PLAN DE TRATAMIENTO DE RIESGO DE

SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

2018

Datos de Contacto:

Entidad PERSONERIA MUNICIPAL DE SANTIAGO DE CALI

NIT 805003895-9 Personero HECTOR HUGO MONTOYA CANO Documento preparado por

Ing. Armando Montoya M.

Conmutador +57 (2) 6617999 Fax +57 (2) 8854461 Correo Notificaciones Judiciales

notificacionesjudiciales@personeriacali.gov.co

Correo contacto y PQRD

secretariadespacho@personeriacali.gov.co personeriaauxiliar@personeriacali.gov.co

Sitio Web www.personeriacali.gov.co Horario de Atención al Público

lunes a viernes 8:00 am a 12:00 pm y de 1:00 pm a 5:00 pm

Dirección Avenida 2 Norte # 10-70 CAM Torre Alcaldia piso 13

Tabla de contenido

INTRODUCCION

1. OBJETIVO 1.1 OBJETIVOS ESPECIFICOS

2. DEFINICIONES

3. NORMATIVIDAD

4. GUIA 4.1 Análisis de Contexto

4.1.1 Matriz de evaluación de Fuerzas Externas – MEFEX 4.1.2 Matriz de evaluación de Fuerzas Internas - MEFIN 4.1.3 Pasos para utilización de las matrices MEFEX y MEFIN

4.2 Identificación del Riesgo 4.2.1 Pasos para la identificación del riesgo 4.2.2 Identificación del riesgo

4.3 Análisis del riesgo 4.4 Valoración del riesgo 4.5 Tratamiento del riesgo

5. POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO

5.1 Respecto del registro de eventos de riesgo se establece 5.2 Respecto de las responsabilidades de los funcionarios se establece que deben 5.3 Respecto a las opciones de manejo del riesgo se establece

6. LINEAMIENTOS GENERALES DEL RIESGO

7. MONITOREO Y SEGUIMIENTO

8. BIBLIOGRAFÍA

INTRODUCCIÓN La siguiente propuesta manifiesta la intención de acercar a la Personería de Santiago de Cali a la consecución de sus objetivos estratégicos, mediante la integral administración de los riesgos. En este documento se establece una metodología para la administración de los riesgos por procesos y subprocesos, lo que implica considerar los riesgos asociados con los recursos humanos, físicos, financieros, tecnológicos, tangibles e intangibles. Esta herramienta facilita el proceso de identificación, análisis, valoración, definición de la política y monitoreo del riesgo. El grado de formalidad de la aplicación de la Política de Riesgos depende, entre otros factores, del estilo gerencial, la complejidad del entorno, la complejidad tecnológica del proceso, la naturaleza de los problemas a resolver y el propósito del SIG. Administración de riesgos es el conjunto de técnicas y procedimientos usados para el análisis, identificación, evaluación y control de los aquellos efectos adversos consecuencia de los riesgos o eventualidades a los que se expone una empresa, de esta manera lograr reducirlos, evitarlos, retenerlos o transferirlos. Este proceso iterativo consta de pasos que deben ejecutarse continuamente para suscitar una mejora continua en la toma de decisiones.

En el pasado al hablar de manejo de los riesgos, se entendía que debía asumirse básicamente con la compra de seguros que cubrieran las posibles pérdidas, universalmente esto está cambiando, en la actualidad la administración de riegos se lleva de forma más extensa y coherente y se le vincula con el proceso de planeación estratégica que establece la gerencia de la empresa. Esta es una tarea clave en la dirección de una empresa, hace referencia a aquellas gestiones que pretenden proteger y crear valor dentro de la entidad a fin de alcanzar los objetivos y mejorar la competitividad. La gestión de riesgos se lleva a cabo como una parte integral del proceso administrativo, un subproceso que analiza todas las ostentaciones al riesgo que enfrenta cualquier compañía y desarrolla estrategias para enfrentar los mismos. La administración de riesgos puede aplicarse a cualquier etapa de un trabajo, actividad, proyecto, producto etc., el mismo además de evitar y minimizar las perdidas, identifica oportunidades y la manera de aprovecharlas.

1. OBJETIVO Establecer y desarrollar los mecanismos y acciones que permitan la identificación, valoración, evaluación y control de los riesgos, de tal manera que las situaciones de riesgos que puedan afectar negativamente el logro de los objetivos estratégicos y de los procesos de la entidad, disminuyan su ocurrencia e impacto.

1.1 OBJETIVOS ESPECIFICOS

• Determinar el alcance del plan de gestión de riesgos de la seguridad y privacidad de la información.

• Definir, a traves de una adecuada administración del riesgo, una base confiable para la toma de decisiones y la planificación institucional.

• Proponer acciones para minimizar los riesgos a los que esta expuesta la información.

• DEFINICIONES

Las definiciones y conceptos presentados a continuación fueron tomadas de la Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. noviembre de 2009 y septiembre de 2011, así como del Índice de Capacidad de Calidad de un proceso, sigla en inglés (CPK), para evaluar el nivel del riesgo.

Acciones asociadas: son las acciones que se deben tomar posterior a determinar las opciones de manejo del riesgo (asumir, reducir, evitar compartir o transferir), dependiendo de la evaluación del riesgo residual, orientadas a fortalecer los controles identificados.

Administración de riesgos: conjunto de etapas secuenciales que se deben desarrollar para el adecuado tratamiento de los riesgos.

Amenaza: situación externa que no controla la entidad y que puede afectar su operación.

Análisis del riesgo: etapa de la administración del riesgo, donde se establece la probabilidad de ocurrencia y el impacto del riesgo antes de determinar los controles (análisis del riesgo inherente).

Asumir el riesgo: opción de manejo donde se acepta la pérdida residual probable, si el riesgo se materializa.

Causa: medios, circunstancias y/o agentes que generan riesgos.

Calificación del riesgo: estimación de la probabilidad de ocurrencia del riesgo y el impacto que puede causar su materialización.

Compartir o transferir el riesgo: opción de manejo que determina traspasar o compartir las pérdidas producto de la materialización de un riesgo con otras organizaciones mediante figuras como outsourcing, seguros, sitios alternos.

Consecuencia: efectos que se pueden presentar cuando un riesgo se materializa.

Contexto estratégico: son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución.

Control: acción o conjunto de acciones que minimiza la probabilidad de ocurrencia de un riesgo o el impacto producido ante su materialización.

Control preventivo: acción o conjunto de acciones que eliminan o mitigan las causas del riesgo; está orientado a disminuir la probabilidad de ocurrencia del riesgo.

Control correctivo: acción o conjunto de acciones que eliminan o mitigan las consecuencias del riesgo; está orientado a disminuir el nivel de impacto del riesgo.

Debilidad: situación interna que la entidad puede controlar y que puede afectar su operación.

Evaluación del riesgo: resultado del cruce cuantitativo de las calificaciones de probabilidad e impacto, para establecer la zona donde se ubicará el riesgo.

Evitar el riesgo: opción de manejo que determina la formulación de acciones donde se prevenga la materialización del riesgo mediante el fortalecimiento de controles identificado.

Frecuencia: ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo dado.

Identificación del riesgo: etapa de la administración del riesgo donde se establece el riesgo con sus causas (asociadas a factores externos e internos de riesgo), consecuencias y se clasifica de acuerdo con los tipos de riesgo definidos

Impacto: medida para estimar cuantitativa y cualitativamente el posible efecto de la materialización del riesgo.

