Política para la Administración del Riesgo · del riesgo y los niveles de aceptación del mismo...

INSTITUTO DISTRITAL PARA LA PROTECCIÓN DE LA NIÑEZ Y LA JUVENTUD

2018

Política para la Administración del Riesgo

PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004

VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA

ADMINISTRACIÓN DEL RIESGO

PÁGINA 1 de 26

VIGENTE DESDE 31/12/2018

1

POLÍTICA PARA LA ADMINISTRACIÓN DEL RIESGO

INSTITUTO DISTRITAL PARA LA PROTECCIÓN DE LA

NIÑEZ Y LA JUVENTUD

IDIPRON

2018


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 2 de 26


2

1. Contenido

1. INTRODUCCIÓN ............................................................................................................................................................... 3

2. MARCO NORMATIVO ...................................................................................................................................................... 3

3. GLOSARIO ......................................................................................................................................................................... 5

4. ASPECTOS GENERALES ................................................................................................................................................. 6

5. POLÍTICA PARA LA ADMINISTRACIÓN DEL RIESGO ............................................................................................. 8

5.1 OBJETIVO GENERAL ...................................................................................................................................................... 8

5.2 OBJETIVOS ESPECÍFICOS ............................................................................................................................................ 8

5.3 ALCANCE ........................................................................................................................................................................ 8

5.4 LINEAS DE DEFENSA Y RESPONSABLES INSTITUCIONALES ............................................................................. 8

5.5 METODOLOGÍA PARA LA GESTIÓN DEL RIESGO ................................................................................................. 9

5.5.1 ETAPA PREVIA: ANÁLISIS Y CONOCIMIENTO DE LA ENTIDAD ............................................................... 9

5.5.2 ETAPA DE IDENTIFICACIÓN Y ESTABLECIMIENTO DEL CONTEXTO INTERNO, CONTEXTO DEL

PROCESO Y CONTEXTO EXTERNO RIESGOS DE GESTIÓN INSTITUCIONAL Y CORRUPCIÓN. ......................... 10

5.5.3 ETAPA DE IDENTIFICACIÓN DE RIESGOS .................................................................................................... 11

5.6.1 CÁLCULO DE RIESGO INHERENTE O ZONA DE RIESGO INICIAL PARA RIESGOS DE GESTIÓN ..... 12

5.6.2 CÁLCULO DE RIESGO INHERENTE O ZONA DE RIESGO INICIAL PARA RIEGOS DE CORRUPCIÓN

14

5.6.3 MAPAS DE CALOR ............................................................................................................................................. 15

5.6.4 ETAPA DE ÁNALISIS DE CONTROLES ........................................................................................................... 16

5.6.5 NIVELES DE ACEPTACIÓN DEL RIESGO Y OPCIONES DE MANEJO - RIESGO RESIDUAL ................. 18

5.7 RIESGOS DE SEGURIDAD DIGITAL ................................................................................................................. 19

5.7.1 ETAPA DE IDENTIFICACIÓN Y ESTABLECIMIENTO DEL CONTEXTO INTERNO Y EXTERNO ......... 19

5.7.2 PASOS PARA LA IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN ............................................ 20

5.7.3 RIESGOS INHERENTES DE SEGURIDAD DIGITAL ...................................................................................... 21

5.7.4 IDENTIFICACIÓN Y EVALUACIÓN DE LOS CONTROLES EXISTENTES ................................................. 22

5.7.5 PLANES DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DIGITAL E INDICADORES PARA LA

GESTIÓN DEL RIESGO ........................................................................................................................................................ 23

5.7.6 REGISTRO Y REPORTE DE INCIDENTES DE SEGURIDAD DIGITAL ........................................................ 23

5.8 MONITOREO Y REVISIÓN ................................................................................................................................. 24

5.8.1 RESPONSABILIDADES EN EL MONITOREO Y REVISIÓN ............................................................................ 24

5.8.2 TIEMPOS DE IMPLEMENTACIÓN DE LA POLITICA PARA LA ADMINISTRACIÓN DEL RIESGO ........ 24

6. BIBLIOGRAFÍA..................................................................................................................................................... 25

7. CONTROL DE CAMBIOS ..................................................................................................................................... 25

8. REVISIÓN Y APROBACIÓN ................................................................................................................................ 26


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 3 de 26


3

1. INTRODUCCIÓN

La Política para la Administración del Riesgo del Instituto Distrital para la Protección de la Niñez y la Juventud – IDIPRON-

recoge la estrategia, liderada desde la Alta Dirección de la Entidad, enfocada a la identificación, tratamiento, manejo y

seguimiento de los riesgos de Gestión, Corrupción y Seguridad Digital a través de la creación y/o fortalecimiento de controles

que incidan en la prevención de la materialización del riesgo y acciones de contingencia en caso de que esto suceda, con el

fin de garantizar el cumplimiento de los objetivos misionales de la Entidad.

La Política para la Administración del Riesgo de IDIPRON establece los principios básicos y el marco general de actuación

para el control y la gestión de los riesgos a los que se enfrenta la entidad, identifica los responsables dentro del proceso y

establece la metodología para la elaboración de los Mapas para la identificación de los riesgos, niveles para calificar el impacto

y el tratamiento para cada uno de los riesgos identificados, así, como las acciones de contingencia en caso de la materialización

del riesgo y los niveles de aceptación del mismo para la Entidad.

Para la construcción de la política se toma como fuente los documentos técnicos emitidos por el Departamento Administrativo

de la Gestión Pública –DAFP-, como la “Guía para la administración del riesgo y el diseño de controles en entidades públicas”,

“Guía para la Gestión de Riesgo de Corrupción” y “Estrategias para la Construcción del Plan Anticorrupción y Atención al

Ciudadano” y el Modelo de Planeación y Gestión MIPG.

¿PARA QUE LE SIRVE AL INSTITUTO LA GESTIÓN DEL RIESGO?

A continuación, se nombra el impacto que tiene el análisis, gestión y tratamiento del riesgo en diferentes procesos del instituto.

• Aporta información para tomar adecuadas decisiones estratégicas y operacionales de la Entidad.

• Facilita el logro de los objetivos Misionales

• Fortalece la mejora continua de los procesos.

• Permite una planificación estratégica más efectiva.

• Mejorar el desempeño de la organización generando valor agregado para la sociedad

• Optimiza la eficiencia operacional y la sostenibilidad, protege los activos de información.

• fortalece la imagen Institucionalidad.

• Mejorar la prevención de pérdidas y la gestión de los incidentes.

• Identifica los riesgos para minimizarlos.

• Mejorar los controles para prevenir el riesgo.

• Establece acciones de contingencia que permiten hacer frente inmediato a un riesgo que se materialice.

2. MARCO NORMATIVO

El Artículo 209 de la Constitución Política colombiana dispone que: “la función administrativa está al servicio de los intereses

generales y se desarrolla con fundamento en los principios de igualdad, moralidad, eficacia, economía, celeridad,

imparcialidad y publicidad, mediante la descentralización, la delegación y la desconcentración de funciones”. Igualmente,

señala que “las autoridades administrativas deben coordinar sus actuaciones para el adecuado cumplimiento de los fines del

Estado. La administración pública, en todos sus órdenes, tendrá un control interno que se ejercerá en los términos que señale

la Ley.

El Artículo primero de la Ley 87 del 29 de Noviembre de 1993, define el Control Interno como: “El sistema integrado por el

esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de

verificación y evaluaciones adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y

actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas

constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos

previstos”.

Ley 692 de 1995 o Ley Anti tramites “se dictan disposiciones sobre racionalización de trámites y procedimientos

administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan

servicios públicos.”

Ley 489 de 1998 crea del Sistema de Desarrollo Administrativo con el propósito de articular la planeación estratégica de las

entidades con la de su quehacer administrativo, a través de las políticas y los planes sectoriales de desarrollo administrativo.

Así mismo, se fortalece el Control Interno, con la creación del Sistema Nacional de Control Interno a fin de darle una

connotación más estratégica.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 4 de 26


4

Ley 872 de 2003 la cual crea el Sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público y en su Artículo 3.

establece que dicho sistema es complementario con los Sistemas de Control Interno y de Desarrollo Administrativo.

Norma Técnica de Calidad para la Gestión Pública 1000:2004 según numeral 4.1 literal (g), se indica que se debe establecer

control sobre los riegos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de

la entidad.

Decreto 652 del 28 de diciembre de 2011 se adopta la Norma Técnica Distrital del Sistema Integrado de Gestión, estableciendo

en su numeral 4.2.2 los requisitos en materia de planificación de la gestión de riesgo.

Ley 1474 de 2011 o Estatuto Anticorrupción “…se dictan normas orientadas a fortalecer los mecanismos de prevención,

investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública”; que en su Artículo 73 señala

que "cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra

la corrupción y de atención al ciudadano" y que en el Artículo 76 establece que deberá existir por lo menos una dependencia

encargada de recibir, tramitar y resolver las quejas, sugerencias y reclamos que los ciudadanos formulen, y que se relacionen

con el cumplimiento de la misión de la entidad.

Decreto 4637 de 2011 de Presidencia de la Republica se suprimió el programa Presidencial de Modernización, Eficiencia,

Transparencia y Lucha contra la corrupción, y en su Artículo 2 se creó al interior del Departamento Administrativo de la

Presidencia de la Republica, la Secretaria de Transparencia, asignándole como punto 10 de sus funciones “Señalar la

metodología para diseñar y hacer seguimiento a las estrategias de lucha contra la corrupción y de atención al ciudadano

que deberán elaborar anualmente las entidades del orden nacional y territorial, de conformidad con lo señalado en el Artículo

73 de la Ley 1474 de 2011, así como la metodología para diseñar e implementar los planes de acción previstos en el Artículo

74 de dicha Ley”.

