METODOLOGÍA DE ADMINISTRACIÓN DEL RIESGO · gestión de los riesgos de toda naturaleza a los que...
Transcript of METODOLOGÍA DE ADMINISTRACIÓN DEL RIESGO · gestión de los riesgos de toda naturaleza a los que...
1
METODOLOGÍA DE ADMINISTRACIÓN DEL RIESGO
2019
2
TABLA DE CONTENIDO
INTRODUCCIÓN ........................................................................................................ 3
1. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS DE LA COMISIÓN DE
REGULACIÓN DE ENERGÍA Y GAS – CREG ........................................................... 4
OBJETIVO ............................................................................................................... 5
ALCANCE ................................................................................................................ 5
GLOSARIO DE TÉRMINOS ........................................................................................ 6
2. IDENTIFICACIÓN DE RIESGOS ............................................................................ 8
2.1 CONTEXTO ESTRATÉGICO ................................................................................ 8
2.2 IDENTIFICACIÓN DE LOS RIESGOS ................................................................ 10
3. VALORACIÓN DEL RIESGO ................................................................................ 11
3.1 ANÁLISIS DE LOS RIESGOS ............................................................................. 11
MAPA DE CALOR, EVALUACIÓN Y RESPUESTA A LOS RIESGOS ..................... 17
3.2 EVALUACION DE RIESGOS .............................................................................. 19
ANÁLISIS Y EVALUACIÓN DE LOS CONTROLES PARA LA MITIGACIÓN DE LOS
RIESGOS .................................................................................................................. 22
ELABORACIÓN DEL MAPA DE RIESGO ................................................................ 25
3.3 MONITOREO Y REVISIÓN ................................................................................. 26
3.4 SEGUIMIENTO A LOS MAPAS DE RIESGO ..................................................... 28
PLANES DE CONTINGENCIA .................................................................................. 28
3
INTRODUCCIÓN
El presente documento comprende la definición de la política y lineamientos
institucionales a emprender, lo que sin duda permitirá dirigir el accionar de la CREG
hacia el uso eficiente de los recursos y la continuidad en la prestación de los servicios
con calidad, los cuales se encuentran alineados con la guía para la administración del
riesgo y el diseño de controles en entidades públicas, versión 4.
La metodología para la administración de riesgos debe contener:
4
1. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS – CREG
La Comisión de Regulación de Energía y Gas - CREG, define su Política de
Administración de Riesgos, con el fin de garantizar una gestión pública eficiente y
transparente, capaz de atender las necesidades y expectativas de los usuarios y
partes interesadas; para esto, declara su compromiso frente a la administración y
gestión del riesgo, partiendo de la identificación, análisis, valoración y el
establecimiento de las acciones de contingencia de aquellos eventos que puedan
afectar los objetivos estratégicos y la adecuada prestación de nuestros servicios,
mediante la definición del procedimiento de administración del riesgo, que afecten o
puedan afectar el cumplimiento de su misión institucional. Los niveles para calificar el
impacto de los riesgos, el nivel de aceptación, tratamiento, seguimiento y evaluación
de los mismos.
La Comisión de Regulación de Energía y Gas CREG, debe elaborar un diagnóstico de
los factores, internos y externos, que afectan o pueden afectar el avance en los
programas, proyectos y planes; así mismo, construir el Mapa de, Riesgos de gestión,
corrupción, de activos de información y el Mapa de Riesgos Institucional, para
establecer las acciones de control preventivas y la actuación correctiva y oportuna
ante la materialización de los riesgos identificados.
Una vez valorados los riesgos de gestión y de seguridad de la información, la CREG
asume aquellos que se ubiquen en zonas de riesgo baja. Lo anterior implica que para
los mismos no es necesario establecer acciones preventivas, sin embargo, el líder de
proceso como primera línea de defensa y la segunda línea de defensa definirán el
establecimiento de las mismas, cuando se considere necesario, con el fin de mitigar el
efecto sobre cada una de sus actividades.
Para los riesgos de corrupción no se adopta ninguna medida que afecte la
probabilidad o el impacto del riesgo. (Ningún riesgo de corrupción podrá ser
aceptado).
Con el fin de determinar el riesgo en la seguridad de la información de la Entidad, los
responsables de cada proceso, identificarán los activos de información y los valorarán
en términos de garantizar la confidencialidad, integridad y disponibilidad de la
información, teniendo en cuenta los siguientes aspectos:
El valor estratégico del proceso de información para la Entidad.
La criticidad de los activos de información involucrados en el proceso.
5
Los requisitos legales y reglamentarios, así como las obligaciones
contractuales.
Las expectativas y percepciones de las partes interesadas y las consecuencias
negativas para el buen nombre y la reputación de la Entidad.
Así mismo, los riesgos asociados al Sistema de Gestión de Seguridad y Salud en el
Trabajo serán identificados, valorados y controlados a fin de prevenir y mitigar la
ocurrencia de accidentes y enfermedades laborales. Los responsables de cada
proceso junto con sus equipos de trabajo, serán quienes adelanten la ejecución de los
controles y las acciones preventivas y realicen el seguimiento a su cumplimiento como
parte del autocontrol y, de manera independiente el Grupo de Trabajo de Control
Interno de Gestión efectuará la evaluación de su competencia.
OBJETIVO
Establecer los principios básicos y el marco general de actuación para el control y la
gestión de los riesgos de toda naturaleza a los que se enfrenta la entidad.
ALCANCE
La política de administración del riesgo es un elemento que contribuye al control
interno de la entidad, fomentando la cultura del autocontrol, aplica para los riesgos de
gestión y corrupción en los procesos y para los sistemas de gestión con que cuenta la
entidad.
6
GLOSARIO DE TÉRMINOS
• Aceptación del riesgo: Decisión informada de aceptar las consecuencias y
probabilidad de un riesgo en particular.
• Activo: En el contexto de seguridad digital son elementos tales como aplicaciones
de la organización, servicios web, redes, hardware, información física o digital,
recurso humano, entre otros, que utiliza la organización para funcionar en el
entorno digital.
• Administración de riesgos: Conjunto de elementos de control que, al
interrelacionarse, permiten a la entidad evaluar aquellos eventos negativos, tanto
internos como externos, que puedan afectar o impedir el logro de sus objetivos
institucionales o los eventos positivos que permitan identificar oportunidades para
un mejor cumplimiento de su función
• Amenazas: situación potencial de un incidente no deseado, el cual puede
ocasionar daño a un sistema o a una organización.
• Análisis de riesgo: Elemento de control que permite establecer la probabilidad de
ocurrencia de los eventos positivos o negativos y el impacto de sus
consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de
la entidad para su aceptación y manejo. Se debe llevar a cabo un uso sistemático
de la información disponible para determinar qué tan frecuentemente pueden
ocurrir eventos especificados y la magnitud de sus consecuencias.
• Causa: Todos aquellos factores internos y externos que solos o en combinación
con otros, pueden producir la materialización de un riesgo.
