Política para la Administración del Riesgo · del riesgo y los niveles de aceptación del mismo...
Transcript of Política para la Administración del Riesgo · del riesgo y los niveles de aceptación del mismo...
INSTITUTO DISTRITAL PARA LA PROTECCIÓN DE LA NIÑEZ Y LA JUVENTUD
2018
Política para la Administración del Riesgo
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 1 de 26
VIGENTE DESDE 31/12/2018
1
POLÍTICA PARA LA ADMINISTRACIÓN DEL RIESGO
INSTITUTO DISTRITAL PARA LA PROTECCIÓN DE LA
NIÑEZ Y LA JUVENTUD
IDIPRON
2018
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 2 de 26
VIGENTE DESDE 31/12/2018
2
1. Contenido
1. INTRODUCCIÓN ............................................................................................................................................................... 3
2. MARCO NORMATIVO ...................................................................................................................................................... 3
3. GLOSARIO ......................................................................................................................................................................... 5
4. ASPECTOS GENERALES ................................................................................................................................................. 6
5. POLÍTICA PARA LA ADMINISTRACIÓN DEL RIESGO ............................................................................................. 8
5.1 OBJETIVO GENERAL ...................................................................................................................................................... 8
5.2 OBJETIVOS ESPECÍFICOS ............................................................................................................................................ 8
5.3 ALCANCE ........................................................................................................................................................................ 8
5.4 LINEAS DE DEFENSA Y RESPONSABLES INSTITUCIONALES ............................................................................. 8
5.5 METODOLOGÍA PARA LA GESTIÓN DEL RIESGO ................................................................................................. 9
5.5.1 ETAPA PREVIA: ANÁLISIS Y CONOCIMIENTO DE LA ENTIDAD ............................................................... 9
5.5.2 ETAPA DE IDENTIFICACIÓN Y ESTABLECIMIENTO DEL CONTEXTO INTERNO, CONTEXTO DEL
PROCESO Y CONTEXTO EXTERNO RIESGOS DE GESTIÓN INSTITUCIONAL Y CORRUPCIÓN. ......................... 10
5.5.3 ETAPA DE IDENTIFICACIÓN DE RIESGOS .................................................................................................... 11
5.6.1 CÁLCULO DE RIESGO INHERENTE O ZONA DE RIESGO INICIAL PARA RIESGOS DE GESTIÓN ..... 12
5.6.2 CÁLCULO DE RIESGO INHERENTE O ZONA DE RIESGO INICIAL PARA RIEGOS DE CORRUPCIÓN
14
5.6.3 MAPAS DE CALOR ............................................................................................................................................. 15
5.6.4 ETAPA DE ÁNALISIS DE CONTROLES ........................................................................................................... 16
5.6.5 NIVELES DE ACEPTACIÓN DEL RIESGO Y OPCIONES DE MANEJO - RIESGO RESIDUAL ................. 18
5.7 RIESGOS DE SEGURIDAD DIGITAL ................................................................................................................. 19
5.7.1 ETAPA DE IDENTIFICACIÓN Y ESTABLECIMIENTO DEL CONTEXTO INTERNO Y EXTERNO ......... 19
5.7.2 PASOS PARA LA IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN ............................................ 20
5.7.3 RIESGOS INHERENTES DE SEGURIDAD DIGITAL ...................................................................................... 21
5.7.4 IDENTIFICACIÓN Y EVALUACIÓN DE LOS CONTROLES EXISTENTES ................................................. 22
5.7.5 PLANES DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DIGITAL E INDICADORES PARA LA
GESTIÓN DEL RIESGO ........................................................................................................................................................ 23
5.7.6 REGISTRO Y REPORTE DE INCIDENTES DE SEGURIDAD DIGITAL ........................................................ 23
5.8 MONITOREO Y REVISIÓN ................................................................................................................................. 24
5.8.1 RESPONSABILIDADES EN EL MONITOREO Y REVISIÓN ............................................................................ 24
5.8.2 TIEMPOS DE IMPLEMENTACIÓN DE LA POLITICA PARA LA ADMINISTRACIÓN DEL RIESGO ........ 24
6. BIBLIOGRAFÍA..................................................................................................................................................... 25
7. CONTROL DE CAMBIOS ..................................................................................................................................... 25
8. REVISIÓN Y APROBACIÓN ................................................................................................................................ 26
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 3 de 26
VIGENTE DESDE 31/12/2018
3
1. INTRODUCCIÓN
La Política para la Administración del Riesgo del Instituto Distrital para la Protección de la Niñez y la Juventud – IDIPRON-
recoge la estrategia, liderada desde la Alta Dirección de la Entidad, enfocada a la identificación, tratamiento, manejo y
seguimiento de los riesgos de Gestión, Corrupción y Seguridad Digital a través de la creación y/o fortalecimiento de controles
que incidan en la prevención de la materialización del riesgo y acciones de contingencia en caso de que esto suceda, con el
fin de garantizar el cumplimiento de los objetivos misionales de la Entidad.
La Política para la Administración del Riesgo de IDIPRON establece los principios básicos y el marco general de actuación
para el control y la gestión de los riesgos a los que se enfrenta la entidad, identifica los responsables dentro del proceso y
establece la metodología para la elaboración de los Mapas para la identificación de los riesgos, niveles para calificar el impacto
y el tratamiento para cada uno de los riesgos identificados, así, como las acciones de contingencia en caso de la materialización
del riesgo y los niveles de aceptación del mismo para la Entidad.
Para la construcción de la política se toma como fuente los documentos técnicos emitidos por el Departamento Administrativo
de la Gestión Pública –DAFP-, como la “Guía para la administración del riesgo y el diseño de controles en entidades públicas”,
“Guía para la Gestión de Riesgo de Corrupción” y “Estrategias para la Construcción del Plan Anticorrupción y Atención al
Ciudadano” y el Modelo de Planeación y Gestión MIPG.
¿PARA QUE LE SIRVE AL INSTITUTO LA GESTIÓN DEL RIESGO?
A continuación, se nombra el impacto que tiene el análisis, gestión y tratamiento del riesgo en diferentes procesos del instituto.
• Aporta información para tomar adecuadas decisiones estratégicas y operacionales de la Entidad.
• Facilita el logro de los objetivos Misionales
• Fortalece la mejora continua de los procesos.
• Permite una planificación estratégica más efectiva.
• Mejorar el desempeño de la organización generando valor agregado para la sociedad
• Optimiza la eficiencia operacional y la sostenibilidad, protege los activos de información.
• fortalece la imagen Institucionalidad.
• Mejorar la prevención de pérdidas y la gestión de los incidentes.
• Identifica los riesgos para minimizarlos.
• Mejorar los controles para prevenir el riesgo.
• Establece acciones de contingencia que permiten hacer frente inmediato a un riesgo que se materialice.
2. MARCO NORMATIVO
El Artículo 209 de la Constitución Política colombiana dispone que: “la función administrativa está al servicio de los intereses
generales y se desarrolla con fundamento en los principios de igualdad, moralidad, eficacia, economía, celeridad,
imparcialidad y publicidad, mediante la descentralización, la delegación y la desconcentración de funciones”. Igualmente,
señala que “las autoridades administrativas deben coordinar sus actuaciones para el adecuado cumplimiento de los fines del
Estado. La administración pública, en todos sus órdenes, tendrá un control interno que se ejercerá en los términos que señale
la Ley.
El Artículo primero de la Ley 87 del 29 de Noviembre de 1993, define el Control Interno como: “El sistema integrado por el
esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de
verificación y evaluaciones adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y
actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas
constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos
previstos”.
Ley 692 de 1995 o Ley Anti tramites “se dictan disposiciones sobre racionalización de trámites y procedimientos
administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan
servicios públicos.”
Ley 489 de 1998 crea del Sistema de Desarrollo Administrativo con el propósito de articular la planeación estratégica de las
entidades con la de su quehacer administrativo, a través de las políticas y los planes sectoriales de desarrollo administrativo.
Así mismo, se fortalece el Control Interno, con la creación del Sistema Nacional de Control Interno a fin de darle una
connotación más estratégica.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 4 de 26
VIGENTE DESDE 31/12/2018
4
Ley 872 de 2003 la cual crea el Sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público y en su Artículo 3.
establece que dicho sistema es complementario con los Sistemas de Control Interno y de Desarrollo Administrativo.
Norma Técnica de Calidad para la Gestión Pública 1000:2004 según numeral 4.1 literal (g), se indica que se debe establecer
control sobre los riegos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de
la entidad.
Decreto 652 del 28 de diciembre de 2011 se adopta la Norma Técnica Distrital del Sistema Integrado de Gestión, estableciendo
en su numeral 4.2.2 los requisitos en materia de planificación de la gestión de riesgo.
Ley 1474 de 2011 o Estatuto Anticorrupción “…se dictan normas orientadas a fortalecer los mecanismos de prevención,
investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública”; que en su Artículo 73 señala
que "cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra
la corrupción y de atención al ciudadano" y que en el Artículo 76 establece que deberá existir por lo menos una dependencia
encargada de recibir, tramitar y resolver las quejas, sugerencias y reclamos que los ciudadanos formulen, y que se relacionen
con el cumplimiento de la misión de la entidad.
Decreto 4637 de 2011 de Presidencia de la Republica se suprimió el programa Presidencial de Modernización, Eficiencia,
Transparencia y Lucha contra la corrupción, y en su Artículo 2 se creó al interior del Departamento Administrativo de la
Presidencia de la Republica, la Secretaria de Transparencia, asignándole como punto 10 de sus funciones “Señalar la
metodología para diseñar y hacer seguimiento a las estrategias de lucha contra la corrupción y de atención al ciudadano
que deberán elaborar anualmente las entidades del orden nacional y territorial, de conformidad con lo señalado en el Artículo
73 de la Ley 1474 de 2011, así como la metodología para diseñar e implementar los planes de acción previstos en el Artículo
74 de dicha Ley”.
Decreto 651 del 28 de diciembre de 2011 “por medio del cual se crean el Sistema Integrado de Gestión Distrital -SIGD- y la
Comisión Intersectorial del -SIGD-, y se dictan otras disposiciones”, cuyo Artículo Primero crea el Sistema Integrado de
Gestión Distrital “como una herramienta de gestión sistemática y transparente compuesta por el conjunto de orientaciones,
procesos, políticas, metodologías, instancias e instrumentos que permitan garantizar un ejerció articulado y armónico, para
dirigir y evaluar el desempeño institucional, en términos de calidad y satisfacción social en la prestación de los servicios a
cargo de las entidades y agentes obligados, enmarcada en los planes estratégicos y de desarrollo de las entidades distritales”.