Decreto 651 del 28 de diciembre de 2011 “por medio del cual se crean el Sistema Integrado de Gestión Distrital -SIGD- y la

Comisión Intersectorial del -SIGD-, y se dictan otras disposiciones”, cuyo Artículo Primero crea el Sistema Integrado de

Gestión Distrital “como una herramienta de gestión sistemática y transparente compuesta por el conjunto de orientaciones,

procesos, políticas, metodologías, instancias e instrumentos que permitan garantizar un ejerció articulado y armónico, para

dirigir y evaluar el desempeño institucional, en términos de calidad y satisfacción social en la prestación de los servicios a

cargo de las entidades y agentes obligados, enmarcada en los planes estratégicos y de desarrollo de las entidades distritales”.

Que el Decreto 19 de 2012 “Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites

innecesarios existentes en la Administración Pública” se busca dar alcance al desarrollo de los postulados del Buen Gobierno

propendiendo por instituciones eficientes, transparentes, y a partir esa simplificación facilitar las relaciones de los ciudadanos

con la Administración Pública y fomentar la transparencia del Estado.

Directiva 003 de 2013 se generan directrices para la generación de estrategias frente a la posibilidad de la perdida de elementos

y documentos con el fin de proteger la información institucional.

Ley 1712 de 2014 “toda la información en poder de los sujetos obligados definidos en esta Ley se presume pública, en

consecuencia de lo cual dichos sujetos están en el deber de proporcionar y facilitar el acceso a la misma en los términos más

amplios posibles y a través de los medios y procedimientos que al efecto establezca la Ley, excluyendo solo aquello que esté

sujeto a las excepciones constitucionales y legales y bajo el cumplimiento de los requisitos establecidos en esta Ley”.

Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano – MECI 2014, define en el numeral 1.3

el “Componente Administración del riesgo” como el “Conjunto de elementos que le permiten a la entidad identificar, evaluar

y gestionar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos

institucionales”. En ese mismo numeral se establece que la entidad debe generar “políticas de Administración del Riesgo” las

cuales “identifican las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar

decisiones adecuadas y fijar los lineamientos, que van a transmitir la entidad” y de igual manera indica que la política señala

que debe hacerse para efectuar el control y su seguimiento, basándose en los planes y los objetivos institucionales o por

procesos.

Decreto Nacional 1083 de 2015 "Por medio del cual se expide el Decreto único Reglamentario del Sector de Función Pública",

del cual fue sustituido el Titulo 22 mediante el Decreto Nacional 1499 de 2017, estableciendo el objeto e instancias de

dirección y coordinación del Sistema de Gestión y adoptando el nuevo Modelo Integrado de Planeación y Gestión -MIPG

definiéndolo como “como un marco de referencia para dirigir, planear, ejecutar, hacer seguimiento, evaluar y controlar la

gestión de las entidades y organismos públicos, con el fin de generar resultados que atiendan los planes de desarrollo y

resuelvan las necesidades y problemas de los ciudadanos, con integridad y calidad en el servicio”.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 5 de 26


5

Ley 1755 de 2015 según la cual “toda persona tiene derecho a presentar peticiones respetuosas a las autoridades, en los

términos señalados en este código, por motivos de interés general o particular, y a obtener pronta resolución completa y de

fondo sobre la misma”.

Decreto 1081 de 2015, recopila, actualiza y complementa el Decreto 2641 de 2012, y posteriormente es modificado mediante

el Decreto 124 de 2016 definiendo como metodología para diseñar y hacer seguimiento a la estrategia de lucha contra la

corrupción y de atención al ciudadano el documento “Estrategias para la Construcción del Plan Anticorrupción y de Atención

al Ciudadano – Versión 2 y como metodología para diseñar y hacer seguimiento al Mapa de Riesgo de Corrupción la

establecida en el documento “Guía para la Gestión del Riesgo de Corrupción”. Documentos que serán usados como base para

la elaboración de la Política de Administración de Riesgos de la entidad.

Decreto Nacional 1499 de 2017 hace necesario adoptar para el Distrito Capital el MIPG, como el nuevo marco de referencia

para el diseño e implementación del SIGD, con el fin de fortalecer los mecanismos, métodos y procedimientos de gestión y

control al interior de los organismos y entidades del Distrito Capital y adecuar la institucionalidad del sistema y de las

instancias correspondientes con el modelo nacional.

3. GLOSARIO

• ACTIVO: en el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web,

redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en

el entorno digital.

• CADENA DE VALOR: Es la interrelación de los procesos dirigidos a satisfacer las necesidades y requisitos de los

usuarios.

• CARACTERIZACIÓN DE LOS PROCESOS: Estructura que permite identificar los rasgos distintivos de los

procesos. Establece su objetivo, la relación con los demás procesos, los insumos, los activos, su transformación a través

de las actividades que desarrolla y las salidas del proceso, se identifican los proveedores y clientes o usuarios, que pueden

ser internos o externos.

• CAUSA: todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la

materialización de un riesgo.

• CONSECUENCIA: los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la

entidad, sus grupos de valor y demás partes interesadas.

• CONFIDENCIALIDAD: propiedad de la información que la hace no disponible, es decir, divulgada a individuos,

entidades o procesos no autorizados.

• EVALUACIÓN DEL RIESGO: Proceso utilizado para determinar las prioridades de la administración del riesgo,

comparando el nivel de un determinado riesgo con respecto a un estándar determinado.

• EVENTO: Incidente o situación potencial que puede ocurrir en un lugar determinado durante un periodo determinado.

Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie de causas.

• EVITAR EL RIESGO: Tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa

a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o

eliminación, resultado de unos adecuados controles y acciones emprendidas.

• FRECUENCIA: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido

un evento en un tiempo dado.

• GESTIÓN DEL RIESGO: proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar

a la administración un aseguramiento razonable con respecto al logro de los objetivos.

• IMPACTO: Consecuencias que puede ocasionar a la entidad la materialización del riesgo.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 6 de 26


6

• MAPA DE PROCESOS: Es la representación gráfica de los procesos estratégicos, misionales, de apoyo, de evaluación

y sus interacciones.

• MAPA DE RIESGOS: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada y

sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias y sus acciones

preventivas.

• MISIÓN: Constituye la razón de ser de la entidad, sintetiza los principales propósitos estratégicos y los valores esenciales

que deben ser conocidos, comprendidos y compartidos por todas las personas que hacen parte de la entidad.

• MODELO DE OPERACIÓN POR PROCESOS: El modelo de operación por procesos es el estándar organizacional

que soporta la operación de la entidad pública, integrando las competencias constitucionales y legales que la rigen con el

conjunto de planes y programas necesarios para el cumplimiento de su misión, visión y objetivos institucionales. Pretende

determinar la mejor y más eficiente forma de ejecutar las operaciones de la entidad.

• MONITOREAR: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una actividad con el fin

de identificar posibles cambios.

• OBJETIVOS ESTRATÉGICOS: Identifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar

cumplimiento al mandato legal aplicable a cada entidad. Estos objetivos institucionales se materializan a través de la

ejecución de la planeación anual de cada entidad.

• PLAN DE MANEJO DEL RIESGO: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso

de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.

• PLANEACIÓN INSTITUCIONAL: Las estrategias de la entidad generalmente se definen por parte de la Alta

Dirección y obedecen a la razón de ser que desarrolla la misma, a los planes sectoriales, las políticas específicas que

define el Gobierno nacional, departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo. En este

contexto la entidad define su planeación institucional. La planeación institucional hace uso de los procesos estratégicos,

misionales, de apoyo y evaluación para materializarla o ejecutarla, por lo tanto, la administración del riesgo no puede

verse de forma aislada.

• PROBABILIDAD: Grado en el cual es probable que ocurra un evento, que se debe medir a través de la relación entre

los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.

• RIESGO INHERENTE: es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar

su probabilidad o impacto.

• RIESGO RESIDUAL: nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.

• VISIÓN: Es la proyección de la entidad a largo plazo que permite establecer su rumbo, las metas y lograr su desarrollo.

Debe ser construida y desarrollada por la Alta Dirección de manera participativa, clara, amplia, positiva, coherente,

convincente, comunicada y compartida por todos los miembros de la organización.

• VULNERABILIDAD: es una debilidad, atributo, causa o falta de control que permitiría la explotación por parte de una

o más amenazas contra los activos.

4. ASPECTOS GENERALES

4.1 La Política para la Administración de Riesgos es una declaración de la dirección y las intenciones generales de la entidad

con respecto a la gestión del riesgo. La administración del riesgo establece lineamientos precisos acerca de la

identificación, tratamiento, manejo y seguimiento a los riesgos de gestión Administrativa, Corrupción y de Seguridad

Digital.

4.2 Se hace necesaria la revisión en cada vigencia de la Política para la Administración de Riesgo en cabeza de la Línea de

Defensa Estratégica, con el fin de identificar falencias, fortalezas y adelantos normativos u otras modificaciones que se

hayan realizado en los lineamientos de política.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 7 de 26


7

4.3 La política para la Administración del Riesgos es direccionada desde la Alta dirección de la Entidad, con el liderazgo

del representante legal y la participación del Comité de Coordinación de Control Interno del IDIPRON.

4.4 La Entidad debe analizar los objetivos estratégicos e identificar los posibles riesgos que afectan su cumplimiento y

que puedan ocasionar su éxito o fracaso. Es necesario revisar que los objetivos estratégicos se encuentren alineados con la

Misión y la Visión Institucional, así como, analizar su adecuada formulación, es decir, que contengan las siguientes

características mínimas: específico, medible, alcanzable, relevante y proyectado en el tiempo.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 8 de 26


8

5. POLÍTICA PARA LA ADMINISTRACIÓN DEL RIESGO

Es compromiso del Instituto Distrital para la Protección de la niñez y la Juventud - IDIPRON la implementación de la Política

para la Administración del Riesgo con los principios de oportunidad y eficiencia a fin de dar cumplimiento a sus objetivos

misionales de la Entidad.

5.1 OBJETIVO GENERAL

Establecer los lineamientos para la gestión del riesgo a través de la identificación, análisis, evaluación y tratamiento de los

riesgos de Corrupción, Gestión Institucional y de Seguridad Digital, en los procesos institucionales a los que se enfrenta el

Instituto Distrital para la Protección de la Niñez y la Juventud.