• Compartir el riesgo: Se asocia con la forma de protección para disminuir las
pérdidas que ocurran luego de la materialización de un riesgo, es posible
realizarlo mediante contratos, seguros, cláusulas contractuales u otros medios
que puedan aplicarse.
• Confidencialidad: Propiedad de la información que la hace no disponible, es decir,
divulgada a individuos, entidades o procesos no autorizados.
• Consecuencia: Son los efectos o situaciones resultantes de la materialización del
riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes
interesadas.
• Control: Medida que modifica el riesgo (procesos, políticas, dispositivos, prácticas
u otras acciones).
• Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una
entidad.
• Factores de riesgo: Manifestaciones o características medibles u observables de
un proceso que indican la presencia de riesgos o tienden a aumentar la
exposición, pueden ser internos o externos de la entidad.
• Gestión del riesgo: Proceso efectuado por la alta dirección de la entidad y por
todo el personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
7
• Identificación del riesgo: Elemento de control, que posibilita conocer los eventos
potenciales, estén o no bajo el control de la entidad pública, que ponen en riesgo
el logro de su misión, estableciendo los agentes generadores, las causas y los
efectos de su ocurrencia. Se puede entender como el proceso que permite
determinar qué podría suceder, por qué sucedería y de qué manera se llevaría a
cabo.
• Impacto: Se entiende como las consecuencias que puede ocasionar a la
organización la materialización del riesgo.
• Integridad: Propiedad de exactitud y completitud.
• Mapa de riesgos: Documento con la información resultante de la gestión del
riesgo.
• Nivel de aceptación del riesgo: Son los criterios de aceptación de riesgos
establecidos que se emplean durante la etapa de evaluación de riesgos.
• Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo. Esta
puede ser medida con criterios de frecuencia o factibilidad.
• Riesgo: Es la posibilidad de que suceda algún evento que tendrá un impacto sobre
los objetivos institucionales o del proceso. Se expresa en términos de probabilidad
y consecuencias.
• Riesgo de corrupción: Posibilidad de que, por acción u omisión, se use el poder
para desviar la gestión de lo público hacia un beneficio privado.
• Riesgo de gestión: Posibilidad de que suceda algún evento que tendrá un
impacto sobre el cumplimiento de los objetivos. Se expresa en términos de
probabilidad y consecuencias.
Riesgo de proceso: El riesgo está vinculado con todo el quehacer de la entidad, aquellos riesgos asociados al logro de los objetivos de los procesos institucionales.
• Riesgo de seguridad digital: Combinación de amenazas y vulnerabilidades en el
entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así
como afectar la soberanía nacional, la integridad territorial, el orden constitucional
y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico,
digital y las personas.
• Riesgo residual: Nivel de riesgo que permanece luego de tomar sus
correspondientes medidas de tratamiento.
• Tratamiento del riesgo: Consiste en seleccionar y aplicar las medidas más
adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los
daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda
reportarnos.
• Valoración del riesgo: Busca identificar y analizar los riesgos que enfrenta la
entidad, tanto de fuentes internas como externas relevantes para la consecución de
los objetivos, para administrarlos.
8
2. IDENTIFICACIÓN DE RIESGOS
2.1 CONTEXTO ESTRATÉGICO
Para la formulación y ejecución de la política de administración del riesgo, es
fundamental tener claridad de la misión institucional, sus objetivos, y tener una visión
sistemática de la gestión, de manera que no se perciba esta herramienta gerencial
como algo aislado del mismo accionar administrativo. Por ende, el diseño se
establece a partir de la identificación de los factores internos y externos que pueden
generar riesgos que afecten el cumplimiento de los objetivos así:
Clasificación
Factores
Contexto Externo
Económicos: Disminución del presupuesto por prioridades del Gobierno, Austeridad en el gasto
Políticos: Cambio de gobierno con nuevos planes y proyectos de Desarrollo, Falta de continuidad en los programas establecidos, Desconocimiento de la Entidad por parte de otros órganos de gobierno
Sociales: Ubicación de la Entidad que dificulta el acceso al personal y al público, constantes marchas y paros en el centro de la ciudad
Tecnológicos: Falta de interoperabilidad con otros sistemas, Fallas en la infraestructura tecnológica, falta de recursos para el fortalecimiento tecnológico
Comunicación Externa: Múltiples canales e interlocutores de la Entidad con los usuarios, Servicio telefónico insuficiente, falta de coordinación de canales y medios.
Legal: Cambios legales y normativos aplicables a la Entidad y a los procesos
Contexto Interno
Financieros: Bajo presupuesto de funcionamiento que impide el desarrollo de proyectos, demoras en apropiación y ejecución de recursos, dificultades para la definición de proyectos
Personal: Desmotivación de los servidores, falta de incentivos, carrera administrativa sin posibilidades de ascenso, falta de capacitación para desarrollar proyectos, alta rotación
Procesos: incoherencia entre procesos establecidos y ejecutados, Desconocimiento de los procesos y procedimientos por parte de los servidores, desactualización de documentos, falta interacción
Tecnología: sistemas de gestión ineficientes, falta de optimización de sistemas de gestión, falta de coordinación de necesidades de tecnología
Medio Ambientales: Contaminación por sustancias perjudiciales para la salud, Mala práctica de clasificación de residuos
9
comunicación interna: Falta de control sobre los canales establecidos, Falta de registros de resultados de reuniones, demoras en bajar la información, poca efectividad en los canales internos
Contexto del Proceso
Diseño del proceso: Claridad en la descripción del alcance y objetivo del proceso.
Interacciones con otros procesos: Relación precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios o clientes.
Transversalidad: Procesos que determinan lineamientos necesarios para el desarrollo de otros procesos de la entidad.
Procedimientos asociados: Pertinencia en los procedimientos que desarrollan los procesos.
Responsables del proceso: Grado de autoridad y responsabilidad de los funcionarios frente al proceso.
Comunicación entre los procesos: Efectividad en los flujos de información determinados en la interacción de los procesos.
Activos de Seguridad del Proceso: Información, aplicaciones, hardware, servicios web, redes entre otros, que se deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano
“Este contexto estratégico es la base para la identificación de los riesgos en los
procesos y actividades. El análisis se realiza a partir del conocimiento de situaciones
del entorno de la entidad, tanto de carácter social, económico, cultural, de orden
público, político, legal y/o cambios tecnológicos, entre otros; se alimenta también con
el análisis de la situación actual de la entidad, basado en los resultados de los
componentes de ambiente de control, estructura organizacional, modelo de operación,
cumplimiento de los planes y programas, sistemas de información, procesos,
procedimientos y los recursos económicos, entre otros.1”
Basada tanto en el resultado del análisis del Contexto Estratégico de la entidad como
del contexto propio de los sistemas de gestión que lo complementan, apoyado en el
proceso de planeación y debe partir de la claridad de los objetivos estratégicos para la
obtención de resultados. La identificación de los riesgos se realiza a nivel del
Componente de Direccionamiento Estratégico y de gestión de la operación. Este
contexto deberá ser utilizado como elemento de entrada en la identificación de riesgos
por proceso, de los sistemas de gestión que la organización implementa y los riesgos
de corrupción.