Que el Decreto 19 de 2012 “Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites
innecesarios existentes en la Administración Pública” se busca dar alcance al desarrollo de los postulados del Buen Gobierno
propendiendo por instituciones eficientes, transparentes, y a partir esa simplificación facilitar las relaciones de los ciudadanos
con la Administración Pública y fomentar la transparencia del Estado.
Directiva 003 de 2013 se generan directrices para la generación de estrategias frente a la posibilidad de la perdida de elementos
y documentos con el fin de proteger la información institucional.
Ley 1712 de 2014 “toda la información en poder de los sujetos obligados definidos en esta Ley se presume pública, en
consecuencia de lo cual dichos sujetos están en el deber de proporcionar y facilitar el acceso a la misma en los términos más
amplios posibles y a través de los medios y procedimientos que al efecto establezca la Ley, excluyendo solo aquello que esté
sujeto a las excepciones constitucionales y legales y bajo el cumplimiento de los requisitos establecidos en esta Ley”.
Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano – MECI 2014, define en el numeral 1.3
el “Componente Administración del riesgo” como el “Conjunto de elementos que le permiten a la entidad identificar, evaluar
y gestionar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos
institucionales”. En ese mismo numeral se establece que la entidad debe generar “políticas de Administración del Riesgo” las
cuales “identifican las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar
decisiones adecuadas y fijar los lineamientos, que van a transmitir la entidad” y de igual manera indica que la política señala
que debe hacerse para efectuar el control y su seguimiento, basándose en los planes y los objetivos institucionales o por
procesos.
Decreto Nacional 1083 de 2015 "Por medio del cual se expide el Decreto único Reglamentario del Sector de Función Pública",
del cual fue sustituido el Titulo 22 mediante el Decreto Nacional 1499 de 2017, estableciendo el objeto e instancias de
dirección y coordinación del Sistema de Gestión y adoptando el nuevo Modelo Integrado de Planeación y Gestión -MIPG
definiéndolo como “como un marco de referencia para dirigir, planear, ejecutar, hacer seguimiento, evaluar y controlar la
gestión de las entidades y organismos públicos, con el fin de generar resultados que atiendan los planes de desarrollo y
resuelvan las necesidades y problemas de los ciudadanos, con integridad y calidad en el servicio”.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 5 de 26
VIGENTE DESDE 31/12/2018
5
Ley 1755 de 2015 según la cual “toda persona tiene derecho a presentar peticiones respetuosas a las autoridades, en los
términos señalados en este código, por motivos de interés general o particular, y a obtener pronta resolución completa y de
fondo sobre la misma”.
Decreto 1081 de 2015, recopila, actualiza y complementa el Decreto 2641 de 2012, y posteriormente es modificado mediante
el Decreto 124 de 2016 definiendo como metodología para diseñar y hacer seguimiento a la estrategia de lucha contra la
corrupción y de atención al ciudadano el documento “Estrategias para la Construcción del Plan Anticorrupción y de Atención
al Ciudadano – Versión 2 y como metodología para diseñar y hacer seguimiento al Mapa de Riesgo de Corrupción la
establecida en el documento “Guía para la Gestión del Riesgo de Corrupción”. Documentos que serán usados como base para
la elaboración de la Política de Administración de Riesgos de la entidad.
Decreto Nacional 1499 de 2017 hace necesario adoptar para el Distrito Capital el MIPG, como el nuevo marco de referencia
para el diseño e implementación del SIGD, con el fin de fortalecer los mecanismos, métodos y procedimientos de gestión y
control al interior de los organismos y entidades del Distrito Capital y adecuar la institucionalidad del sistema y de las
instancias correspondientes con el modelo nacional.
3. GLOSARIO
• ACTIVO: en el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web,
redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en
el entorno digital.
• CADENA DE VALOR: Es la interrelación de los procesos dirigidos a satisfacer las necesidades y requisitos de los
usuarios.
• CARACTERIZACIÓN DE LOS PROCESOS: Estructura que permite identificar los rasgos distintivos de los
procesos. Establece su objetivo, la relación con los demás procesos, los insumos, los activos, su transformación a través
de las actividades que desarrolla y las salidas del proceso, se identifican los proveedores y clientes o usuarios, que pueden
ser internos o externos.
• CAUSA: todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la
materialización de un riesgo.
• CONSECUENCIA: los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la
entidad, sus grupos de valor y demás partes interesadas.
• CONFIDENCIALIDAD: propiedad de la información que la hace no disponible, es decir, divulgada a individuos,
entidades o procesos no autorizados.
• EVALUACIÓN DEL RIESGO: Proceso utilizado para determinar las prioridades de la administración del riesgo,
comparando el nivel de un determinado riesgo con respecto a un estándar determinado.
• EVENTO: Incidente o situación potencial que puede ocurrir en un lugar determinado durante un periodo determinado.
Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie de causas.
• EVITAR EL RIESGO: Tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa
a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o
eliminación, resultado de unos adecuados controles y acciones emprendidas.
• FRECUENCIA: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido
un evento en un tiempo dado.
• GESTIÓN DEL RIESGO: proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar
a la administración un aseguramiento razonable con respecto al logro de los objetivos.
• IMPACTO: Consecuencias que puede ocasionar a la entidad la materialización del riesgo.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 6 de 26
VIGENTE DESDE 31/12/2018
6
• MAPA DE PROCESOS: Es la representación gráfica de los procesos estratégicos, misionales, de apoyo, de evaluación
y sus interacciones.
• MAPA DE RIESGOS: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada y
sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias y sus acciones
preventivas.
• MISIÓN: Constituye la razón de ser de la entidad, sintetiza los principales propósitos estratégicos y los valores esenciales
que deben ser conocidos, comprendidos y compartidos por todas las personas que hacen parte de la entidad.
• MODELO DE OPERACIÓN POR PROCESOS: El modelo de operación por procesos es el estándar organizacional
que soporta la operación de la entidad pública, integrando las competencias constitucionales y legales que la rigen con el
conjunto de planes y programas necesarios para el cumplimiento de su misión, visión y objetivos institucionales. Pretende
determinar la mejor y más eficiente forma de ejecutar las operaciones de la entidad.
• MONITOREAR: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una actividad con el fin
de identificar posibles cambios.
• OBJETIVOS ESTRATÉGICOS: Identifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar
cumplimiento al mandato legal aplicable a cada entidad. Estos objetivos institucionales se materializan a través de la
ejecución de la planeación anual de cada entidad.
• PLAN DE MANEJO DEL RIESGO: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso
de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.
• PLANEACIÓN INSTITUCIONAL: Las estrategias de la entidad generalmente se definen por parte de la Alta
Dirección y obedecen a la razón de ser que desarrolla la misma, a los planes sectoriales, las políticas específicas que
define el Gobierno nacional, departamental o municipal enmarcadas dentro del Plan Nacional de Desarrollo. En este
contexto la entidad define su planeación institucional. La planeación institucional hace uso de los procesos estratégicos,
misionales, de apoyo y evaluación para materializarla o ejecutarla, por lo tanto, la administración del riesgo no puede
verse de forma aislada.
• PROBABILIDAD: Grado en el cual es probable que ocurra un evento, que se debe medir a través de la relación entre
los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.
• RIESGO INHERENTE: es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar
su probabilidad o impacto.
• RIESGO RESIDUAL: nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.
• VISIÓN: Es la proyección de la entidad a largo plazo que permite establecer su rumbo, las metas y lograr su desarrollo.
Debe ser construida y desarrollada por la Alta Dirección de manera participativa, clara, amplia, positiva, coherente,
convincente, comunicada y compartida por todos los miembros de la organización.
• VULNERABILIDAD: es una debilidad, atributo, causa o falta de control que permitiría la explotación por parte de una
o más amenazas contra los activos.
4. ASPECTOS GENERALES
4.1 La Política para la Administración de Riesgos es una declaración de la dirección y las intenciones generales de la entidad
con respecto a la gestión del riesgo. La administración del riesgo establece lineamientos precisos acerca de la
identificación, tratamiento, manejo y seguimiento a los riesgos de gestión Administrativa, Corrupción y de Seguridad
Digital.
4.2 Se hace necesaria la revisión en cada vigencia de la Política para la Administración de Riesgo en cabeza de la Línea de
Defensa Estratégica, con el fin de identificar falencias, fortalezas y adelantos normativos u otras modificaciones que se
hayan realizado en los lineamientos de política.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 7 de 26
VIGENTE DESDE 31/12/2018
7
4.3 La política para la Administración del Riesgos es direccionada desde la Alta dirección de la Entidad, con el liderazgo
del representante legal y la participación del Comité de Coordinación de Control Interno del IDIPRON.
4.4 La Entidad debe analizar los objetivos estratégicos e identificar los posibles riesgos que afectan su cumplimiento y
que puedan ocasionar su éxito o fracaso. Es necesario revisar que los objetivos estratégicos se encuentren alineados con la
Misión y la Visión Institucional, así como, analizar su adecuada formulación, es decir, que contengan las siguientes
características mínimas: específico, medible, alcanzable, relevante y proyectado en el tiempo.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 8 de 26
VIGENTE DESDE 31/12/2018
8
5. POLÍTICA PARA LA ADMINISTRACIÓN DEL RIESGO
Es compromiso del Instituto Distrital para la Protección de la niñez y la Juventud - IDIPRON la implementación de la Política
para la Administración del Riesgo con los principios de oportunidad y eficiencia a fin de dar cumplimiento a sus objetivos
misionales de la Entidad.
5.1 OBJETIVO GENERAL
Establecer los lineamientos para la gestión del riesgo a través de la identificación, análisis, evaluación y tratamiento de los
riesgos de Corrupción, Gestión Institucional y de Seguridad Digital, en los procesos institucionales a los que se enfrenta el
Instituto Distrital para la Protección de la Niñez y la Juventud.
5.2 OBJETIVOS ESPECÍFICOS
• Prevenir la materialización de los riesgos a través del fortalecimiento de los controles, garantizando siempre el logro de
los objetivos institucionales.
• Orientar la toma de decisiones respecto al manejo de los riesgos y sus efectos al interior del IDIPRON, con el fin de
garantizar el cumplimiento de los objetivos institucionales.
• Generar un ambiente de control que involucre y comprometa a Directivos y a todo el equipo humano del IDIPRON a
monitorear, prevenir y administrar los riesgos, de manera alineada con los principios básicos de MIPG (Modelo Integrado
de Planeación y Gestión), el Sistema Integrado de Gestión y el Direccionamiento estratégico del Instituto.
• Visibilizar la importancia del manejo de los riesgos asociados a la corrupción, con el fin de mitigar o eliminar las
condiciones o situaciones que pueden favorecer su materialización.
• Salvaguardar los activos de Información del Instituto.
