los riesgos, a continuación, se presentan estas y sus

respectivos descriptores de acción

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 33 de 51



Ilustración 7. etapas de seguimiento de los riesgos

Fuente: Elaboración propia, Metodología DAFP

Es importante resaltar que para el ejercicio de seguimiento de eventos y para efectos de la

metodología utilizada en la matriz de calor, cada una de las etapas de seguimiento tendrá

subcomponente que deben de ser diligenciados, las tablas de seguimiento a eventos

estarán conformadas por las siguientes categorías:

Tabla 8. Tabla de seguimiento a eventos Fecha Seguimiento a Controles Seguimiento a Indicadores

Periodo de seguimiento

Fecha e corte del seguimiento

Frecuencia del riesgo

No de Eventos

Desempeño del control

Análisis de la información reportada

Resultado del Indicador clave del riesgo

Análisis de la información reportada y evidenciada

Seguimiento al plan de mitigación Reporte de materialización

% de cumplimiento del plan de mitigación

¿la acción esta incluida en el plan operativo

Análisis de la información reportada y evidenciada

Materialización del riesgo

Causa de la materialización

Acción propuesta de mitigación

Nueva identificación Resultados

Nuevos riesgos identificados Oportunidades identificadas Resultados de auditorías OCI, externar

Fuente: elaboración propia, Metodología DAFP

Una vez establecida la matriz de etapas de seguimiento del riesgo debe ser diligenciada la

matriz de eventos, esta tendrá la siguiente información y las siguientes categorías:

Controles

El seguimiento se realiza a través del análisis del indicador de desempeño de control

Indicadores

Se debe hacer el reporte trimestral de los KIR (Indicadores claves de riesgos)

Plan de Mitigación

Se debe reportar semestral a través del formato de seguimiento. y se debe ralizar seguimiento de las acciones en el plan operativo

Materialización

Se debe reportar inmediatamente se materializa un riesgos y se debe proseguir a generar un plan de acción

se debe hacer el análisis trimestral a través de la matriz de eventos

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 34 de 51



Tabla 9. Matriz de eventos Información del evento

fecha del evento fuente descripción del evento tipo de evento

ID DEL RIESGO RELACIONADO

Características del evento

causa(s) del evento Tipo de impacto generado por el evento

Descripción del impacto generado por el evento

Descripción del impacto

reputacional (si aplica)

cuantía afectada ($) (si aplica)

Cuantía recuperada ($) (si aplica)


Finalmente corresponde a las segundas líneas de defensa, generar procesos de validación,

enfocándose en tres actividades.


14.2. Actualización del mapa de riesgos

Corresponde a los líderes de procesos la actualización y modificación de los mapas de riesgo de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), tanto por modificaciones de diseño metodológico de la administración del riesgo

Ejecución de procesos Fraude Interno Fraude Externo Fallas Tecnológicas Relaciones laborales Usuario, producto y practicas Daños de activos físicos Hallazgos, no conformidades

Todo riesgo debe contener un

identificador (ID)

1) Reputacional

2) Económico

3) Económico- Reputacional

Revisar el reporte de cada una

de las etapas de seguimiento Generar recomendaciones a

la primera línea de defensa

Generar informe para la línea

estratégica, el cual se debe

presentar semestralmente

Ilustración 8. Validación de seguimiento, segunda línea de defensa

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 35 de 51



como de modificación de procesos evaluados que presenten cambios organizacionales, modificación de objetivos, alcance o actividades de los procesos o cuando existan modificaciones del contexto estratégico y organizativo a nivel institucional, en dado caso se debe proceder a una revisión exhaustiva y completa de cada uno de los riesgos gestionados. Para efectos de actualización y seguimiento a la misma, el mapa de riesgos de los procesos debe como mínimo establecer revisión y/o actualización anual a partir de última fecha de revisión. Sin embargo, debe contemplarse que cada uno de los riesgos identificados podrán ser actualizado individualmente, cuando exista requerimiento de estos. las Auditorias y consultorías tanto internas como externar podrán ser insumo para la modificación de los riesgos.

