código: g1-s3-ma-01 manual para la administraciÓn de ... · 6.6.2.5 matriz mapa de riesgos de...

MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS

Código: G1-S3-MA-01

Versión: 04

Vigencia: 19/04/2018

SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.

TABLA DE CONTENIDO

1. PROCESO ……………………………………………………………………………………………………………………………………..2 2. SUB PROCESO .............................................................................................................................................................................. 2

3. OBJETIVO. ...................................................................................................................................................................................... 2

3.1 OBJETIVOS ESPECÍFICOS: N/A ......................................................................................................................................... 2

4. INTRODUCCIÓN: ............................................................................................................................................................................ 2

4.1 MARCO NORMATIVO: ......................................................................................................................................................... 2

5. DEFINICIONES: .............................................................................................................................................................................. 4

6. CONTENIDO ................................................................................................................................................................................... 7

6.1 CONCEPTO DE RIESGO ..................................................................................................................................................... 7

6.2 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE GESTIÓN .................................................................... 8

6.2.1 Definición del contexto estratégico de riesgos ............................................................................................................... 10

6.2.2 Identificación de los riesgos ........................................................................................................................................... 11

6.2.3 Análisis y calificación de los riesgos .............................................................................................................................. 13

6.2.4 Evaluación del riesgo ..................................................................................................................................................... 14

6.2.5 Valoración de los riesgos ............................................................................................................................................... 16

6.2.6 Elaboración del mapa de riesgos ................................................................................................................................... 20

6.3 FORMULACIÓN DE POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO ........................................................................... 21

6.4 MONITOREO Y REVISIÓN ................................................................................................................................................ 22

6.5 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ....................... 22

6.5.1 Construccion de Riesgos de Seguridad de la Informacion ............................................................................................. 23

6.5.2 Estimación del riesgo ..................................................................................................................................................... 25

6.5.3 Evaluación del riesgo ..................................................................................................................................................... 26

6.5.4 Tratamiento de riesgos................................................................................................................................................... 27

6.5.5 Plan de tratamiento de riesgo ........................................................................................................................................ 29

6.5.6 Monitoreo y revisión ....................................................................................................................................................... 29

6.6 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE CORRUPCIÓN ................................................................. 30

6.6.1 Política Administración de Riesgos de Corrupción ........................................................................................................ 30

6.6.2 Construcción del Mapa de Riesgos de Corrupción ........................................................................................................ 30

6.6.2.2 Identificación del Riesgo de Corrupción .................................................................................................................. 30

6.6.2.3 Construcción del Riesgo de Corrupción ................................................................................................................... 31

6.6.2.4.1 Análisis del Riesgo de Corrupción ................................................................................................................ 32

6.6.2.4.2 Evaluación del Riesgo de Corrupción ........................................................................................................... 35

6.6.2.5 Matriz Mapa de Riesgos de Corrupción ................................................................................................................... 38



Versión: 04



1. PROCESO: Gestión Estratégica Organizacional

2. SUB PROCESO: Gestión del Sistema Integrado

3. OBJETIVO: Establecer una metodología que permita identificar, analizar, valorar y administrar los riesgos, con el fin de prevenir su ocurrencia o minimizar el impacto del evento y/o incidente, los cuales pueden afectar los objetivos de la Unidad de Servicios Penitenciarios y Carcelarios - USPEC.

3.1 OBJETIVOS ESPECÍFICOS: N/A

4. INTRODUCCIÓN: El Estado Colombiano ha establecido una serie componentes técnicos, necesarios para el desarrollo y fortalecimiento del Sistema de Control Interno en todas las entidades públicas. Uno de los componentes más importantes es la administración del riesgo, por medio de la cual se genera la información necesaria para la identificación y análisis de los riesgos que impidan alcanzar los objetivos institucionales.

La implementación de una metodología de administración del riesgo para las entidades públicas, surge como un factor de gran importancia para la gestión pública, dado que actualmente dicha gestión se encuentra sobre la influencia de factores como una alta dinámica política y continuos cambios en la administración pública, que hace que las entidades se enfrenten a factores externos e internos, que dificulten el logro de los objetivos institucionales. Así mismo a través del Decreto 1599 de 2005 se adoptó el Modelo Estándar de Control Interno – MECI para todas las entidades del Estado, donde la “Administración del Riesgo” ha sido contemplada como uno de los componentes del Subsistema de Control Estratégico, que permiten evaluar los aspectos negativos, que afectan el cumplimiento de los objetivos institucionales. Con el fin de consolidar estos propósitos el Gobierno Nacional desarrolló para el año 2014 una actualización del MECI, en el cual se mantienen los fundamentos esenciales de Autocontrol, Autogestión y Autorregulación.

El Departamento Administrativo de la Función Pública al referirse a la actualización del MECI, describe que “entre las principales novedades que trae la actualización del modelo, se encuentra que los tres subsistemas de control a los que se refería la versión anterior se convierten en dos Módulos de Control, que sirven como unidad básica para realizar el control a la planeación y la gestión institucional, y a la evaluación y seguimiento. A partir de esta modificación, la información y comunicación se convierten en un eje transversales al Modelo” (DAFP, 2014).

Este documento describe la metodología y los lineamientos para los riesgos de gestión, los de Seguridad de la

Información y los riesgos para la Unidad de Servicios Penitenciarios y Carcelarios - USPEC, la cual se basa en la

Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP) y la “Guía de

Gestión de Riesgos” del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC). Así mismo se

encuentran los Riesgos de Corrupción, estableciéndose que se tendrán en cuenta los lineamientos señalados por el

Gobierno Nacional, a través de los documentos determinados para tal fin, estando a la fecha vigente la Guía para la

Gestión del Riesgo de Corrupción 2015, del Departamento Administrativo de la Función Pública (DAFP).

4.1 MARCO NORMATIVO:

Ley 87 de 1993: Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del estado y se dictan otras disposiciones



Versión: 04



Ley 489 de 1998: Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones.

Ley 1474 de 2011: Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.

Ley 1712 de 2014: Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones

Decreto 2145 de 1999: Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las entidades y organismos de la administración pública del orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 de 2000.

Decreto 1537 de 2001: Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado.

Decreto 1599 de 2005: Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano MECI 1000:2005, el cual determina las generalidades y la estructura necesaria para establecer, documentar, implementar y mantener un Sistema de Control Interno en las entidades y agentes obligados, conforme al artículo 5º de la Ley 87 de 1993.

Decreto 1649 de 2014: Por el cual se modifica la estructura del Departamento Administrativo de la Presidencia de la República.