5.3 ALCANCE
Inicia con la definición de las líneas de defensa y responsables institucionales para la implementación de la metodología para
la Administración de los riesgos de corrupción, gestión y de seguridad digital incluyendo la identificación, la valoración y el
tratamiento de los riesgos en todos los procesos de la Entidad; los niveles de aceptación del riesgo; los tiempos de
implementación de la política y finaliza con el reporte de los resultados obtenidos en cada vigencia.
Esta política es aplicable a todos los procesos y áreas. La identificación, la valoración y el tratamiento de los riesgos debe
realizar participativamente. Se debe socializar y hacer seguimiento a los riesgos que pudieran afectar la misión y el
cumplimiento de los objetivos institucionales en el marco de los procesos del Instituto Distrital para la Protección de la Niñez
y la Juventud - IDIPRON.
5.4 LINEAS DE DEFENSA Y RESPONSABLES INSTITUCIONALES
La gestión del Riesgo en el Instituto Distrital para la Protección de la Niñez debe ser un proceso participativo, que involucre
a actores institucionales y no institucionales, a continuación, se presentan las líneas de defensa de la Institución y las
responsabilidades de cada una de ellas dentro de la política:
LÍNEA DE
DEFENSA FINALIDAD RESPONSABLE RESPONSABILIDADES
ESTRATÉGICA
Define el marco
general para la
gestión del riesgo
y el control y
supervisa su
cumplimiento.
Alta dirección de
IDIPRON
Comité
Institucional de
Coordinación de
Control Interno
• Establecer y aprobar la Política para la Administración del Riesgo
de IDIPRON.
• Revisar el cumplimiento de la Política para la Administración de
Riesgos de manera periódica, evaluar su impacto y aprobar las
modificaciones, actualizaciones y acciones de fortalecimiento a
las que pueda haber lugar.
PRIMERA
LÍNEA
Desarrolla e
implementa
procesos de
control y gestión
de riesgos a través
de su
identificación,
análisis,
Gerentes públicos
y líderes de los
procesos,
programas y
proyectos de la
entidad.
• Identificar y valorar los riesgos que pueden afectar los procesos a
su cargo y actualizarlos cuando se requiera.
• Identificar y valorar los activos de Seguridad Digital.
• Consolidar, aprobar y hacer seguimiento a las acciones
relacionadas en los mapas de riesgos a fin de minimizar la
probabilidad de ocurrencia del riesgo.
• Llevar a cabo las acciones asociadas a los controles establecidos
para cada uno de los riesgos identificados en su proceso de
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 9 de 26
VIGENTE DESDE 31/12/2018
9
LÍNEA DE
DEFENSA FINALIDAD RESPONSABLE RESPONSABILIDADES
valoración,
monitoreo y
acciones de
mejora.
Responsable de
Seguridad Digital
acuerdo a la periodicidad establecida, en el capítulo de
Seguimiento y Control. Durante la aplicación de las acciones de
seguimiento cada líder de proceso debe mantener la evidencia o
documentación respectiva de todas las actividades realizadas.
• Desarrollar ejercicios de autoevaluación para establecer la
eficiencia, eficacia y efectividad de los controles
• Informar a la Oficina Asesora de Planeación y a la Alta Dirección
de IDIRON sobre los riesgos materializados en los programas,
proyectos, planes y/o procesos a su cargo
• Reportar en el SGI los avances y evidencias de la gestión de los
riesgos a cargo.
SEGUNDA
LÍNEA
Asegura que los
controles y los
procesos de
gestión de riesgos
implementados
por la primera
línea de defensa,
estén diseñados
apropiadamente y
funcionen como se
pretende
Jefe de
planeación,
supervisores e
interventores de
contratos o
proyectos,
coordinadores de
otros sistemas de
gestión de la
entidad, comités
de riesgos (donde
existan), comités
de contratación,
entre otros.
• Asesorar a la línea estratégica en el análisis del contexto interno y
externo, para la definición de la política de riesgo, el
establecimiento de los niveles de impacto y el nivel de aceptación
del riesgo.
• Consolidar y Publicar el Mapa de riesgos institucional (riesgos de
mayor criticidad frente al logro de los objetivos) y presentarlo para
análisis y seguimiento ante el Comité de Gestión y Desempeño
Institucional
• Acompañar, orientar y entrenar a los líderes de procesos en la
identificación, análisis y valoración del riesgo
• Monitorear los controles establecidos por la primera línea de
defensa acorde con la información suministrada por los líderes de
procesos
• Supervisar en coordinación con los líderes de la primera línea de
defensa la identificación, evaluación y gestión de los riesgos y
controles para que se generen acciones
• Evaluar que los riesgos sean consistentes con la presente política
de la entidad y que sean monitoreados por la primera línea de
defensa
• Promover ejercicios de autoevaluación para establecer la
eficiencia, eficacia y efectividad de los controles.
TERCERA
LÍNEA
Proporciona
información sobre
la efectividad del
S.C.I., a través de
un enfoque basado
en riesgos,
incluida la
operación de la
primera y segunda
línea de defensa
Oficina de Control
Interno
• Verificar y analizar la eficacia de la gestión del riesgo y control
haciendo énfasis en el diseño e idoneidad de los controles y las
acciones de control establecidas los procesos
• Llevar a cabo el seguimiento a los riesgos consolidados en los
mapas de riesgos de conformidad con el Plan Anual de Auditoria
y reportar los resultados a la Alta Dirección del Instituto, Líderes
de Proceso y a la Oficina Asesora de Planeación.
• Asesorar de forma coordinada con la Oficina de Planeación, a la
primera línea de defensa en la identificación de los riesgos
institucionales, de corrupción y de seguridad digital y el diseño de
controles.
• Recomendar mejoras a la Política para la Administración del
Riesgo.
5.5 METODOLOGÍA PARA LA GESTIÓN DEL RIESGO
5.5.1 ETAPA PREVIA: ANÁLISIS Y CONOCIMIENTO DE LA ENTIDAD
Previo a iniciar la metodología para la administración del riesgo de gestión institucional, corrupción y de Seguridad digital se
requiere realizar un análisis relacionado con el estado actual de la gestión del riesgo en el Instituto.
Es preciso analizar el contexto general de IDIPRON para establecer su complejidad, procesos, planeación institucional, entre
otros aspectos, lo anterior para conocer y entender la Entidad y su entorno, lo que determinará el análisis de riesgos y la
aplicación de la metodología en general.
Para esto es necesario que los líderes de procesos y sus equipos de trabajo tengan conocimiento de la Misión, la Visión, los
Objetivos Estratégicos, y el Modelo de Operación por procesos, información que se encuentra relacionada en la Plataforma
Estratégica del Instituto. De la misma forma se requiere que el documento de Caracterización de los Procesos en donde se
definen sus objetivos institucionales esté actualizado.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 10 de 26
VIGENTE DESDE 31/12/2018
10
A partir de este punto se hará una descripción diferente para la identificación, valoración y tratamiento de los riesgos de
Gestión Institucional y Corrupción y los Riesgos de Seguridad Digital debido a que las metodologías a la que apuntan a
la identificación de elementos diferentes (Riesgos de Gestión y Corrupción y Activos de Información), lo que hace que la
metodología se diferente.
Por esta razón se desarrollará primero lo pertinente con el tratamiento de los Riesgos de Gestión y Corrupción y finalmente
se desarrollará el tema de los Riesgos de Seguridad Digital
5.5.2 ETAPA DE IDENTIFICACIÓN Y ESTABLECIMIENTO DEL CONTEXTO INTERNO, CONTEXTO
DEL PROCESO Y CONTEXTO EXTERNO RIESGOS DE GESTIÓN INSTITUCIONAL Y
CORRUPCIÓN.
Se debe establecer cuáles son los factores que pueden incidir en la gestión del riesgo institucional. Para poder lograr este
análisis se debe establecer el contexto en el que opera el proceso incluyendo el contexto interno, de proceso y externo, con tal
fin se debe hacer una lista nombrando y describiendo de que forma las normas, políticas, proyectos, funciones entre otros,
podrían incidir como causas, controles externos, o en la materialización de los riesgos, por ejemplo.
CONTEXTO INTERNO DE LA ENTIDAD
El contexto interno se refiere a las condiciones que se relacionan con la estructura, cultura organizacional, el cumplimiento
de planes, programas/proyectos, procesos/procedimientos, sistemas de información, modelo de operación, recursos humanos
y económicos con que cuenta la entidad.
Con el fin de establecer el contexto interno es necesario conocer y entender la entidad, sus objetivos y alineamiento estratégico.
Teniendo en cuenta que la materialización de los riesgos de corrupción, gestión Institucional y de Seguridad Digital tienen un
impacto negativo en diversos aspectos de la Entidad, el análisis se debe aplicar a los procesos estratégicos, misionales, de
apoyo y de evaluación es decir a todos los procesos del Instituto, además del sistema de gestión, control y administración
(supone la definición de: las políticas de administración del riesgo de corrupción, estructura organizacional, sistema de control
interno y auditoría).
GUÍA DE FACTORES PROPUESTOS PARA ESTE CONTEXTO1
FINANCIEROS: Presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada
PERSONAL: Competencia del personal, disponibilidad del personal, seguridad y salud ocupacional.
PROCESOS: Capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento.
TECNOLOGÍA: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de
sistemas de información.
ESTRATÉGICOS: Direccionamiento estratégico, planeación institucional, liderazgo, trabajo en equipo.
COMUNICACIÓN INTERNA: Canales utilizados y su efectividad, flujo de la información necesaria para el desarrollo
de las operaciones.
CONTEXTO DEL PROCESO
Dentro del contexto del Proceso se determinan las características o aspectos esenciales del proceso y sus interrelaciones.
Según la guía “Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción y
Seguridad Digital” se pueden considerar factores como:
GUÍA DE FACTORES PROPUESTOS PARA ESTE CONTEXTO2
DISEÑO DEL PROCESO: Claridad en la descripción del alcance y objetivo del proceso.
INTERACCIONES CON OTROS PROCESOS: relación precisa con otros procesos en cuanto a insumos, proveedores,
productos, usuarios o clientes.
TRANSVERSALIDAD: procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la
entidad.
PROCEDIMIENTOS ASOCIADOS: pertinencia en los procedimientos que desarrollan los procesos.
RESPONSABLES DEL PROCESO: grado de autoridad y responsabilidad de los funcionarios frente al proceso.
1 Departamento Administrativo para la Función Pública. Guía para la Administración del Riesgo y el diseño de controles en entidades
públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. Octubre de 2018. Página 20 2 Departamento Administrativo para la Función Pública. Guía para la Administración del Riesgo y el diseño de controles en entidades
públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. Octubre de 2018. Página 20
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 11 de 26
VIGENTE DESDE 31/12/2018
11
COMUNICACIÓN ENTRE LOS PROCESOS: efectividad en los flujos de información determinados en la interacción
de los procesos.
ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO: información, aplicaciones, hardware entre otros, que se
deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano.
Como herramienta básica para el análisis del contexto del proceso se sugiere utilizar el documento de caracterización.
CONTEXTO EXTERNO DE LA ENTIDAD
Se entiende por contexto externo, las condiciones económicas, sociales, culturales, políticas, legales, ambientales o
tecnológicas. Para establecer el contexto externo es necesario determinar la relación existente entre la entidad y el ambiente
en el que opera; estableciendo las fortalezas, debilidades, oportunidades y amenazas, en especial la información referente a
los riesgos de corrupción de la entidad. Se sugiere analizar e identificar el entorno normativo - regulatorio y las partes externas
interesadas.
GUÍA DE FACTORES PROPUESTOS PARA ESTE CONTEXTO3
POLÍTICOS: cambios de gobierno, legislación, políticas públicas, regulación.
ECONÓMICOS Y FINANCIEROS: disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.
SOCIALES Y CULTURALES: demografía, responsabilidad social, orden público.
TECNOLÓGICOS: avances en tecnología, acceso a sistemas de información externos, gobierno en línea.
AMBIENTALES: emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.
LEGALES Y REGLAMENTARIOS: Normatividad externa (leyes, decretos, ordenanzas y acuerdos).
5.5.3 ETAPA DE IDENTIFICACIÓN DE RIESGOS
La identificación del riesgo se lleva a cabo determinando las causas o causa con base en el contexto interno, externo y del
proceso que pueden afectar el logro de los objetivos.
A partir de los contextos interno y externo aunado a diferentes fuentes de información como por ejemplo hallazgos de los
entes de control interno y externos, la información de PQRS, análisis de riesgos de gestión que se hayan materializado en los
últimos años de haberse presentado y la memoria institucional del equipo de trabajo entre otros se identifica el riesgo, el cual
estará asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o los
estratégicos.
Las preguntas claves para la identificación del riesgo permiten determinar:
¿QUÉ PUEDE SUCEDER? Identificar la afectación del cumplimiento del objetivo estratégico o del proceso según sea el
caso.
¿CÓMO PUEDE SUCEDER? Establecer las causas a partir de los factores determinados en el contexto.
¿CUÁNDO PUEDE SUCEDER? Determinar de acuerdo con el desarrollo del proceso.
¿QUÉ CONSECUENCIAS TENDRÍA SU MATERIALIZACIÓN? Determinar los posibles efectos por la materialización
del riesgo4.
El Instituto Distrital para la Protección de la Niñez y la Juventud – IDIPRON estableció los formatos “MAPA DE RIESGOS
CORRUPCIÓN E-PLA-FT-020” exclusivo para esta tipología de riesgo y el “MAPA DE RIESGOS DE GESTIÓN E-
MEJ-FT-009” para el registro de la información de identificación y tratamiento de todos los riesgos de gestión Administrativa
diferentes a corrupción. La herramienta permite evitar errores de identificación de la tipología de los riesgos
En la descripción del riesgo se deben tener en cuenta las respuestas a las preguntas arriba mencionadas. En su redacción se
debe evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que denoten un factor de riesgo (causa)
tales como: “ausencia de”, “falta de”, “poco(a)”, “escaso(a)”, “insuficiente”, “deficiente”, “debilidades en…” y redactar con
leguaje que indique la posibilidad de que algo ocurra.
TIPOLOGÍAS DE RIESGO
Es necesario clasificar el tipo de riesgo dependiendo de los conceptos que brinda Guía de Administración del Riesgo del
Departamento Administrativo de la Función Pública, es esencial determinar si es un riesgo de Corrupción o de Gestión para
decidir cuál de los formatos de Mapa se debe usar para el registro de la información relacionada con el riesgo, para esto se
recomienda revisar en primera instancia la definición de corrupción y si no corresponde a este tipo de riesgo revisar las demás
definiciones para tal fin.
4 Departamento Administrativo para la Función Pública. Guía para la Administración del Riesgo y el diseño de controles en entidades
públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. Octubre de 2018. Página 22
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 12 de 26
VIGENTE DESDE 31/12/2018
12
Riesgos de Corrupción: Un riesgo de Corrupción se define como la posibilidad de que por acción o por omisión se desvíe la
gestión de lo publico en beneficio de lo privado. Esta definición incluye el elemento de la intencionalidad al desviar el recurso
público a un privado entendidos estos recursos como financieros, humanos, logísticos, de infraestructura entre otros.
La metodología indica que en la identificación y redacción del riesgo de corrupción se debe diligenciar las siguientes
preguntas, si todas las repuestas son SI, se está, sin duda, ante un riesgo de corrupción.
¿ES POR ACCIÓN O POR
OMISIÓN?
¿SE HACE USO DEL
PODER?
¿SE PRODUCE UN DESVIO
DE LOS PUBLICO?
¿SE BENEFICIA
UN PRIVADO?
De no corresponder a las características de los riegos de corrupción a se debe identificar dentro del listado de las demás
tipologías de riesgo a que mejor se apegue al riesgo identificado.
Riesgos Estratégicos: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a
asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas,
diseño y conceptualización de la entidad por parte de la alta gerencia.
Riesgos Gerenciales: Posibilidad de ocurrencia de eventos que afecten los procesos gerenciales y/o la alta dirección.
Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye
riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la
entidad, la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento
de los compromisos institucionales.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la
elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada
entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá
en gran parte el éxito o fracaso de toda entidad.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales,
de ética pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales
y futuras y el cumplimiento de la misión.
Riesgo de imagen o reputacional: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la
institución.
5.6 ETAPA DE ANÁLISIS DEL RIESGO
El análisis del riesgo se realizar al cruzar las variables FRECUENCIA E IMPACTO. El nivel de riesgo inherente hace
referencia al riesgo que se presenta en el proceso sin contar con los controles que ya se tengan para evitar la materialización
de los riesgos.
Posterior al cálculo de la zona de riesgo inherente se debe calcular la ZONA DE RIESGO RESIDUAL. A esta se llega
restando el impacto que los controles creados tengan sobre el riesgo. A partir de la identificación del riesgo residual se definen
las acciones necesarias para trabajar bien sea en atacar la causa del riesgo o en la creación o el fortalecimiento de los controles
que se diseñen para tal fin.
5.6.1 CÁLCULO DE RIESGO INHERENTE O ZONA DE RIESGO INICIAL PARA RIESGOS DE
GESTIÓN
Para establecer la zona de riesgo inherente o inicial se hace necesario determinar la frecuencia e Impacto. La Guía para la
Administración del riesgo del Departamento Administrativo de la Función Pública define los descriptores que se utilizan para
determinar la Probabilidad y el Impacto.
DETERMINAR LA PROBABILIDAD: Por probabilidad se entiende la posibilidad de ocurrencia del riesgo de gestión
institucional, ésta puede ser medida con criterios de Frecuencia o Factibilidad.
Bajo el criterio de FACTIBILIDAD se analiza la presencia de factores internos y externos que pueden propiciar el riesgo, se
trata en este caso de un hecho que no se ha presentado, pero es posible que se dé.
Bajo el criterio de FRECUENCIA se analizan el número eventos en un periodo determinado, se trata de hechos que se han
materializado o se cuenta con un historial de situaciones o eventos asociados al riesgo.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 13 de 26
VIGENTE DESDE 31/12/2018
13
PROBABILIDAD RIESGOS DE GESTIÓN
NIVEL DESCRIPTOR FACTIBILIDAD FRECUENCIA
5 Casi seguro Se espera que ocurra en la mayoría de las
circunstancias
Más de 1 vez al año.
4 Probable Probablemente ocurrirá en la mayoría de las
circunstancias
Al menos 1 vez en el último año.
3 Posible Podría ocurrir en algún momento. Al menos 1 vez en los últimos 2 años.
2 Improbable Pudo ocurrir en algún momento. Al menos 1 vez en los últimos 5 años.
1 Rara vez El evento puede ocurrir solo en circunstancias
excepcionales (poco comunes o anormales).
No se ha presentado en los últimos 5 años.
La metodología sugiere que, en caso de que el proceso no cuente con los descriptores anteriores sea utilizada la matriz de
PRIORIZACIÓN DE PROBABILIDAD. Se requiere que cada una de las personas del equipo de trabajo califique el riesgo
en la escala de uno a cinco basándose en la matriz anterior y en su conocimiento. Posterior a esto se debe establecer el
promedio el cual será el nivel.
PRIORIZACIÓN DE PROBABILIDAD (Ejemplo – Se debe diligenciar por cada riesgo identificado)
N.° RIESGO PERSONA 1 P2 P3 P4 P5 P6 PROMEDIO/# P NIVEL
1 Inoportunidad en la
adquisición de los bienes y
servicios requeridos por la
entidad
Se espera que el
evento ocurra en
la mayoría de las
circunstancias.
3 4 5 3 4 24/6 4
2 Segundo riesgo
identificado 4 4 4 4 3 3 22/6 3
DETERMINAR EL IMPACTO: Por impacto se entienden las consecuencias que puede ocasionar a la organización la
materialización del riesgo. Para determinar el impacto se cuenta con los siguientes descriptores:
MATRIZ PARA ESTABLECER EL RIESGO DE GESTIÓN
NIVELES PARA
CALIFICAR EL
IMPACTO
IMPACTO (CONSECUENCIAS)
CUANTITATIVO
IMPACTO (CONSECUENCIAS)
CUALITATIVO
CATASTRÓFICO (5)
-Impacto que afecte la ejecución presupuestal en un
valor ≥50%
- Pérdida de cobertura en la prestación de los
servicios de la entidad ≥50%.
- Pago de indemnizaciones a terceros por acciones
legales que pueden afectar el presupuesto total de la
entidad en un valor ≥50%
- Pago de sanciones económicas por incumplimiento
en la normatividad aplicable ante un ente regulador,
las cuales afectan en un valor ≥50% del presupuesto
general de la entidad.
Interrupción de las operaciones de la Entidad por
más de cinco (5) días.
- Intervención por parte de un ente de control u otro
ente regulador.
- Pérdida de Información crítica para la entidad que
no se puede recuperar.
- Incumplimiento en las metas y objetivos
institucionales afectando de forma grave la
ejecución presupuestal.
- Imagen institucional afectada en el orden nacional
o regional por actos o hechos de corrupción
comprobados.
MAYOR (4)
- Impacto que afecte la ejecución presupuestal en un
valor ≥20%
- Pérdida de cobertura en la prestación de los
servicios de la entidad ≥20%.