5.2 OBJETIVOS ESPECÍFICOS

• Prevenir la materialización de los riesgos a través del fortalecimiento de los controles, garantizando siempre el logro de

los objetivos institucionales.

• Orientar la toma de decisiones respecto al manejo de los riesgos y sus efectos al interior del IDIPRON, con el fin de

garantizar el cumplimiento de los objetivos institucionales.

• Generar un ambiente de control que involucre y comprometa a Directivos y a todo el equipo humano del IDIPRON a

monitorear, prevenir y administrar los riesgos, de manera alineada con los principios básicos de MIPG (Modelo Integrado

de Planeación y Gestión), el Sistema Integrado de Gestión y el Direccionamiento estratégico del Instituto.

• Visibilizar la importancia del manejo de los riesgos asociados a la corrupción, con el fin de mitigar o eliminar las

condiciones o situaciones que pueden favorecer su materialización.

• Salvaguardar los activos de Información del Instituto.

5.3 ALCANCE

Inicia con la definición de las líneas de defensa y responsables institucionales para la implementación de la metodología para

la Administración de los riesgos de corrupción, gestión y de seguridad digital incluyendo la identificación, la valoración y el

tratamiento de los riesgos en todos los procesos de la Entidad; los niveles de aceptación del riesgo; los tiempos de

implementación de la política y finaliza con el reporte de los resultados obtenidos en cada vigencia.

Esta política es aplicable a todos los procesos y áreas. La identificación, la valoración y el tratamiento de los riesgos debe

realizar participativamente. Se debe socializar y hacer seguimiento a los riesgos que pudieran afectar la misión y el

cumplimiento de los objetivos institucionales en el marco de los procesos del Instituto Distrital para la Protección de la Niñez

y la Juventud - IDIPRON.

5.4 LINEAS DE DEFENSA Y RESPONSABLES INSTITUCIONALES

La gestión del Riesgo en el Instituto Distrital para la Protección de la Niñez debe ser un proceso participativo, que involucre

a actores institucionales y no institucionales, a continuación, se presentan las líneas de defensa de la Institución y las

responsabilidades de cada una de ellas dentro de la política:

LÍNEA DE

DEFENSA FINALIDAD RESPONSABLE RESPONSABILIDADES

ESTRATÉGICA

Define el marco

general para la

gestión del riesgo

y el control y

supervisa su

cumplimiento.

Alta dirección de

IDIPRON

Comité

Institucional de

Coordinación de

Control Interno

• Establecer y aprobar la Política para la Administración del Riesgo

de IDIPRON.

• Revisar el cumplimiento de la Política para la Administración de

Riesgos de manera periódica, evaluar su impacto y aprobar las

modificaciones, actualizaciones y acciones de fortalecimiento a

las que pueda haber lugar.

PRIMERA

LÍNEA

Desarrolla e

implementa

procesos de

control y gestión

de riesgos a través

de su

identificación,

análisis,

Gerentes públicos

y líderes de los

procesos,

programas y

proyectos de la

entidad.

• Identificar y valorar los riesgos que pueden afectar los procesos a

su cargo y actualizarlos cuando se requiera.

• Identificar y valorar los activos de Seguridad Digital.

• Consolidar, aprobar y hacer seguimiento a las acciones

relacionadas en los mapas de riesgos a fin de minimizar la

probabilidad de ocurrencia del riesgo.

• Llevar a cabo las acciones asociadas a los controles establecidos

para cada uno de los riesgos identificados en su proceso de


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 9 de 26


9

LÍNEA DE

DEFENSA FINALIDAD RESPONSABLE RESPONSABILIDADES

valoración,

monitoreo y

acciones de

mejora.

Responsable de

Seguridad Digital

acuerdo a la periodicidad establecida, en el capítulo de

Seguimiento y Control. Durante la aplicación de las acciones de

seguimiento cada líder de proceso debe mantener la evidencia o

documentación respectiva de todas las actividades realizadas.

• Desarrollar ejercicios de autoevaluación para establecer la

eficiencia, eficacia y efectividad de los controles

• Informar a la Oficina Asesora de Planeación y a la Alta Dirección

de IDIRON sobre los riesgos materializados en los programas,

proyectos, planes y/o procesos a su cargo

• Reportar en el SGI los avances y evidencias de la gestión de los

riesgos a cargo.

SEGUNDA

LÍNEA

Asegura que los

controles y los

procesos de

gestión de riesgos

implementados

por la primera

línea de defensa,

estén diseñados

apropiadamente y

funcionen como se

pretende

Jefe de

planeación,

supervisores e

interventores de

contratos o

proyectos,

coordinadores de

otros sistemas de

gestión de la

entidad, comités

de riesgos (donde

existan), comités

de contratación,

entre otros.

• Asesorar a la línea estratégica en el análisis del contexto interno y

externo, para la definición de la política de riesgo, el

establecimiento de los niveles de impacto y el nivel de aceptación

del riesgo.

• Consolidar y Publicar el Mapa de riesgos institucional (riesgos de

mayor criticidad frente al logro de los objetivos) y presentarlo para

análisis y seguimiento ante el Comité de Gestión y Desempeño

Institucional

• Acompañar, orientar y entrenar a los líderes de procesos en la

identificación, análisis y valoración del riesgo

• Monitorear los controles establecidos por la primera línea de

defensa acorde con la información suministrada por los líderes de

procesos

• Supervisar en coordinación con los líderes de la primera línea de

defensa la identificación, evaluación y gestión de los riesgos y

controles para que se generen acciones

• Evaluar que los riesgos sean consistentes con la presente política

de la entidad y que sean monitoreados por la primera línea de

defensa

• Promover ejercicios de autoevaluación para establecer la

eficiencia, eficacia y efectividad de los controles.

TERCERA

LÍNEA

Proporciona

información sobre

la efectividad del

S.C.I., a través de

un enfoque basado

en riesgos,

incluida la

operación de la

primera y segunda

línea de defensa

Oficina de Control

Interno

• Verificar y analizar la eficacia de la gestión del riesgo y control

haciendo énfasis en el diseño e idoneidad de los controles y las

acciones de control establecidas los procesos

• Llevar a cabo el seguimiento a los riesgos consolidados en los

mapas de riesgos de conformidad con el Plan Anual de Auditoria

y reportar los resultados a la Alta Dirección del Instituto, Líderes

de Proceso y a la Oficina Asesora de Planeación.

• Asesorar de forma coordinada con la Oficina de Planeación, a la

primera línea de defensa en la identificación de los riesgos

institucionales, de corrupción y de seguridad digital y el diseño de

controles.

• Recomendar mejoras a la Política para la Administración del

Riesgo.

5.5 METODOLOGÍA PARA LA GESTIÓN DEL RIESGO

5.5.1 ETAPA PREVIA: ANÁLISIS Y CONOCIMIENTO DE LA ENTIDAD

Previo a iniciar la metodología para la administración del riesgo de gestión institucional, corrupción y de Seguridad digital se

requiere realizar un análisis relacionado con el estado actual de la gestión del riesgo en el Instituto.

Es preciso analizar el contexto general de IDIPRON para establecer su complejidad, procesos, planeación institucional, entre

otros aspectos, lo anterior para conocer y entender la Entidad y su entorno, lo que determinará el análisis de riesgos y la

aplicación de la metodología en general.

Para esto es necesario que los líderes de procesos y sus equipos de trabajo tengan conocimiento de la Misión, la Visión, los

Objetivos Estratégicos, y el Modelo de Operación por procesos, información que se encuentra relacionada en la Plataforma

Estratégica del Instituto. De la misma forma se requiere que el documento de Caracterización de los Procesos en donde se

definen sus objetivos institucionales esté actualizado.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 10 de 26


10

A partir de este punto se hará una descripción diferente para la identificación, valoración y tratamiento de los riesgos de

Gestión Institucional y Corrupción y los Riesgos de Seguridad Digital debido a que las metodologías a la que apuntan a

la identificación de elementos diferentes (Riesgos de Gestión y Corrupción y Activos de Información), lo que hace que la

metodología se diferente.

Por esta razón se desarrollará primero lo pertinente con el tratamiento de los Riesgos de Gestión y Corrupción y finalmente

se desarrollará el tema de los Riesgos de Seguridad Digital

5.5.2 ETAPA DE IDENTIFICACIÓN Y ESTABLECIMIENTO DEL CONTEXTO INTERNO, CONTEXTO

DEL PROCESO Y CONTEXTO EXTERNO RIESGOS DE GESTIÓN INSTITUCIONAL Y

CORRUPCIÓN.

Se debe establecer cuáles son los factores que pueden incidir en la gestión del riesgo institucional. Para poder lograr este

análisis se debe establecer el contexto en el que opera el proceso incluyendo el contexto interno, de proceso y externo, con tal

fin se debe hacer una lista nombrando y describiendo de que forma las normas, políticas, proyectos, funciones entre otros,

podrían incidir como causas, controles externos, o en la materialización de los riesgos, por ejemplo.

CONTEXTO INTERNO DE LA ENTIDAD

El contexto interno se refiere a las condiciones que se relacionan con la estructura, cultura organizacional, el cumplimiento

de planes, programas/proyectos, procesos/procedimientos, sistemas de información, modelo de operación, recursos humanos

y económicos con que cuenta la entidad.

Con el fin de establecer el contexto interno es necesario conocer y entender la entidad, sus objetivos y alineamiento estratégico.

Teniendo en cuenta que la materialización de los riesgos de corrupción, gestión Institucional y de Seguridad Digital tienen un

impacto negativo en diversos aspectos de la Entidad, el análisis se debe aplicar a los procesos estratégicos, misionales, de

apoyo y de evaluación es decir a todos los procesos del Instituto, además del sistema de gestión, control y administración

(supone la definición de: las políticas de administración del riesgo de corrupción, estructura organizacional, sistema de control

interno y auditoría).

GUÍA DE FACTORES PROPUESTOS PARA ESTE CONTEXTO1

FINANCIEROS: Presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada

PERSONAL: Competencia del personal, disponibilidad del personal, seguridad y salud ocupacional.