1 Guía de Administración del Riesgo. Contexto Estratégico, pág. 27. Cuarta Edición.
10
2.2 IDENTIFICACIÓN DE LOS RIESGOS
La identificación del riesgo se realiza determinando las causas, con base en los
factores internos y/o externos analizados para la entidad, y que pueden afectar el
logro de los objetivos.
Una manera para que todos los servidores de la entidad conozcan y visualicen los
riesgos es a través de la utilización del formato de identificación de riesgos el cual
permite hacer un inventario de los mismos, definiendo en primera instancia las causas
con base en los factores de riesgo internos y externos (contexto estratégico),
presentando una descripción de cada uno de estos y finalmente definiendo los
posibles efectos (consecuencias).
Es importante centrarse en los riesgos más significativos para la entidad relacionados
con los objetivos de los procesos y los objetivos institucionales. Es allí donde, al igual
que todos los servidores, la alta dirección, adopta un papel proactivo en el sentido de
visualizar en sus contextos estratégicos y misionales los factores o causas que
pueden afectar el curso institucional, dada la especialidad de la Entidad.
Entender la importancia del manejo del riesgo implica conocer con más detalle los
siguientes conceptos:
• Proceso: Nombre del proceso.
• Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para
el proceso al cual se le están identificando los riesgos.
• Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda
entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro
de sus objetivos.
• Causas (factores internos o externos): Son los medios, las circunstancias y
agentes generadores de riesgo. Los agentes generadores se entienden como
todos los sujetos u objetos que tienen la capacidad de originar un riesgo.
• Descripción: Se refiere a las características generales o las formas en que se
observa o manifiesta el riesgo identificado.
• Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los
objetivos de la entidad; generalmente se dan sobre las personas o los bienes
materiales o inmateriales con incidencias importantes tales como daños físicos y
fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de
imagen, de credibilidad y de confianza, interrupción del servicio y daño
ambiental.
11
Preguntas claves para la identificación del riesgo:
¿Qué puede suceder?
¿Cómo puede suceder?
Es importante observar que el proceso de identificación del riesgo es posible realizarlo
a partir de varias causas que pueden estar relacionadas.
Para la redacción de riesgos, se debe evitar iniciar con palabras negativas como
“No... “Que no…”, o con palabras que denoten un factor de riesgo (causa) tales como
“ausencia de”, “Falta de “, “poco (a)”, “escaso (a)”, “insuficiente”, “deficiente”,
“debilidades en”.
Se debe generar en el lector o escucha la imagen del evento como si ya estuviera
sucediendo.
En la descripción de los riesgos de corrupción, deben concurrir todos los
componentes de su definición. Acción u omisión + uso del poder + desviación de
la gestión de lo público + el beneficio privado.
Los riesgos de seguridad digital, se basan en la afectación de tres criterios en un
activo o grupo de activos dentro del proceso “Integridad, confidencialidad o
disponibilidad”.
Para el riesgo identificado se debe asociar el grupo de activos o activos específicos
del proceso y conjuntamente analizar las posibles amenazas y vulnerabilidades que
podría causar su materialización.
Con base en la información anterior, el líder de cada proceso, institucional y/o de cada
sistema de gestión, deberá consolidar la información requerida en el formato
“Identificación de los Riesgos” (Ver Anexo 1) contando con la participación activa de
los funcionarios involucrados.
3. VALORACIÓN DEL RIESGO
3.1 ANÁLISIS DE LOS RIESGOS
¿Cómo se analiza el riesgo?
El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus
consecuencias o impacto, este último aspecto puede orientar la clasificación del
riesgo, con el fin de obtener información para establecer el nivel de riesgo y las
acciones que se van a implementar.
12
El análisis del riesgo depende de la información obtenida en la fase de identificación
de riesgos.
Pasos claves en el análisis de riesgos:
- Determinar probabilidad
- Determinar consecuencias
- Clasificación del riesgo
- Estimar el nivel del riesgo
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos
identificados: Probabilidad e Impacto.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:
Calificación del riesgo y evaluación del riesgo.
• Calificación del riesgo: Se logra a través de la estimación de la probabilidad de
su ocurrencia y el impacto que puede causar la materialización del riesgo.
• Bajo el criterio de Probabilidad: El riesgo se debe medir a partir de las siguientes
especificaciones:
Los líderes de los procesos deben determinar la probabilidad y el impacto de cada
uno de los riesgos, teniendo en cuenta los criterios establecidos en las diferentes
guías de tipo legal, tanto para la administración pública como para los sistemas de
gestión.
Para determinar de manera objetiva la probabilidad, de ocurrencia de los riesgos de
proceso, de sistemas de gestión y de corrupción, se debe utilizar la siguiente tabla:
CRITERIOS PARA CALIFICAR LA PROBABILIDAD.
NIVEL CONCEPTO DESCRIPCIÓN FRECUENCIA
5 Casi seguro Se espera que el evento ocurra en
la mayoría de las circunstancias
Más de una vez al año
4 Probable El evento probablemente ocurrirá en
la mayoría de las circunstancias
Al menos una vez en el
último año
3 Posible El evento podría ocurrir en algún
momento.
Al menos una vez en
los últimos 2 años
2 Improbable El evento puede ocurrir en algún
momento
Al menos 1 vez en los
últimos 5 años
1 Rara vez El evento puede ocurrir sólo en
circunstancias excepcionales.
No se ha presentado
en los últimos 5 años
13
Bajo el criterio de impacto, el riesgo por proceso y de sistemas de gestión se debe
medir a partir de las siguientes especificaciones:
CRITERIOS PARA CALIFICAR EL IMPACTO – RIESGO DE GESTIÓN
NIVEL IMPACTO IMPACTO
(CONSECUENCIAS)
CUANTITATIVO
IMPACTO
(CONSECUENCIAS)
CUALITATIVO
1
Insignificante
Impacto que afecte la ejecución
presupuestal en un valor ≥0,5%
• Pérdida de cobertura en la
prestación de los servicios de
la entidad ≥1%. • Pago de
indemnizaciones a terceros por
acciones legales que pueden
afectar el presupuesto total de
la entidad en un valor ≥0,5% •
Pago de sanciones económicas
por incumplimiento en la
normatividad aplicable ante un
ente regulador, las cuales
afectan en un valor ≥0,5% del
presupuesto general de la
entidad
• No hay interrupción de las
operaciones de la entidad. •
No se generan sanciones
económicas o
administrativas. • No se
afecta la imagen institucional
de forma significativa
2
Menor
• Impacto que afecte la
ejecución presupuestal en un
valor ≥1%
• Pérdida de cobertura en la
prestación de los servicios de
la entidad ≥5%.