Mapa de riesgos: documento que de manera sistemática, muestra el desarrollo de las etapas de la administración del riesgo.

Materialización del riesgo: ocurrencia del riesgo identificado

Opciones de manejo: posibilidades disponibles para administrar el riesgo posterior a la valoración de los controles definidos (asumir, reducir, evitar compartir o transferir el riesgo residual).

Plan de contingencia: conjunto de acciones inmediatas, recursos, responsables y tiempos establecidos para hacer frente a la materialización del riesgo y garantizar la continuidad del servicio

Probabilidad: medida para estimar cuantitativa y cualitativamente la posibilidad de ocurrencia del riesgo.

Procedimiento: conjunto de especificaciones, relaciones, responsabilidades, controles y ordenamiento de las actividades y tareas requeridas para cumplir con el proceso.

Proceso: conjunto de entradas tangibles o intangibles, suministradas por un proveedor, a estas entradas se les asigna recursos y se aplican controles, obteniendo salidas tangibles o intangibles, destinadas a un usuario, generando un impacto en estos. Se clasifican en estratégicos, misionales, de apoyo y de evaluación.

Riesgo: eventualidad que tendrá un impacto negativo sobre los objetivos institucionales o del proceso.

Riesgo de corrupción: posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

Riesgo inherente: es aquel al que se enfrenta una entidad o proceso en ausencia de controles y/o acciones para modificar su probabilidad o impacto.

Riesgo institucional: Son los que afectan de manera directa el cumplimiento de los objetivos o la misión institucional. Los riesgos institucionales, son producto del análisis de los riesgos por proceso y son denominados de este tipo cuando cumplen las siguientes características:

Ø Los riesgos que han sido clasificados como estratégicos: en el paso de identificación deben haber sido marcados como de clase estratégica, es decir, se relacionan con el cumplimiento de objetivos institucionales, misión y visión.

Ø Los riesgos que se encuentran en zona alta o extrema: después de valorar el riesgo (identificación y evaluación de controles), el riesgo residual se ubica en zonas de riesgo alta o extrema, indicando que el grado de exposición a la materialización del riesgo aún se encuentra poco controlado.

Ø Los riesgos que tengan incidencia en usuario o destinatario final externo: en el caso de la materialización del riesgo la afectación del usuario externo se presenta de manera directa.

Los riesgos de corrupción: todos los riesgos identificados que hagan referencia a situaciones de corrupción, serán considerados como riesgos de tipo institucional.

Riesgo residual: nivel de riesgo que permanece luego de determinar y aplicar controles para su administración.

Valoración del riesgo: establece la identificación y evaluación de los controles para prevenir la ocurrencia del riesgo o reducir los efectos de su materialización. En la etapa de valoración del riesgo se determina el riesgo residual, la opción de manejo a seguir, y si se necesita.

• NORMATIVIDAD Las siguientes definiciones fueron tomadas de la Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. septiembre de 2011.

Ley 87 de 1993, Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011).

Ley 489 de 1998, Estatuto Básico de Organización y Funcionamiento de la Administración pública Capítulo VI. Sistema Nacional de Control Interno.

Decreto 2145 de 1999, Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del Orden Nacional y territorial y se dictan otras disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000 y por el Art. 8º. de la ley 1474 de 2011).

Decreto 4485 de 2009, Por el cual se adopta la actualización de la NTCGP a su versión 2009, numeral 4.1 Requisitos generales literal g) “establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de la entidad; cuando un riesgos se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva a suceder”. Este decreto aclara la importancia de la Administración del riesgo en el Sistema de Gestión de Calidad en las entidades.

Decreto 1599 de 2005, Por el cual se adopta el modelo estándar de control interno para el Estado Colombiano MECI 1000: 2005.

Directiva Presidencial 09 de 1999, Lineamientos para la implementación de la política de lucha contra la corrupción.

Ley 1474 de 2011, Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y de Atención al Ciudadano” que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas concretas para mitigar esos riesgos, las estrategias anti-trámites y los mecanismos para mejorar la atención al ciudadano.

Decreto 943 de 2014, Por el cual se actualiza el Modelo Estándar de Control Interno (MECI).

4. GUÍA Las entidades de la administración pública deben darle cumplimiento a su misión constitucional y legal, a través de los objetivos institucionales los cuales desarrollan a partir del diseño y ejecución de los diferentes planes, programas y proyectos. El cumplimiento de dichos objetivos se puede ver afectado por la presencia de riesgos, ocasionados por factores tanto internos como externos, razón por la cual se hace necesario contar con acciones tendientes a administrarlos dentro de la entidad. El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la entidad, con el fin de asegurar dicho manejo es importante que se establezca el entorno de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos: Para la administración del riesgo en la entidad se deben seguir las siguientes etapas:

Análisis del Contexto Estratégico

Identificación de los Riesgos

Análisis del Riesgo

Valoración del Riesgo

Evaluación del Riesgo

Tratamiento de los Riesgos

Política de Administración del Riesgo

4.1 Análisis del Contexto Estratégico Para el análisis del contexto estratégico y el desarrollo de la planeación de la administración del Riesgos es fundamental tener claridad sobre los objetivos institucionales y estratégicos de la entidad y tener una visión sistémica de la gestión, de manera que se analicen las oportunidades o amenazas relevantes que puedan generar riesgos que afecten el cumplimiento de esos objetivos. El análisis del contexto estratégico facilita la posterior formulación, valoración y aceptación de políticas a través de la observación y el reconocimiento del ambiente estratégico, económico, político, geográfico, social, cultural, tecnológico, legal, Operacional y la Política de Calidad de la entidad (Ver Plan Estratégico de la Entidad). Para facilitar la identificación y selección de fuentes de información, y su análisis, se brinda como instrumento las siguientes dos matrices que se describen a continuación: Los responsables de procesos y subprocesos deben revisar las funciones, procedimientos, tareas, líneas de trabajo que desarrollan y realizar anualmente un análisis de contexto estratégico e identificar si han surgido nuevos o continúan con los actuales riesgos del proceso-subproceso.

4.1.1 Matriz de evaluación de Fuerzas Externas – MEFEX

Esta herramienta analítica permite resumir y evaluar información relacionada con las fuerzas del entorno para identificar las oportunidades y amenazas actuales y/o potenciales que actúan sobre la entidad, derivadas de cinco categorías de fuerzas externas que son:

Fuerzas económicas: Disponibilidad de capital, emisión de deuda o no pago de la misma, liquidez, mercados financieros, desempleo.

Fuerzas ambientales: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

Fuerzas sociales: Demografía, responsabilidad social, terrorismo. Fuerzas políticas, gubernamentales y legales: Cambios de gobierno, legislación,

políticas públicas, regulación. Fuerzas Tecnológicas: Interrupciones, comercio electrónico, datos externos, tecnología

emergente.

4.1.2 Matriz de evaluación de Fuerzas Internas – MEFIN Esta herramienta analítica permite resumir y evaluar información relacionada con las fuerzas del entorno para identificar las debilidades y fortalezas actuales y/o potenciales que actúan sobre la entidad, derivadas de cuatro categorías de fuerzas internas que son:

Fuerzas en Infraestructura: disponibilidad de activos, capacidad de los activos, acceso al capital.

Fuerzas en Personas: capacidad del personal, salud, seguridad.

Fuerzas en Procesos: capacidad, diseño, ejecución, proveedores, entradas, salidas, conocimiento.

Fuerzas Tecnológicas: integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento.