Decreto 1081 de 2015: Por medio del cual se expide el Decreto Reglamentario Único del Sector Presidencia de la República.

Decreto 943 de 2014: Por el cual se actualiza el Modelo Estándar de Control Interno (MECI).

Norma Técnica Colombiana NTC-ISO-IEC 27001:2013: Sistemas de Gestión de la Seguridad de la Información.

Norma Técnica Colombiana NTC-ISO-IEC 27002: Primera Actualización: Código de práctica para la gestión de la seguridad de la información

Norma Técnica Colombiana NTC-ISO/IEC 27005:2009: Gestión del riesgo en la seguridad de la información.

Norma Técnica Colombiana NTC-ISO 31000:2011: Gestión del Riesgo. Principio y Directrices



Versión: 04



5. DEFINICIONES:

Las siguientes definiciones fueron tomadas de la Guía para la Administración del Riesgo Departamento Administrativo de la Función Pública1 y la Guía para la Gestión del Riesgo de Corrupción Departamento Administrativo de la Función Publica2

Aceptar el Riesgo: Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular.

Acción Correctiva: Acción tomada para eliminar y/o mitigar la(s) causa(s) de una no conformidad detectada u otra situación no deseable.

Acción Preventiva: Acción tomada para eliminar la(s) causa(s) de una no conformidad potencial u otra situación potencial no deseable.

Activo: Cualquier cosa que tenga valor para la organización.

Administración de Riesgos: Conjunto de Elementos de Control que al interrelacionarse, permiten a la Entidad evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su función.

Agente Generador: Persona, elemento, cosa, situación o entidad que actúa o tiene capacidad de generar un riesgo.

Amenaza: Posibilidad de que un evento no planeado pueda suceder y originar consecuencias negativas.

Análisis de Riesgo: Elemento de Control, que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad para su aceptación y manejo.

Asumir el Riesgo: Medida de tratamiento del riesgo, en la cual se aceptan las consecuencias del riesgo por considerar muy baja la probabilidad de su ocurrencia, o leves sus consecuencias.

Causa: Motivo o circunstancia por la cual se puede originar un riesgo.

Compartir o Transferir el riesgo: Forma de reducir los efectos de un riesgo como medida de tratamiento que permita disminuir las pérdidas originadas por un riesgo trasladándolas o compartiéndolas con un tercero, frente a una probabilidad de ocurrencia de éste.

Confidencialidad: Propiedad de la información que hace que no esté disponible o que sea revelada a individuos no autorizados, entidades o procesos.

Consecuencia: Es el resultado de un evento expresado cualitativa o cuantitativamente, sea éste una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad.

1 (Tomado de la Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011) 2 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA).



Versión: 04



Control: Proceso, política, práctica u otra acción existente que actúa para detectar y analizar situaciones con el propósito de minimizar el riesgo.

Control Correctivo: Aquel que permite el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

Control Preventivo: Aquel que actúa para eliminar las causas del riesgo para prevenir su ocurrencia o materialización

Descripción del Riesgo: Narración o explicación de la forma como puede presentarse el riesgo.

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.

Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad, generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.

Evaluación del Riesgo: Proceso utilizado para determinar las prioridades de la Administración del Riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.

Evento: Incidente o situación que ocurre en un lugar determinado durante un período determinado y éste puede ser cierto o incierto y su ocurrencia puede ser única o parte de una serie.

Evitar el Riesgo: Emprender acciones que impidan la materialización misma del riesgo.

Frecuencia del Riesgo: Medida estadística del número de veces que se presenta un riesgo en un periodo de tiempo determinado.

Identificación del Riesgo: Elemento de control, que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad, que ponen en riesgo el logro de su Misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. Se puede entender como el proceso que permite determinar qué podría suceder, por qué sucederá y de qué manera se llevará a cabo.

Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

Integridad: Propiedad de la información relativa a su exactitud y completitud.

Mapa de Riesgos: Instrumento metodológico de prevención y autocontrol, que permite identificar, actualizar, reducir y autoevaluar la materialización de los riesgos inherentes a los objetivos estratégicos y procesos misionales de la organización. Es además una herramienta organizacional que facilita la visualización entendimiento de los riesgos y la definición de una estrategia para su apropiada administración.



Versión: 04



Mitigación: Son todas las medidas y planes que se llevan a cabo ante la posible ocurrencia de un riesgo, permitiendo a su vez esclarecer el panorama de amenazas y la planificación de las acciones a seguir, con el fin de reducir el riesgo futuro.

Monitorear: Verificar, supervisar o medir regularmente el progreso de una actividad, es la acción establecida para identificar los cambios en cada uno de los riesgos.

Pérdida: Consecuencia negativa que trae consigo un evento.

Política de Administración del Riesgo: Criterios de acción que rigen a todos los servidores de la entidad con relación a la Administración del Riesgo.

Probabilidad: Grado en el cual es posible que ocurra un evento, que se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.

Reducción del Riesgo: Aplicación de controles para reducir las probabilidades de ocurrencia de un evento.

Responsable de proceso: Aplican y sugieren los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo

Riesgo: Posibilidad de que suceda un algún evento que tendrá un impacto negativo sobre los objetivos o procesos institucionales. Se expresa en términos de probabilidad y consecuencias.

Riesgo Inherente Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto

Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.

Riesgo de seguridad de la información: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.

Corrupción: Uso del poder para desviar la gestión de lo público hacia el beneficio privado

Riesgo de corrupción: Posibilidad de que por acción u omisión, se use el poder para poder desviar la gestión de lo público hacia un beneficio privado.

Sistema de Administración de Riesgo: Conjunto de elementos del direccionamiento estratégico de una entidad concerniente a la Administración del Riesgo.

Vulnerabilidad: Debilidad identificada sobre un activo y que puede ser aprovechado por una amenaza para causar una afectación sobre la confidencialidad, integridad y/o disponibilidad de la información.



Versión: 04



6. CONTENIDO 6.1 CONCEPTO DE RIESGO “Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o de los procesos. Se expresa en términos de probabilidad y consecuencias y se entiende que la Administración del Riesgo es el proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación.”3 La Administración de Riesgos incluye la identificación, análisis y valoración de éstos, la determinación e implantación de la política de Administración del Riesgo y el seguimiento a la evolución de los mismos. Según la Guía para la Administración del Riesgo, del Departamento Administrativo de la Función Pública, (DAFP, 2011) las clases de riesgos que pueden presentarse en la gestión de la entidad son:

Riesgo Estratégico: Se asocia con la forma en que se administra la entidad. El manejo del riesgo estratégico se

enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición

de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la

institución.

Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de

información institucional, la definición de los procesos, la estructura de la entidad, la articulación entre dependencias.

Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución

presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo

sobre los bienes.

Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales,

contractuales, de ética pública y en general con su compromiso ante la comunidad.

Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la entidad para satisfacer sus

necesidades actuales y futuras en el cumplimiento de la misión.

Dada la implementación del Sistema de Gestión de Seguridad de la información en la Entidad, se adiciona la clase de

riesgo “Riesgos de Seguridad de la Información” los cuales están relacionados con la afectación de la confidencialidad,

integridad y disponibilidad de la información y sus activos asociados. Este riesgo se presenta cuando hay posibilidades de

que una amenaza explote una vulnerabilidad.

Riesgos de Seguridad de la Información: Están relacionados con la afectación de la confidencialidad, integridad y disponibilidad de la información y sus activos asociados. Éste riesgo se presenta cuando hay posibilidades de que una amenaza explote una vulnerabilidad.

De igual manera y conforme con lo establecido en la Ley 1474 de 2011, la Secretaría de Transparencia de la Presidencia

de la República, actualizó la metodología para elaborar el Plan Anticorrupción y de atención al ciudadano, integrado por

cinco componentes, determinando el primero de ellos como Gestión del riesgo de corrupción - Mapa de Riesgos de

3 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)



Versión: 04



corrupción, siendo el instrumento que le permite a la entidad identificar, analizar y controlar los posibles hechos

generadores de corrupción, tanto internos como externos. Por lo anterior, el referente para la construcción del Mapa de

Riesgos de Corrupción, lo constituye la Guía para la Gestión del Riesgo de Corrupción 2015 – Función Pública.

6.2 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE GESTIÓN Se debe entender que desde el Modelo Estándar de Control Interno MECI 1000:2014, en su Módulo de Planeación y Gestión, se despliega el componente de administración del riesgo, en el que se definen los lineamientos para que las entidades públicas tomen acciones encaminadas al manejo de los efectos negativos de los procesos o actividades, respaldando el cumplimiento de los objetivos institucionales. Entre los objetivos definidos por la Guía para la Administración del Riesgo del DAFP, se encuentra (DAFP, 2011):

Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la administración un aseguramiento razonable

con respecto al logro de los mismos.

Ser consciente de la necesidad de identificar y tratar los riesgos en todos los niveles de la entidad.

Involucrar y comprometer a todos los servidores de las entidades de la Administración Pública en la búsqueda

de acciones encaminadas a prevenir y administrar los riesgos.

Cumplir con los requisitos legales y reglamentarios pertinentes.

Mejorar el Gobierno.

Proteger los recursos del Estado.

Establecer una base confiable para la toma de decisiones y la planificación.

Asignar y usar eficazmente los recursos para el tratamiento del riesgo.

Mejorar la eficacia y eficiencia operativa.

Mejorar el aprendizaje y la flexibilidad organizacional.



Versión: 04



Ilustración 1. Modelo Estándar de Control Interno

(Fuente: Modelo Estándar de Control Interno MECI 1000:2014)

Ilustración 2. Componente de Administración del Riesgo

(Fuente: Guía para la administración del riesgo DAFP 2011)



Versión: 04



6.2.1 Definición del contexto estratégico de riesgos El contexto estratégico consiste en el análisis que realizan los responsables y líderes de los procesos/subprocesos, de los factores tanto internos como externos, que puedan generar situaciones de riesgo para el correcto funcionamiento de la Entidad, así como su nivel de incidencia, siendo el punto de inicio para la identificación de los riesgos. Para realizar el contexto estratégico, se hace necesario identificar aquellas situaciones que puedan llegar a afectar el cumplimiento de la misión, la visión y los objetivos institucionales. En este sentido, se deben tener en cuenta elementos tales como:

Plataforma estratégica vigente, plan estratégico institucional y plan de acción, en donde se identifique el cumplimiento

de la misión, visión, objetivos estratégicos, metas y factores críticos de éxito.

Mapa de procesos institucional.

Políticas y directrices institucionales (resoluciones, acuerdos, circulares, procedimientos, protocolos y demás

elementos definidos en la operación institucional).

Situaciones del entorno de carácter social, cultural, económico, tecnológico, político y legal, tanto nacional como

internacional y que tenga influencia en la gestión institucional.

Factores internos (debilidades) y factores externos (amenazas) los cuales pueden llegar a ser considerados como

causas generadoras del riesgo.

Por lo anterior, se debe contar con el apoyo y participación del Equipo Operativo Calidad MECI, para realizar talleres de trabajo, donde se integren los conocimientos de cada uno de los participantes del equipo y en el desarrollo de sus funciones se puedan identificar una serie de sucesos que podrían afectar el logro de los objetivos de los procesos y subprocesos. Complementariamente se puede tener en cuenta la información proveniente de experiencias significativas e información de vigencias anteriores, que apoye sistemáticamente la identificación de las causas de los riesgos en cada uno de los procesos institucionales. Entre los factores internos y externos que pueden afectar el desarrollo de las actividades de la Unidad, se encuentran: Tabla 1. Factores externos e internos en el contexto estratégico

FACTORES INTERNOS

Infraestructura Disponibilidad de activos, capacidad de los activos, acceso al capital, espacios y áreas para el desarrollo de los procesos.

Personal Capacidad del personal, funciones, responsabilidad, salud y seguridad.

Procesos Capacidad, diseño, ejecución, proveedores, entradas, salidas, conocimiento.

Tecnología Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de software y hardware.

FACTORES EXTERNOS

Económicos Disponibilidad de capital, emisión de deuda o no pago de la misma, liquidez, mercados financieros, desempleo, competencia.

Medioambientales Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

Políticos Cambios de gobierno, legislación, políticas públicas, regulación.

Sociales Demografía, responsabilidad social, terrorismo.

Tecnológicos Interrupciones, comercio desarrollo, producción, mantenimiento electrónico, datos externos, tecnología emergente.