• Pago de indemnizaciones a
terceros por acciones legales
que pueden afectar el
presupuesto total de la entidad
en un valor ≥1%
• Pago de sanciones
económicas por incumplimiento
en la normatividad aplicable
ante un ente regulador, las
cuales afectan en un valor ≥1%
del presupuesto general de la
entidad.
• Interrupción de las
operaciones de la Entidad
por algunas horas.
• Reclamaciones o quejas
de los usuarios que implican
investigaciones internas
disciplinarias.
• Imagen institucional
afectada localmente por
retrasos en la prestación del
servicio a los usuarios o
ciudadanos.
• Impacto que afecte la
ejecución presupuestal en un
valor ≥5%
• Pérdida de cobertura en la
prestación de los servicios de
la entidad ≥10%.
• Pago de indemnizaciones a
• Interrupción de las
operaciones de la Entidad
por un día.
• Reclamaciones o quejas de
los usuarios que podrían
implicar una denuncia ante
los entes reguladores o una
14
3
Moderado
terceros por acciones legales
que pueden afectar el
presupuesto total de la entidad
en un valor ≥5%
• Pago de sanciones
económicas por incumplimiento
en la normatividad aplicable
ante un ente regulador, las
cuales afectan en un valor ≥5%
del presupuesto general de la
entidad
demanda de largo alcance
para la entidad.
• Inoportunidad en la
información ocasionando
retrasos en la atención a los
usuarios.
• Reproceso de actividades y
aumento de carga operativa.
• Imagen institucional
afectada en el orden nacional
o regional por retrasos en la
prestación del servicio a los
usuarios o ciudadanos.
• Investigaciones penales,
fiscales o disciplinarias
4
Mayor
• Impacto que afecte la
ejecución presupuestal en un
valor ≥20%
• Pérdida de cobertura en la
prestación de los servicios de
la entidad ≥20%.
• Pago de indemnizaciones a
terceros por acciones legales
que pueden afectar el
presupuesto total de la entidad
en un valor ≥20%
• Pago de sanciones
económicas por incumplimiento
en la normatividad aplicable
ante un ente regulador, las
cuales afectan en un valor
≥20% del presupuesto general
de la Comisión
• Interrupción de las
operaciones de la Entidad
por más de dos (2) días.
• Pérdida de información
crítica que puede ser
recuperada de forma parcial
o incompleta.
• Sanción por parte del ente
de control u otro ente
regulador.
• Incumplimiento en las
metas y objetivos
institucionales afectando el
cumplimiento en las metas
de gobierno.
• Imagen institucional
afectada en el orden nacional
o regional por
incumplimientos en la
prestación del servicio a los
usuarios o ciudadanos.
5
Catastrófico
• Impacto que afecte la
ejecución presupuestal en un
valor ≥50%
• Pérdida de cobertura en la
prestación de los servicios de
la entidad ≥50%.
• Pago de indemnizaciones a
terceros por acciones legales
que pueden afectar el
presupuesto total de la entidad
en un valor ≥50%
• Pago de sanciones
económicas por incumplimiento
en la normatividad aplicable
• Interrupción de las
operaciones de la Entidad
por más de cinco (5) días.
• Intervención por parte de
un ente de control u otro ente
regulador.
• Pérdida de Información
crítica para la entidad que no
se puede recuperar.
• Incumplimiento en las
metas y objetivos
institucionales afectando de
forma grave la ejecución
presupuestal. • Imagen
15
CRITERIOS PARA CALIFICAR EL IMPACTO PARA RIESGOS DE SEGURIDAD
DIGITAL
ante un ente regulador, las
cuales afectan en un valor
≥50% del presupuesto general
de la Entidad
institucional afectada en el
orden nacional o regional por
actos o hechos de corrupción
comprobados.
NIVEL IMPACTO IMPACTO
(CONSECUENCIAS)
CUANTITATIVO
IMPACTO
(CONSECUENCIAS)
CUALITATIVO
1
Insignificante
• Afectación ≥1% de la
población.
• Afectación ≥0,5% del
presupuesto anual de la
entidad.
• Sin afectación de la integridad.
• Sin afectación de la
disponibilidad. • Sin afectación
de la confidencialidad.
2
Menor
• Afectación ≥5% de la
población.
• Afectación ≥1% del
presupuesto anual de la
entidad.
• Afectación leve de la
integridad.
• Afectación leve de la
disponibilidad.
• Afectación leve de la
confidencialidad.
3
Moderado
• Afectación ≥10% de la
población. • Afectación ≥5% del
presupuesto anual de la
entidad.
• Afectación moderada de la
integridad de la información
debido al interés particular de
los empleados y terceros.
• Afectación moderada de la
disponibilidad de la información
debido al interés particular de
los empleados y terceros.
• Afectación moderada de la
confidencialidad de la
información debido al interés
particular de los empleados y
terceros.
4
Mayor
• Afectación ≥20% de la
población.
• Afectación ≥20% del
presupuesto anual de la entidad
• Afectación grave de la
integridad de la información
debido al interés particular de
los empleados y terceros.
• Afectación grave de la
disponibilidad de la información
debido al interés particular de
los empleados y terceros.
• Afectación grave de la
confidencialidad de la
información debido al interés
particular de los empleados y
terceros.
16
Es importante anotar que en los riesgos de seguridad digital se determinan con base
en la amenaza, no en las vulnerabilidades.
CRITERIOS PARA CALIFICAR EL IMPACTO EN LOS RIESGOS DE CORRUPCIÓN PREGUNTA. SI EL RIESGO DE CORRUPCIÓN SE MATERIALIZA, PODRÍA… SI NO
1 ¿Afectar al grupo de funcionarios del proceso?
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
3 ¿Afectar el cumplimiento de misión de la entidad?
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la entidad?
5 ¿Generar pérdida de confianza de la entidad, afectando su reputación?
6 ¿Generar pérdida de recursos económicos?
7 ¿Afectar la generación de los productos o la prestación de servicios?
8. ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del
bien, servicios o recursos públicos?
9 ¿Generar pérdida de información de la entidad?
10 ¿Generar intervención de los órganos de control, de la Fiscalía u otro ente?
11 ¿Dar lugar a procesos sancionatorios?
12 ¿Dar lugar a procesos disciplinarios?
13 ¿Dar lugar a procesos fiscales?
14 ¿Dar lugar a procesos penales?
15 ¿Generar pérdida de credibilidad
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17 ¿Afectar la imagen regional?
18 ¿Afectar la imagen nacional?
19 ¿Generar daño ambiental?
La calificación de impacto de riesgos de corrupción no tiene los niveles de
insignificante y menor, y se califica de la siguiente manera:
5
Catastrófico
• Afectación ≥50% de la
población. • Afectación ≥50%
del presupuesto anual de la
entidad.