- Pago de indemnizaciones a terceros por acciones
legales que pueden afectar el presupuesto total de la
entidad en un valor ≥20%
- Pago de sanciones económicas por incumplimiento
en la normatividad aplicable ante un ente regulador,
las cuales afectan en un valor ≥20% del presupuesto
general de la entidad.
- Interrupción de las operaciones de la Entidad por
más de dos (2) días.
- Pérdida de información crítica que puede ser
recuperada de forma parcial o incompleta.
- Sanción por parte del ente de control u otro ente
regulador.
- Incumplimiento en las metas y objetivos
institucionales afectando el cumplimiento en las
metas de gobierno.
- Imagen institucional afectada en el orden nacional
o regional por incumplimientos en la prestación del
servicio a los usuarios o ciudadanos.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 14 de 26
VIGENTE DESDE 31/12/2018
14
NIVELES PARA
CALIFICAR EL
IMPACTO
IMPACTO (CONSECUENCIAS)
CUANTITATIVO
IMPACTO (CONSECUENCIAS)
CUALITATIVO
MODERADO (3)
- Impacto que afecte la ejecución presupuestal en un
valor ≥5%
- Pérdida de cobertura en la prestación de los
servicios de la entidad ≥10%.
- Pago de indemnizaciones a terceros por acciones
legales que pueden afectar el presupuesto total de la
entidad en un valor ≥5%
- Pago de sanciones económicas por incumplimiento
en la normatividad aplicable ante un ente regulador,
las cuales afectan en un valor ≥5% del presupuesto
general de la entidad.
- Interrupción de las operaciones de la Entidad por
un (1) día.
- Reclamaciones o quejas de los usuarios que
podrían implicar una denuncia ante los entes
reguladores o una demanda de largo alcance para la
entidad.
- Inoportunidad en la información ocasionando
retrasos en la atención a los usuarios.
- Reproceso de actividades y aumento de carga
operativa.
- Imagen institucional afectada en el orden nacional
o regional por retrasos en la prestación del servicio
a los usuarios o ciudadanos.
- Investigaciones penales, fiscales o disciplinarias.
MENOR (2)
Impacto que afecte la ejecución presupuestal en un
valor ≤1%
- Pérdida de cobertura en la prestación de los
servicios de la entidad ≤5%.
- Pago de indemnizaciones a terceros por acciones
legales que pueden afectar el presupuesto total de la
entidad en un valor ≤1%
- Pago de sanciones económicas por incumplimiento
en la normatividad aplicable ante un ente regulador,
las cuales afectan en un valor ≤1% del presupuesto
general de la entidad.
- Interrupción de las operaciones de la Entidad por
algunas horas.
- Reclamaciones o quejas de los usuarios que
implican investigaciones internas disciplinarias.
- Imagen institucional afectada localmente por
retrasos en la prestación del servicio a los usuarios
o ciudadanos.
INSIGNIFICANTE
(1)
Impacto que afecte la ejecución presupuestal en un
valor ≤0,5%
- Pérdida de cobertura en la prestación de los
servicios de la entidad ≤1%.
- Pago de indemnizaciones a terceros por acciones
legales que pueden afectar el presupuesto total de la
entidad en un valor ≤0,5%
- Pago de sanciones económicas por incumplimiento
en la normatividad aplicable ante un ente regulador,
las cuales afectan en un valor ≤0,5%del presupuesto
general de la entidad.
- No hay interrupción de las operaciones de la
entidad.
- No se generan sanciones económicas o
administrativas.
- No se afecta la imagen institucional de forma
significativa.
5.6.2 CÁLCULO DE RIESGO INHERENTE O ZONA DE RIESGO INICIAL PARA RIEGOS DE
CORRUPCIÓN
PROBABILIDAD RIESGOS DE CORRUPCIÓN
NIVEL DESCRIPTOR DESCRIPCIÓN
1 Rara vez Muy baja, los efectos causados serían imperceptibles para la Entidad y para sus
ciudadanos
2 Improbable Baja, los efectos causados serían percibidos por la Entidad, pero no por los ciudadanos
3 Posible Media, los efectos causados serían percibidos por la entidad y por los ciudadanos socios
4 Probable Alta, además de ser percibidos, los efectos causarían una pérdida media de capacidad
institucional para cumplir con sus funciones
5 Casi seguro Muy Alta, los efectos causados generarían una pérdida alta de capacidad institucional para
cumplir con sus funciones y se verían afectados los ciudadanos, socios.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 15 de 26
VIGENTE DESDE 31/12/2018
15
FORMATO PARA DETERMINAR EL IMPACTO RIESGO DE CORRUPCIÓN
Nº PREGUNTA RESPUESTA
SI EL RIESGO DE CORRUPCIÓN SE MATERIALIZA PODRÍA... SI NO
1 ¿Afectar al grupo de funcionarios del proceso?
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
3 ¿Afectar el cumplimiento de misión de la Entidad?
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad?
5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación?
6 ¿Generar pérdida de recursos económicos?
7 ¿Afectar la generación de los productos o la prestación de servicios?
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida
9 ¿Generar pérdida de información de la Entidad?
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente?
11 ¿Dar lugar a procesos sancionatorios?
12 ¿Dar lugar a procesos disciplinarios?
13 ¿Dar lugar a procesos fiscales?
14 ¿Dar lugar a procesos penales?
15 ¿Generar pérdida de credibilidad del sector?
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17 ¿Afectar la imagen regional?
18 ¿Afectar la imagen nacional?
19 ¿Generar daño ambiental?
TOTAL PREGUNTAS AFIRMATIVAS:
TOTAL PREGUNTAS NEGATIVAS:
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto MODERADO.
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto MAYOR.
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto CATASTRÓFICO.
MODERADO: Genera medianas consecuencias sobre la entidad.
MAYOR: Genera altas consecuencias sobre la entidad.
CATASTROFICO: Genera consecuencias desastrosas para la entidad.
5.6.3 MAPAS DE CALOR
El mapa de calor es la representación gráfica del cruce de las variables que determinan el nivel del riesgo. Se presentan los
mapas de calor de riesgos de Gestión Administrativa que incluye riesgos de Seguridad Digital y riesgos de corrupción que
son diferentes debido a que los descriptores mínimo e insignificante no existen en la política de Riesgos de Corrupción.
MAPA DE CALOR - RIESGOS DE GESTIÓN ADMINISTRATIVA Y SEGURIDAD DIGITAL
PROBABILIDAD
IMPACTO
INSIGNIFICANTE
(1)
MENOR
(2)
MODERADO
(3)
MAYOR
(4)
CATASTROFICO
(5)
RARO (1) 1 2 3 4 5
IMPROBABLE (2) 2 4 6 8 10
POSIBLE (3) 3 6 9 12 15
PROBABLE (4) 4 8 12 16 20
CASI SEGURO (5) 5 10 15 20 25
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 16 de 26
VIGENTE DESDE 31/12/2018
16
MAPA DE CALOR – RIESGOS DE CORRUPCIÓN
5.6.4 ETAPA DE ÁNALISIS DE CONTROLES
La valoración del riesgo requiere de una evaluación de los controles existentes los cuales pueden ser preventivos o correctivos.
Controles Preventivos: Orientados a minimizar la materialización de un riesgo identificado orientándose a eliminar sus
causas.
Controles Correctivos: Permiten enfrentar la situación una vez se ha presentado. Son aquellos controles que permiten, que,
después de ser detectado el evento no deseado se dé el restablecimiento de la actividad.
DOCUMENTACIÓN DE LOS CONTROLES
Se debe redactar de forma precisa y clara cuál es el proceso de control existente para prevenir la materialización del riesgo
identificado. Se debe ser especifico en cómo se lleva a cabo el control, quién es el responsable de su ejecución, a través de
que herramientas (Nombrarlas con Código) y cuál es la periodicidad para su ejecución.
TABLA PARA EL ANÁLISIS Y LA VALORACIÓN DE LOS CONTROLES
Con el fin de realizar un análisis objetivo de los controles que se hayan establecido dentro de los procesos para cada uno de
los riesgos identificado, el Departamento Administrativo de la Función Pública define la siguiente tabla para determinar el
peso de dichos controles para la determinación del riesgo residual. Las calificaciones planteadas para cada aspecto deben ser
usadas tal como están expresadas, aplicar el valor asignado a cada aspecto si responde SI; cero (0) si responde NO. Es
importante que no se asignen valores intermedios para evitar subjetividad en el análisis.
CRITERIOS PARA LA EVALUACIÓN EVALUACIÓN
Criterio de medición Si No
¿Existen manuales, instructivos o procedimientos para el manejo del control? 15 0
¿Está(n) definido(s) el(los) responsable(s) de la ejecución del control y del seguimiento? 5 0
¿El control es automático? 15 0
¿El control es manual? 10 0
¿La frecuencia de ejecución del control y seguimiento es adecuada? 15 0
¿Se cuenta con evidencias de la ejecución y seguimiento del control? 10 0
¿En el tiempo que lleva la herramienta ha demostrado ser efectiva? 30 0
CADA UNA DE LAS RESPUESTAS SUMA AL RESULTADO 100 TOTAL
Estas pueden ser las posibles las posibles lecturas del resultado del análisis de los controles existentes para prevenir la
materialización del riesgo y su impacto en la valoración del riesgo.
PUNTAJE DE
LOS
CONTROLES
NÚMERO DE
NIVELES QUE SE
DESPLAZA EN EL
MAPA DE CALOR
IMPACTO EN LA VALORACIÓN DEL RIESGO
De 0 a 50 0 Se mantiene el resultado de la evaluación antes de controles
De 51 a 75 1
Cambia el resultado a una casilla inferior de la matriz de evaluación
antes de controles (el desplazamiento depende de sí el control afecta el
impacto o la probabilidad)
De 76 a 100 2 Pasa a escala inferior (el desplazamiento depende de sí el control afecta
el impacto o la probabilidad)
Las preguntas a continuación permiten identificar si esos niveles se deben correr afectaran la probabilidad o el impacto
PROBABILIDAD IMPACTO
MODERADO (5) MAYOR (10) CATASTROFICO (20)
RARO (1) (5) BAJA (10) BAJA (20) MODERADA
IMPROBABLE (2) (10) BAJA (20) MODERADA (40) ALTA
POSIBLE (3) (15) MODERADA (30) ALTA (60) ALTA
PROBABLE (4) (20) MODERADA (40) ALTA (80) EXTREMA
CASI SEGURO (5) (25) MODERADA (50) ALTA (100) EXTREMA
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 17 de 26
VIGENTE DESDE 31/12/2018
17
¿El control previene la materialización del riesgo (afecta probabilidad) DESPLAZA LOS NIVELES HACIA ABAJO
¿El control permite enfrentar la situación en caso de materialización (afecta impacto)? DESPLAZA LOS NIVELES A LA
IZQUIERDA
Para el cálculo del riesgo residual se deben desplazar los niveles dentro que indique la calificación obtenida por los controles.