Versión: 04



Producto de este trabajo en cada proceso/subproceso, se diligencia el formato Matriz de Contexto Estratégico G1-S3-FO-07, en el cual se consolidarán todos los factores tanto internos como externos, que servirán para la posterior etapa de identificación. A continuación se presenta un ejemplo práctico:

Ilustración 3. Ejemplo Matriz de Contexto Estratégico

(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)

6.2.2 Identificación de los riesgos En esta etapa se realiza la identificación de los riesgos que pueden llegar a afectar el cumplimiento de la misión, la visión y los objetivos institucionales. Esta identificación se realiza mediante un análisis detallado de la Plataforma Estratégica y el Mapa de Procesos Institucional. Este proceso debe ser permanente y participativo, de tal forma que se puedan realizar los ajustes necesarios, cuando se presenten cambios en los factores externos e internos, incidiendo en el cumplimiento de los objetivos institucionales. Para que la etapa de identificación sea eficiente, es necesario centrarse en los riesgos más significativos para la Entidad, los cuales deben estar relacionados con los objetivos de los procesos/subprocesos y que afecten el cumplimiento de los objetivos institucionales. Es importante reconocer que esta etapa, se puede realizar a partir de la identificación de varias causas que pueden estar relacionadas, las cuales a su vez lo están con los agentes generadores. Por lo anterior, se sugiere la identificación de las causas utilizando uno de los métodos dispuestos para tal fin, a saber, árbol de problemas, cinco por qué y método de las seis M. Generalmente, puede llegar a confundir el riesgo con sus consecuencias (efectos). Un ejemplo de ellos, es que las “pérdidas económicas” no deberían considerarse como riesgo, puesto que realmente es la materialización de un riesgo. Para impedir este tipo de equivocación, se hace necesario identificar el riesgo e inmediatamente determinar sus consecuencias. De igual forma esta identificación se debe realizar a partir de los objetivos institucionales, así como del proceso/subproceso que se esté analizando.



Versión: 04



A continuación presentamos un ejemplo que ayuda a la comprensión de esta etapa: Tabla 2. Ejemplo de identificación de riesgos

Proceso Subproceso Riesgo Descripción

Causas (Asociadas a Factores

externos, internos y agentes generadores)

Consecuencias

Gestión del Talento Humano

N/A

Bajo cumplimiento del Plan de Capacitación, Bienestar Social y Sistema de Salud y Seguridad en el Trabajo.

Posible incumplimiento en la ejecución de las actividades programadas en el Plan anual de capacitación, bienestar social y el sistema de seguridad y salud en el trabajo.

Se cuenta con un solo espacio para la realización de todos los eventos de la Unidad obsoletos.

No se cuenta con herramientas tecnológicas para el desarrollo de cursos virtuales dirigido a los funcionarios de los ERON.

Asignación de los funcionarios por parte de los Directivos que no cumplen con el perfil requerido para la capacitación.

Hallazgos por parte de entes de control.

No se atienda el total de la cobertura de funcionarios

Incumplimiento de los objetivos y metas institucionales.

Gestión de las Tecnologías de la Información

N/A Interrupción de acceso a recursos tecnológicos

Se puede ver afectada la disponibilidad de recursos tecnológicos Posibilidad de que se presenten daños, fallas o pérdidas de los recursos tecnológicos, en su uso, y/o almacenamiento.

Bajo conocimiento del correcto uso de los recursos tecnológicos por parte del usuario.

Falta de recursos financieros para la implementación de proyectos en materia de tecnología

Inadecuado mantenimiento del sistema eléctrico.

Incumplimientos en el desarrollo de las actividades misionales.

Plataforma tecnológica inestable.

Daños de los recursos tecnológicos tangibles.


El resultado de esta etapa de identificación de riesgos, se realiza de acuerdo a la información y características del proceso/subproceso analizado y su información se documenta en el formato Matriz de Identificación de Riesgos G1-S3-FO-08, de la siguiente forma:



Versión: 04



Ilustración 3. Ejemplo Identificación de riesgos


6.2.3 Análisis y calificación de los riesgos En esta etapa, se realiza un análisis de los riesgos previamente identificados, buscando detectar la probabilidad de ocurrencia de los mismos, así como los impactos que estos pueden generar en la entidad. Lo anterior, de conformidad con la información proveniente de la etapa previa de identificación de riesgos. Existen dos variables a tener en cuenta al momento de realizar el análisis de los riesgos presentes en los procesos/subprocesos, definidas como la probabilidad y el impacto. La calificación del riesgo, se realiza teniendo en cuenta la estimación de la probabilidad de ocurrencia y el impacto que causa la materialización del riesgo. Probabilidad: “Se entiende como la posibilidad de ocurrencia del riesgo que puede ser medida con criterios de:

Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado en el que ha ocurrido el evento).

Factibilidad, teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de las siguientes especificaciones”:4 Tabla 3. Probabilidad de ocurrencia del riesgo

VALOR NIVEL

PROBABILIDAD DESCRIPCIÓN FRECUENCIA

1 Raro El evento puede ocurrir solo en circunstancias excepcionales.

No se ha presentado en los últimos 3 años.

2 Improbable El evento puede ocurrir en algún momento

Al menos una vez en los últimos 3 años.

3 Posible El evento podría ocurrir en algún momento





Versión: 04



4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias

Al menos una vez en el último año.

5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias

Más de una vez al año.


Impacto: “Se entiende como Impacto a las consecuencias que se pueden ocasionar en la organización, debido a la materialización del riesgo. Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes especificaciones:”5 Tabla 4. Impactos que genera el riesgo

VALOR NIVEL DE IMPACTO

DESCRIPCIÓN

1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.

2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.

3 Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad

4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad

5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.


La calificación de los riesgos detectados en el proceso o subproceso, se consolidan en el formato Matriz de Calificación y Evaluación de Riesgos G1-S3-FO-09. 6.2.4 Evaluación del riesgo En esta etapa se comparan los resultados obtenidos en la calificación del riesgo, con los criterios establecidos por la Unidad de Servicios Penitenciarios y Carcelarios para identificar el grado de exposición del riesgo. A continuación, se presenta una matriz donde se consolida el análisis cualitativo para la probabilidad e impacto. Tabla 5. Matriz de evaluación de los riesgos

PROBABILIDAD IMPACTO

Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

Se debe tener en cuenta que dependiendo de la Evaluación de Riesgo, se deberá tomar en cuenta los siguientes lineamientos: B: Zona de riesgo Baja: Asumir el riesgo




Versión: 04



M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir


El producto de esta evaluación del riesgo se designa como riesgo inherente, al cual se enfrenta la entidad en ausencia de acciones que modifiquen su probabilidad de ocurrencia o su impacto generado. Para dar una mayor idea de la forma como se evalúan los riesgos, se presenta a continuación el siguiente ejemplo: Tabla 6. Ejemplo de Calificación del riesgo

RIESGO CALIFICACIÓN

EVALUACIÓN Probabilidad Impacto

Debilidades en la unificación de criterios en materia contractual.