15. COMUNICACIÓN Y CONSULTA

Teniendo en cuenta que la comunicación y consulta se fundamenta sobre principios de transparencia, accesibilidad y publicación de la información, tanto de manera interna como externa, la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB) determina las siguientes actividades para el total de las etapas del proceso de la administración del riesgo: El Mapa de Riesgos de cada uno de los procesos tendrá que ser divulgado, esta función estará a cargado del área de prensa de la Dirección general, por su parte la publicación para la consulta debe ejecutarse por parte de los líderes de proceso con apoyo del grupo de informática la Oficina asesora de planeación verificara que todos los miembros del proceso comprenden la guía y administración de los riesgos asociados a las dinámicas de las actividades requeridas para implementar la gestión del riesgo, La Oficina Asesora de planeación en coordinación ya articulación con la Oficina de Control Interno, impulsarán la institucionalización de la cultura de gestión del riesgo, a través de capacitaciones, mesas de trabajo y asesorías, con el fin de mejorar continuamente en la ejecución de los procesos y diseñando mecanismos para la gestión del conocimiento y apropiación del enfoque basado en riesgos. Cuando el riesgo implique a terceros, se deben diseñar encuentros de socialización y planes de trabajo conjunto para el abordaje y tratamiento de los mismos, actividad que corresponderá ejecutar a los líderes responsables de cada proceso.

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 36 de 51



La consulta y divulgación del Mapa de Riesgos de Corrupción a partes interesadas y comunidad en general se realizará a través de su publicación en la página Web de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB)

16. ALINEACIÓN CON LA POLÍTICA DE LUCHA CONTRA LA CORRUPCIÓN Y DE EFICIENCIA ADMINISTRATIVA

La guía para la gestión del riesgo de la Unidad Administrativa Especial Cuerpo Oficial

Bomberos de Bogotá (UAECOB) en el cumplimiento de la Constitución Política de

Colombia: Artículos relacionados con la lucha contra la corrupción; 23, 90, 122, 123, 124,

125, 126, 127,128,129,183,184,209, el Estatuto Anticorrupción Ley 1474 de julio 12, lo

dispuesto en el Artículo 73; Plan Anticorrupción y Atención al Ciudadano, la ley 1712 de

2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la

Información Pública Nacional y se dictan otras disposiciones. Y el Decreto 1081 de 2015:

Decreto reglamentario único del Sector Presidencia de la República. Título 4. Plan

Anticorrupción y de Atención al Ciudadano.

Contempla en la administración del riesgo Estrategias de lucha contra la corrupción y de

Atención al ciudadano. Por medio de la aplicación metodología de la gestión del riesgo a la

estrategia de lucha contra la corrupción, de la entidad en la cual se articula la gestión del

Riego al Plan Anticorrupción y Atención al Ciudadano PAAC , el plan contemplan seis

componentes, estos son : 1) Gestión de riesgos de corrupción, 2) Racionalización de

trámites, 3) Rendición de cuentas, 4) Mecanismos de atención al ciudadano, 5)

Transparencia y acceso a la información y 6) Iniciativas adicionales que, para el caso del

Cuerpo Oficial de Bomberos, corresponden al Plan de Integridad.

El componente de Gestión del riesgo de corrupción, desarrolla una serie de

subcomponentes, estos son la Política de Administración de Riesgos de Corrupción, la

Construcción del Mapa de Riesgos de Corrupción, la Consulta y divulgación, el Monitoreo

y revisión del plan y el Seguimiento y asigna responsabilidades a la Oficina Asesora de

Planeación, la Subdirección de Gestión Corporativa en lo relacionado al Control

disciplinario interno y Control interno y a la oficina de control interno como garantes de la

implementación de la gestión del riesgo para contrarrestar.

Como objetivo de plan se define: Establecer el plan de lucha contra la corrupción y

fortalecimiento del servicio a la ciudadanía de la Unidad Administrativa Especial Cuerpo

Oficial Bomberos de Bogotá mediante la formulación, ejecución y seguimiento de

actividades en los componentes de gestión de riesgos de corrupción, rendición de cuentas,

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 37 de 51



racionalización de trámites, servicio a la ciudadanía, transparencia y acceso a la

información e integridad para la vigencia 2021.14

De igual manera se estructuran una serie de objetivos específicos dirigidos a Fortalecer la

gestión de riesgos de corrupción de la Unidad Administrativa Especial Cuerpo Oficial

Bomberos de Bogotá.