PROCESOS: Capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento.

TECNOLOGÍA: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de

sistemas de información.

ESTRATÉGICOS: Direccionamiento estratégico, planeación institucional, liderazgo, trabajo en equipo.

COMUNICACIÓN INTERNA: Canales utilizados y su efectividad, flujo de la información necesaria para el desarrollo

de las operaciones.

CONTEXTO DEL PROCESO

Dentro del contexto del Proceso se determinan las características o aspectos esenciales del proceso y sus interrelaciones.

Según la guía “Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción y

Seguridad Digital” se pueden considerar factores como:


DISEÑO DEL PROCESO: Claridad en la descripción del alcance y objetivo del proceso.

INTERACCIONES CON OTROS PROCESOS: relación precisa con otros procesos en cuanto a insumos, proveedores,

productos, usuarios o clientes.

TRANSVERSALIDAD: procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la

entidad.

PROCEDIMIENTOS ASOCIADOS: pertinencia en los procedimientos que desarrollan los procesos.

RESPONSABLES DEL PROCESO: grado de autoridad y responsabilidad de los funcionarios frente al proceso.

1 Departamento Administrativo para la Función Pública. Guía para la Administración del Riesgo y el diseño de controles en entidades

públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. Octubre de 2018. Página 20 2 Departamento Administrativo para la Función Pública. Guía para la Administración del Riesgo y el diseño de controles en entidades

públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. Octubre de 2018. Página 20


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 11 de 26


11

COMUNICACIÓN ENTRE LOS PROCESOS: efectividad en los flujos de información determinados en la interacción

de los procesos.

ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO: información, aplicaciones, hardware entre otros, que se

deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano.

Como herramienta básica para el análisis del contexto del proceso se sugiere utilizar el documento de caracterización.

CONTEXTO EXTERNO DE LA ENTIDAD

Se entiende por contexto externo, las condiciones económicas, sociales, culturales, políticas, legales, ambientales o

tecnológicas. Para establecer el contexto externo es necesario determinar la relación existente entre la entidad y el ambiente

en el que opera; estableciendo las fortalezas, debilidades, oportunidades y amenazas, en especial la información referente a

los riesgos de corrupción de la entidad. Se sugiere analizar e identificar el entorno normativo - regulatorio y las partes externas

interesadas.


POLÍTICOS: cambios de gobierno, legislación, políticas públicas, regulación.

ECONÓMICOS Y FINANCIEROS: disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.

SOCIALES Y CULTURALES: demografía, responsabilidad social, orden público.

TECNOLÓGICOS: avances en tecnología, acceso a sistemas de información externos, gobierno en línea.

AMBIENTALES: emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

LEGALES Y REGLAMENTARIOS: Normatividad externa (leyes, decretos, ordenanzas y acuerdos).

5.5.3 ETAPA DE IDENTIFICACIÓN DE RIESGOS

La identificación del riesgo se lleva a cabo determinando las causas o causa con base en el contexto interno, externo y del

proceso que pueden afectar el logro de los objetivos.

A partir de los contextos interno y externo aunado a diferentes fuentes de información como por ejemplo hallazgos de los

entes de control interno y externos, la información de PQRS, análisis de riesgos de gestión que se hayan materializado en los

últimos años de haberse presentado y la memoria institucional del equipo de trabajo entre otros se identifica el riesgo, el cual

estará asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los

estratégicos.

Las preguntas claves para la identificación del riesgo permiten determinar:

¿QUÉ PUEDE SUCEDER? Identificar la afectación del cumplimiento del objetivo estratégico o del proceso según sea el

caso.

¿CÓMO PUEDE SUCEDER? Establecer las causas a partir de los factores determinados en el contexto.

¿CUÁNDO PUEDE SUCEDER? Determinar de acuerdo con el desarrollo del proceso.

¿QUÉ CONSECUENCIAS TENDRÍA SU MATERIALIZACIÓN? Determinar los posibles efectos por la materialización

del riesgo4.

El Instituto Distrital para la Protección de la Niñez y la Juventud – IDIPRON estableció los formatos “MAPA DE RIESGOS

CORRUPCIÓN E-PLA-FT-020” exclusivo para esta tipología de riesgo y el “MAPA DE RIESGOS DE GESTIÓN E-

MEJ-FT-009” para el registro de la información de identificación y tratamiento de todos los riesgos de gestión Administrativa

diferentes a corrupción. La herramienta permite evitar errores de identificación de la tipología de los riesgos

En la descripción del riesgo se deben tener en cuenta las respuestas a las preguntas arriba mencionadas. En su redacción se

debe evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que denoten un factor de riesgo (causa)

tales como: “ausencia de”, “falta de”, “poco(a)”, “escaso(a)”, “insuficiente”, “deficiente”, “debilidades en…” y redactar con

leguaje que indique la posibilidad de que algo ocurra.

TIPOLOGÍAS DE RIESGO

Es necesario clasificar el tipo de riesgo dependiendo de los conceptos que brinda Guía de Administración del Riesgo del

Departamento Administrativo de la Función Pública, es esencial determinar si es un riesgo de Corrupción o de Gestión para

decidir cuál de los formatos de Mapa se debe usar para el registro de la información relacionada con el riesgo, para esto se

recomienda revisar en primera instancia la definición de corrupción y si no corresponde a este tipo de riesgo revisar las demás

definiciones para tal fin.

4 Departamento Administrativo para la Función Pública. Guía para la Administración del Riesgo y el diseño de controles en entidades

públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. Octubre de 2018. Página 22


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 12 de 26


12

Riesgos de Corrupción: Un riesgo de Corrupción se define como la posibilidad de que por acción o por omisión se desvíe la

gestión de lo publico en beneficio de lo privado. Esta definición incluye el elemento de la intencionalidad al desviar el recurso

público a un privado entendidos estos recursos como financieros, humanos, logísticos, de infraestructura entre otros.

La metodología indica que en la identificación y redacción del riesgo de corrupción se debe diligenciar las siguientes

preguntas, si todas las repuestas son SI, se está, sin duda, ante un riesgo de corrupción.

¿ES POR ACCIÓN O POR

OMISIÓN?

¿SE HACE USO DEL

PODER?

¿SE PRODUCE UN DESVIO

DE LOS PUBLICO?

¿SE BENEFICIA

UN PRIVADO?

De no corresponder a las características de los riegos de corrupción a se debe identificar dentro del listado de las demás

tipologías de riesgo a que mejor se apegue al riesgo identificado.

Riesgos Estratégicos: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a

asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas,

diseño y conceptualización de la entidad por parte de la alta gerencia.

Riesgos Gerenciales: Posibilidad de ocurrencia de eventos que afecten los procesos gerenciales y/o la alta dirección.

Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye

riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la

entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento

de los compromisos institucionales.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la

elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada

entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá

en gran parte el éxito o fracaso de toda entidad.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales,

de ética pública y en general con su compromiso ante la comunidad.

Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales

y futuras y el cumplimiento de la misión.

Riesgo de imagen o reputacional: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la

institución.

5.6 ETAPA DE ANÁLISIS DEL RIESGO

El análisis del riesgo se realizar al cruzar las variables FRECUENCIA E IMPACTO. El nivel de riesgo inherente hace

referencia al riesgo que se presenta en el proceso sin contar con los controles que ya se tengan para evitar la materialización

de los riesgos.

Posterior al cálculo de la zona de riesgo inherente se debe calcular la ZONA DE RIESGO RESIDUAL. A esta se llega

restando el impacto que los controles creados tengan sobre el riesgo. A partir de la identificación del riesgo residual se definen

las acciones necesarias para trabajar bien sea en atacar la causa del riesgo o en la creación o el fortalecimiento de los controles

que se diseñen para tal fin.

5.6.1 CÁLCULO DE RIESGO INHERENTE O ZONA DE RIESGO INICIAL PARA RIESGOS DE

GESTIÓN

Para establecer la zona de riesgo inherente o inicial se hace necesario determinar la frecuencia e Impacto. La Guía para la

Administración del riesgo del Departamento Administrativo de la Función Pública define los descriptores que se utilizan para

determinar la Probabilidad y el Impacto.

DETERMINAR LA PROBABILIDAD: Por probabilidad se entiende la posibilidad de ocurrencia del riesgo de gestión

institucional, ésta puede ser medida con criterios de Frecuencia o Factibilidad.

Bajo el criterio de FACTIBILIDAD se analiza la presencia de factores internos y externos que pueden propiciar el riesgo, se

trata en este caso de un hecho que no se ha presentado, pero es posible que se dé.

Bajo el criterio de FRECUENCIA se analizan el número eventos en un periodo determinado, se trata de hechos que se han

materializado o se cuenta con un historial de situaciones o eventos asociados al riesgo.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 13 de 26


13

PROBABILIDAD RIESGOS DE GESTIÓN

NIVEL DESCRIPTOR FACTIBILIDAD FRECUENCIA

5 Casi seguro Se espera que ocurra en la mayoría de las

circunstancias

Más de 1 vez al año.

4 Probable Probablemente ocurrirá en la mayoría de las

circunstancias

Al menos 1 vez en el último año.

3 Posible Podría ocurrir en algún momento. Al menos 1 vez en los últimos 2 años.

2 Improbable Pudo ocurrir en algún momento. Al menos 1 vez en los últimos 5 años.

1 Rara vez El evento puede ocurrir solo en circunstancias

excepcionales (poco comunes o anormales).

No se ha presentado en los últimos 5 años.

La metodología sugiere que, en caso de que el proceso no cuente con los descriptores anteriores sea utilizada la matriz de

PRIORIZACIÓN DE PROBABILIDAD. Se requiere que cada una de las personas del equipo de trabajo califique el riesgo

en la escala de uno a cinco basándose en la matriz anterior y en su conocimiento. Posterior a esto se debe establecer el

promedio el cual será el nivel.