5 4 E


La evaluación de los riesgos detectados en el proceso, se consolidan en el formato Matriz de Calificación y Evaluación de Riesgos G1-S3-FO-09, de la siguiente forma:



Versión: 04



Ilustración 4. Ejemplo de Calificación y evaluación de riesgos


6.2.5 Valoración de los riesgos La etapa de valoración del riesgo, es aquella en la cual se comparan los resultados obtenidos en la evaluación del riesgo (Zona de Riesgo), con los controles existentes identificados en los procesos y subprocesos institucionales, en donde se identifica su efectividad y nivel de aplicación al proceso. De esta forma se puede llegar a evaluar si el riesgo identificado y evaluado previamente, mantiene su nivel después de evaluarlos frente a los controles existentes. Culminada esta valoración se obtienen los riesgos residuales, que serán enviados al Mapa de Riesgo del Proceso/Subproceso6. Se deben valorar los controles existentes en el proceso/subproceso, con el fin de conocer el tipo de control y su respuesta, para ello se hace necesario describir el control y determinar su clasificación, teniendo en cuenta si es:

Control Preventivo: “Son aquellos controles que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización”7 Se debe tener en cuenta que cuando los controles son preventivos, al momento de valorarlos se mide la probabilidad.

Control Correctivo: “Son aquellos controles que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia”8 Cuando los controles son de tipo correctivos, se mide su incidencia en el impacto del riesgo.

La Guía de Administración del Riesgo del DAFP (DAFP, 2011), define algunos lineamientos y ejemplos que facilitan la identificación de controles aplicados en las entidades: Tabla 7. Ejemplos de Controles

CONTROLES

Controles de

Gestión

Políticas claras aplicadas

Seguimiento al plan estratégico y operativo

Indicadores de gestión

Tableros de control

Seguimiento a cronograma

Evaluación del desempeño

Informes de gestión

6 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011) 7 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011) 8 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)



Versión: 04



Monitoreo de riesgos

Controles Operativos

Conciliaciones

Consecutivos

Verificación de firmas

Listas de chequeo

Registro controlado

Segregación de funciones

Niveles de autorización

Custodia apropiada

Procedimientos formales aplicados

Pólizas

Seguridad física

Contingencias y respaldo

Personal capacitado

Aseguramiento y calidad

Controles Legales Normas claras y aplicadas

Control de términos (Fuente: Guía para la administración del riesgo DAFP 2011)

Para adelantar la evaluación de los controles existentes, se deberá tener en cuenta los siguientes criterios: Ilustración 5. Valoración del riesgo



Versión: 04




Los controles luego de su valoración permiten desplazarse en la matriz, de acuerdo a si están enfocados hacia la probabilidad o impacto. En el caso de la probabilidad desplazaría casillas hacia arriba y en el caso del impacto hacia la izquierda, como se muestra en el siguiente gráfico, de acuerdo a la valoración de controles. Ilustración 6. Disminución de Probabilidad e Impacto de los riesgos

(Fuente: Guía para la administración del riesgo DAFP, 2011)

Para dar una mayor claridad de la valoración del riesgo, se presenta a continuación un ejemplo práctico, que facilita el entendimiento de cómo se realiza el desplazamiento de las casilla en la Matriz de evaluación antes de controles. Ejemplo: Ilustración 7. Ejemplo aplicado a la metodología

RIESGO

CALIFICACIÓN

CONTROLES

TIPO DE CONTROL

(Probabilidad – Impacto)

DESPLAZAMIENTO

Pro

babi

lidad

Impa

cto

Incumplimiento en la generación de

respuestas a los usuarios (términos establecidos por la

ley).

4 3

Aplicativo que permite mediante alarmas controlar las fechas límite para las respuestas a los usuarios sobre las comunicaciones escritas recibidas. (Dicho control es efectivo, pero no se encuentra documentado, por lo tanto corresponde al nivel 3 de la tabla de valoración del riesgo, donde el desplazamiento es 1 casilla )

Probabilidad 1

Plan de capacitaciones a los servidores, sobre la normatividad vigente y el manejo adecuado del sistema de información implementado.

Probabilidad 0



Versión: 04




El resultado de la valoración del riesgo, llamado riesgo residual, es aquel riesgo al cual se le realizará el tratamiento del riesgo, de acuerdo con la ubicación de la zona en la cual quedó. “A continuación se establecen las diferentes opciones de tratamiento del riesgo, de acuerdo con la zona en la cual quedó ubicado el riesgo residual. B: Zona de riesgo Baja: Asumir el riesgo M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir Asumir un riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual, donde el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles. Evitar el riesgo: Implica tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. Compartir o Transferir el riesgo: Reduce su efecto a través de compartir o transferir las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar

(Dicho control no es efectivo, por lo tanto corresponde al nivel 2 de la tabla de valoración del riesgo, donde el desplazamiento es 0 casilla )

TOTAL Probabilidad 1

Impacto 0

Se totaliza la calificación de cada uno de los controles existentes sobre el riesgo, teniendo en cuenta si estos apuntan hacia probabilidad o hacia impacto. En este ejemplo se tienen dos controles, los cuales están dirigidos a disminuir la probabilidad de ocurrencia del riesgo. La sumatoria de la calificación de los controles, indican el desplazamiento de una (1) casilla en la calificación del riesgo obtenida en la Matriz de evaluación antes de controles, lo que indicaría que el riesgo se ubicara bajo una probabilidad posible (3) y se mantiene en un impacto moderado (3); manteniéndose en la zona de riesgo alta, como se muestra en la siguiente figura:



Versión: 04



y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización”.9 La respectiva valoración del riesgo, se consolida en el formato Matriz de Valoración del Riesgo G1-S3-FO-10, en el cual, se podrán identificar y clasificar cada uno de los controles existentes tanto para la probabilidad, como para el impacto e identificando su nivel de eficacia frente a la gestión del riesgo. Cuando no existan controles, se deberá registrar la frase “No existe”. Ilustración 8. Matriz de valoración de riesgos


6.2.6 Elaboración del mapa de riesgos El Mapa de Riesgos es una representación final de los riesgos, con sus respectivas calificaciones de probabilidad e impacto en cada uno de los procesos/subprocesos. Se debe tener en cuenta que el Mapa de Riesgos se establece, desde dos niveles diferentes. El primero de ellos es el Mapa de Riesgos por Proceso/Subproceso G1-S3-FO-11, en el cual se visualiza la identificación, calificación, evaluación y valoración, de cada riesgo detectado en el proceso/subproceso. El segundo nivel corresponde al Mapa de Riesgos Institucional G1-S3-FO-12, en el cual se consolidan los riesgos categorizados en la zona alta y extrema identificados en todos los procesos y subprocesos institucionales, que afecten el cumplimiento de la misión y objetivos institucionales. Ilustración 9. Mapa de Riesgos de Proceso/Subproceso