PARA RIESGOS DE GESTIÓN INSTITUCIONAL Y SEGURIDAD DIGITAL
Si afecta el IMPACTO se desplaza hacia la izquierda.
Si afecta la PROBABILIDAD se desplaza hacia abajo.
PARA RIESGOS DE GESTIÓN CORRUPCIÓN
Si afecta la IMPACTO se desplaza hacia la izquierda.
Si afecta la PROBABILIDAD se desplaza hacia abajo.
PROBABILIDAD IMPACTO
INSIGNIFICANTE (1) MENOR (2) MODERADO (3) MAYOR (4) CATASTROFICO (5)
RARO (1) 1 2 3 4 5
IMPROBABLE (2) 2 4 6 8 10
POSIBLE (3) 3 6 9 12 15
PROBABLE (4) 4 8 12 16 20
CASI SEGURO (5) 5 10 15 20 25
PROBABILIDAD IMPACTO
INSIGNIFICANTE
(1) MENOR (2) MODERADO (3) MAYOR (4) CATASTROFICO (5)
RARO (1) 1 2 3 4 5
IMPROBABLE (2) 2 4 6 8 10
POSIBLE (3) 3 6 9 12 15
PROBABLE (4) 4 8 12 16 20
CASI SEGURO (5) 5 10 15 20 25
PROBABILIDAD IMPACTO
MODERADO (5) MAYOR (10) CATASTROFICO (20)
RARO (1) (5) BAJA (10) BAJA (20) MODERADA
IMPROBABLE (2) (10) BAJA (20) MODERADA (40) ALTA
POSIBLE (3) (15) MODERADA (30) ALTA (60) ALTA
PROBABLE (4) (20) MODERADA (40) ALTA (80) EXTREMA
CASI SEGURO (5) (25) MODERADA (50) ALTA (100) EXTREMA
PROBABILIDAD IMPACTO
MODERADO (5) MAYOR (10) CATASTROFICO (20)
RARO (1) (5) BAJA (10) BAJA (20) MODERADA
IMPROBABLE (2) (10) BAJA (20) MODERADA (40) ALTA
POSIBLE (3) (15) MODERADA (30) ALTA (60) ALTA
PROBABLE (4) (20) MODERADA (40) ALTA (80) EXTREMA
CASI SEGURO (5) (25) MODERADA (50) ALTA (100) EXTREMA
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 18 de 26
VIGENTE DESDE 31/12/2018
18
5.6.5 NIVELES DE ACEPTACIÓN DEL RIESGO Y OPCIONES DE MANEJO - RIESGO RESIDUAL
De acuerdo a la valoración de cada riesgo se debe establecer su opción de manejo. Esto se define a partir del nivel de riesgo
residual, de la importancia del riesgo, lo cual incluye el efecto que puede tener sobre la entidad, la probabilidad e impacto de
este y la relación costo-beneficio de las medidas de tratamiento.
En todos los casos para los riesgos de corrupción la respuesta será evitar, compartir o reducir el riesgo.
El tratamiento o respuesta dada al riesgo, se enmarca en las siguientes categorías:
Las opciones de manejo a tomar son las siguientes y se pueden considerar cada una de manera independiente o en conjunto:
• Evitar el Riesgo: Se toman medidas encaminadas a evitar la materialización del riesgo. Ejemplo: Controles de
calidad, mantenimiento preventivo a los equipos.
• Reducir el Riesgo: Incluye medidas orientadas a disminuir tanto la probabilidad (medidas de prevención) como el
impacto (medidas de protección). Ejemplo: optimización de los procedimientos y mejora en la efectividad de los
controles.
• Compartir o Transferir el Riesgo: Reducen los efectos de los riesgos, a través del traspaso de las pérdidas a otras
organizaciones. Ejemplo: contratos de pólizas de seguro.
• Asumir el Riesgo: Luego de que los riesgos sean reducidos o transferidos, pueden quedar riesgos residuales que se
mantienen, en ese caso se asume el riesgo residual.
ZONA DE
RIESGO PROBABILIDAD IMPACTO
OPCIONES
DE MANEJO TRATAMIENTO
BAJA Rara vez o
improbable
Moderado y
Mayor.
Asumir el
riesgo
Los riesgos en zonas baja se encuentran en un
nivel que puede reducirse, eliminarse y
mantenerse controlado fácilmente con los
controles creados para el control del cada
riesgo. En la Entidad no debe haber
tolerancia con la corrupción, por tanto, debe
haber monitoreo constante de los controles.
MODERADA
Rara vez,
Improbable,
Posible, Probable y
Casi Seguro
Moderado,
Mayor y
Catastrófico
.
Reducir el
riesgo
Hay que apuntar a bajar el riesgo a menor nivel
posible si no es posible eliminar el riesgo de
corrupción por lo menos llevarlo a la Zona de
Riesgo Baja.
ALTA
Improbable,
Posible, Probable y
Casi Seguro
Mayor y
Catastrófico
Reducir el
riesgo
Evitar el riesgo
Compartir o
transferir
Deben tomarse las medidas necesarias para
llevar los riesgos a la Zona de Riesgo
Moderada, Baja o eliminarlo.
EXTREMA Posible, Probable y
Casi Seguro Catastrófico
Evitar el riesgo
Reducir el
riesgo
Compartir o
transferir
Se deben implementar los controles orientados
a reducir la posibilidad de ocurrencia del
riesgo o disminuir el impacto de sus efectos y
tomar las medidas de protección.
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 19 de 26
VIGENTE DESDE 31/12/2018
19
5.7 RIESGOS DE SEGURIDAD DIGITAL
La política de seguridad digital apunta a la identificación y tratamiento de los activos de información que se encuentran en
todos los procesos de IDIPRON.
“Activos de información son elementos tales como aplicaciones de la entidad pública, servicios Web, redes, información
física o digital, Tecnologías de la Información - TI- o Tecnologías de la Operación -TO-) que utiliza la organización para
su funcionamiento”5.
Esta identificación de activos de información está a cargo de la primera línea de defensa del Instituto () y debe estar liderada
por el Responsable de Seguridad Digital del Instituto.
Para iniciar con la identificación de los activos de información se debe tener en cuenta el entorno digital interno y externo.
5.7.1 ETAPA DE IDENTIFICACIÓN Y ESTABLECIMIENTO DEL CONTEXTO INTERNO Y EXTERNO
CONTEXTO INTERNO PARA RIESGOS DE SEGURIDAD DIGITAL
En el documento Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas” República de
Colombia. Ministerio de Tecnologías de la Información y las Comunicaciones6 sugiere los siguientes elementos para el
análisis del entorno digital:
PARA LA ENTIDAD PÚBLICA EN GENERAL PARA LOS PROCESOS
Recursos económicos, sociales, ambientales, físicos,
tecnológicos, financieros, jurídicos, entre otros
Identificación de los procesos y su respectiva
caracterización
Flujos de información y los procesos de toma de decisiones Detalle de las actividades que se llevan a cabo en el
proceso
Empleados, contratistas Flujos de información
Objetivos estratégicos y la forma de alcanzarlos Identificación y actualización de los activos en la cadena
de valor de la entidad pública
La misión, visión, valores y cultura de la organización Recursos
Sus políticas, procesos y procedimientos Alcance del proceso
Sistemas de gestión (calidad, seguridad en el trabajo,
seguridad de la información, riesgos, entre otros)
Relaciones con otros procesos de la entidad pública
Toda la estructura organizacional Cantidad de ciudadanos afectados por el proceso
Roles y responsabilidades Sistemas de información o servicios
Sistemas de información o servicios Personal involucrado en la toma de decisiones
Para llevar a cabo esta actividad se debe construir un listado en el que estén enumeradas las partes interesadas externas e
internas que tengan relación con la entidad pública y con sus objetivos, misión o visión.
5 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas” República de Colombia. Ministerio de
Tecnologías de la Información y las Comunicaciones. Viceministerio de Economía Digital. Dirección de Gobierno Digital. Modelo de
Gestión de Riesgos de Seguridad Digital (MGRSD). 2018. Pág. 11
6 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas” República de Colombia. Ministerio de
Tecnologías de la Información y las Comunicaciones. Viceministerio de Economía Digital. Dirección de Gobierno Digital. Modelo de
Gestión de Riesgos de Seguridad Digital (MGRSD). 2018. Pág. 9
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 20 de 26
VIGENTE DESDE 31/12/2018
20
CONTEXTO EXTERNO DE SEGURIDAD DIGITAL
Para la identificación del entorno digital el documento “Lineamientos para la Gestión de Riesgos de Seguridad Digital en
Entidades Públicas” del Ministerio de Tecnologías de la Información y las Comunicaciones sugiere que sean analizados los
factores relacionados con7:
Clientes, proveedores de servicios y empresas que sean competencia directa y/o se relacionen con la misión de la entidad
pública analizada.
Normativas o aspectos jurídicos que apliquen directa o indirectamente a la entidad pública; ejemplo, la ley 1581 de 2012
o la ley 1712 de 2014, circulares o regulaciones emitidas por superintendencias o ministerios, como el decreto 1078 de
2015 o el decreto 1499 de 2017.
Dependencias económicas y financieras por parte de otras empresas.
Entorno cultural.
Cualquier otro factor externo de tipo internacional, nacional (gobierno), regional o local.
Cantidad de ciudadanos a los cuales la entidad pública brinda servicios a través del entorno digital como trámites a través
de páginas web.
Aspectos externos que pueden verse afectados con los riesgos de seguridad digital, tales como el ambiente social,
económico y ambiental que tengan alguna relación con las operaciones asociadas a la entidad pública
5.7.2 PASOS PARA LA IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN
PASO 1- Listar los activos de cada proceso
Cada uno de los líderes de proceso junto con sus equipos de trabajo debe realizar un listado con los activos de información
con los que cuente. Este listado debe tener información de:
PASO 2 - Identificar el dueño de los activos
Cada uno de los activos de información que se identifique debe tener un dueño, o responsable de su protección. Regularmente
el dueño del activo es el líder del proceso o de un área en particular.
PASO 3- Clasificar los activos
Los lineamientos para la Gestión del Riesgo de Seguridad Digital clasifican los activos en Información, software, hardware,
Servicios, Intangibles, Componentes de Red, Personas e instalaciones.