• Afectación muy grave de la
integridad de la información
debido al interés particular de los
empleados y terceros. •
Afectación muy grave de la
disponibilidad de la información
debido al interés particular de los
empleados y terceros. •
Afectación muy grave de la
confidencialidad de la información
debido al interés particular de los
empleados y terceros.
NIVEL CALIFICACIÓN CONSECUENCIA
Moderado Responder afirmativamente de
UNA a CINCO preguntas genera
Afectación parcial al proceso y a la
dependencia Genera medianas
17
Los resultados de la valoración deben quedar registrados en el formato de
“Calificación y evaluación de riesgos” (Ver Anexo 2) y de ser el caso, determinar con
los funcionarios involucrados en los procesos, las acciones de control que deberán
implementarse.
Aunque se utilice el mismo mapa de calor, para los riesgos de gestión y de
corrupción, a estos últimos solo les aplican las columnas de impacto, Moderado,
Mayor y Catastrófico.
MAPA DE CALOR, EVALUACIÓN Y RESPUESTA A LOS RIESGOS
1 2 3 4 5
Insignificante Menor Moderado Mayor Catastrófico
1 B B M A A
2 B B M A E
3 B M A E E
4 M A A E E
5 A A E E E
PROBABILIDADIMPACTO / CONSECUENCIAS
Raro
Improbable
Posible
Probable
Casi seguro
Una vez se ha realizado la valoración del riesgo, se considera que este es inherente
al cual se enfrenta el proceso en ausencia de controles para la mitigación del mismo.
Niveles de tratamiento de los riesgos
El tratamiento o respuesta dada al riesgo, se enmarca en las siguientes categorías:
Aceptar el riesgo: significa que no se adopta ninguna medida que afecte la
probabilidad o el impacto del riesgo. Ningún riesgo de corrupción puede tener como
tratamiento, el aceptar el riesgo.
Reducir el riesgo: se adoptan medidas para reducir la probabilidad o el impacto del
riesgo, o ambos. Por lo general conlleva a la implementación de controles.
un impacto moderado. consecuencias para la entidad.
Mayor Responder afirmativamente de
SEIS a ONCE preguntas genera
un impacto mayor.
Impacto negativo de la Entidad Genera
altas consecuencias para la entidad.
Catastrófico Responder afirmativamente de
DOCE a DIECINUEVE preguntas
genera un impacto catastrófico.
Consecuencias desastrosas sobre el sector
Genera consecuencias desastrosas para la
entidad.
18
Evitar el riesgo: se abandonan las actividades que dan lugar al riesgo, decidiendo no
iniciar o no continuar con la actividad que lo provoca.
Compartir el riesgo: se reduce la probabilidad o el impacto del riesgo, transfiriendo o
compartiendo una parte del riesgo. Para el caso de los riesgos de corrupción, se
puede compartir, pero no se puede transferir su responsabilidad.
De acuerdo con lo anterior, se establecen a continuación los niveles de tratamiento a
los riesgos:
Nivel BAJO: Se ACEPTARÁ el riesgo y administrará por medio de las actividades
propias del proceso asociado y su control y registro de avance se realizará
semestralmente por medio del informe de desempeño.
Nivel MEDIO O MODERADO: Se deberá incluir este riesgo en el Mapa de riesgos
Institucional, se establecerán acciones de control preventivas que permitan REDUCIR
la probabilidad de ocurrencia del riesgo, se administrarán mediante seguimiento
bimestral y se registrarán sus avances en los informes de desempeño.
Nivel ALTO: Se deberá incluir el riesgo en el Mapa de riesgos Institucional y se
establecerán acciones de control preventivas que permitan EVITAR o COMPARTIR la
materialización del riesgo. La administración de estos riesgos será con periodicidad
bimestral y su adecuado control se registrará en los informes de desempeño.
Nivel EXTREMO o CATASTRÓFICO: Si bien el primer llamado es a abandonar la
actividad que genera el riesgo, por lo que no considera prudente, por ahora eliminar
actividades dado que las mismas pueden generar el no cumplimiento de su misión,
por lo que se incluirá el riesgo en el Mapa de riesgos institucional, se establecerán
acciones de control preventivas y correctivas que permitan EVITAR o COMPARTIR la
materialización del riesgo. La administración de estos riesgos será con periodicidad
mensual y su adecuado control se registrará en informes presentados a la Dirección.
Adicionalmente, se deberán documentar al interior de los procesos planes preventivos
(antes de que ocurra el evento) y contingencia (después de que ocurra el evento) para
tratar el riesgo materializado, con criterios de oportunidad, evitando el menor daño en
la prestación de los servicios; estos planes estarán documentados para cada proceso
y podrán ser consultados en el mapa de riesgos consolidado de la entidad.
En resumen:
ZONA NIVEL RESPUESTA SEGUIMIENTO B BAJA Asumir el riesgo Semestral M MODERADA Reducir el riesgo Bimestral
19
A ALTA Evitar, compartir o transferir el riesgo Bimestral E EXTREMA Evitar, compartir o transferir el riesgo Mensual
3.2 EVALUACION DE RIESGOS
Cómo se valoran los controles
La valoración del riesgo requiere de una evaluación de los controles existentes, lo
cual implica:
a. Determinar su naturaleza: Si se trata de un control preventivo o correctivo, para
este análisis tenga en cuenta:
- Controles Preventivos: Evitan que un evento suceda. Por ejemplo, el
requerimiento de un login y password en un sistema de información es un
control preventivo. Éste previene (teóricamente) que personas no autorizadas
puedan ingresar al sistema.
- Controles Correctivos: Éstos no prevén que un evento suceda, pero
permiten enfrentar la situación una vez se ha presentado. Por ejemplo, en caso
de un desastre natural u otra emergencia mediante las pólizas de seguro y
otros mecanismos de recuperación de negocio o respaldo, es posible volver a
recuperar las operaciones.
b. Establecer si el control que se implementa es automático o manual.
- Controles Automáticos: Utilizan herramientas tecnológicas como sistemas
de información o Software que permiten incluir contraseñas de acceso, o con
controles de seguimiento a aprobaciones o ejecuciones que se realizan a
través de éste, generación de reportes o indicadores, sistemas de seguridad
con scanner, sistemas de grabación, entre otros.
- Controles Manuales: Políticas de operación aplicables, autorizaciones a
través de firmas o confirmaciones vía correo electrónico, archivos físicos,
consecutivos, listas de chequeo, controles de seguridad con personal
especializado, entre otros.
c. Determinar si los controles se están aplicando en la actualidad y si han sido
efectivos para minimizar el riesgo.
Valoración de los controles – diseño de controles
20
Al momento de definir si un control o los controles mitigan de manera adecuada el
riesgo, se deben considerar desde la redacción del mismo, para lo cual se deben
considerar los siguientes aspectos:
1. Debe tener definido el responsable de llevar a cabo la actividad de control.
2. Debe tener una periodicidad definida para su ejecución.
3. Debe indicar cuál es el propósito del control.
4. Debe establecer el cómo se realiza la actividad de control.
5. Debe indicar que pasa con las observaciones o desviaciones resultantes de
ejecutar el control.