Versión: 04



El Mapa de Riesgos de Proceso/Subproceso G1-S3-FO-11, contendrá aquellas acciones de control definidas para el manejo del riesgo, buscando prevenir o reducir el riesgo detectado, teniendo en cuenta su viabilidad técnica y financiera. Para esto, es indispensable que se formule de manera simultánea la acción de control en el formato G1-S3-FO-04 Reporte de Acción, la cual corresponderá a una acción preventiva. El monitoreo estará a cargo de los responsables de los procesos/subprocesos. A continuación se presenta un ejemplo del diligenciamiento del formato de Mapa de Riesgos de Proceso/Subproceso. Ilustración 10. Ejemplo Mapa de Riesgos de Proceso / Subproceso


Una vez se consolide y apruebe el Mapa de Riesgos Institucional G1-S3-FO-12, las acciones de control que buscan mitigar los riesgos en la zona alta y extrema, al igual que los que se encuentran en el Mapa de Riesgos por proceso/subproceso en la zona baja y media, se documentarán bajo el procedimiento de Acciones Correctivas, Preventivas y de Mejora G1-S3-PR-02. El monitoreo estará a cargo de los responsables de los procesos/subprocesos y de la Oficina de Control Interno, teniendo en cuenta los parámetros establecidos en el Procedimiento de Acciones Correctivas, Preventivas y de Mejora. De acuerdo con lo establecido por el Departamento Administrativo de la Función Pública, en el Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014 “es recomendable que, dentro de los lineamientos dados por la dirección, se incluya una periodicidad mínima para revisar los riesgos identificados, lo anterior teniendo en cuenta los cambios que se presentan al interior de las organizaciones y en su entorno. Se sugiere que esta revisión se realice como mínimo una vez al año; sin embargo, debe dejarse claro que ésta debe realizarse cada vez que las circunstancias lo ameriten (ejemplo: cambios en la normatividad, que la entidad asuma nuevas funciones, cambios de gobierno, etc.)”. (DAFP 2014) Adicionalmente, los responsables de cada uno de los procesos/ subprocesos, deberán:

Informar oportunamente a la Oficina Asesora de Planeación y Desarrollo, los nuevos riesgos identificados en los procesos y/o subprocesos, desarrollando su respectiva calificación y valoración.

Los responsables de proceso/subproceso, tienen la posibilidad de organizar y desarrollar mesas de trabajo, en donde se genere la participación activa de los funcionarios para la identificación, calificación y valoración de riesgos.

6.3 FORMULACIÓN DE POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO La formulación de Políticas, estará bajo la responsabilidad de la Alta Dirección y el Comité de Coordinación de Control Interno, teniendo en cuenta el Mapa de Riesgos Institucional. Esta Política se efectuará de forma tal que permita tener un



Versión: 04



control sobre su la implementación, basándose en la información de los planes institucionales y objetivos de los procesos/subprocesos. La política deberá adoptarse y socializarse, de tal forma que todos los funcionarios y contratistas de la entidad, puedan participar activamente en la prevención y mitigación de los riesgos detectados en cada uno de los procesos/subprocesos. 6.4 MONITOREO Y REVISIÓN Una vez diseñado y validado el plan para administrar los riesgos en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización. El monitoreo es esencial para asegurar que las acciones que se están llevando a cabo se cumplan y faciliten la evaluación de la eficacia en su implementación. Por lo tanto, se deben adelantar revisiones sistemáticas sobre la ejecución de las acciones para determinar su eficacia. El monitoreo debe estar a cargo de:

Los responsables de los procesos/subprocesos

La Oficina de Control Interno. Su finalidad principal será la aplicación y definición de los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función, asesorará, comunicará y presentará luego del seguimiento y evaluación, sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.10 6.5 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Este capítulo toma como referencia la información suministrada por la firma consultora a través de la cual se ejecutó el contrato 332 de 2016. Para identificar riesgos en seguridad de la información de una manera asertiva es importante verificar posibles hechos que afecten la disponibilidad, integridad y/o confidencialidad de la información, de acuerdo a la Norma Técnica Colombiana NTC-ISO/IEC 27005:2009, la cual establece la identificación de los activos de información sus amenazas, vulnerabilidades y controles que tengan relación con cada uno de los riesgos identificados para tales activos. Adicionalmente para establecer el nivel de riesgo tanto inherente como residual se emplean los valores establecidos por el DAFP a través de la Guía para la Administración del Riesgo, 2011. La USPEC realizará la gestión de riesgos de seguridad de la información, a través del formato A3-FO-33 Matriz de riesgos de seguridad de la información.




Versión: 04



6.5.1 Construcción de Riesgos de Seguridad de la Información

6.5.1.1 Identificación del riesgo

Es el primer paso del ciclo de gestión de riesgos de seguridad de información y su objetivo es conocer el nivel de exposición de los activos de información con valor alto y crítico, frente a las amenazas y vulnerabilidades existentes en el funcionamiento de los procesos, es decir conocer los riesgos a los cuales se encuentra expuesto tal activo. La lista de activos proviene del inventario identificado por el proceso a través de los siguientes formatos:

A3-FO-34 Inventario de Activos de Información Tipo de Activo: Información A3-FO-35 Inventario de Activos de Información Tipo de Activo: Hardware-Software-Servicios A3-FO-36 Inventario de Activos de Información Tipo de Activo: Recursos Humanos

6.5.1.2 Identificación de amenazas o fuentes de riesgo

Tomando como base los tipos de amenazas propuestos por Norma Técnica Colombiana NTC-ISO/IEC 27005:2009, se analizan cuales aplican para cada activo de información, considerando el criterio del dueño del proceso y/o responsables asignados. Se identificarán amenazas de tipo: Deliberadas: corresponde a las acciones ejecutadas por personas que bajo diferentes motivaciones como pueden ser económicas, políticas, de reconocimiento, terrorismo o sabotaje, pretendan afectar la confidencialidad, integridad y/o disponibilidad de los activos de información de USPEC. A continuación se citan ejemplos de amenazas de este tipo:

Acceso no autorizado

Repudio

Fuga de información intencional

Denegación de servicio

Modificación mal intencionada

Destrucción o eliminación malintencionada

Robo

Ataque informático

Indisponibilidad deliberada

Coacción

Ingeniería social

Suplantación de identidad

Abuso

Malware

Instalación no autorizada

Accidentales: acciones ejecutadas involuntariamente debido a desconocimiento, descuido, cansancio o hechos fortuitos que puedan afectar la confidencialidad, integridad y/o disponibilidad de los activos de información de USPEC. Algunos ejemplos son:

Modificación por error

Destrucción o eliminación por error

Interrupción de servicio por error

Pérdida de equipos

Indisponibilidad accidental



Versión: 04



Falla

Entorno: eventos cuyo origen se encuentra en los equipos, infraestructura, instalaciones, medio ambiente y que pueden llegar a afectar la confidencialidad, integridad y/o disponibilidad de los activos de información de USPEC. Como ejemplo se pueden mencionar lo siguiente:

Interferencia electromagnética

Fuego

Agua

Corte de suministro eléctrico

Terremoto

Violación a derechos de autor

Variación no soportada de las condiciones ambientales

Descarga eléctrica

Paro

6.5.1.3 Identificación de vulnerabilidades

Para cada tipo de amenaza el oficial de seguridad o quien haga sus veces, orienta al funcionario responsable del proceso para conocer que vulnerabilidades pueden ser aprovechadas por dicha amenaza para generar un escenario de riesgo por la pérdida de la confidencialidad, integridad o disponibilidad de la información de la Entidad. Las amenazas y vulnerabilidades aplican de acuerdo con el tipo de activo de información. A continuación se citan ejemplos ilustrativos:

Vulnerabilidades para la amenaza fuga de información deliberada en el tipo de activo información: ausencia de monitoreo, ausencia de mecanismos de cifrado, ausencia de Políticas de seguridad.

Vulnerabilidades para la amenaza interrupción del servicio accidental en el tipo de activo hardware: ausencia de sistemas UPS, ausencia de redundancia, insuficientes mecanismos de monitoreo, mantenimiento insuficiente de la plataforma.

Vulnerabilidades para la amenaza indisponibilidad del personal: ausencia de procedimientos documentados, inapropiada segregación de funciones.

Es de anotar que la identificación de vulnerabilidades para encontrar el riesgo residual se hace considerando los controles existentes, los cuales fueron identificados para reducir la probabilidad o modificar el impacto de la ocurrencia de una amenaza. De esta forma si el control existente no reduce la probabilidad o no cambia el impacto para que el riesgo resultante se encuentre dentro del Nivel de Riesgo Aceptable - NRA (riesgos ubicados en la zona baja y moderada), dicho control debe ser mejorado o reemplazado.

6.5.1.4 Identificación de Efectos

Esta actividad identifica los daños o las consecuencias para la Entidad que podrían ser causadas por la materialización del riesgo.

A continuación se muestra un ejemplo del análisis del riesgo de acuerdo a lo establecido en el formato A3-FO-33 Matriz de riesgos de seguridad de la información.



Versión: 04



Ilustración 12. Análisis del riesgo


6.5.2 Estimación del riesgo

De acuerdo a la identificación de riesgos realizado en la etapa anterior, se procede con su respectiva estimación con el propósito de definir la probabilidad de ocurrencia de los mismos, así como los impactos que estos pueden generar en la entidad. Existen dos variables a tener en cuenta al momento de realizar el análisis de los riesgos presentes en los procesos, definidas como la probabilidad y el impacto. La calificación del riesgo, se realiza teniendo en cuenta la estimación de la probabilidad de ocurrencia y el impacto que causa la materialización del riesgo.

6.5.2.1 Probabilidad

“Se entiende como la posibilidad de ocurrencia del riesgo que puede ser medida con criterios de:

Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado en el que ha ocurrido el evento).

Factibilidad, teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de las siguientes especificaciones”:11 Tabla 8. Probabilidad de ocurrencia del riesgo

VALOR NIVEL

PROBABILIDAD DESCRIPCIÓN FRECUENCIA

1 Raro El evento puede ocurrir solo en circunstancias excepcionales.

No se ha presentado en los últimos 3 años.

2 Improbable El evento puede ocurrir en algún momento


3 Posible El evento podría ocurrir en algún momento


4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias

Al menos una vez en el último año.

5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias

Más de una vez al año.





Versión: 04



6.5.2.2 Impacto

“Se entiende como Impacto a las consecuencias que se pueden ocasionar en la organización, debido a la materialización del riesgo. Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes especificaciones:”12 Tabla 9. Impactos que genera el riesgo

VALOR NIVEL DE IMPACTO

DESCRIPCIÓN

1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.

2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.

3 Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad

4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad

5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.


A continuación se muestra un ejemplo de la estimación del riesgo a través del diligenciamiento del formato A3-FO-33 Matriz de riesgos de seguridad de la información.

Ilustración 13. Estimación del riesgo


6.5.3 Evaluación del riesgo En ésta etapa se comparan los resultados obtenidos en la estimación del riesgo, con los criterios establecidos por la Unidad de Servicios Penitenciarios y Carcelarios para identificar el nivel de exposición del riesgo, a este riesgo se le denomina riesgo inherente. A continuación, se presenta una matriz donde se consolida el análisis cualitativo para la probabilidad e impacto. 12 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)



Versión: 04



Tabla 10. Tabla para medir grado de exposición al riesgo

PROBABILIDAD IMPACTO

Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)

Raro (1) B B M A A

Improbable (2) B B M A E

Posible (3) B M A E E

Probable (4) M A A E E

Casi Seguro (5) A A E E E

B: Zona de riesgo Baja. M: Zona de riesgo Moderada. A: Zona de riesgo Alta. E: Zona de riesgo Extrema.


Una vez se determina el riesgo inherente se evalúan los controles existentes con el fin de establecer su efectividad para la mitigación del riesgo. El producto de esta evaluación del riesgo se designa como riesgo residual, al cual se enfrenta la entidad en ausencia de acciones que modifiquen su probabilidad de ocurrencia o el impacto generado.

Los riesgos inherentes y residuales del proceso, se consolidan en el formato A3-FO-33 Matriz de riesgos de seguridad de la información y su estimación se realizará de acuerdo a lo descrito en el numeral 6.5.2.