Para la gestión de riesgos de corrupción la UAECOB a asignados una serie de

responsabilidades a las Oficina asesora de planeación, la oficina de control interno y la

Subdirección de Gestión Corporativa en relación al Control disciplinario interno, no obstante

se debe considerar que los riesgos de corrupción se convierten en una tipología de riesgos

que debe ser controlada por la totalidad organizacional de la entidad de modo tal que cada

responsable o líder de procesos pueda realizar el seguimiento correspondiente a sus

procesos propios del proceso.

Ahora bien, para la gestión de los riesgos asociados a la lucha contra la corrupción y la

eficacia administrativa, la Unidad Administrativa Especial Cuerpo Oficial Bomberos de

Bogotá, aplica la metodología diseñada por el Departamento de la Función Pública,

explicada en el presente documento, para tal efecto se complementan a continuación una

serie de aspectos diferenciales en la metodología, como Lineamientos sobre los riesgos

relacionados con posibles actos de corrupción

16.1. Definición de los Riesgos de Corrupción

Los riesgos de corrupción se constituyen a partir de la posibilidad de que, por acción u

omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado, en

ese sentido su definición debe comprender los componentes primarios reseñados, de la

siguiente manera:

𝑨𝒄𝒄𝒊ó𝒏 𝒖 𝑶𝒎𝒊𝒔𝒊ó𝒏 + 𝑼𝒔𝒐 𝒅𝒆𝒍 𝑷𝒐𝒅𝒆𝒓 + 𝒅𝒆𝒔𝒗𝒊𝒂𝒄𝒊𝒐𝒏 𝒅𝒆 𝒅𝒆 𝒍𝒂 𝑮𝒆𝒔𝒕𝒊ó𝒏 𝒅𝒆 𝒍𝒐 𝑷ú𝒃𝒍𝒊𝒄𝒐+ 𝑩𝒆𝒏𝒆𝒇𝒊𝒄𝒊𝒐 𝑷𝒓𝒊𝒗𝒂𝒅𝒐

Una vez descrito el riesgo de corrupción debe de aplicarse la metodología explicada en los

apartados anteriores de la presente guía

16.2. Valoración de los Riesgos de Corrupción

14 Cita del plan

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 38 de 51



Los criterios para la definición de probabilidad de los riesgos de corrupción estarán

mediados por la ocurrencia de los hechos, los valores se presentan a continuación

Tabla 10. Homologación criterios de probabilidad de riesgos de corrupción y gestión de riesgos de seguridad digital

Descripción

Nivel Descriptor Frecuencia Descripción de la probabilidad

Descripción

5 Casi seguro Más de 1 vez al año Muy baja Se espera que el evento ocurra

4 Probable Al menos 1 vez en el último año

Baja Es viable que el evento ocurra

3 Posible Al menos 1 vez en los últimos 2 años

Media El evento podrá ocurrir en cualquier momento

2 Improbable Al menos 1 vez en los últimos 5 años

Alta El evento podría ocurrir esporádicamente

1 Rara vez No sé a Presentado en los últimos 5 años

Muy Alta El evento podría ocurrir excepcionalmente

Fuente: Elaboración propia, tomado del DAFP

Por su parte, el impacto de los riesgos de corrupción debe ser calculados a partir de una

serie de preguntas que se presentan a continuación:

Tabla 11. Valoración del impacto en riesgos de corrupción

N° Pregunta:

Si el riesgo de corrupción se materializa podría… SI No

1 ¿Afectar al grupo de funcionarios del proceso?

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?

3 ¿Afectar el cumplimiento de misión de la entidad?

4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la entidad?

5 ¿Generar pérdida de confianza de la entidad, afectando su reputación?

6 ¿Generar pérdida de recursos económicos?

7 ¿Afectar la generación de los productos o la prestación de servicios?

8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien, servicios o recursos públicos?

9 ¿Generar pérdida de información de la entidad?

10 ¿Generar intervención de los órganos de control, de la Fiscalía u otro ente?

11 ¿Dar lugar a procesos sancionatorios?

12 ¿Dar lugar a procesos disciplinarios?

13 ¿Dar lugar a procesos fiscales?

14 ¿Dar lugar a procesos penales?