6. debe dejar evidencia de la ejecución del control.
Las acciones de tratamiento se agrupan en:
Disminuir la probabilidad: Acciones encaminadas a gestionar las causas del
riesgo.
Disminuir el impacto: Acciones encaminadas a disminuir las consecuencias del
riesgo.
Para el análisis y evaluación del diseño del control de acuerdo con las seis (6)
variables establecidas para la mitigación del riesgo, se realiza a partir de la siguiente
tabla.
CRITERIO DE
EVALUACIÓN
ASPECTOS A EVALUAR EN EL
DISEÑO DEL CONTROL
OPCIONES DE
RESPUESTA
1. Responsable
¿Existe un responsable asignado a la
ejecución del control?
Asignado No asignado
¿El responsable tiene la autoridad y
adecuada segregación de funciones
en la ejecución del control?
Adecuado
Inadecuado
2. Periodicidad
¿La oportunidad en que se ejecuta el
control ayuda a prevenir la mitigación
del riesgo o a detectar la
materialización del riesgo de manera
oportuna?
Oportuno
Inoportuno
3. Propósito
¿Las actividades que se desarrollan
en el control realmente buscan por si
solas prevenir o detectar las causas
que pueden dar origen al riesgo, Ej.:
Verificar, validad, cotejar, comparar,
revisar etc.?
Prevenir o
detectar
No es un
control
4. Como se realiza la
actividad de control
¿La fuente de información que se
utiliza en el desarrollo del control es
información confiable que permita
mitigar el riesgo?
Confiable
No confiable
21
5. Que pasa con las
observaciones o
desviaciones
¿Las observaciones, desviaciones o
diferencias identificadas como
resultado de la ejecución del control
son investigadas y resueltas de
manera oportuna?
Se investigan
y se resuelven
oportunamente
No se
investigan y se
resuelven
oportunamente
6. Evidencia de la
ejecución del control
¿Se deja evidencia o rastro de la
ejecución del control que permita a
cualquier tercero con la evidencia
llegar a la misma conclusión?
Completa
Incompleta /
no existe
De lo anterior el peso o participación de cada variable en el diseño del control para la
mitigación del riesgo se calcula con base en la siguiente tabla
Criterio de evaluación Opción de respuesta al
criterio de evaluación
Peso en la evaluación del
diseño del control
1.1 Asignación del responsable Asignado 15
No Asignado 0
1.2 Segregación y autoridad del
responsable
Adecuado 15
Inadecuado 0
2. Periodicidad Oportuna 15
Inoportuna 0
3. Propósito
Prevenir 15
Detectar 10
No es un control 0
4. Como se realiza la actividad
de control
Confiable 15
No confiable 0
5. Que pasa con las
observaciones o desviaciones
Se investigan y se resuelven
oportunamente
15
No se investigan y resuelven
oportunamente
0
6. Evidencias de la ejecución
del control
Completa 10
Incompleta 5
No existe 0
A continuación, se muestran los cuadros orientadores para ponderar de manera
objetiva los controles y poder determinar el desplazamiento dentro de la matriz de
calificación, evaluación y respuesta a los riesgos.
Para el sistema de gestión de seguridad de la información, deberán tenerse en cuenta
los “Objetivos de control y controles de referencia” de la NTC-ISO-IS27001 en su
última versión (Pueden ser incluidos controles adicionales de acuerdo con las
necesidades de la entidad), con el objetivo de establecer prioridades para su manejo y
fijación de políticas.
Resultados de la evaluación del diseño de control.
22
El resultado de cada variable de diseño, a excepción de la evidencia, va a afectar la
calificación del diseño del control, ya que deben cumplirse todas las variables para
que un control se evalúe como bien diseñado.
El resultado de la evaluación será:
RANGO DE CALIFICACIÓN
DEL DISEÑO
RESULTADO – PESO EN LA EVALUACIÓN DEL
DISEÑO DEL CONTROL
Fuerte Calificación entre 96 y 100
Moderado Calificación entre 86 y 95
Débil Calificación entre 0y 85
Si el resultado de las calificaciones de control, o el promedio - en el diseño de los
controles, está por debajo de 96%, se debe establecer un plan de acción que permita
tener un control o controles bien diseñados. Aunque un control esté bien diseñado,
este debe ejecutarse de manera consistente, de tal forma que se pueda mitigar el
riesgo, debe asegurarse por parte de la primera línea de defensa que el control se
ejecute. Al momento de determinar si el control se ejecuta, inicialmente el responsable
del proceso debe llevar a cabo una confirmación, posteriormente confirma con las
actividades de evaluación realizadas por auditoría interna o control interno.
RANGO DE CALIFICACIÓN
DE LA EJECUCIÓN
RESULTADO – PESO DE LA EJECUCIÓN DEL
CONTROL
Fuerte
El control se ejecuta de manera consistente por parte del
responsable
Moderado El control de ejecuta algunas veces por parte del responsable
Débil El control no se ejecuta por parte del responsable
ANÁLISIS Y EVALUACIÓN DE LOS CONTROLES PARA LA MITIGACIÓN DE LOS RIESGOS
Dado que la calificación de riesgos inherentes y residuales se efectúa al riesgo y no a
cada causa, hay que consolidar el conjunto de los controles asociados a las causas,
para evaluar si estos de manera individual y en conjunto si ayudan al tratamiento de
los riesgos, considerando tanto el diseño, ejecución y promedio de los controles.
En la evaluación del diseño y ejecución de los controles las dos variables son
importantes y significativas en el tratamiento de los riesgos y sus causas, por lo que
siempre la calificación de la solidez de cada control asumirá la calificación del diseño
23
o ejecución con menor calificación entre fuerte, moderado y débil, tal como se detalla
en la siguiente tabla:
Solidez del conjunto de controles para la adecuada mitigación del riesgo
Dado que un riesgo puede tener varias causas, a su vez varios controles y la
calificación se realiza al riesgo, es importante evaluar el conjunto de controles
asociados al riesgo.
PESO DEL DISEÑO DE
CADA CONTROL
PESO DE LA EJECUCIÓN DE CADA
CONTROL
SOLIDEZ INDIVIDUAL DE
CADA CONTROL FUERTE: 100
MODERADO: 50 DÉBIL:
DEBE ESTABLECER
ACCIONES PARA
FORTALECER EL CONTROL
SÍ / NO
Fuerte: Calificación entre 96 y 100
Fuerte ( siempre se ejecuta) fuerte + fuerte = fuerte No
Moderado ( algunas veces) fuerte + moderado= moderado Sí
Débil (no se ejecuta) fuerte + débil = débil Sí
Moderado: Calificación entre 86 y 95
Fuerte ( siempre se ejecuta) moderado + fuerte = moderado Sí
Moderado ( algunas veces) moderado + moderado= moderado
Sí
Débil (no se ejecuta) moderado + débil = débil Sí
Débil: Calificación entre 0 y 85
Fuerte ( siempre se ejecuta) débil + fuerte = débil Sí
Moderado ( algunas veces) débil + moderado= débil Sí
Débil (no se ejecuta) débil + débil = débil Sí
24
CALIFICACIÓN DE LA SOLIDEZ DEL CONJUNTO DE CONTROLES
FUERTE
El promedio de la solidez individual de cada control al sumarlos y ponderarlos es igual a 100
MODERADO
El promedio de la solidez individual de cada control al sumarlos y ponderarlos esta entre 50 y 99.