4.1.3 Pasos para utilización de las matrices MEFEX y MEFIN:

Identificar las fuerzas del ámbito externo/interno que actúan sobre la entidad. Señalar a que tipo pertenece: Amenaza u Oportunidad o Debilidad y Fortaleza. Describir las fuerzas en términos de: Amenaza u Oportunidad o Debilidad y Fortaleza. Totalizar los resultados y evidenciarlos en cada una de las matrices de los grupos de Fuerzas Internas y Externas (MEFEX y MEFIN)

Se debe realizar el análisis de la importancia de las Oportunidades y Amenazas; y el balance entre las Debilidades y Fortalezas.

El resultado proporciona el ambiente externo e interno según la favorabilidad (oportunidades y fortalezas) y/o no favorabilidad (amenazas y debilidades) de los factores considerados durante el análisis que ayudan a la identificación de las situaciones de riesgo.

NOTA: Se debe tener en cuenta que el resultado no es una medida absoluta de las fuerzas externas o internas las cuales son variables en el tiempo por circunstancias fuera del control de la entidad.

4.2 Identificación del Riesgo El proceso de la identificación del riesgo debe ser permanente e interactivo basado en el resultado del análisis del Contexto, en la Oficina Asesora de Planeación, y se debe partir de la claridad de los objetivos Estratégicos de la entidad para la obtención de resultados. Para realizar el proceso de identificación del riesgo, se puede recurrir a la experiencia de los mismos servidores públicos, a la información disponible en el medio sobre los riesgos ocurridos en procesos similares, a los antecedentes ocurridos en los procesos y/o subprocesos en acciones anteriores, en los resultados del análisis de las matrices MEFEX y MEFIN, evaluando los elementos que más suponen la presencia de ese riesgo como su posible ocurrencia. En esta etapa se debe generar una lista global de los riesgos que podrían afectar el logro de los objetivos Estratégicos de cada uno de los procesos y/o subprocesos de la entidad. Debe considerase tanto los eventos o causas que están aparentemente bajo control, como los que no, respondiendo a preguntas tales como: qué puede suceder, dónde, cuándo, cómo y por qué. El servidor público es responsable y autónomo en abordar el diligenciamiento y análisis del formato en el orden que desee según su conveniencia y entendimiento NOTA: Para dar una correcta interpretación del código con el que se identifica el Mapa de Riesgos, a continuación se explicara: MR-PL-001. MR: Mapa de Riesgos. PL: Código del carácter del Proceso y/o Subproceso; que para el ejemplo es PL= Planeación 001: Carácter Numérico del Formato

4.2.1 Pasos para el diligenciamiento del Mapa de Riesgos:

La identificación de los riesgos se realiza a nivel del Componente de Direccionamiento Estratégico, identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de los objetivos.

4.2.2 Identificación del riesgo

Inicialmente se debe identificar el proceso para identificar el riesgo, posteriormente se realiza su respectiva descripción y se definen las causas del mismo; precisar sus efectos o consecuencias y finalmente clasificándolo según el tipo de riesgo. Paso 1.1 Causas: Se recomienda al momento de identificar las causas asociadas al origen de los riesgos, orientar el análisis primordialmente sobre causas que sean producidas al interior del Proceso y/o subproceso que puedan controlarse. Una buena clave para definir las causas es el uso de las siguientes palabras Falta de…, Ausencia de…, Fallas en…, Exceso de…., teniendo en cuenta que la “Falta” es ausencia o carencia total del algo.

Las causas pueden ser identificadas una vez se definan y describan los riesgos, es decir, el análisis en la determinación de las causas puede partir tanto de un análisis del contexto estratégico, o por la identificación de un riesgo especifico.

En este paso se deben definir las situaciones o eventos por el cual se puede materializar los riesgos. Para facilitar el proceso de identificación de las causas, se puede tomar como referencia el ejercicio realizado en el numeral 5.1 CONTEXTO ESTRATÉGICO con el diligenciamiento de las matrices MEFEX y MEFIN. Para esto, deben considerar y analizar los aspectos identificados como AMENAZAS y DEBILIDADES respectivamente.

Ejemplo: Al realizar el ejercicio de diligenciamiento de las matrices MEFEX o MEFIN se identifican fuerzas del contexto estratégico, interno o externo que podemos seleccionar para identificar los riesgos y

sus causas. Para este caso, tomamos la matriz MEFEX que se ilustra a continuación, donde se analizan los 4 factores seleccionados corresponden a las amenazas. Paso 1.2 Riesgo: Para identificar los riesgos debemos recurrir a las matrices MEFEX y MEFIN, y sobre todo a la respuesta de las preguntas “¿Qué hecho, Qué acción, Qué elemento, o Qué actividad?, pueden ocurrir que impida se logren los objetivos institucionales, estratégicos, del proceso y/o subproceso. Con el fin de facilitar la identificación de los riesgos, los cuales deben diligenciarse en el formato MAPA DE RIESGOS, se presenta el siguiente glosario de términos definido por el Modelo Estándar de Control Interno para entidades del Estado que dice así:

No. Riesgo Definición del Riesgo

1 Acceso ilegal

Posibilidad de llegar a algo o a alguien valiéndose de medios que van en contra de la Ley. También incluye la violación a la reserva de los procesos Disciplinarios, del Ministerio del Interior

2 Accidente Suceso imprevisto, generalmente negativo, que altera la marcha normal de los hechos

3 Actos Mal Intencionados Hecho o acción realizado con la orientación de llegar a algo o a alguien con mala fe o mala intención

4 Aludes Masa de nieve, piedras, tierra, etc. que se derrumba por la ladera de una montaña

5 Atentados Llevar a cabo con premeditación , una acción que causa daño grave a una persona o cosa

6 Ausentismo No asistir al trabajo u otro lugar de asistencia obligatoria, sin justificación.

7 Cambio de destinación de Recursos

Es cuando se produce un cambio de destino para afectar el bien a otro bien.

8 Cambio Climático Alteraciones de las condiciones climáticas

9 Celebración Indebida de Contratos

Intervenir en la celebración de un contrato sin cumplir con los recursos legales.

10 Cohecho

Aceptar dinero, otra utilidad y/o promesa remuneratorias por parte de un servidor público a cambio de retardar u omitir un acto que corresponda a su cargo, ejecutar uno contrario a sus deberes oficiales, ejecutar actos en el desempeño de sus funciones o dar información sobre asuntos sometidos a su conocimiento. Las personas que realizan los ofrecimientos anteriormente descritos también incurren en cohecho.

11 Colapso de Obra Derrumbe o un conjunto de elementos debido a la pérdida estructural de los mismos

12

Colapso de Telecomunicaciones Decrecimiento o disminución intensa de las interconexiones de sistemas informáticos situados a distancia.

13 Conflicto Situación de desacuerdo u oposición constante entre personas.

14 Conflicto Armado Referido a grupos que no pueden solucionar sus desacuerdos u oposición constante por medios pacíficos y derivan en un estado de guerra constante.

15 Corto Circuito Se produce accidentalmente por contacto entre conductores eléctricos y suele determinar una alta descarga de energía.

16 Cultivos Ilícitos Sembrar plantas no permitidas legalmente ni moralmente y hacer que se desarrollen en el medio adecuado.

17 Demandas Escrito que se presenta ante un juez para que se resuelva sobre un derecho que se reclama contra el (un) deudor u obligado.