PASO 4 - Clasificar la información
Realizar la clasificación de la información conforme lo indican las leyes 1712 de 2014, 1581 de 2012, el Modelo de Seguridad
y Privacidad en su Guía de Gestión de Activos, el dominio 8 del Anexo A de la norma ISO27001:2013 y demás normatividad
aplicable
PASO 5 – Determinar la Criticidad del Activo o Valorar el Activo
Dependiendo de los activos que se hayan encontrado se debe crear una escala con las variables: Criticidad respecto a su
confidencialidad, Criticidad respecto a completitud o integridad, Criticidad respecto a su disponibilidad en las escalas ALTA
– MEDIA- BAJA. Se sugiere realizar la revisión de la “Guía de Gestión de Activos del Modelo de Seguridad y Privacidad de
la Información”
Es de criterio de IDIPRON definir a cuál nivel de criticidad se hará frente, es decir si aquellos de riesgos alto solamente o
cuales se abordaran prioritariamente.
PASO 6 - Identificar si existen Infraestructuras Críticas Cibernéticas -ICC.
Un activo es considerado infraestructura crítica si su impacto o afectación podría superar alguno de los siguientes 3 criterios
Que pueda tener un impacto a 0,5% de la población.
7 “Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas” República de Colombia. Ministerio de
Tecnologías de la Información y las Comunicaciones. Viceministerio de Economía Digital. Dirección de Gobierno Digital. Modelo de
Gestión de Riesgos de Seguridad Digital (MGRSD). 2018. Pág. 9
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 21 de 26
VIGENTE DESDE 31/12/2018
21
Que tenga un impacto económico de 0.123 del PIB
Que tenga un impacto ambiental que tarde tres años en su recuperación.
Si este tipo de Infraestructuras son identificadas deben ser reportadas a las autoridades pertinente del Gobierno nacional.
Al final de estos pasos debe resultar en una matriz de identificación como el formato ejemplo a continuación.
PROCESO ACTIVO
DESCRIPCIÓN
DEL ACTIVO
(Base de datos con
información de…,
aplicativo, servidor
web)
DUEÑO
DEL
ACTIVO
TIPO DE
ACTIVO
LEY 1712
DE 2014
LEY 1581
DE 2012
CRITICIDAD
DEL ACTIVO
(Adicionar las
variables para
determinarla)
Gestión
Financiera
Base de
datos de
nómina
Base de datos con
información de
nómina de la entidad
Líder de
financiera
Información Información
Reservada
No Contiene
datos
personales
ALTA
Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones.
5.7.3 RIESGOS INHERENTES DE SEGURIDAD DIGITAL
Cada uno de los activos de información deben ser analizados a la luz de los riesgos inherentes a la seguridad digital, pérdida
de la confidencialidad, pérdida de la integridad, pérdida de la disponibilidad.
Estos riesgos inherentes se deben cruzar con los tipos de amenazas y vulnerabilidades que se pueden identificar para el
Instituto.
Las amenazas se clasifican en amenazas comunes (Deliberadas (D), fortuito (F) o ambientales (A)), Amenazas dirigidas por
el hombre (empleados con o sin intención, proveedores y piratas informáticos, entre otros.) a continuación se presentan las
tablas de las amenazas y vulnerabilidades propuestas por la: ISO/IEC 27005:2009 y el Ministerio de Tecnologías de la
información y las comunicaciones.
TIPO AMENAZA ORIGEN
DAÑO FÍSICO Fuego F, D, A
Agua F, D, A
EVENTOS NATURALES Fenómenos climáticos E
Fenómenos sísmicos E
PÉRDIDAS DE LOS SERVICIOS ESENCIALES Fallas en el sistema de suministro de agua F, D, A
Fallas en el suministro de aire acondicionado F, D, A
COMPROMISO DE LA INFORMACIÓN
Interceptación de servicios de señales de
interferencia comprometida D
Espionaje remoto D
FALLAS TÉCNICAS
Fallas del equipo D, F
Mal funcionamiento del equipo D, F
Saturación del sistema de información D, F
Incumplimiento en el mantenimiento del sistema
de información D, F
Mal funcionamiento del software D, F
ACCIONES NO AUTORIZADAS Uso no autorizado del equipo D, F
Copia fraudulenta del software D, F
COMPROMISO DE LAS FUNCIONES Error en el uso o abuso de derechos D, F
Falsificación de derechos D
PERTURBACIÓN DEBIDA A LA RADIACIÓN Radiación electromagnética F, D, A
Radiación térmica F, D, A
Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones
FUENTE DE AMENAZA MOTIVACIÓN ACCIONES AMENAZANTES
Pirata informático, intruso ilegal Reto
Ego piratería Ingeniería social
Criminal de la computación Destrucción de la información
divulgación ilegal de la información Crimen por computador acto fraudulento
Terrorismo Chantaje
Destrucción
Ataques contra el sistema DDOS penetración
en el sistema
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 22 de 26
VIGENTE DESDE 31/12/2018
22
FUENTE DE AMENAZA MOTIVACIÓN ACCIONES AMENAZANTES
Espionaje industrial (inteligencia,
empresas, gobiernos extranjeros, otros
intereses)
Ventaja competitiva
Espionaje económico
Ventaja de defensa
Hurto de información
Intrusos (empleados con
entrenamiento deficiente,
descontentos, malintencionados,
negligentes, deshonestos o despedidos)
Curiosidad
Ganancia monetaria
Asalto a un empleado
Chantaje
Las vulnerabilidades son elementos débiles en la Entidad, los mismos no son un riesgo, pero una fuente de amenaza puede
aprovechar esas debilidades para su materialización
TIPO VULNERABILIDADES
HARDWARE
Ausencia de esquemas de reemplazo periódico
Sensibilidad a la radiación electromagnética
Susceptibilidad a las variaciones de temperatura (o al polvo y suciedad)
Mantenimiento insuficiente
SOFTWARE
Ausencia o insuficiencia de pruebas de software
Ausencia de terminación de sesión
Ausencia de registros de auditoría
Asignación errada de los derechos de acceso
Interfaz de usuario compleja
Ausencia de documentación
Fechas incorrectas
Ausencia de mecanismos de identificación y autenticación de usuarios
Contraseñas sin protección
Software nuevo o inmaduro
RED
Ausencia de pruebas de envío o recepción de mensajes
Líneas de comunicación sin protección
Conexión deficiente de cableado
Tráfico sensible sin protección
Punto único de falla
PERSONAL
Ausencia del personal
Entrenamiento insuficiente
Falta de conciencia en seguridad
Ausencia de políticas de uso aceptable
Trabajo no supervisado de personal externo o de limpieza
LUGAR
Uso inadecuado de los controles de acceso al edificio
Áreas susceptibles a inundación
Red eléctrica inestable
Ausencia de protección en puertas o ventanas
ORGANIZACIÓN
Ausencia de procedimiento de registro/retiro de usuarios
Ausencia de proceso para supervisión de derechos de acceso
Ausencia de control de los activos que se encuentran fuera de las instalaciones
Ausencia de acuerdos de nivel de servicio (ANS O SLA)
Ausencia de mecanismos de monitoreo para brechas en la seguridad
Ausencia de procedimientos y/o de políticas en general (esto aplica para muchas actividades que la
entidad no tenga documentadas y formalizadas como uso aceptable de activos, control de cambios,
valoración de riesgos, escritorio y pantalla limpia entre otros)
5.7.4 IDENTIFICACIÓN Y EVALUACIÓN DE LOS CONTROLES EXISTENTES
A través del análisis por parte del dueño del riesgo y su equipo de trabajo deberán definir a través de las metodologías de
lluvia de ideas, juicio de expertos, análisis de escenarios, entrevistas semiestructuradas, encuestas entre otros que puedan ser
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 23 de 26
VIGENTE DESDE 31/12/2018
23
usadas para definir cuál es el riesgo, valorarlo y definir si requiere tratamiento8. Los controles deben ser analizados con la
metodología establecida en la Guía para la Administración del Riesgo en la Gestión, Corrupción y Seguridad Digital. Diseño
de Controles en Entidades Públicas” del DAFP para riesgos de gestión.
5.7.5 PLANES DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DIGITAL E INDICADORES PARA
LA GESTIÓN DEL RIESGO
Se debe establecer si el riesgo requiere un plan de tratamiento y de ser así la línea de defensa estratégica deberá definir los
recursos para la implementación del mismo. El Plan de Tratamiento tiene las fases de identificación, plan de manejo,
implementación y seguimiento y control.
El responsable de seguridad digital deberá supervisar y acompañar el proceso de implementación de los planes de
tratamiento, verificando que el cumplimiento de las responsabilidades de cada línea de defensa. Se deben establecer
indicadores que permitan medir la implementación del Plan de Tratamiento.
Se deben generar indicadores para medir la gestión realizada en cuanto a la eficacia y la efectividad de los planes de
tratamiento implementados.
La entidad debería definir como mínimo 2 indicadores POR PROCESO de la siguiente manera:
Un indicador de eficacia que indique el cumplimiento de las actividades para la gestión del riesgo de seguridad digital en
cada PROCESO de la entidad.
Un indicador de efectividad para cada riesgo o la suma de todos los riesgos de seguridad digital (pérdida de confidencialidad,
de integridad, de disponibilidad).
Por su parte Control Interno debe hacer un seguimiento a los planes de tratamiento para determinar su efectividad, de acuerdo
con lo definido a continuación:
-Realizar seguimiento y monitoreo al plan de tratamiento en la etapa de implementación y finalización de los planes de acción.
-Revisar periódicamente las actividades de control para determinar su relevancia y recomendar actualizarlas de ser necesario.
-Realizar monitoreo de los riesgos y controles tecnológicos.
-Efectuar la evaluación del plan de acción y realizar nuevamente la valoración de los controles sobre los riesgos de seguridad
digital para verificar su efectividad.
-Verificar que los controles están diseñados e implementados de manera efectiva y operen como se pretende para controlar
los riesgos.
- Suministrar recomendaciones para mejorar la eficiencia y eficacia de los controles.
Se apunta a acciones preventivas, sin embargo, en caso de la materialización del riesgo se deben establecer planes de
mejoramiento encaminados a implementar acciones correctivas o la disminución del impacto y la probabilidad. Se debe
documentar el proceso y los resultados.
5.7.6 REGISTRO Y REPORTE DE INCIDENTES DE SEGURIDAD DIGITAL
Se deben registrar los incidentes de seguridad digital que se presenten el IDIPRON con el fin de establecer acciones de
mejoramiento a través del análisis de la incidencia y frecuencia de los riesgos que se materialicen.
Es deber del responsable de seguridad digital generar reporte periódico a las líneas de defensa que incluya la matriz de riesgo,
listado de activos críticos, plan de tratamiento de riesgo, evolución del riesgo y los elementos que se consideren necesarios
para la toma de decisiones para el mejoramiento continuo.