DÉBIL
El promedio de la solidez individual de cada control al sumarlos y ponderarlos es menor a 50.
Disminución de la probabilidad e impacto
La mayoría de los controles que se diseñan son para disminuir la probabilidad de que
ocurra una causa o un evento que pueda llevar a la materialización del riesgo y muy
pocos son dirigidos al impacto. Por tal razón y para efectos de la elaboración de la
matriz al momento de evaluar si los controles ayudan a disminuir el impacto o la
probabilidad, estos controles se calificarán teniendo en cuenta que de manera
indirecta disminuyen también el impacto.
Nivel de riesgo (riesgo residual)
Desplazamiento del riesgo inherente para calcular el riesgo residual
Dado que ningún riesgo con una medida de tratamiento se evita o elimina, el
desplazamiento de un riesgo inherente en su probabilidad o impacto para el cálculo
del riesgo residual se realizará de acuerdo con la siguiente tabla:
SOLIDEZ
DEL
CONJUNTO
DE LOS
CONTROLES
CONTROLES
AYUDAN A
DISMINUIR LA
PROBABILIDAD
CONTROLES
AYUDAN A
DISMINUIR
IMPACTO
# COLUMNAS
EN LA MATRIZ
DE RIESGO QUE
SE DESPLAZA
EN EL EJE DE
PROBABILIDAD
# COLUMNAS
EN LA MATRIZ
DE RIESGO QUE
SE DESPLAZA
EN EL EJE DE
IMPACTO
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No disminuye 1 0
Moderado No disminuye Directamente 0 1
Si la solidez del conjunto de los controles es débil, este no disminuirá ningún
cuadrante de impacto o probabilidad asociada al riesgo.
25
Tratándose de riesgos de corrupción únicamente hay disminución de probabilidad, es
decir, para el impacto no opera el desplazamiento.
Nota: Para el caso de la evaluación de los controles de los activos de seguridad de la
información, se debe definir la métrica pertinente, acorde a la necesidad de mitigación
de riesgos en dicho sistema
El resultado obtenido a través de la valoración, es equivalente al tratamiento del
riesgo, ya que involucra la selección de una o más opciones para modificar los riesgos
y la implementación de las acciones; así el desplazamiento para la nueva valoración
del riesgo y su desplazamiento determinará finalmente la selección de la opción de
tratamiento del riesgo.
Para los activos de seguridad de la información, la nueva valoración, estará asociada
al nivel de eficacia del control en la métrica establecida la cual está alineada con los
criterios de ésta valoración.
ELABORACIÓN DEL MAPA DE RIESGO
Con la información anterior, los líderes de los procesos deberán diligenciar el formato
“Mapa de riesgos” y remitirlo a la oficina asesora de planeación para su consolidación
IMPACTO DESPLAZA CASILLAS HACIA LA IZQUIERDA
26
La oficina asesora de planeación coordinará la consolidación del mapa de riesgos
institucional, como insumo para la consolidación del mapa, tomará los mapas de
riesgos asociados a los objetivos estratégicos y por proceso, registrará en el formato
denominado “Mapa de riesgos institucional” la información relacionada con aquellos
riesgos cuya valoración se encuentra en “Zona de riesgo alta” y “Zona de riesgo
extrema”, los cuales pueden afectar el cumplimiento de la misión institucional y los
objetivos estratégicos de la entidad. En este mapa se deberán incluir los riesgos
identificados como de corrupción, en cumplimiento del artículo 73 de la Ley 1474 de
2011.
La anterior información deberá quedar registrada de manera ordenada en el formato,
consolidada la información, adicionalmente, se deben describir las acciones
necesarias que permitan asegurar la efectividad de los controles descritos, el
responsable de la ejecución de las acciones, definir el indicador que permita verificar
el cumplimiento de la ejecución de las acciones. “Mapa de Riesgo” (Ver Anexo 3)
3.3 MONITOREO Y REVISIÓN
La entidad debe asegurar el logro de sus objetivos anticipándose a los eventos
negativos relacionados con la gestión de la entidad. El modelo integrado de
planeación y gestión (MIPG) en la dimensión 7 “Control interno” desarrolla a través de
las líneas de defensa la responsabilidad de la gestión del riesgo y control.
El modelo de líneas de defensa establece los roles y responsabilidades de todos los
actores del riesgo y control de la entidad, este proporciona aseguramiento y previene
la materialización de los riesgos en todos sus ámbitos, como se muestra a
continuación.
27
Los líderes de proceso serán responsables del monitoreo a las acciones de control
determinadas en los mapas, conforme a las fechas establecidas. Como resultado de
las acciones de control o por otras fuentes de información, los líderes de proceso
deberán actualizar de manera inmediata en su mapa de riesgos, en cuanto a revisar
los riesgos existentes, la ejecución de las acciones para asegurar que el control sea
efectivo, los controles, acciones; o a registrar nuevos riesgos, controles o acciones; y
adelantar el trámite respectivo.
LÍNEA ESTRATÉGICA
Define el marco general para la gestión del riesgo y el control y supervisa su cumplimiento, está a cargo de
la alta dirección y el comité institucional
Diego Armando Chitiva/CREG@CREG, Hugo Enrique Pacheco/CREG@CREG, Ingrid Marcela Barrera/CREG@CREG, Luz Mary Vasquez Vargas/CREG@CREG, Raul Alberto Jurado/CREG@CREG, Ricardo Santamaria/CREG@CREG,
1ª LÍNEA DE DEFENSA 3
ª LÍNEA DE DEFENSA 2
ª LÍNEA DE DEFENSA
Desarrolla e implementa procesos de control y
gestión de riesgos a través de su identificación, análisis, valoración,
monitoreo y acciones de mejora.
Asegura que los controles y los procesos de gestión de riesgos implementados por la primera línea de defensa,
estén diseñados apropiadamente y funcionen
como se pretende.
Proporciona información sobre la efectividad del S.C.I., a través de un
enfoque basado en riesgos, incluida la operación de la
primera y segunda línea de defensa.
A cargo de los gerentes públicos y líderes de los procesos, programas y proyectos de la entidad. Rol principal: Diseñar,
implementar y monitorear los controles, además de
gestionar de manera directa en el día a día los
riesgos de la entidad. Así mismo, orientar el
desarrollo e implementación de
políticas y procedimientos internos y asegurar que
sean compatibles con las metas y objetivos de la entidad y emprender las
acciones de mejoramiento para su logro.