15 ¿Generar pérdida de credibilidad del sector?

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?

17 ¿Afectar la imagen regional?

18 ¿Afectar la imagen nacional?

19 ¿Generar daño ambiental? Nivel de impacto

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 39 de 51



N° Pregunta:

Si el riesgo de corrupción se materializa podría… SI No

Responder afirmativamente de UNA a CINCO preguntas(s) genera un impacto moderado. Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor.

Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastrófico.

Fuente: Departamento Administrativo de Función Pública. DAFP 2018

De tal modo identificar un riesgo moderado en la entidad, podría significar medianas

consecuencias sobre la entidad, un riesgo mayor altas consecuencias sobre la entidad y un

riesgo catastrófico, consecuencias desastrosas para la entidad, una vez identificados la

probabilidad y el impacto, debe graficarse el riesgo en la matriz de calor, cabe resaltar que

para la valoración de los riesgos de corrupción no se contempla la calificación de impacto

leve ni bajo.

16.3. Controles y tratamiento de riesgos de corrupción

Para efectuar el control de los riesgos de corrupción debe utilizarse una metodología

basada en los criterios presentados a continuación.

Tabla 12. Análisis y evaluación de los controles para la mitigación de los riesgos. Criterio Aspecto para evaluar en el diseño

del control

Opción de

respuesta

Peso en la

evaluació

n

1. Responsable ¿Existe un responsable asignado a la ejecución del control?

Asignado 15

No asignado 0

¿El responsable tiene la autoridad y adecuada segregación de funciones en la ejecución del control?

Adecuado 15

Inadecuado 0

2. Periodicidad ¿La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación del riesgo o a detectar la materialización del riesgo de manera oportuna?

Oportuna 15

Inoportuna 0

3. Propósito ¿Las actividades que se desarrollan en el control realmente buscan por si sola prevenir o detectar las causas que pueden dar origen al riesgo, Ej.: verificar, validar, cotejar, comparar, revisar, etc.?

Prevenir 15

Detectar 10

No es control 0

4. Cómo se realiza

la actividad de

control

¿La fuente de información que se utiliza en el desarrollo del control es información confiable que permita mitigar el riesgo?

Confiable 15

No confiable 0

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 40 de 51



5. Qué pasa con

las

observaciones o

desviaciones

¿Las observaciones, desviaciones o dife-rencias identificadas como resultados de la ejecución del control son investigadas y resueltas de manera oportuna?

Se investigan y resuelven oportunamente

15

No se investigan y

resuelven

oportunamente

0

6. Evidencia de la

ejecución del

control

¿Se deja evidencia o rastro de la ejecución del control que permita a cualquier tercero con la evidencia llegar a la misma conclusión?

Completa 10

Incompleta 5

No existe 0

Resultado – Peso en la evaluación del diseño del control VALOR


Una vez diseñado el control y calculado su peso, la efectividad del control se mide a partir

del resultado de este, de la siguiente manera:

Tabla 13. Rango de calificación, control para riesgos de corrupción Resultado – Peso en la evaluación del

diseño del control Rango de calificación del Diseño

Calificación entre 96 y 100 Fuerte

Calificación entre 86 y 95 Moderado

Calificación entre 0 y 85 Débil


Evaluada la efectividad del control, debe considerase que si este tiene un rango de

calificación moderado o débil debe rediseñarse, toda vez que el control en sí mismo no es

una garantía para abordar el riesgo de corrupción.

Ante la posibilidad de diseñarse más de un control para la mitigación de riesgos de

corrupción, el Departamento Administrativo de la Función Pública, ha diseñado una

metodología que permita, agrupar los controles de un riesgo, y evaluarlos para identificar

su solides, para ello se debe presentar una agrupación individual de los controles que se

evaluarían de la siguiente manera.