PRIORIZACIÓN DE PROBABILIDAD (Ejemplo – Se debe diligenciar por cada riesgo identificado)

N.° RIESGO PERSONA 1 P2 P3 P4 P5 P6 PROMEDIO/# P NIVEL

1 Inoportunidad en la

adquisición de los bienes y

servicios requeridos por la

entidad

Se espera que el

evento ocurra en

la mayoría de las

circunstancias.

3 4 5 3 4 24/6 4

2 Segundo riesgo

identificado 4 4 4 4 3 3 22/6 3

DETERMINAR EL IMPACTO: Por impacto se entienden las consecuencias que puede ocasionar a la organización la

materialización del riesgo. Para determinar el impacto se cuenta con los siguientes descriptores:

MATRIZ PARA ESTABLECER EL RIESGO DE GESTIÓN

NIVELES PARA

CALIFICAR EL

IMPACTO

IMPACTO (CONSECUENCIAS)

CUANTITATIVO


CUALITATIVO

CATASTRÓFICO (5)

-Impacto que afecte la ejecución presupuestal en un

valor ≥50%

- Pérdida de cobertura en la prestación de los

servicios de la entidad ≥50%.

- Pago de indemnizaciones a terceros por acciones

legales que pueden afectar el presupuesto total de la

entidad en un valor ≥50%

- Pago de sanciones económicas por incumplimiento

en la normatividad aplicable ante un ente regulador,

las cuales afectan en un valor ≥50% del presupuesto

general de la entidad.

Interrupción de las operaciones de la Entidad por

más de cinco (5) días.

- Intervención por parte de un ente de control u otro

ente regulador.

- Pérdida de Información crítica para la entidad que

no se puede recuperar.

- Incumplimiento en las metas y objetivos

institucionales afectando de forma grave la

ejecución presupuestal.

- Imagen institucional afectada en el orden nacional

o regional por actos o hechos de corrupción

comprobados.

MAYOR (4)

- Impacto que afecte la ejecución presupuestal en un

valor ≥20%










- Interrupción de las operaciones de la Entidad por

más de dos (2) días.

- Pérdida de información crítica que puede ser

recuperada de forma parcial o incompleta.

- Sanción por parte del ente de control u otro ente

regulador.

- Incumplimiento en las metas y objetivos

institucionales afectando el cumplimiento en las

metas de gobierno.


o regional por incumplimientos en la prestación del

servicio a los usuarios o ciudadanos.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 14 de 26


14

NIVELES PARA

CALIFICAR EL

IMPACTO


CUANTITATIVO


CUALITATIVO

MODERADO (3)

- Impacto que afecte la ejecución presupuestal en un

valor ≥5%











un (1) día.

- Reclamaciones o quejas de los usuarios que

podrían implicar una denuncia ante los entes

reguladores o una demanda de largo alcance para la

entidad.

- Inoportunidad en la información ocasionando

retrasos en la atención a los usuarios.

- Reproceso de actividades y aumento de carga

operativa.


o regional por retrasos en la prestación del servicio

a los usuarios o ciudadanos.

- Investigaciones penales, fiscales o disciplinarias.

MENOR (2)

Impacto que afecte la ejecución presupuestal en un

valor ≤1%


servicios de la entidad ≤5%.



entidad en un valor ≤1%



las cuales afectan en un valor ≤1% del presupuesto



algunas horas.

- Reclamaciones o quejas de los usuarios que

implican investigaciones internas disciplinarias.

- Imagen institucional afectada localmente por

retrasos en la prestación del servicio a los usuarios

o ciudadanos.

INSIGNIFICANTE

(1)

Impacto que afecte la ejecución presupuestal en un

valor ≤0,5%


servicios de la entidad ≤1%.



entidad en un valor ≤0,5%



las cuales afectan en un valor ≤0,5%del presupuesto


- No hay interrupción de las operaciones de la

entidad.

- No se generan sanciones económicas o

administrativas.

- No se afecta la imagen institucional de forma

significativa.

5.6.2 CÁLCULO DE RIESGO INHERENTE O ZONA DE RIESGO INICIAL PARA RIEGOS DE

CORRUPCIÓN

PROBABILIDAD RIESGOS DE CORRUPCIÓN

NIVEL DESCRIPTOR DESCRIPCIÓN

1 Rara vez Muy baja, los efectos causados serían imperceptibles para la Entidad y para sus

ciudadanos

2 Improbable Baja, los efectos causados serían percibidos por la Entidad, pero no por los ciudadanos

3 Posible Media, los efectos causados serían percibidos por la entidad y por los ciudadanos socios

4 Probable Alta, además de ser percibidos, los efectos causarían una pérdida media de capacidad

institucional para cumplir con sus funciones

5 Casi seguro Muy Alta, los efectos causados generarían una pérdida alta de capacidad institucional para

cumplir con sus funciones y se verían afectados los ciudadanos, socios.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 15 de 26


15

FORMATO PARA DETERMINAR EL IMPACTO RIESGO DE CORRUPCIÓN

Nº PREGUNTA RESPUESTA

SI EL RIESGO DE CORRUPCIÓN SE MATERIALIZA PODRÍA... SI NO

1 ¿Afectar al grupo de funcionarios del proceso?

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?

3 ¿Afectar el cumplimiento de misión de la Entidad?

4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad?

5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación?

6 ¿Generar pérdida de recursos económicos?

7 ¿Afectar la generación de los productos o la prestación de servicios?

8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida

9 ¿Generar pérdida de información de la Entidad?

10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente?

11 ¿Dar lugar a procesos sancionatorios?

12 ¿Dar lugar a procesos disciplinarios?

13 ¿Dar lugar a procesos fiscales?

14 ¿Dar lugar a procesos penales?

15 ¿Generar pérdida de credibilidad del sector?

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?

17 ¿Afectar la imagen regional?

18 ¿Afectar la imagen nacional?

19 ¿Generar daño ambiental?

TOTAL PREGUNTAS AFIRMATIVAS:

TOTAL PREGUNTAS NEGATIVAS:

Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto MODERADO.

Responder afirmativamente de SEIS a ONCE preguntas genera un impacto MAYOR.

Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto CATASTRÓFICO.

MODERADO: Genera medianas consecuencias sobre la entidad.

MAYOR: Genera altas consecuencias sobre la entidad.

CATASTROFICO: Genera consecuencias desastrosas para la entidad.

5.6.3 MAPAS DE CALOR

El mapa de calor es la representación gráfica del cruce de las variables que determinan el nivel del riesgo. Se presentan los

mapas de calor de riesgos de Gestión Administrativa que incluye riesgos de Seguridad Digital y riesgos de corrupción que

son diferentes debido a que los descriptores mínimo e insignificante no existen en la política de Riesgos de Corrupción.

MAPA DE CALOR - RIESGOS DE GESTIÓN ADMINISTRATIVA Y SEGURIDAD DIGITAL

PROBABILIDAD

IMPACTO

INSIGNIFICANTE

(1)

MENOR

(2)

MODERADO

(3)

MAYOR

(4)

CATASTROFICO

(5)

RARO (1) 1 2 3 4 5

IMPROBABLE (2) 2 4 6 8 10

POSIBLE (3) 3 6 9 12 15

PROBABLE (4) 4 8 12 16 20

CASI SEGURO (5) 5 10 15 20 25


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 16 de 26


16

MAPA DE CALOR – RIESGOS DE CORRUPCIÓN

5.6.4 ETAPA DE ÁNALISIS DE CONTROLES

La valoración del riesgo requiere de una evaluación de los controles existentes los cuales pueden ser preventivos o correctivos.

Controles Preventivos: Orientados a minimizar la materialización de un riesgo identificado orientándose a eliminar sus

causas.

Controles Correctivos: Permiten enfrentar la situación una vez se ha presentado. Son aquellos controles que permiten, que,

después de ser detectado el evento no deseado se dé el restablecimiento de la actividad.

DOCUMENTACIÓN DE LOS CONTROLES

Se debe redactar de forma precisa y clara cuál es el proceso de control existente para prevenir la materialización del riesgo

identificado. Se debe ser especifico en cómo se lleva a cabo el control, quién es el responsable de su ejecución, a través de

que herramientas (Nombrarlas con Código) y cuál es la periodicidad para su ejecución.

TABLA PARA EL ANÁLISIS Y LA VALORACIÓN DE LOS CONTROLES

Con el fin de realizar un análisis objetivo de los controles que se hayan establecido dentro de los procesos para cada uno de

los riesgos identificado, el Departamento Administrativo de la Función Pública define la siguiente tabla para determinar el

peso de dichos controles para la determinación del riesgo residual. Las calificaciones planteadas para cada aspecto deben ser

usadas tal como están expresadas, aplicar el valor asignado a cada aspecto si responde SI; cero (0) si responde NO. Es

importante que no se asignen valores intermedios para evitar subjetividad en el análisis.

CRITERIOS PARA LA EVALUACIÓN EVALUACIÓN

Criterio de medición Si No

¿Existen manuales, instructivos o procedimientos para el manejo del control? 15 0

¿Está(n) definido(s) el(los) responsable(s) de la ejecución del control y del seguimiento? 5 0

¿El control es automático? 15 0

¿El control es manual? 10 0

¿La frecuencia de ejecución del control y seguimiento es adecuada? 15 0

¿Se cuenta con evidencias de la ejecución y seguimiento del control? 10 0

¿En el tiempo que lleva la herramienta ha demostrado ser efectiva? 30 0

CADA UNA DE LAS RESPUESTAS SUMA AL RESULTADO 100 TOTAL

Estas pueden ser las posibles las posibles lecturas del resultado del análisis de los controles existentes para prevenir la

materialización del riesgo y su impacto en la valoración del riesgo.