18 Demora Tardanza en el cumplimiento de algo ( un compromiso) 19 Desacierto Equivocación o error en la toma de decisiones

20 Desinformación Es la acción y efecto de desinformar y la falta de información o ignorancia

21 Desinterés Falta de disposición para realizar una actividad

22 Despilfarro Gastar mucho dinero u otra cosa innecesaria o imprudentemente. Incluye también los casos de Desviación de Recursos

23 Deterioro Daño, Poner algo en mal estado o en inferioridad de condiciones

24 Detrimento patrimonial Es una destrucción leve o parcial de algo, también se refiere a la pérdida o el quebranto de intereses y al daño moral.

25 Disturbios Perturbaciones de orden público y de la tranquilidad 26 Elusión Buscar mecanismos para no ser sujeto de gravamen

27 Encubrimiento

Tener conocimiento de la misión encargada a alguien para realizar un acto que merece castigo por las leyes, y sin haberlo acordado previamente se ayude a eludir la acción de la Autoridad o entorpecer la investigación disciplinaria. Adquirir, poseer, convertir o transferir bienes muebles o inmuebles, que entregan su origen en un delito o realizar cualquier otro acto para ocultar o encubrir su origen ilícito.

35 Evasión Incumplir total o parcialmente con la que entrega de las rentas que corresponda legalmente pagar.

36 Exclusión Obligar a que una persona haga, tolere u omita alguna acción contra su voluntad, con el propósito de obtener provecho ilícito para sí mismo o para un tercero.

37 Extorsión Obligar a que una persona haga, tolere u omita alguna acción contra su voluntad, con el propósito de obtener provecho ilícito para sí mismo o para un tercero.

38 Falsedad

Cuando un servidor público en el desarrollo de sus funciones, al escribir o redactar un documento público que pueda servir de prueba, consigne una falsedad o calle, total o parcialmente la verdad.

39 Falsificación de documentos Imitar, copiar o reproducir un escrito o cualquier otra cosa que sirva para probar algo, haciéndolo pasar por auténticos o verdaderos

40 Fallas de Hardware Defecto que puede presentarse en los equipos de un sistema informático que impida su correcto funcionamiento.

41 Fallas de Software Defecto que puede presentarse en los equipos de un sistema informático, que impida su correcto funcionamiento

42 Fluctuaciones de tasa de cambio Variaciones en el precio relativo de la moneda o del precio de la moneda de un país expresado en términos de la moneda de otro país.

43 Fluctuaciones Tasas de Interés Variaciones en el precio o valor de la tasa que representa el

costo de uso del dinero o del precio del dinero en el mercado financiero

44 Fraude

Inducir a cometer un error a un servidor público para obtener sentencia, resolución o acto administrativo, contrario a la ley; así como evitar el cumplimiento de obligaciones impuestas en resoluciones judicial. También se considera fraude obtener mediante medidas engañosas un ciudadano o extranjero voto por un candidato de corriente o partido político. Engaño malicioso con el que se trata de obtener una ventaja en detrimento de otro sustracción maliciosa que alguien hace a las normas o las de un contrato en perjuicio de otros.

45 Huelga Interrupción indebida del trabajo que realizan los trabajadores o servidores públicos para obtener del empleador cierta pretensión o para manifestar una protesta

46 Huracán Viento impetuoso que gira en grandes círculos en latitudes medias

47 Hurto Apoderarse ilegítimamente de cosa ajena, sin emplear violencia, con el propósito de obtener provecho para si mismo o para otro

48 Legalización de Contratos sin Control de

Garantías

Falta o delito que consiste en dejar de hacer, decir o consignar algo que debía ser hecho, dicho o consignado

49 Incendio Fuego grande que destruye lo que no está destinado a arder, como un edificio o un bosque

50 Inconsistencia Falta total de unión y relación adecuada de todas las partes que forman un todo.

51 Incumplimiento No realizar aquello a lo que se está obligado, ya sea por

requisitos normativos o por cualquier requerimiento solicitado

52 Inexactitud Presentar datos o estimaciones equivocadas e incompletas o desfiguradas

53 Influencias Actuar sobre la manera de ser o de obrar de otra persona o cosa

54 Infracción Quebrantamiento de una norma o un pacto. Acción con la que se infringe una Ley o regla.

55 Inseguridad Es un miedo a algo, que se refleja a partir de la incapacidad que una persona tiene al realizar tareas por temor a equivocarse.

56 Instigación Incitar públicamente o directamente a otras personas a cometer un determinado delito.

57 Inundación

Anegación o acción directa de las aguas procedentes de lluvias, deshielo, o de cursos naturales de agua en superficie, cuando estos se desbordan de sus causen normales y se acumulan en zonas que normalmente no están sumergidas

58 Maremoto Agitación violenta de las aguas del mar a consecuencia de una sacudida del fondo que a veces se propaga hasta las costas dando lugar a inundaciones

59 Omisión

Falta o delito que consiste en dejar de hacer, decir o consignar algo que debía ser hecho, dicho o consignado. Según el código penal, omisión significa omitir auxiliar a una persona cuya vida o salud se encuentre en grave peligro o prestar asistencia humanitaria en medio de un

conflicto armado a favor de las personas protegidas-

60 Paro Suspensión total o parcial de la jornada laboral

61 Peculado

Cuando un servidor público se apropia usa o permite el uso indebido de bienes del estado o de empresas institucionales administradas o en que tenga parte el estado, ya sea para su propio provecho o de un tercero

62 Perdida de registros documentales

Es la carencia o privación de aquellos registros tanto de entrada como de salida que se poseían.

63 Presiones Indebidas Fuerza o coacción que se hace sobre una persona que se abre sobre una persona o colectividad para que actúe de cierta manera ilícita o injusta.

64 Prestación ilegal de servicios Desempeñar labores destinadas a satisfacer necesidades del público o hacer favores en beneficio de alguien, de forma contraria a lo que la ley exige

65 Prevaricato Emitir resoluciones, dictámenes o conceptos contrarios a la Ley u omitir, retardar, negar o rehusarse a realizar actos que le corresponden a las funciones del servidor

66 Rayo Descarga eléctrica de gran intensidad producida por choque entre dos nubes o entre una nube y la tierra.

67 Ruido Sonido confuso y no armonioso más o menos fuerte, producido por vibraciones sonoras desordenadas

68 Riesgo de Precio Incertidumbre sobre la magnitud de los flujos de caja debido a los posibles cambios en los precios de insumos y

(o) productos.

69 Riesgo de Crédito Consiste en que los clientes y las partes a las cuales se les presta dinero fallen en sus promesas de pago

70 Rumor Noticia imprecisa y no confirmada que corre entre la gente

71 Sabotaje

Destruir, inutilizar desaparecer de cualquier modo, dañar herramientas, soportes lógicos, instalaciones, equipos o materias primas, con el fin de suspender o paralizar el trabajo

72 Secuestro Apoderarse de una persona con el fin de conseguir algo o pedir dinero por su rescate

73 Soborno Entregar o prometer dinero o cualquier otra utilidad para que falte a la verdad o guarde silencio total o parcialmente en un testimonio

74 Suplantación Ocupar fraudulentamente el lugar de otro

75 Suspensión Interrupción de una opción

76 Terremoto Sacudida brusca de las capas de la corteza terrestre, que dura unos segundos.

77 Terrorismo

Provocar y mantener en zozobra o terror a la población o a un sector de ella, mediante actos que pongan en peligro la vida, la integridad física o la libertad de las personas, edificaciones o medios de comunicación transporte procesamiento o conducción de fluidos fuerzas motrices, valiéndose de medios capaces de causar estragos

78 Tráfico de Influencias Utilizar indebidamente influencias de un servidor público derivadas de su cargo o su función, para obtener cualquier

beneficio para el mismo funcionario.