A cargo de los servidores que tienen
responsabilidades en el monitoreo y evaluación de
los controles y la gestión de riesgo: jefes de planeación, supervisores e interventores
de contratos o proyectos, coordinadores de otros
sistemas de gestión de la entidad, comités de riesgos (donde existan) comités de contratación, entre otros.
Rol principal: monitorear la gestión de riesgo y control ejecutado por la primera
línea de defensa, complementando su trabajo.
A cargo de la oficina de control interno, auditoria interna o quien haga sus
veces.
El rol principal: proporcionar un aseguramiento basado
en el más alto nivel de independencia y objetividad obre la efectividad del S.C.I.
El alcance de este
aseguramiento, a través de la auditoria interna cubre
todos los componentes de S.C.I.
28
El resultado de los monitoreos anteriores, serán reportados a la oficina de planeación
y a la de control interno para los fines pertinentes. Así mismo, con base en la
información anterior, la oficina asesora de planeación actualizará el mapa de riesgos
institucional.
3.4 SEGUIMIENTO A LOS MAPAS DE RIESGO
La oficina de control interno acorde con la normatividad vigente y sus competencias,
como tercera línea de defensa, efectuará el seguimiento a los mapas de riesgo
institucional, por proceso, de corrupción y de activos de información, el cual es
esencial para asegurar que las acciones se están llevando a cabo por parte de los
líderes de los procesos y evaluar la eficiencia en su implementación, adelantando
revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que
pueden estar influyendo en la aplicaciones de las acciones preventivas.
Es importante mencionar que se deben tener en cuenta las fechas establecidas por la
guía de la Secretaría de Transparencia denominada (Estrategias para la construcción
del plan anticorrupción y de atención al ciudadano) para el seguimiento a los riesgos
sobre posibles actos de corrupción. Así mismo en sus procesos de auditoría interna
debe analizar el diseño e idoneidad de los controles, determinando si son o no
adecuados para prevenir o mitigar los riesgos en los procesos.
La Oficina de Control Interno dentro de su función asesora, debe comunicar y
presentar luego del seguimiento y evaluación, los resultados y propuestas de
mejoramiento y tratamiento a las situaciones detectadas.
El monitoreo es esencial para garantizar que las acciones se están llevando a cabo y
evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha
para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en
la aplicación de las acciones preventivas.
La finalidad principal de la oficina de control interno será la de aplicar y sugerir los
correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.
PLANES DE CONTINGENCIA
Para los riesgos calificados en el mapa de riesgos institucional en las Zonas Extrema,
Alta y Moderada, los líderes de proceso deberán establecer planes de contingencia,
entendiéndose éstos como los planes que se realizan para minimizar o corregir un
riesgo que se materializa. Los planes de contingencia deberán ser remitidos a
29
planeación y control interno. Planeación los tramitará para revisión y aprobación de la
Alta Dirección.
Aprobados los planes de contingencia, éstos deben ser divulgados acorde con lo
establecido. Los líderes de proceso deberán actualizar los planes en el momento en
que sea necesario, siguiendo la metodología citada anteriormente.
Los lineamientos enunciados en este documento son de obligatorio cumplimiento por
parte de los responsables aquí señalados. De igual forma el cumplimiento de las
acciones deberá verse reflejado en los acuerdos de gestión. Finalmente, los
resultados de la gestión de la administración del riesgo deberán ser publicados en la
página web de la entidad.
Los planes de contingencia se consignarán en el formato “Plan de contingencia” (Ver
Anexo 4.)
30
ANEXOS
ANEXO 1 Identificación de Riesgos
1 2 4 6
EFECTOS
(consecuencias)
1 2 4
AMENAZA VULNERABILIDADPérdida (Confidencialidad,
Integridad,Disponibilidad)
Impacto ( Financiero,
Operativo, Imagen)
IDENTIFICACIÓN DE LOS RIESGOS DE GESTIÓN Y DE CORRUPCIÓN
3 5
PROCESO OBJETIVOCAUSAS
RIESGOS DESCRIPCIÓNFactores Internos y Externos. Incluye Agente Generador
IDENTIFICACIÓN DE LOS RIESGOS DE SEGURIDAD DIGITAL:
3 5 6
ACTIVOS DE
INFORMACIÓNDESCRIPCIÓN
CAUSA
RIESGOS DESCRIPCIÓN
EFECTOS
ANEXO 2 Calificación y evaluación de riesgos
Probabilidad Impacto
CALIFICACIÓN Y EVALUACIÓN DE RIESGOS
PROCESO RIESGOCALIFICACIÓN TIPO /
IMPACTO
Evaluación
Zona de
Riesgo
MEDIDAS DE
RESPUESTA
31
ANEXO 3 Mapa de riesgo
Para los riesgos de gestión y corrupción, se diligenciará en el siguiente formato:
Probabilidad Impacto Probabilidad Impacto
NUEVA
EVALUACIÓN
OPCIONES
MANEJORESPONSABLE INDICADORDESCRIPCIÓNPROCESO RIESGO
CLASIFICACIÓNEVALUACION
DEL RIEGOCONTROLES
NUEVA CLASIFICACIÓN
Nombre del Proceso
PLANEACIÓN ESTRATEGICA
Código: PE-FT-003
Versión: 1
Nombre del Formato
MAPA DE RIESGOS POR PROCESO
Fecha última revisión:
05/08/2016Páginas: 1 de 1
Para los riesgos de activos de información, se diligenciarán en el siguiente formato:
Fecha última revisión:
Páginas: 1 de 1
Nombre del Proceso
PLANEACIÓN ESTRATEGICA
Código: PE-FT-003
Versión: 1
Nombre del Formato
MAPA DE RIESGOS DE ACTIVOS DE INFORMACIÓN
Probabilidad Impacto Probabilidad Impacto
NUEVA CLASIFICACIÓNNUEVA
EVALUACIÓN
OPCIONES
MANEJOSOPORTE RESPONSABLE INDICADORTIEMPON° RIESGO ACTIVO
CLASIFICACIÓN Evaluación
Riesgo
Inherente
AACIONES DE
CONTROLES
OPCIONES
MANEJOTIPO AMENAZAS
ANEXO 4 Plan de Contingencia
RIESGO DESCRIPCIÓN CAUSAPOSIBLES
CONSECUENCIAS
PLAN DE CONTINGENCIA PARA LOS RIESGOS INSTITUCIONALES DE LA CREG
RESPONSABLE (S)
EN EL PROCESO
ACCIÓN DESPUÉS
(Recuperación)
RESPONSABLE
(S) DEL
PROCESO
No. ZONA DE RIESGO TRATAMIENTO PLAN DE MITIGACIÓN ACCIÓN DURANTE (Contingencia)