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 41 de 51



Tabla 14 Evaluación de la solidez individual de cada control (diseño y ejecución) Peso del

Diseño de cada control

Peso de la ejecución de cada control

Solidez individual de cada control:

Fuerte: 100 Moderado: 50

Débil: 0

Se debe establecer acciones para

fortalecer el control Si / No

Fuerte: calificación entre 96 y 100

fuerte (siempre se ejecuta) fuerte + fuerte = fuerte No

moderado (algunas veces) fuerte + moderado = moderado Si

débil (no se ejecuta) fuerte + débil = débil Si

Moderado: calificación entre 86 y 95

fuerte (siempre se ejecuta) moderado + fuerte = moderado Si

moderado (algunas veces) moderado + moderado = moderado Si

débil (no se ejecuta) moderado + débil = débil Si

Débil: calificación entre 0 y 85

fuerte (siempre se ejecuta) débil + fuerte = débil Si

moderado (algunas veces) débil + moderado = débil Si

débil (no se ejecuta) débil + débil = débil Si


Una vez individualizados los controles debe calcularse la solides en conjunto de estos para atacar el riesgo, en tal sentido los valores obtenidos de la cuantificación de los controles estarán dado de la siguiente manera; el control será fuerte si al ponderar los controles su valor es igual a 100, moderado si al ponderarlos está entre 50 y 99, y débil se al sumarlos y ponderarlos es menor a 50. Cabe resaltar que los controles son diseñados en mayor medida para atacar la probabilidad de ocurrencia de situaciones y evitar la materialización del riesgo, diseñar controles para el impacto, significa un espacio de exposición del riesgo en la entidad. El desplazamiento en la matriz de calor de los riesgos de corrupción estará mediado por las siguientes relaciones

Tabla 15 Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos

Solidez - conjunto de controles

Controles ayudan a disminuir

probabilidad

Controles ayudan a disminuir impacto

# Columnas en la matriz de riesgo

que se desplaza en el eje de

probabilidad

# Columnas en la matriz de riesgo

que se desplaza en el eje de impacto

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 42 de 51



Fuerte Directamente Directamente 2 2

Fuerte Directamente Indirectamente 2 1

Fuerte Directamente No disminuye 2 0

Fuerte No disminuye Directamente 0 2

Moderado Directamente Directamente 1 1

Moderado Directamente Indirectamente 1 0

Moderado Directamente No disminuye 1 0

Moderado No disminuye Directamente 0 1


Finalmente, el tratamiento de los riesgos de corrupción debe abordarse por la primera línea

de defensa para la mitigación de los diferentes riesgos, su tratamiento de igual manera debe

ir dirigido a reducir, evitar o aceptar el riesgo, los riesgos de corrupción puede ser

compartidos o transferidos, no obstante, esto no excluye la responsabilidad jurídica, legal y

social que ostenta la entidad.

17. GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Basados en las Constitución Política de Colombia: Artículo 15 (Derecho a la intimidad y

buen nombre), artículo 20 (Derecho de información) y artículo 74 (Acceso a documentos

públicos). Se articula la administración y la metodología de gestión del riesgo a los

lineamientos de seguridad y privacidad de la información, con el fin de reducir, aceptar o

evitar los riesgos que del ámbito en mención se desprendan, y cuyos principios se

estructuran a partir de la confidencialidad, integridad y disponibilidad, mediante la

implementación del modelo de seguridad y privacidad de la información acorde a las guías

de buenas prácticas y requerimientos legales vigentes.

En tal sentido la planificación de la gestión del riesgo de seguridad digital y la información

(GRSDI) debe ir asociada al análisis y definición de los entornos, descritos en el numeral

siete (7) de la presente guía, la planificación contempla dimensionar el alcance de

aplicación de las gestiones de riesgos en seguridad digital razón por la cual se han definido

la Alta gerencia como la primera línea de defensa para estos riesgos

Resulta fundamental que, en la planeación de la gestión de riesgos de seguridad Digital, la asignación de recursos específicos permita abordar los riesgos de una manera diferencial,

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 43 de 51



pero acogiéndose y homologándose a la metodología propuesta en la presente guía, de tal manera la identificación del riesgo se hará contemplando:

17.1. Identificación de Riesgos de Seguridad de la Información

Para desarrollar el análisis de riesgo, se debe en un primer momento, realizarse un

inventario de activos que asocien los procesos al que este pertenece, La identificación de

los activos debe contemplar una descripción breve, un consecutivo y un responsable de los

mismos, a su vez la descripción del activo debe incluir la tipología15 de los mismos, una

vez definida la tipología del activo se requiere clasificar el activo tanto normativamente junto

con su eje temático estipulado en la norma.