79 Usurpación Cuando un particular sin autorización legal ejerce funciones públicas

80 Virus Informático

Programa elaborado accidental o intencionadamente que se introduce y se trasmite a través de disquetes o de la red de comunicación entre ordenadores causando diversos tipos de daños de los sistemas computarizados

Fuente: USAID Casals & Associates INC –EAFIT (2004) Modelo Estándar de Control Interno, (1a ed., p 268-271) Bogotá D.C.

Paso 1.3 Descripción: Una vez identificados los riesgos y nombrados en forma precisa, se describe en qué consiste cada uno, es decir, la forma como se considera puede presentarse. Se sugiere se describa de manera completa la forma como el riesgo puede presentarse, apoyándose en las 80 definiciones propuestas en esta guía, o en otras definiciones que ayuden a la identificación de riesgos en nuestra entidad, estos son los factores identificados como amenazas:

TIPO DE FUERZA

DESCRIPCIÓN DEL IMPACTO EN TÉRMINOS DE OPORTUNIDADES

O AMENAZAS 1 Infraestructura No se realizan las actualizaciones de hardware y software.

2 Procesos Demoras en la respuesta de comunicaciones enviadas a otras entidades relacionadas.

3 Personas Incremento en el número de solicitudes por alta demanda de usuarios, desbordando la capacidad instalada.

4 Tecnológicas 1. Proceso manual, que puede generar registros erróneos o falta de

registros. 2. Información desactualizada.

Fuente: Imagen de Matriz MEFEX - Debilidades Identificadas

Estos cuatro (4) factores identificados serán trasladados al formato del Mapa de Riesgos, como las causas del riesgo de Incumplimiento. NOTA: Cabe precisar que un grupo de causas pueden corresponder a los eventos de un mismo riesgo.

Paso 1.4 Efectos y/o Consecuencias: Finalmente, los efectos representan los resultados como pérdidas que la materialización potencial del riesgo le causa a la entidad, al verse afectado el cumplimiento de sus objetivos.

Los efectos o consecuencias pueden incidir sobre los recursos financieros, las personas, los bienes materiales o los intangibles. Los efectos más representativos son:

Pérdidas económicas. Perdidas de bienes Interrupción de las operaciones o del servicio. Daño al ambiente Aumento del riesgo moral Muerte, Lesiones a personas Actividades y tareas mal elaboradas Daño al Patrimonio público Pérdida de imagen

Paso 1.5 Calificación del Riesgo: Durante el proceso de Identificación del Riesgo es necesario clasificar los riesgos como se muestra en la siguiente tabla:

Tipo de Riesgo Definición del Riesgo

Riesgo Estratégico Se asocia con la forma en que se administra la entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

Riesgo de Imagen Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.

Riesgo Operativo

Comprende los riesgos relacionados tanto con la parte operativa como con la técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, e incumplimiento de los compromisos institucionales.

Riesgo Financiero

Se relacionan con el manejo de los recursos de la entidad, que incluye la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia en el manejo de los recursos, así como de su interacción con las demás áreas, dependerá en gran parte el éxito o fracaso de toda entidad.

Riesgo de Cumplimiento (Misionales)

Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

Riesgo de Tecnología Se asocian con la capacidad de la entidad para que la tecnología disponible satisfaga sus necesidades actuales y futuras y soporte el cumplimiento de la misión.

Riesgo de Corrupción

Se entiende por Riesgo de Corrupción la posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

Fuente: Guía para la Administración del Riesgo (4a ed., p 12) Bogotá D.C., DAFP y la Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano. Decreto 2641 de 2012. Presidencia de la Republica - Secretaria de Transparencia.

La definición del tipo de Riesgo nos brinda una orientación más precisa sobre el factor que afecta la materialización del riesgo y así lograr proponer acciones preventivas y/o correctivas más eficaces. 4.3 Análisis del Riesgo

En esta etapa se establece la probabilidad de ocurrencia de los riesgos y la importancia de sus impactos calificándolos, clasificándolos y estimando el nivel del riesgo. El paso a seguir es:

Paso 2.1: Probabilidad (columna G): Se debe asignar una calificación cualitativa del nivel de probabilidad de ocurrencia del evento o riesgo, según los criterios definido en la tabla de probabilidad que se muestra más adelante. De acuerdo con lo descrito por el Departamento de la Administración Pública – DAFP en la Guía para la Administración del Riesgo, “se entiende por probabilidad la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado”.

CRITERIOS PARA CALIFICAR LA PROBABILIDAD Nivel

Cualitativo-Cuantitativo Criterios de Probabilidad Escala en % Escala en Tiempo

Casi Certeza (5)

Se espera que ocurra en la mayoría de las circunstancias

12.5% - 33.5% Más de una (1) vez al año

Probable (4)

Probablemente ocurrirá en la mayoría de las circunstancias

5.0% - 12.5% Al menos una (1) vez en el último año

Posible (3)

Podrá ocurrir en algún momento 1.3% - 5.0% Al menos una (1) vez en los últimos dos (2) años

Improbable (2)

Pudo ocurrir en algún momento 0.3% - 1.3% Al menos una (1) vez en los últimos cinco (5) años

Raro (1)

Puede ocurrir solo en circunstancias excepcionales

0 – 0.3% No se ha presentado en los últimos años

Se toma como referencia los valores de la medida estándar CPK: Relación existente entre los resultados y las metas del proceso, donde el resultado este por debajo de lo esperado. (Fundación Iberoamericana para la gestión de la Calidad – http://www.measurecontrol.com/que-es-cpk/)

Fuente: Guía para la Administración del Riesgo (4a ed) Bogotá D.C., DAFP

Imagen formato - MAPA DE RIESGOS (Columnas G) calificación Probabilidad

NOTA: El valor del nivel de probabilidad (cuantitativo) Paso 2.1 de la columna H aparece automáticamente una vez se califiquen los riesgos cualitativamente. Paso 2.2: Impacto (columna I): De acuerdo con lo descrito por el Departamento de la Administración Pública – DAFP en la Guía para la Administración del Riesgo, “Por Impacto se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo”. Esto significa que se debe calificar el nivel de impacto a la que se vería expuesta la entidad de llegarse a presentar el evento o riesgo.