PUNTAJE DE

LOS

CONTROLES

NÚMERO DE

NIVELES QUE SE

DESPLAZA EN EL

MAPA DE CALOR

IMPACTO EN LA VALORACIÓN DEL RIESGO

De 0 a 50 0 Se mantiene el resultado de la evaluación antes de controles

De 51 a 75 1

Cambia el resultado a una casilla inferior de la matriz de evaluación

antes de controles (el desplazamiento depende de sí el control afecta el

impacto o la probabilidad)

De 76 a 100 2 Pasa a escala inferior (el desplazamiento depende de sí el control afecta

el impacto o la probabilidad)

Las preguntas a continuación permiten identificar si esos niveles se deben correr afectaran la probabilidad o el impacto

PROBABILIDAD IMPACTO

MODERADO (5) MAYOR (10) CATASTROFICO (20)

RARO (1) (5) BAJA (10) BAJA (20) MODERADA

IMPROBABLE (2) (10) BAJA (20) MODERADA (40) ALTA

POSIBLE (3) (15) MODERADA (30) ALTA (60) ALTA

PROBABLE (4) (20) MODERADA (40) ALTA (80) EXTREMA

CASI SEGURO (5) (25) MODERADA (50) ALTA (100) EXTREMA


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 17 de 26


17

¿El control previene la materialización del riesgo (afecta probabilidad) DESPLAZA LOS NIVELES HACIA ABAJO

¿El control permite enfrentar la situación en caso de materialización (afecta impacto)? DESPLAZA LOS NIVELES A LA

IZQUIERDA

Para el cálculo del riesgo residual se deben desplazar los niveles dentro que indique la calificación obtenida por los controles.

PARA RIESGOS DE GESTIÓN INSTITUCIONAL Y SEGURIDAD DIGITAL

Si afecta el IMPACTO se desplaza hacia la izquierda.

Si afecta la PROBABILIDAD se desplaza hacia abajo.

PARA RIESGOS DE GESTIÓN CORRUPCIÓN

Si afecta la IMPACTO se desplaza hacia la izquierda.

Si afecta la PROBABILIDAD se desplaza hacia abajo.


INSIGNIFICANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTROFICO (5)

RARO (1) 1 2 3 4 5


POSIBLE (3) 3 6 9 12 15

PROBABLE (4) 4 8 12 16 20

CASI SEGURO (5) 5 10 15 20 25


INSIGNIFICANTE

(1) MENOR (2) MODERADO (3) MAYOR (4) CATASTROFICO (5)

RARO (1) 1 2 3 4 5


POSIBLE (3) 3 6 9 12 15

PROBABLE (4) 4 8 12 16 20

CASI SEGURO (5) 5 10 15 20 25
















VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 18 de 26


18

5.6.5 NIVELES DE ACEPTACIÓN DEL RIESGO Y OPCIONES DE MANEJO - RIESGO RESIDUAL

De acuerdo a la valoración de cada riesgo se debe establecer su opción de manejo. Esto se define a partir del nivel de riesgo

residual, de la importancia del riesgo, lo cual incluye el efecto que puede tener sobre la entidad, la probabilidad e impacto de

este y la relación costo-beneficio de las medidas de tratamiento.

En todos los casos para los riesgos de corrupción la respuesta será evitar, compartir o reducir el riesgo.

El tratamiento o respuesta dada al riesgo, se enmarca en las siguientes categorías:

Las opciones de manejo a tomar son las siguientes y se pueden considerar cada una de manera independiente o en conjunto:

• Evitar el Riesgo: Se toman medidas encaminadas a evitar la materialización del riesgo. Ejemplo: Controles de

calidad, mantenimiento preventivo a los equipos.

• Reducir el Riesgo: Incluye medidas orientadas a disminuir tanto la probabilidad (medidas de prevención) como el

impacto (medidas de protección). Ejemplo: optimización de los procedimientos y mejora en la efectividad de los

controles.

• Compartir o Transferir el Riesgo: Reducen los efectos de los riesgos, a través del traspaso de las pérdidas a otras

organizaciones. Ejemplo: contratos de pólizas de seguro.

• Asumir el Riesgo: Luego de que los riesgos sean reducidos o transferidos, pueden quedar riesgos residuales que se

mantienen, en ese caso se asume el riesgo residual.

ZONA DE

RIESGO PROBABILIDAD IMPACTO

OPCIONES

DE MANEJO TRATAMIENTO

BAJA Rara vez o

improbable

Moderado y

Mayor.

Asumir el

riesgo

Los riesgos en zonas baja se encuentran en un

nivel que puede reducirse, eliminarse y

mantenerse controlado fácilmente con los

controles creados para el control del cada

riesgo. En la Entidad no debe haber

tolerancia con la corrupción, por tanto, debe

haber monitoreo constante de los controles.

MODERADA

Rara vez,

Improbable,

Posible, Probable y

Casi Seguro

Moderado,

Mayor y

Catastrófico

.

Reducir el

riesgo

Hay que apuntar a bajar el riesgo a menor nivel

posible si no es posible eliminar el riesgo de

corrupción por lo menos llevarlo a la Zona de

Riesgo Baja.

ALTA

Improbable,

Posible, Probable y

Casi Seguro

Mayor y

Catastrófico

Reducir el

riesgo

Evitar el riesgo

Compartir o

transferir

Deben tomarse las medidas necesarias para

llevar los riesgos a la Zona de Riesgo

Moderada, Baja o eliminarlo.

EXTREMA Posible, Probable y

Casi Seguro Catastrófico

Evitar el riesgo

Reducir el

riesgo

Compartir o

transferir

Se deben implementar los controles orientados

a reducir la posibilidad de ocurrencia del

riesgo o disminuir el impacto de sus efectos y

tomar las medidas de protección.


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 19 de 26


19

5.7 RIESGOS DE SEGURIDAD DIGITAL

La política de seguridad digital apunta a la identificación y tratamiento de los activos de información que se encuentran en

todos los procesos de IDIPRON.

“Activos de información son elementos tales como aplicaciones de la entidad pública, servicios Web, redes, información

física o digital, Tecnologías de la Información - TI- o Tecnologías de la Operación -TO-) que utiliza la organización para

su funcionamiento”5.

Esta identificación de activos de información está a cargo de la primera línea de defensa del Instituto () y debe estar liderada

por el Responsable de Seguridad Digital del Instituto.

Para iniciar con la identificación de los activos de información se debe tener en cuenta el entorno digital interno y externo.

5.7.1 ETAPA DE IDENTIFICACIÓN Y ESTABLECIMIENTO DEL CONTEXTO INTERNO Y EXTERNO

CONTEXTO INTERNO PARA RIESGOS DE SEGURIDAD DIGITAL

En el documento Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas” República de

Colombia. Ministerio de Tecnologías de la Información y las Comunicaciones6 sugiere los siguientes elementos para el

análisis del entorno digital:

PARA LA ENTIDAD PÚBLICA EN GENERAL PARA LOS PROCESOS

Recursos económicos, sociales, ambientales, físicos,

tecnológicos, financieros, jurídicos, entre otros

Identificación de los procesos y su respectiva

caracterización

Flujos de información y los procesos de toma de decisiones Detalle de las actividades que se llevan a cabo en el

proceso

Empleados, contratistas Flujos de información

Objetivos estratégicos y la forma de alcanzarlos Identificación y actualización de los activos en la cadena

de valor de la entidad pública

La misión, visión, valores y cultura de la organización Recursos

Sus políticas, procesos y procedimientos Alcance del proceso

Sistemas de gestión (calidad, seguridad en el trabajo,

seguridad de la información, riesgos, entre otros)

Relaciones con otros procesos de la entidad pública

Toda la estructura organizacional Cantidad de ciudadanos afectados por el proceso

Roles y responsabilidades Sistemas de información o servicios

Sistemas de información o servicios Personal involucrado en la toma de decisiones

Para llevar a cabo esta actividad se debe construir un listado en el que estén enumeradas las partes interesadas externas e

internas que tengan relación con la entidad pública y con sus objetivos, misión o visión.

5 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas” República de Colombia. Ministerio de

Tecnologías de la Información y las Comunicaciones. Viceministerio de Economía Digital. Dirección de Gobierno Digital. Modelo de

Gestión de Riesgos de Seguridad Digital (MGRSD). 2018. Pág. 11





VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 20 de 26


20

CONTEXTO EXTERNO DE SEGURIDAD DIGITAL

Para la identificación del entorno digital el documento “Lineamientos para la Gestión de Riesgos de Seguridad Digital en

Entidades Públicas” del Ministerio de Tecnologías de la Información y las Comunicaciones sugiere que sean analizados los

factores relacionados con7:

Clientes, proveedores de servicios y empresas que sean competencia directa y/o se relacionen con la misión de la entidad

pública analizada.

Normativas o aspectos jurídicos que apliquen directa o indirectamente a la entidad pública; ejemplo, la ley 1581 de 2012

o la ley 1712 de 2014, circulares o regulaciones emitidas por superintendencias o ministerios, como el decreto 1078 de

2015 o el decreto 1499 de 2017.

Dependencias económicas y financieras por parte de otras empresas.

Entorno cultural.

Cualquier otro factor externo de tipo internacional, nacional (gobierno), regional o local.

Cantidad de ciudadanos a los cuales la entidad pública brinda servicios a través del entorno digital como trámites a través

de páginas web.

Aspectos externos que pueden verse afectados con los riesgos de seguridad digital, tales como el ambiente social,

económico y ambiental que tengan alguna relación con las operaciones asociadas a la entidad pública

5.7.2 PASOS PARA LA IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN

PASO 1- Listar los activos de cada proceso

Cada uno de los líderes de proceso junto con sus equipos de trabajo debe realizar un listado con los activos de información

con los que cuente. Este listado debe tener información de:

PASO 2 - Identificar el dueño de los activos

Cada uno de los activos de información que se identifique debe tener un dueño, o responsable de su protección. Regularmente

el dueño del activo es el líder del proceso o de un área en particular.

PASO 3- Clasificar los activos

Los lineamientos para la Gestión del Riesgo de Seguridad Digital clasifican los activos en Información, software, hardware,

Servicios, Intangibles, Componentes de Red, Personas e instalaciones.