Criticidad de los activos

La metodología anterior del anexo 4 de la guía de gestión del riesgo de la seguridad digital

contempla 3 criterios para el establecimiento del nivel de criticidad, estas variables son; la

criticidad respecto a su confidencialidad, la criticidad respecto a la completitud o integridad

del activo, y la criticidad respecto a su disponibilidad.

Una vez se ejecute la identificación de los activos, la entidad pública debe definir si

gestionará los riesgos en todos los activos del inventario o solo en aquellos que tengan un

nivel de criticidad Alto (el nivel de criticidad aceptable se debe establecer conforme a la

definición del apetito del riesgo de la metodología) esto debe estar debidamente

documentando y aprobado por la línea estratégica – Alta dirección.

El análisis de activos incluye el análisis de infraestructuras críticas cibernéticas, para

homologar la metodología se plantea asignar las siguientes interpretaciones metodológicas

Las variables de las valoraciones de infraestructuras críticas cibernética se agruparán así

Tabla 16. Homologación Criticidad de infraestructuras cibernéticas metodología Antigua Tipo de riesgo asociado % de riesgo asignado

según metodología

Criterios Afectación a más de (0,5%) de Población

Nacional

(Impacto Inherente del riesgo) 100%

Tipo de impacto Impacto social

Criterios Afectación de PIB de un Día o 0,123%

del PIB Anual


Tipo de impacto Impacto económico

15 Revisar ISO 27001 y anexo 4 lineamientos para la gestión de riesgos de seguridad digital en entidades públicas para

establecer y definir tipologías

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 44 de 51



Criterios Afectación a Ecosistemas cuya recuperación dure más

de 3 años



Como resultado de la identificación los lideres responsables de cada proceso de la Unidad Administrativa Especial Cuerpo Oficial Bomberos de Bogotá (UAECOB), estarán en la capacidad de identificar los riesgos construyendo como mínimo un modelo de tabla como la siguiente

Tabla 17. Tabla de descripción del riesgo del activo Nombre del proceso

Activo Descripción del activo

Responsable del activo

Clasificación Normativa

Factor de riesgo

Clasificación temática

Criticidad del activo


La criticidad del activo debe desprenderse de los tres (3) riesgos inherentes de seguridad

de la información:

Pérdida de la confidencialidad

Pérdida de la integridad

Pérdida de la disponibilidad

Para realizar un buen análisis de los activos y de los riesgos de la seguridad digital y de la

información, el Departamento Administrativo de la Función Pública a Dispuesto el Anexo 4

“Modelo Nacional de Gestión de Riesgos de Seguridad de la Información para entidades

públicas”16 donde se encuentran las siguientes tablas necesarias para este análisis:

Tabla 5. Tabla de amenazas comunes

Tabla 6. Tabla de amenazas dirigida por el hombre

Tabla 7. Tabla de Vulnerabilidades Comunes

Identificadas y asociadas las amenazas y las vulnerabilidades a las cuales se ve sometido

un activo, debe procederse a la valoración del riesgo

17.2. Valoración de Riesgos de Seguridad de la Información

Para la valoración del riesgo se debe adoptar el mismo análisis de cálculo de probabilidad

e impacto inherentes abordados en la primera parte del documento, en las tablas número

16 https://acortar.link/tO7W6

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 45 de 51



3 y 4, sin embargo, su valoración puede ir acompañada del cálculo a partir de los tres

riesgos inherentes a los activos de seguridad de la información, en tal sentido se facilita el

siguiente cuadro, como criterio articulador de la definición del riesgo inherente.

Tabla 18. Valoración de riesgos de seguridad de la información

Prin

cip

io

NIVELES DE IMPACTO/CONSECUENCIA

Insignificante 1

Menor 2

Moderado 3

Mayor 4

Catastrófico 5

Co

nfi

den

cia

lid

ad

La divulgación no autorizada o el acceso no autorizado a un activo de información no tendrán efecto sobre la operación de la organización, los activos de la organización o los colaboradores.

La divulgación no autorizada o el acceso no autorizado a un activo de información tendrán un efecto adverso muy pobre sobre la operación de la organización, los activos de la organización o los colaboradores.