Fuente: Guía para la Administración del Riesgo (4a ed.) Bogotá D.C., DAFP

Nivel (cuantitativo)Catastrófico

(5)Mayor

(4)Moderado

(3)Menor

(2)Insignificante

(1)

Criterios

CRITERIOS PARA CALIFICAR EL IMPACTO

Pérdidas de reputación e imagen enormes. Pérdidas económicas enormes

Pérdidas de reputación e imagen mayores. Pérdidas económicas mayores

Pérdidas de reputación e imagen medias. Pérdidas económicas medias

Pérdidas de reputación e imagen bajas. Pérdidas económicas bajas

Pérdidas de reputación e imagen mínimas. Pérdidas económicas mínimas

El impacto de confidencialidad de la información se refiere a la pérdida o revelación de esta. Cuando se habla de información reservada institucional se hace alusión a aquella que por la razón de ser de la entidad solo puede ser conocida y difundida al interior de esta; así mismo, la sensibilidad de la información depende de la importancia que esta tenga para el desarrollo de la misión de la entidad. (DAFP)

El impacto de credibilidad se refiere a la pérdida de esta frente a diferentes actores sociales o dentro de la entidad. (DAFP)

NivelCatastrófico

(5)Mayor

(4)Moderado

(3)Menor

(2)Insignificante

(1)

Impacto de confidencialidad de la información

Criterios

Reservada institucional

No sensible institucional

Institucional

Sensible personal

Personal

NivelCatastrófico

(5)Mayor

(4)Moderado

(3)Menor

(2)Insignificante

(1)

Usuarios

Todos los funcionarios

Grupo de funcionarios

Ciudad

Impacto de credibilidad

Criterios

País

El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su función administrativa, ejecución presupuestal y normatividad aplicable. (DAFP)

El impacto operativo aplica en la mayoría de las entidades para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos. (DAFP)

NivelCatastrófico

(5)Mayor

(4)Moderado

(3)Menor

(2)Insignificante

(1)

Impacto Legal

Multas

Criterios

Intervención – Sanción

Investigaciòn fiscal

Investigaciòn disciplinaria

Demandas

NivelCatastrófico

(5)Mayor

(4)Moderado

(3)Menor

(2)Insignificante

(1)

Cambios en los procedimientos

Ajustes a una actividad concreta

Impacto OperativoCriterios

Paro total del proceso

Intermitencia en el servicio

Cambios en la interacción de los procesos

Adicionalmente se puede utilizar la siguiente tabla con la ampliación de criterios.

Criterios de Impacto IMPACTO CRITERIO

(5) Catastrófico

Se puede presentar daños en el medio ambiente de manera catastrófica (irreversible) Se puede presentar fallecimiento de los trabajadores Puede afectar la continuidad del servicio de manera total ( Mayor a 15 días) Se puede presentar pérdidas económicas superiores a 10 % del presupuesto anual. Se puede presentar pérdida de la imagen y credibilidad de manera catastrófica (calificación de riesgo alto por parte de la Comunidad y Órganos de Control) Se puede presentar sanción para la entidad cancelen las transferencias Se puede presentar pérdida de la información total Se puede presentar demandas de las partes interesadas por cuantías superiores a 300 SMMLV Puede afectar la satisfacción de los clientes de manera catastrófica Puede afectar el cumplimiento total de los objetivos institucionales Puede afectar el cumplimiento total de los objetivos del proceso

en un 100%

(4) Mayor

Se puede presentar daños en el medio ambiente de manera importante Se puede poner en peligro de vida de los trabajadores Puede afectar la continuidad del servicio por un tiempo entre 5 y 14 días Se puede presentar pérdidas económicas entre el 5% y el 10% del presupuesto anual Se puede presentar pérdida de la imagen y credibilidad de manera importante (calificación de riesgo medio por parte de Contraloría) Se puede presentar pérdida de la información por un periodo de

una semana Se puede presentar demandas de las partes interesadas por cuantías menor de 300 SMMLV a 150 SMMLV Puede afectar la satisfacción de los clientes de manera importante Puede afectar el cumplimiento parcial de los objetivos institucionales menor del 50% No fenecimiento de la cuenta de la vigencia Puede afectar el cumplimiento parcial de los objetivos del proceso en más del 50%

(3) Moderado

Se puede presentar daños leves en el medio ambiente. Se puede presentar lesiones que requieran incapacidad a los trabajadores

Puede afectar la continuidad del servicio por un tiempo entre 2 y 4 días Se puede presentar pérdidas económicas entre menor 5% hasta el 1% del presupuesto anual Se puede presentar hallazgos fiscales, penales, sancionatorios en las auditorías de control Se puede presentar pérdida de la información por un periodo de 2 días Se puede presentar demandas de las partes interesadas por cuantías menor 150 SMMLV Puede afectar el cumplimiento de las metas de los indicadores de gestión del proceso Puede afectar el cumplimiento parcial de los objetivos institucionales entre el 50% y 30%

(2) Menor

Se puede presentar lesiones que requieran tratamiento médico para los trabajadores

Puede afectar la continuidad del servicio por un tiempo un día Se puede presentar pérdidas económicas menor del 1% del presupuesto anual Se puede presentar hallazgos administrativos en las auditorías de control Se puede presentar pérdida de la imagen y credibilidad de manera pasajera Se puede presentar pérdida de la información por un periodo de 1 día

Se puede presentar quejas o reclamos de las partes interesadas Se puede afectar el cumplimiento parcial de los objetivos institucionales entre el % y el 30%

(1) Insignificante

Se puede presentar lesiones que requieran primeros auxilios Puede afectar la continuidad del servicio por un tiempo menor de 1 día Se puede

presentar pérdidas económicas menor al 0,5% del presupuesto anual

Se puede presentar un llamado de atención por parte de control interno Se puede presentar pérdida de la información menor 1 día Puede afectar el cumplimiento parcial de las metas de los indicadores de gestión del proceso Nivel de satisfacción del cliente menor al 90% Puede afectar el cumplimiento de los objetivos institucionales en menos de un 10%

Imagen formato MAPA DE RIESGOS (Columna I) calificación Impacto

NOTA: El valor del nivel de impacto (cuantitativo) Paso 2.2 de la columna J aparece automáticamente una vez se califiquen los riesgos cualitativamente.

Paso 2.3 Calificación del Riesgo (columnas K y L): Es el primer análisis del riesgo y se denomina Riesgo Inherente, se define como aquél al que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para modificar su probabilidad o impacto. Para calificar el riesgo se utiliza la siguiente matriz:

Imagen formato MAPA DE RIESGOS (Columnas K y L) Calificación del Riesgo

INSIGNIFICANTE MENOR MODERADO MAYOR CATASTROFICO

1 2 3 4 5RARO 1 B B M A A

IMPROBABLE 2 B B M A EMODERADO 3 B M A E EPROBABLE 4 M A A E E

CASI CERTEZA 5 A A E E E

BMAE Zona de riesgo extrema - reducir el riesgo, evitar el riesgo, compartir o transferir

M ATRIZ DE CALIFICACIÓN, EVALUACIÓN Y

RESPUESTA A LOS RIESGOS

PROBABILIDAD

IMPACTO

Zona de riesgo baja - asumir el riesgoZona de riesgo moderada - reducir el riesgoZona de riesgo alta - reducir el riesgo, evitar el riesgo, compartir o transferir el riesgo

NOTA: El valor cuantitativo y cualitativo del Paso 2.3 de la columna k aparece automáticamente una vez se califique la probabilidad y el impacto del riesgo.

4.4 Valoración del Riesgo La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, esto se hace con el objetivo de establecer prioridades para su manejo y para la fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones. Identificar controles existentes - Verificar efectividad de los controles - Establecer prioridades de tratamiento Paso 3.1 Controles Existentes (columna M-Q): En la columna M, se debe plasmar la normatividad, política, acción, procedimiento o actividades que sirve de control para mitigar el riesgo.

Controles de Gestión

Políticas claras aplicadas Seguimiento al plan estratégico y operativo Indicadores de gestión Tableros de control Seguimiento al cronograma Evaluación del desempeño Informes de gestión Monitoreo de riesgos

Controles Operativos

Conciliaciones Consecutivos Verificación de firmas Listas de chequeo Registro controlado Segregación de funciones Niveles de autorización Custodia apropiada

Procedimientos formales aplicados Pólizas Seguridad física Contingencias y respaldo Personal capacitado Aseguramiento y calidad

Controles Legales

Normas claras y aplicadas Control de términos

Imagen formato MAPA DE RIESGOS (Columna M) Controles existentes

En caso de no encontrar evidencia de la existencia de un control, simplemente en la columna M, se debe expresar que “No existen controles”, lo contrario será que han sido eficaces y se demuestra la evidencia relacionándola en la columna de “Evidencias Relacionadas” Una vez identificado los controles existentes se deben clasificar en la columna N en:

Preventivos: los controles preventivos son aquellos que actúan para eliminar las causas del riesgo, para prevenir su ocurrencia o materialización.