PASO 4 - Clasificar la información

Realizar la clasificación de la información conforme lo indican las leyes 1712 de 2014, 1581 de 2012, el Modelo de Seguridad

y Privacidad en su Guía de Gestión de Activos, el dominio 8 del Anexo A de la norma ISO27001:2013 y demás normatividad

aplicable

PASO 5 – Determinar la Criticidad del Activo o Valorar el Activo

Dependiendo de los activos que se hayan encontrado se debe crear una escala con las variables: Criticidad respecto a su

confidencialidad, Criticidad respecto a completitud o integridad, Criticidad respecto a su disponibilidad en las escalas ALTA

– MEDIA- BAJA. Se sugiere realizar la revisión de la “Guía de Gestión de Activos del Modelo de Seguridad y Privacidad de

la Información”

Es de criterio de IDIPRON definir a cuál nivel de criticidad se hará frente, es decir si aquellos de riesgos alto solamente o

cuales se abordaran prioritariamente.

PASO 6 - Identificar si existen Infraestructuras Críticas Cibernéticas -ICC.

Un activo es considerado infraestructura crítica si su impacto o afectación podría superar alguno de los siguientes 3 criterios

Que pueda tener un impacto a 0,5% de la población.





VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 21 de 26


21

Que tenga un impacto económico de 0.123 del PIB

Que tenga un impacto ambiental que tarde tres años en su recuperación.

Si este tipo de Infraestructuras son identificadas deben ser reportadas a las autoridades pertinente del Gobierno nacional.

Al final de estos pasos debe resultar en una matriz de identificación como el formato ejemplo a continuación.

PROCESO ACTIVO

DESCRIPCIÓN

DEL ACTIVO

(Base de datos con

información de…,

aplicativo, servidor

web)

DUEÑO

DEL

ACTIVO

TIPO DE

ACTIVO

LEY 1712

DE 2014

LEY 1581

DE 2012

CRITICIDAD

DEL ACTIVO

(Adicionar las

variables para

determinarla)

Gestión

Financiera

Base de

datos de

nómina

Base de datos con

información de

nómina de la entidad

Líder de

financiera

Información Información

Reservada

No Contiene

datos

personales

ALTA

Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones.

5.7.3 RIESGOS INHERENTES DE SEGURIDAD DIGITAL

Cada uno de los activos de información deben ser analizados a la luz de los riesgos inherentes a la seguridad digital, pérdida

de la confidencialidad, pérdida de la integridad, pérdida de la disponibilidad.

Estos riesgos inherentes se deben cruzar con los tipos de amenazas y vulnerabilidades que se pueden identificar para el

Instituto.

Las amenazas se clasifican en amenazas comunes (Deliberadas (D), fortuito (F) o ambientales (A)), Amenazas dirigidas por

el hombre (empleados con o sin intención, proveedores y piratas informáticos, entre otros.) a continuación se presentan las

tablas de las amenazas y vulnerabilidades propuestas por la: ISO/IEC 27005:2009 y el Ministerio de Tecnologías de la

información y las comunicaciones.

TIPO AMENAZA ORIGEN

DAÑO FÍSICO Fuego F, D, A

Agua F, D, A

EVENTOS NATURALES Fenómenos climáticos E

Fenómenos sísmicos E

PÉRDIDAS DE LOS SERVICIOS ESENCIALES Fallas en el sistema de suministro de agua F, D, A

Fallas en el suministro de aire acondicionado F, D, A

COMPROMISO DE LA INFORMACIÓN

Interceptación de servicios de señales de

interferencia comprometida D

Espionaje remoto D

FALLAS TÉCNICAS

Fallas del equipo D, F

Mal funcionamiento del equipo D, F

Saturación del sistema de información D, F

Incumplimiento en el mantenimiento del sistema

de información D, F

Mal funcionamiento del software D, F

ACCIONES NO AUTORIZADAS Uso no autorizado del equipo D, F

Copia fraudulenta del software D, F

COMPROMISO DE LAS FUNCIONES Error en el uso o abuso de derechos D, F

Falsificación de derechos D

PERTURBACIÓN DEBIDA A LA RADIACIÓN Radiación electromagnética F, D, A

Radiación térmica F, D, A

Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones

FUENTE DE AMENAZA MOTIVACIÓN ACCIONES AMENAZANTES

Pirata informático, intruso ilegal Reto

Ego piratería Ingeniería social

Criminal de la computación Destrucción de la información

divulgación ilegal de la información Crimen por computador acto fraudulento

Terrorismo Chantaje

Destrucción

Ataques contra el sistema DDOS penetración

en el sistema


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 22 de 26


22

FUENTE DE AMENAZA MOTIVACIÓN ACCIONES AMENAZANTES

Espionaje industrial (inteligencia,

empresas, gobiernos extranjeros, otros

intereses)

Ventaja competitiva

Espionaje económico

Ventaja de defensa

Hurto de información

Intrusos (empleados con

entrenamiento deficiente,

descontentos, malintencionados,

negligentes, deshonestos o despedidos)

Curiosidad

Ganancia monetaria

Asalto a un empleado

Chantaje

Las vulnerabilidades son elementos débiles en la Entidad, los mismos no son un riesgo, pero una fuente de amenaza puede

aprovechar esas debilidades para su materialización

TIPO VULNERABILIDADES

HARDWARE

Ausencia de esquemas de reemplazo periódico

Sensibilidad a la radiación electromagnética

Susceptibilidad a las variaciones de temperatura (o al polvo y suciedad)

Mantenimiento insuficiente

SOFTWARE

Ausencia o insuficiencia de pruebas de software

Ausencia de terminación de sesión

Ausencia de registros de auditoría

Asignación errada de los derechos de acceso

Interfaz de usuario compleja

Ausencia de documentación

Fechas incorrectas

Ausencia de mecanismos de identificación y autenticación de usuarios

Contraseñas sin protección

Software nuevo o inmaduro

RED

Ausencia de pruebas de envío o recepción de mensajes

Líneas de comunicación sin protección

Conexión deficiente de cableado

Tráfico sensible sin protección

Punto único de falla

PERSONAL

Ausencia del personal

Entrenamiento insuficiente

Falta de conciencia en seguridad

Ausencia de políticas de uso aceptable

Trabajo no supervisado de personal externo o de limpieza

LUGAR

Uso inadecuado de los controles de acceso al edificio

Áreas susceptibles a inundación

Red eléctrica inestable

Ausencia de protección en puertas o ventanas

ORGANIZACIÓN

Ausencia de procedimiento de registro/retiro de usuarios

Ausencia de proceso para supervisión de derechos de acceso

Ausencia de control de los activos que se encuentran fuera de las instalaciones

Ausencia de acuerdos de nivel de servicio (ANS O SLA)

Ausencia de mecanismos de monitoreo para brechas en la seguridad

Ausencia de procedimientos y/o de políticas en general (esto aplica para muchas actividades que la

entidad no tenga documentadas y formalizadas como uso aceptable de activos, control de cambios,

valoración de riesgos, escritorio y pantalla limpia entre otros)

5.7.4 IDENTIFICACIÓN Y EVALUACIÓN DE LOS CONTROLES EXISTENTES

A través del análisis por parte del dueño del riesgo y su equipo de trabajo deberán definir a través de las metodologías de

lluvia de ideas, juicio de expertos, análisis de escenarios, entrevistas semiestructuradas, encuestas entre otros que puedan ser


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 23 de 26


23

usadas para definir cuál es el riesgo, valorarlo y definir si requiere tratamiento8. Los controles deben ser analizados con la

metodología establecida en la Guía para la Administración del Riesgo en la Gestión, Corrupción y Seguridad Digital. Diseño

de Controles en Entidades Públicas” del DAFP para riesgos de gestión.

5.7.5 PLANES DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DIGITAL E INDICADORES PARA

LA GESTIÓN DEL RIESGO

Se debe establecer si el riesgo requiere un plan de tratamiento y de ser así la línea de defensa estratégica deberá definir los

recursos para la implementación del mismo. El Plan de Tratamiento tiene las fases de identificación, plan de manejo,

implementación y seguimiento y control.

El responsable de seguridad digital deberá supervisar y acompañar el proceso de implementación de los planes de

tratamiento, verificando que el cumplimiento de las responsabilidades de cada línea de defensa. Se deben establecer

indicadores que permitan medir la implementación del Plan de Tratamiento.

Se deben generar indicadores para medir la gestión realizada en cuanto a la eficacia y la efectividad de los planes de

tratamiento implementados.

La entidad debería definir como mínimo 2 indicadores POR PROCESO de la siguiente manera:

Un indicador de eficacia que indique el cumplimiento de las actividades para la gestión del riesgo de seguridad digital en

cada PROCESO de la entidad.

Un indicador de efectividad para cada riesgo o la suma de todos los riesgos de seguridad digital (pérdida de confidencialidad,

de integridad, de disponibilidad).

Por su parte Control Interno debe hacer un seguimiento a los planes de tratamiento para determinar su efectividad, de acuerdo

con lo definido a continuación:

-Realizar seguimiento y monitoreo al plan de tratamiento en la etapa de implementación y finalización de los planes de acción.

-Revisar periódicamente las actividades de control para determinar su relevancia y recomendar actualizarlas de ser necesario.

-Realizar monitoreo de los riesgos y controles tecnológicos.

-Efectuar la evaluación del plan de acción y realizar nuevamente la valoración de los controles sobre los riesgos de seguridad

digital para verificar su efectividad.

-Verificar que los controles están diseñados e implementados de manera efectiva y operen como se pretende para controlar

los riesgos.

- Suministrar recomendaciones para mejorar la eficiencia y eficacia de los controles.

Se apunta a acciones preventivas, sin embargo, en caso de la materialización del riesgo se deben establecer planes de

mejoramiento encaminados a implementar acciones correctivas o la disminución del impacto y la probabilidad. Se debe

documentar el proceso y los resultados.

5.7.6 REGISTRO Y REPORTE DE INCIDENTES DE SEGURIDAD DIGITAL

Se deben registrar los incidentes de seguridad digital que se presenten el IDIPRON con el fin de establecer acciones de

mejoramiento a través del análisis de la incidencia y frecuencia de los riesgos que se materialicen.