Este informe debe contener: Riesgos con nivel crítico, Amenazas críticas, Vulnerabilidades críticas, Tipos de Activos
afectados por los riesgos críticos (incluyendo servicios digitales o que delimitan con internet), Planes de tratamiento
propuestos para la mitigación y si han sido ejecutados, Servicios digitales críticos en la entidad pública (Servicios o trámites
para los ciudadanos o sistemas de información críticos para la entidad). Esta información debe estar documentada ya que
diversas entidades gubernamentales pueden requerirla para su análisis y establecimiento de estrategias.
8 Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas” República de Colombia. Ministerio de
Tecnologías de la Información y las Comunicaciones. Viceministerio de Economía Digital. Dirección de Gobierno Digital. Modelo de
Gestión de Riesgos de Seguridad Digital (MGRSD). 2018. Pág. 23
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 24 de 26
VIGENTE DESDE 31/12/2018
24
5.8 MONITOREO Y REVISIÓN
El monitoreo y revisión de la gestión de riesgos está alineado con la dimensión del MIPG de “Control interno”, que se
desarrolla con el MECI a través de un esquema de asignación de responsabilidades y roles que define en la Departamento
Administrativo para la Función Pública en la Guía para la Administración del Riesgo y el diseño de controles en entidades
públicas. Riesgos de Gestión, Corrupción y Seguridad Digital a continuación:
5.8.1 RESPONSABILIDADES EN EL MONITOREO Y REVISIÓN LÍNEA DE DEFENSA RESPONSABILIDAD EN LAS ACTIVIDADES DE MONITOREO Y REVISIÓN
LÍNEA ESTRATÉGICA
Define el marco general para la
gestión del riesgo y el control y
supervisa su cumplimiento, está a
cargo de la alta dirección y el
comité institucional de
coordinación de control interno.
La alta dirección y el equipo directivo, a través de sus comités deben monitorear y revisar el
cumplimiento a los objetivos a través de una adecuada gestión de riesgos con relación a lo siguiente:
Revisar los cambios en el “Direccionamiento estratégico” y cómo estos pueden generar nuevos riesgos
o modificar los que ya se tienen identificados.
Hacer seguimiento en el Comité Institucional y de Control Interno a la implementación de cada una de
las etapas de la gestión del riesgo y los resultados de las evaluaciones realizadas por Control Interno o
Auditoría Interna.
Revisar el cumplimiento a los objetivos institucionales y de procesos y sus indicadores e identificar en
caso de que no se estén cumpliendo, los posibles riesgos que se están Materializando en el cumplimiento
de los objetivos.
Revisar los informes presentados por lo menos cada trimestre de los eventos de riesgos que se han
materializado en la entidad, incluyendo los riesgos de corrupción, así como las causas que dieron origen
a esos eventos de riesgos materializados, como aquellas que están ocasionando que no se logre el
cumplimiento de los objetivos y metas, a través del análisis de indicadores asociados a dichos objetivos.
PRIMERA LÍNEA
Desarrolla e implementa procesos
de control y gestión de riesgos a
través de su identificación, análisis,
valoración, monitoreo y acciones de
mejora. Está conformada por los
gerentes públicos y líderes de los
procesos de la Entidad.
Revisar los cambios en el Direccionamiento Estratégico o en el entorno y como estos puedan generar
nuevos riesgos o modificar los que ya se tienen identificados en cada uno de sus procesos, para la
actualización de la matriz de riesgos de su proceso.
Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en los
procedimientos.
Revisar el cumplimiento de los objetivos de sus procesos y sus indicadores de desempeño, e identificar
en caso de que no se estén cumpliendo, los posibles riesgos que se están materializando en el
cumplimiento de los objetivos.
Revisar y reportar a planeación, los eventos de riesgos que se han materializado en la entidad, incluyendo
los riesgos de corrupción, así como las causas que dieron origen a esos eventos de riesgos materializados,
como aquellas que están ocasionando que no se logre el cumplimiento de los objetivos y metas, a través
del análisis de indicadores asociados a dichos objetivos.
Revisar y hacer seguimiento al cumplimiento de las actividades y acciones asociadas al control
acordados con la línea estratégica, segunda y tercera línea de defensa con relación a la gestión de riesgos.
SEGUNDA LÍNEA
Soporta y guía la línea estrategia y
la primera línea de defensa en la
gestión adecuada de los riesgos.
Está conformada por los
responsables de monitoreo y
evaluación de controles y gestión
del riesgo (jefes de planeación,
supervisores e interventores de
contratos o proyectos, responsables
de sistemas de gestión, etc.).
Revisar los cambios en el direccionamiento estratégico o en el entorno y cómo estos puedan generar
nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos, con el fin de
solicitar y apoyar en la actualización de las matrices de riesgos.
Revisar el adecuado diseño de los controles para la mitigación de los riesgos que se han establecido por
parte de la primera línea de defensa y determinar las recomendaciones y seguimiento para el
fortalecimiento de los mismos.
Hacer seguimiento a que las actividades de control establecidas para la mitigación de los riesgos de los
procesos se encuentren documentadas y actualizadas en los procedimientos.
Revisar las acciones asociadas al control establecidos para cada uno de los riesgos materializados, con
el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar
el riesgo y lograr el cumplimiento a los objetivos.
TERCERA LÍNEA
Provee aseguramiento
independiente y objetivo sobre la
efectividad del sistema de gestión
de riesgos. La tercera línea de
defensa está conformada por la
oficina de control interno o
auditoría Interna.
Revisar que se hayan identificado los riesgos significativos que afectan en el cumplimiento de los
objetivos de los procesos, además de incluir los riesgos de corrupción.
Revisar el adecuado diseño y ejecución de los controles para la mitigación de los riesgos que se han
establecido por parte de la primera línea de defensa y realizar las recomendaciones y seguimiento para
su fortalecimiento.
Verificar los planes de mejoramiento que se construyan con la primera línea de defensa como resultado
de las auditorías efectuadas.
5.8.2 TIEMPOS DE IMPLEMENTACIÓN DE LA POLITICA PARA LA ADMINISTRACIÓN DEL RIESGO
El Instituto Distrital para la Protección de la Niñez y la Juventud IDIPRON define que los tiempos para la formulación y
seguimiento de las acciones asociadas al tratamiento de los riesgos de Gestión y Corrupción deben estar alineados, por lo
tanto, su ciclo anual será:
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 25 de 26
VIGENTE DESDE 31/12/2018
25
GESTIÓN Y
CORRUPCIÓN
SEGURIDAD
DIGITAL RESPONSABLES FECHAS
Formulación Identificación de
activos de
seguridad
Líneas de defensa 1 y 2
31 de enero de cada vigencia
Seguimiento 1 Reporte de
Información 1
Líneas de defensa 2 y 3
30 de abril de cada vigencia
Seguimiento 2 Reporte de
Información 2
31 de agosto de cada vigencia
Seguimiento 3 Reporte de
Información 3
31 de diciembre de cada vigencia
6. BIBLIOGRAFÍA
• Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción
y Seguridad Digital. Departamento Administrativo para la Función Pública. Versión 4. 2018.
• Lineamientos para la Gestión de Riesgos de Seguridad Digital en Entidades Públicas Ministerio de Tecnologías de la
Información y las Comunicaciones. Viceministerio de Economía Digital. Dirección de Gobierno Digital. Modelo de
Gestión de Riesgos de Seguridad Digital (MGRSD). 2018.
• Guía para la Gestión del Riesgo de Corrupción. Secretaría de Transparencia de la Presidencia de la República. 2015
7. CONTROL DE CAMBIOS
VERSIÓN DESCRIPCIÓN DE CAMBIOS FECHA
(DD/MM/AAAA) ELABORÓ
01 Creación del documento 07/07/2011
ANGÉLICA FRANCO TRIANA
Profesional
Oficina Asesora de Planeación
02
•Se incluyen Condiciones Generales y definiciones de
riesgos ambientales y ocupacionales.
•Se incluye seguimiento semestral por parte de los
líderes de los procesos
•Se incluye el cierre de las acciones emprendidas
producto del mapa de riesgos y su informe para
realizar valoración.
•Se modifica la actividad para la valoración anual del
mapa de riesgos.
16/04/2014
YULY VIVIANA MELO MORENO
Profesional
Oficina Asesora de Planeación
03
• Se modifica el procedimiento a la nueva plantilla.
• Se complementa la condición general 3.1,
incluyendo el acompañamiento de la Oficina de
Control Interno en la formulación del Mapa de
Riesgos.
• Se modifica en el flujograma la definición de la
actividad 12 por: Definir las acciones de
contingencia.
• Se modifica la actividad 15 ya que es la Oficina
Asesora de Planeación quién solicita al Área de
trabajo de Comunicaciones la publicación del
Mapa de Riesgos de cada proceso.
• Se modifica el orden de las actividades 14, 15 y 16
de la versión 03, en el siguiente orden 15,16 y 14,
esto debido a que después de ser aprobado el Mapa
de Riesgos se procede a su publicación y posterior
divulgación.
30/12/2015
HUMBERTO PARRA
FIGUEREDO
Profesional
Oficina Asesora de Planeación
PROCESO GESTIÓN DE MEJORAMIENTO CÓDIGO E-MEJ-DI-004
VERSIÓN 04
DOCUMENTO
INTERNO
POLÍTICA PARA LA
ADMINISTRACIÓN DEL RIESGO
PÁGINA 26 de 26
VIGENTE DESDE 31/12/2018
26
VERSIÓN DESCRIPCIÓN DE CAMBIOS FECHA
(DD/MM/AAAA) ELABORÓ
04
• Se cambia el nombre del documento de Política
Integral de Administración del Riesgo a Política de
Administración del Riesgo debido a que no
contiene otras metodologías de administración del
riesgo diferentes a la gestión administrativa.
• Se ajustan los objetivos de la Política. Se establecen
las Líneas de defensa Institucionales y sus
responsabilidades.
• Se incluye la metodología para la identificación de
contextos interno, de proceso y externo.
• Se incluye metodología para el tratamiento de los
riesgos de Seguridad Digital.
• Se incluye la metodología para el seguimiento y
control de los riesgos identificados.
12/12/2018
FIRMA EN ORIGINAL
YULY MILENA GÓMEZ ROMERO
Contratista Profesional
Oficina Asesora de Planeación
8. REVISIÓN Y APROBACIÓN
NOMBRE CARGO
FECHA
(DD/MM/AAAA) FIRMA
REVISÓ KATHERINE BETANCUR
GARCÍA
PROFESIONAL
UNIVERSITARIO 31/12/2018
FIRMA EN ORIGINAL
APROBACIÓN
LÍDER DE
PROCESO
KATTIA JEANETH
PINZÓN FRANCO
JEFE OFICINA
ASESORA DE
PLANEACIÓN
31/12/2018 FIRMA EN ORIGINAL