Correctivos: son los que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

Paso 3.2 Nueva Calificación del Riesgo –Según la Efectividad de los Controles (columnas N-O): Para realizar la nueva calificación del riesgo es necesario ponderar de manera objetiva los controles y poder determinar el desplazamiento dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos. Por lo tanto se deberá diligenciar el formato valoración de controles en donde se mide si están documentados, se aplican y si son efectivos de acuerdo a la siguiente tabla:

PÁRAMETROS CRITERIOS TIPO DE CONTROL PUNTAJES Probabilidad Impacto

Herramientas para ejercer el control

Posee una herramienta para ejercer el control.

15

Existen manuales instructivos o procedimientos para el manejo de la herramienta

15

En el tiempo que lleva la herramienta ha demostrado ser efectiva.

30

Seguimiento al control

Están definidos los responsables de la ejecución del control y del seguimiento.

15

La frecuencia de la ejecución del con- trol y seguimiento es adecuada.

25

TOTAL

100

Es importante tener en cuenta que cada control se debe evaluar de acuerdo a la tabla anterior y la suma de los puntajes dará lugar al desplazamiento dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos, según lo muestra la siguiente tabla:

RANGOS DE

CALI-FICACIÓN DE LOS CONTROLES

DEPENDIENDO SI EL CONTROL AFECTA PROBABILIDAD O IMPACTO DESPLAZA EN LA

MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS

CUADRANTES A DISMINUIR EN LA PROBABILIDAD

CUADRANTES A DISMI- NUIR EN EL

IMPACTO Entre 0 - 50 0 0 Entre 51 - 75 1 1 Entre 76 -100 2 2

Una vez se determine de manera objetiva la efectividad de los controles se procede a realizar la nueva calificación de probabilidad e impacto según el resultado obtenido. Imagen formato MAPA DE RIESGOS (Columna N) Tipo de control existente

Paso 3.2 Nueva Calificación del Riesgo: Para evaluar el riesgo se utiliza la siguiente matriz de acuerdo a los resultados obtenidos de probabilidad e impacto en la calificación del riesgo con controles:

Calificación del Riesgo Residual:

CRITERIO DE MEDICION PUNTAJE Existen manuales, instructivo o procedimientos para el manejo del control? 15 Esta (n) definido (s) el (los) responsable (s) de la ejecución y seguimiento? 5 El control es automático? 15 El control es manual? 10 La frecuencia de ejecución del control y seguimiento es adecuada? 15 Se cuenta con evidencias de la ejecución y seguimiento del control? 10 En el tiempo que lleva la herramienta ha demostrado ser efectiva? 30

TOTAL 100

INSIGNIFICANTE MENOR MODERADO MAYOR CATASTROFICO

1 2 3 4 5RARO 1 B B M A A

IMPROBABLE 2 B B M A EMODERADO 3 B M A E EPROBABLE 4 M A A E E

CASI CERTEZA 5 A A E E E

BMAE Zona de riesgo extrema - reducir el riesgo, evitar el riesgo, compartir o transferir

M ATRIZ DE CALIFICACIÓN, EVALUACIÓN Y

RESPUESTA A LOS RIESGOS

PROBABILIDAD

IMPACTO

Zona de riesgo baja - asumir el riesgoZona de riesgo moderada - reducir el riesgoZona de riesgo alta - reducir el riesgo, evitar el riesgo, compartir o transferir el riesgo

4.5 Tratamiento del Riesgos Paso 4.1 Opciones de manejo (Columna V): Una vez analizados los riesgos, y según la calificación obtenida después de evaluar el riesgo con los controles existentes (resultado del Paso 3), el líder del proceso o subproceso elige la opción de manejo más adecuada para el tratamiento de los riesgos, la misma esta sugerida en la matriz de calificación, evaluación y respuesta a los riesgos, y teniendo en cuenta la materialización de los mismo. Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto, se deberá considerar los siguientes aspectos como:

Viabilidad jurídica. Viabilidad técnica. Viabilidad institucional. Viabilidad financiera o económica. Análisis de costo-beneficio.

Las posibles decisiones de tratamiento son, de acuerdo con lo descrito en la Norma Técnica Colombiana NTC-ISO31000. Evitar el riesgo: Tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles. Compartir o transferir el riesgo: Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización. Asumir un riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. Cómo elegir la opción de manejo: Imagen formato MAPA DE RIESGOS (Columna V) Opciones de manejo

NOTA: Cuando la opción de tratamiento del riesgo es asumir no se deberá establecer acciones de tratamiento, únicamente se realizará el monitoreo anualmente con el fin de evidenciar el mantenimiento de los controles y su eficacia a través del formato de Valoración del Riesgo. Paso 4.2 Acciones (Columna W): Acciones, corresponde a la aplicación concreta de las opciones de manejo al riesgo conducentes a evitar, prevenir, reducir, compartir o transferir el riesgo y que harán parte del plan de manejo de los riesgos de la Entidad.

Imagen formato MAPA DE RIESGOS (Columna W) Acciones

En ésta etapa se deben considerar y estudiar las estrategias, alternativas y Acciones de Administración de los Riesgos que adoptará el responsable del proceso/subproceso y su equipo de trabajo en el desarrollo de sus procedimientos, estrategias, actividades y/o líneas de trabajo, con base en las materializaciones de riesgos debidamente realizadas, con el fin de recudir, mitigar, minimizar o evitar la probabilidad de ocurrencia del riesgo, replantear los controles, crear nuevos controles y/o acciones que sean eficaces en caso que se haya materializado el riesgo, o sencillamente, como demostración del entendimiento y administración de los riesgos del proceso/subproceso y del sentido de pertinencia y compromiso adoptado por cada integrante del mismo.

Paso 4.3 Monitoreo: Terminado el semestre (enero a junio y julio a diciembre) y durante los primeros ocho (08) días hábiles del mes siguientes, el líder del proceso o subproceso deberá realizar el autocontrol y seguimiento a las acciones establecidas para el tratamiento de los riesgos en donde se mida el porcentaje de cumplimiento de las acciones y se relacionen la evidencias que soportan dicho cumplimiento. Cuando se identifique un bajo cumplimiento se deberá revisar las causas, si es necesario se deberán ajustar las acciones cuando se identifiquen que son inviables.

Imagen formato MAPA DE RIESGOS (Columna AA-AB-AC) Acciones

Igualmente se deberá diligenciar el formato de materialización del riesgo en el formato FO-PL-070 para el análisis e informe respectivo, el cual es un insumo para la valoración del riesgo anual y definir nuevas acciones de tratamiento.

Para registrar semestralmente, se tendrá en cuenta el diligenciamiento de cada una de las columnas diseñadas como fuentes de entrada para detectar las materializaciones de los riesgos que pueden ser por:

Las No Conformidades levantadas en los (2) dos ciclos de las auditorías internas.

Por Auditorías Externas que pueden ser: Los hallazgos por auditoría de la Contraloría Municipal y las No conformidades detectadas por el ente certificador externo ICONTEC.