Es deber del responsable de seguridad digital generar reporte periódico a las líneas de defensa que incluya la matriz de riesgo,

listado de activos críticos, plan de tratamiento de riesgo, evolución del riesgo y los elementos que se consideren necesarios

para la toma de decisiones para el mejoramiento continuo.

Este informe debe contener: Riesgos con nivel crítico, Amenazas críticas, Vulnerabilidades críticas, Tipos de Activos

afectados por los riesgos críticos (incluyendo servicios digitales o que delimitan con internet), Planes de tratamiento

propuestos para la mitigación y si han sido ejecutados, Servicios digitales críticos en la entidad pública (Servicios o trámites

para los ciudadanos o sistemas de información críticos para la entidad). Esta información debe estar documentada ya que

diversas entidades gubernamentales pueden requerirla para su análisis y establecimiento de estrategias.

8 Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas” República de Colombia. Ministerio de




VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 24 de 26


24

5.8 MONITOREO Y REVISIÓN

El monitoreo y revisión de la gestión de riesgos está alineado con la dimensión del MIPG de “Control interno”, que se

desarrolla con el MECI a través de un esquema de asignación de responsabilidades y roles que define en la Departamento

Administrativo para la Función Pública en la Guía para la Administración del Riesgo y el diseño de controles en entidades

públicas. Riesgos de Gestión, Corrupción y Seguridad Digital a continuación:

5.8.1 RESPONSABILIDADES EN EL MONITOREO Y REVISIÓN LÍNEA DE DEFENSA RESPONSABILIDAD EN LAS ACTIVIDADES DE MONITOREO Y REVISIÓN

LÍNEA ESTRATÉGICA

Define el marco general para la

gestión del riesgo y el control y

supervisa su cumplimiento, está a

cargo de la alta dirección y el

comité institucional de

coordinación de control interno.

La alta dirección y el equipo directivo, a través de sus comités deben monitorear y revisar el

cumplimiento a los objetivos a través de una adecuada gestión de riesgos con relación a lo siguiente:

Revisar los cambios en el “Direccionamiento estratégico” y cómo estos pueden generar nuevos riesgos

o modificar los que ya se tienen identificados.

Hacer seguimiento en el Comité Institucional y de Control Interno a la implementación de cada una de

las etapas de la gestión del riesgo y los resultados de las evaluaciones realizadas por Control Interno o

Auditoría Interna.

Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en

caso de que no se estén cumpliendo, los posibles riesgos que se están Materializando en el cumplimiento

de los objetivos.

Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han

materializado en la entidad, incluyendo los riesgos de corrupción, así como las causas que dieron origen

a esos eventos de riesgos materializados, como aquellas que están ocasionando que no se logre el

cumplimiento de los objetivos y metas, a través del análisis de indicadores asociados a dichos objetivos.

PRIMERA LÍNEA

Desarrolla e implementa procesos

de control y gestión de riesgos a

través de su identificación, análisis,

valoración, monitoreo y acciones de

mejora. Está conformada por los

gerentes públicos y líderes de los

procesos de la Entidad.

Revisar los cambios en el Direccionamiento Estratégico o en el entorno y como estos puedan generar

nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos, para la

actualización de la matriz de riesgos de su proceso.

Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los

procedimientos.

Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempeño, e identificar

en caso de que no se estén cumpliendo, los posibles riesgos que se están materializando en el

cumplimiento de los objetivos.

Revisar y reportar a planeación, los eventos de riesgos que se han materializado en la entidad, incluyendo

los riesgos de corrupción, así como las causas que dieron origen a esos eventos de riesgos materializados,

como aquellas que están ocasionando que no se logre el cumplimiento de los objetivos y metas, a través

del análisis de indicadores asociados a dichos objetivos.

Revisar y hacer seguimiento al cumplimiento de las actividades y acciones asociadas al control

acordados con la línea estratégica, segunda y tercera línea de defensa con relación a la gestión de riesgos.

SEGUNDA LÍNEA

Soporta y guía la línea estrategia y

la primera línea de defensa en la

gestión adecuada de los riesgos.

Está conformada por los

responsables de monitoreo y

evaluación de controles y gestión

del riesgo (jefes de planeación,

supervisores e interventores de

contratos o proyectos, responsables

de sistemas de gestión, etc.).

Revisar los cambios en el direccionamiento estratégico o en el entorno y cómo estos puedan generar

nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos, con el fin de

solicitar y apoyar en la actualización de las matrices de riesgos.

Revisar el adecuado diseño de los controles para la mitigación de los riesgos que se han establecido por

parte de la primera línea de defensa y determinar las recomendaciones y seguimiento para el

fortalecimiento de los mismos.

Hacer seguimiento a que las actividades de control establecidas para la mitigación de los riesgos de los

procesos se encuentren documentadas y actualizadas en los procedimientos.

Revisar las acciones asociadas al control establecidos para cada uno de los riesgos materializados, con

el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar

el riesgo y lograr el cumplimiento a los objetivos.

TERCERA LÍNEA

Provee aseguramiento

independiente y objetivo sobre la

efectividad del sistema de gestión

de riesgos. La tercera línea de

defensa está conformada por la

oficina de control interno o

auditoría Interna.

Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los

objetivos de los procesos, además de incluir los riesgos de corrupción.

Revisar el adecuado diseño y ejecución de los controles para la mitigación de los riesgos que se han

establecido por parte de la primera línea de defensa y realizar las recomendaciones y seguimiento para

su fortalecimiento.

Verificar los planes de mejoramiento que se construyan con la primera línea de defensa como resultado

de las auditorías efectuadas.

5.8.2 TIEMPOS DE IMPLEMENTACIÓN DE LA POLITICA PARA LA ADMINISTRACIÓN DEL RIESGO

El Instituto Distrital para la Protección de la Niñez y la Juventud IDIPRON define que los tiempos para la formulación y

seguimiento de las acciones asociadas al tratamiento de los riesgos de Gestión y Corrupción deben estar alineados, por lo

tanto, su ciclo anual será:


VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 25 de 26


25

GESTIÓN Y

CORRUPCIÓN

SEGURIDAD

DIGITAL RESPONSABLES FECHAS

Formulación Identificación de

activos de

seguridad

Líneas de defensa 1 y 2

31 de enero de cada vigencia

Seguimiento 1 Reporte de

Información 1

Líneas de defensa 2 y 3

30 de abril de cada vigencia


Información 2

31 de agosto de cada vigencia


Información 3

31 de diciembre de cada vigencia

6. BIBLIOGRAFÍA

• Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción

y Seguridad Digital. Departamento Administrativo para la Función Pública. Versión 4. 2018.

• Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas Ministerio de Tecnologías de la

Información y las Comunicaciones. Viceministerio de Economía Digital. Dirección de Gobierno Digital. Modelo de

Gestión de Riesgos de Seguridad Digital (MGRSD). 2018.

• Guía para la Gestión del Riesgo de Corrupción. Secretaría de Transparencia de la Presidencia de la República. 2015

7. CONTROL DE CAMBIOS

VERSIÓN DESCRIPCIÓN DE CAMBIOS FECHA

(DD/MM/AAAA) ELABORÓ

01 Creación del documento 07/07/2011

ANGÉLICA FRANCO TRIANA

Profesional

Oficina Asesora de Planeación

02

•Se incluyen Condiciones Generales y definiciones de

riesgos ambientales y ocupacionales.

•Se incluye seguimiento semestral por parte de los

líderes de los procesos

•Se incluye el cierre de las acciones emprendidas

producto del mapa de riesgos y su informe para

realizar valoración.

•Se modifica la actividad para la valoración anual del

mapa de riesgos.

16/04/2014

YULY VIVIANA MELO MORENO

Profesional


03

• Se modifica el procedimiento a la nueva plantilla.

• Se complementa la condición general 3.1,

incluyendo el acompañamiento de la Oficina de

Control Interno en la formulación del Mapa de

Riesgos.

• Se modifica en el flujograma la definición de la

actividad 12 por: Definir las acciones de

contingencia.

• Se modifica la actividad 15 ya que es la Oficina

Asesora de Planeación quién solicita al Área de

trabajo de Comunicaciones la publicación del

Mapa de Riesgos de cada proceso.

• Se modifica el orden de las actividades 14, 15 y 16

de la versión 03, en el siguiente orden 15,16 y 14,

esto debido a que después de ser aprobado el Mapa

de Riesgos se procede a su publicación y posterior

divulgación.

30/12/2015

HUMBERTO PARRA

FIGUEREDO

Profesional



VERSIÓN 04

DOCUMENTO

INTERNO

POLÍTICA PARA LA


PÁGINA 26 de 26


26

VERSIÓN DESCRIPCIÓN DE CAMBIOS FECHA

(DD/MM/AAAA) ELABORÓ

04

• Se cambia el nombre del documento de Política

Integral de Administración del Riesgo a Política de

Administración del Riesgo debido a que no

contiene otras metodologías de administración del

riesgo diferentes a la gestión administrativa.

• Se ajustan los objetivos de la Política. Se establecen

las Líneas de defensa Institucionales y sus

responsabilidades.

• Se incluye la metodología para la identificación de

contextos interno, de proceso y externo.

• Se incluye metodología para el tratamiento de los

riesgos de Seguridad Digital.

• Se incluye la metodología para el seguimiento y

control de los riesgos identificados.

12/12/2018

FIRMA EN ORIGINAL

YULY MILENA GÓMEZ ROMERO

Contratista Profesional


8. REVISIÓN Y APROBACIÓN

NOMBRE CARGO

FECHA

(DD/MM/AAAA) FIRMA

REVISÓ KATHERINE BETANCUR

GARCÍA

PROFESIONAL

UNIVERSITARIO 31/12/2018

FIRMA EN ORIGINAL

APROBACIÓN

LÍDER DE

PROCESO

KATTIA JEANETH

PINZÓN FRANCO

JEFE OFICINA

ASESORA DE

PLANEACIÓN

31/12/2018 FIRMA EN ORIGINAL

Política para la Administración del Riesgo · del riesgo y los niveles de aceptación del mismo...

Documents

Transcript of Política para la Administración del Riesgo · del riesgo y los niveles de aceptación del mismo...