La divulgación no autorizada o el acceso no autorizado a un activo de información tendrán un serio efecto adverso sobre la operación de la organización, los activos de la organización o los colaboradores.

La divulgación no autorizada o el acceso no autorizado a un activo de información tendrán un efecto adverso Importante sobre la operación de la organización, los activos o los colaboradores.

La divulgación no autorizada o el acceso no autorizado a un activo de información tendrán un efecto severo o catastrófico sobre la operación de la organización, los activos o los colaboradores.

Inte

gri

da

d

La modificación o destrucción no autorizada de cualquier activo de información no tendrá efecto sobre la operación de la organización, los activos de la organización o los colaboradores.

La modificación o destrucción no autorizada de cualquier activo de información tendrá un efecto adverso muy pobre sobre la operación de la organización, los activos de la organización o los colaboradores.

La modificación o destrucción no autorizada de cualquier activo de información tendrá un efecto adverso serio sobre la operación de la organización, los activos de la organización o los colaboradores.

La modificación o destrucción no autorizada de cualquier activo de información tendrá un efecto adverso importante sobre la operación de la organización, los activos de la organización o los colaboradores.

La modificación o destrucción no autorizada de cualquier activo de información tendrá un efecto adverso severo o catastrófico sobre la operación de la organización, los activos de la organización o los colaboradores.

Dis

po

nib

ilid

ad

La interrupción de acceso o el uso inadecuado de cualquier activo de información no tendrán efectos sobre la operación de la organización, los activos de la organización, o los colaboradores.

La interrupción de acceso o el uso inadecuado de cualquier activo de información tendrán efectos adversos limitados sobre la operación de la organización, los activos de la organización, o los colaboradores.

La interrupción de acceso o el uso inadecuado de cualquier activo de información tendrán efectos adversos serios sobre la operación de la organización, los activos de la organización, o los colaboradores.

La interrupción de acceso o el uso inadecuado de cualquier activo de información tendrán efectos adversos importantes sobre la operación de la organización, los activos de la organización, o los colaboradores.

La interrupción de acceso o el uso inadecuado de cualquier activo de información tendrán efectos adversos severos o catastróficos sobre la operación de la organización, los activos de la organización, o los colaboradores


Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 46 de 51



17.3. Controles y tratamiento del riesgo

Para el tratamiento de los riesgos de seguridad de la información se debe contemplar la tipificación de Controles para riesgos de seguridad de la información visibles en el documento maestro del modelo de seguridad y privacidad de la información (MSPI)17 , si bien la metodología tiene algunas variantes, el tratamiento del riesgo de la seguridad de la información se diseña a partir de la necesidad de reducir, evitar o aceptar el riesgo. Bajo el mapa de calor, y con las mismas consideraciones descritas en los numerales anteriores

18. DOCUMENTOS RELACIONADOS

CÓDIGO DOCUMENTO

GE-PL01 PLAN ANTICORRUPCIÓN Y ATENCIÓN AL CIUDADANO PAAC 2021

TIC-MN01 MANUAL DE POLÍTICAS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

GE-GA01-FT01 MAPA DE RIESGOS INSTITUCIONAL

GE-GA01-FT02 MAPA DE RIESGOS DE CORRUPCIÓN

GE-GA01-PR01 (PROCEDIMIENTO) ADMINISTRACIÓN DEL RIESGO

19. CONTROL DE CAMBIOS

VERSIÓN FECHA DESCRIPCIÓN DE LA MODIFICACIÓN

01 03/09/2021 Creación del Documento

17 https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/Estrategias/MSPI/

https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/Estrategias/MSPI/

Nombre del Proceso


Código: GE-GA01

Versión: 01

Nombre de la Guía



Página 47 de 51



20. CONTROL DE FIRMAS

Elaboró Cristian Camilo Suarez Herrera

Cargo

Vo.Bo. de Mejora Continua – OAP

Firma:

Revisó Ingrid Johanna Maldonado Martínez

Cargo

Líder de mejora Continua- OAP

Firma

Aprobó Comité de coordinación de control interno

Cargo Comité de coordinación de control interno

Firma Acta No. 03

GUÍA DE ADMINISTRACIÓN DEL RIESGO

Documents

Transcript of GUÍA DE ADMINISTRACIÓN DEL RIESGO