Salidas No conformes (Incumplimientos del proceso por Autocontrol- Autogestión)

Por prestación del Servicio por lo reclamos: Por ocasión del Servicio y por PQR (Peticiones, quejas y reclamos).

5. Políticas de Administración del Riesgos El objetivo de la política radica en establecer el marco de políticas que componen la Administración del Riesgo, definiendo los procesos que permitan la identificación, medición, control y monitoreo de manera eficiente y

eficaz de los riesgos y la debida materialización de los mismos que permita tener un panorama más amplio de los riesgos que están en un nivel Alto para mejorar los controles que permitan mitigar o disminuir la ocurrencia de los mismo, a los que se ve expuesta la Personería en desarrollo de su misión, buscando un equilibrio entre amenaza y oportunidad, de acuerdo con la tolerancia de la entidad al riesgo. Las políticas deben estar alineadas con la dimensión y la complejidad de la operación de la entidad, y la normatividad vigente. 5.1 Respecto del registro de eventos de riesgo se establece: Que los eventos de riesgo se deben reportar en el momento de su identificación, en los formatos o canales o sistemas de información establecidos para el registro de eventos. En caso de presentarse un evento de riesgo cuya materialización afecte el desarrollo normal del proceso y/o en la prestación del servicio, que su impacto tenga repercusiones financieras para la entidad, éste debe ser reportado e informado inmediatamente a la Gerencia o Personería Auxiliar. Los riesgos materializados más de cinco (5) veces deberán documentar una acción correctiva ajustándose al procedimiento establecido, a excepción de aquellos riesgos que el impacto de esta materialización sea catastrófico se deberá documentar la acción correctiva de inmediato. 5.2 Respecto de las responsabilidades de los funcionarios se establece que deben: Aplicar los instrumentos, metodologías y/o procedimientos definidos por la Oficina Asesora de Planeación y Control Interno, que permitan a cada uno de los procesos o subprocesos y sus responsables administrar

Efectivamente sus riesgos, desarrollando las acciones preventivas priorizando según el nivel de riesgo obtenido en la matriz de calificación, evaluación y respuesta a los riesgos.

Reportar los eventos de riesgo al momento de ocurrir de acuerdo con el sistema o procedimiento establecido para ello.

Impulsar a nivel de cada área una cultura de prevención del riesgo acorde con las políticas establecidas en el Sistema Integrado de Gestión - SIG.

Implementar las acciones de tratamiento de los riesgos de manera oportuna con el fin de evitar la materialización de los riesgos.

Realizar Monitoreo anual durante los primeros ocho (08) días hábiles de inicio de vigencia a los controles existentes de tal manera que se evalúa su mantenimiento y eficacia.

Realizar el Seguimiento y Autocontrol terminado el semestre (enero a junio y julio a diciembre) y durante los primeros ocho (08) días hábiles del mes siguientes, al cumplimiento de las acciones propuestas y sus respectivas evidencias.

Reportar a la Oficina de Control Interno semestralmente y oportunamente el seguimiento y autocontrol a la administración del riesgo, de lo contrario la oficina de Control Interno reportará a la Personería Auxiliar para investigación disciplinaria.

5.3 Respecto a las opciones de manejo del riesgo se establece:

Que mediante el análisis de la Probabilidad e Impacto de los riesgos sobre la entidad, el líder de proceso o subproceso determinará la opción de manejo más adecuada según el análisis realizado y los riesgos identificados en la zona de riesgo baja y moderado se podrán asumir como opción de manejo no siendo necesario establecer acciones para su tratamiento.

6. LINEAMIENTOS GENERALES DEL RIESGO El seguimiento a los riesgos se realizará de la siguiente manera:

La oficina Asesora de Planeación, al iniciar el año solicitará a los diferentes procesos y/o subprocesos de la entidad, la actualización en los riesgos, y la construcción de nuevas acciones que permita la mitigación de los mismos. Este debe ser actualizado en la red institucional en la red: doc_public/ temporal/mapa de riesgos.

El objetivo del enfoque para la administración de los riesgos que debe primar en la entidad busca minimizar la calificación del riesgo hasta llevarlo a un nivel bajo, por lo tanto el riesgo que continúe en la zona de riesgo moderada, alta o extrema después de los controles se debe tratarse con una acción correctivas, que serán registradas estas acciones se deben registrar en el formato - MAPA DE RIESGOS.

Todos los responsables de procesos y/o Subprocesos deben actualizar y enviar a la Oficina Asesora de Planeación y a la Oficina de control Interno sus correspondientes Mapas de Riesgos los ocho (8) primeros días hábiles después de la fecha de corte al cumplirse la vigencia semestral de junio y diciembre.

Se debe realizar la actualización de los riesgos teniendo en cuenta su trazabilidad y la continuidad con versiones anteriores registrando las modificaciones y dejando evidencia de los cambios realizados para cada Mapa Riesgos. Es decir, que al momento de eliminar, modificar o incluir un riesgo se debe dejar soporte de ello, ya sea por Acta de Reunión (formato FO-PL-049) donde se describan las razones por las cuales se realiza esta acción.

Se sugiere a los líderes de los diferentes procesos y subprocesos citar mesas de trabajo cuando lo crean necesario, con el fin de propiciar espacios de participación de todos los servidores en el proceso de identificación y evaluación de los riesgos inherentes a todas las actividades desarrolladas, tendientes

a minimizar su materialización y conseguir los Objetivos Estratégicos planteados. Solicitando asesoría a la Oficina Asesora de Planeación.

Terminado el semestre (enero a junio y julio a diciembre) y durante los primeros ocho (08) días hábiles del mes siguientes, el líder del proceso o subproceso deberá realizar el autocontrol y seguimiento a las acciones establecidas para el tratamiento de los riesgos en donde se mida el porcentaje de cumplimiento de las acciones y se relacionen la evidencias que soportan dicho cumplimiento. Cuando se identifique un bajo cumplimiento se deberá revisar las causas, si es necesario se deberán ajustar las acciones cuando se identifiquen que son inviables.

La Oficina de Control Interno deberá realizar el consolidado de la materialización de riesgo y el seguimiento a la administración del riesgo como insumo para la toma de decisiones de la Gerencia.

7. MONITOREO Y SEGUIMIENTO El monitoreo, control y la generación de informes de la administración de los riesgos estará a cargo de los responsables de los procesos y/o subprocesos así como de los informes que se generen de cada uno de ellos en las fechas establecidas en el paso 4.2 y en los Lineamientos Generales del Riesgos de esta guía. El mecanismo de Seguimiento y Control al cumplimiento de las actividades así como la consolidación de dichos informes generados en cada proceso y subproceso y las respectivas conclusiones estará a cargo de la Oficina de Control Interno de acuerdo a los parámetros establecidos por la normatividad vigente y publicarlo en la página web las siguientes fechas, 31 de enero, abril 30, agosto 31 y diciembre 31 de cada vigencia. Los procesos o subprocesos que no cumplan con las fechas estipuladas para la entrega de los informes generados, serán reportados a la Personería Auxiliar para inicio de proceso disciplinario.

8. BIBLIOGRAFÍA • Cartillas de Administración Pública, Guía de Administración del Riesgo, Departamento Administrativo de la

Función Pública, 2009. • Guía Para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 2011

• USAID Casals & Associates INC –EAFIT (2004) Modelo Estándar de Control Interno, 2004.

• Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y de Atención al Ciudadano”, 2012.