Ilustración 14. Estimación del riesgo

(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC) 6.5.4 Tratamiento de riesgos

Para los riesgos residuales de seguridad de información el Nivel de Riesgo Aceptable-NRA se encuentra ubicado en las zonas baja y moderada, es decir, en estos casos las opciones de tratamiento serán las siguientes:

Zona de riesgo Baja (B): Asumir el riesgo Zona de riesgo Moderada (M): Asumir el riesgo, Reducir el riesgo



Versión: 04



Para los riesgos residuales de seguridad de información ubicados en las zonas alta y extrema las opciones están dadas de acuerdo a la siguiente especificación, en estos casos se hará necesario definir un plan de tratamiento de riesgos (Ver numeral 6.5.5):

Zona de riesgo Alta (A): Reducir el riesgo, Evitar, Compartir o Transferir Zona de riesgo Extrema (E): Reducir el riesgo, Evitar, Compartir o Transferir

A continuación se definen cada una de las opciones de tratamiento del riesgo: Asumir un riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual, donde el líder del proceso simplemente acepta la pérdida residual probable. Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles. Evitar el riesgo: Implica tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. Compartir o Transferir el riesgo: Reduce su efecto a través de compartir o transferir las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización”.13 El tratamiento del riesgo residual se registra en el formato A3-FO-33 Matriz de riesgos de seguridad de la información, tal como se muestra en el siguiente ejemplo: Ilustración 15. Análisis de Riesgos


13 Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011



Versión: 04



6.5.5 Plan de tratamiento de riesgo

Para aquellos riesgos de seguridad de información no aceptables por USPEC, se debe establecer un plan de tratamiento que incluya los siguientes elementos:

El plan de tratamiento requiere una definición clara de elementos a desarrollar y cada una debe contar con el registro de los siguientes ítems:

Controles: listado de medidas que deben ser ejecutadas con el fin de mitigar el riesgo residual.

Responsable: nombre de funcionario quien ejecutará la actividad descrita en el plazo asignado.

Fecha: fechas de inicio y finalización de la medida que se ejecutará.

Seguimiento: cada tres meses se deberá reportar el avance de las medidas propuestas para mitigar el riesgo.

Ilustración 16. Plan de tratamiento de riesgos


6.5.6 Monitoreo y revisión

Los riesgos identificados traerán consigo controles que incluyen el monitoreo de las amenazas correspondientes, invirtiendo los recursos con base en la criticidad del riesgo asociado. Las amenazas asociadas con riesgos cuya calificación se encuentre por fuera del NRA de USPEC, deben ser monitoreadas invirtiendo recursos necesarios para lograr registrar con el nivel de detalle requerido, los puntos donde pueda evidenciarse la amenaza correspondiente. Las responsabilidades del monitoreo y la revisión deben estar claramente definidas. El seguimiento de los riesgos identificados se llevará cabo de manera trimestral por cada uno de los líderes de los procesos, quienes reportarán a la Oficina de Tecnología para su posterior monitoreo. El monitoreo y revisión de los riesgos deberán comprender todos los aspectos del proceso para la gestión del riesgo con el fin de:

Velar que los controles son eficaces tanto en el diseño como en la operación

Obtener información adicional para mejorar la valoración del riesgo.

Analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes) los cambios, las tendencias, los éxitos y los fracasos.



Versión: 04



Detectar cambios en el contexto externo e interno, incluyendo los cambios en los criterios de riesgo y en el mismo, que puedan exigir revisión de los tratamientos del riesgo y las prioridades.

6.6 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE CORRUPCIÓN

Para la construcción del Mapa de Riesgos de Corrupción, se tomó como base los lineamientos establecidos en la Guía

para la Gestión del Riesgo de Corrupción 2015 de la Función Pública14, por lo tanto en lo relativo a los Riesgos de

Corrupción se dará cumplimiento a los parámetros citados en la Guía o directriz vigente. La metodología establecerá la

Identificación, Valoración, Análisis, Evaluación, Construcción de la Matriz del Mapa de Riesgos de Corrupción y

Seguimiento.

6.6.1 Política Administración de Riesgos de Corrupción “La Política de Administración de Riesgos hace referencia al propósito de la Alta Dirección de gestionar el riesgo. Esta

política debe estar alineada con la planificación estratégica de la entidad, con el fin de garantizar la eficacia de las acciones

planteadas frente a los riesgos de corrupción identificados. Dentro del mapa institucional y de política de administración

del riesgo de la entidad deberán contemplarse los riesgos de corrupción, para que a partir de ahí se realice un monitoreo

a los controles establecidos para los mismos.

La Política de Administración de Riesgos se puede adoptar a través de manuales o guías. Para estos efectos, se deben

tener en cuenta entre otros: objetivos que se espera lograr, estrategias para establecer cómo se va a desarrollar la política,

acciones que se van a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido,

seguimiento y evaluación a la implementación y efectividad de las políticas”15

6.6.2 Construcción del Mapa de Riesgos de Corrupción

Para la construcción el mapa de Riesgos de Corrupción, se debe tener en cuenta los siguientes pasos.

6.6.2.1 Identificación del Riesgo de Corrupción

Esta etapa tiene como objetivo conocer las fuentes de los riesgos, las causas y consecuencias, para identificar los

posibles riesgos de corrupción.

6.6.2.2 Identificación del Contexto

Se hace necesario determinar los factores que afectan positiva o negativamente el cumplimiento de la misionalidad de la entidad, esto con el fin de identificar los escenarios en los que se presentan y así lograr determinar el contexto específico en el que se desarrollan16.

14 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA.) 15 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 13) 16 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 15)



Versión: 04



6.6.2.3 Construcción del Riesgo de Corrupción

El Objetivo de esta actividad es lograr identificar los posibles riegos de corrupción a los cuales la Entidad está expuesta;

de esta manera se establecen las siguientes 5 fases para su construcción17:

1- Identificación del proceso: El Mapa de Riesgos de Corrupción se elabora basado en los 12 procesos establecidos

en la entidad, para lo cual es necesario tener en cuenta los procesos Misionales, Estratégicos, de Apoyo y

Evaluación.

2- Objetivo del Proceso: Para el cumplimiento de esta esta etapa, es necesario indicar el objetivo del Proceso al

cual se le identificarán los riesgos de corrupción.

3- Establecer las causas: Teniendo en cuenta los factores internos y externos que pueden propiciar un escenario

de corrupción en la entidad, se establecen los agentes generadores del riesgo.

Con el fin de lograr establecer las causas es necesario especificar situaciones que evidencien o puedan ser consecuencia de prácticas corruptas. Para este efecto es pertinente acudir a fuentes de información histórica como: registros históricos, informes de años anteriores y toda la memoria institucional con la que cuente la entidad. Basado en lo anterior es importante analizar los posibles hechos de corrupción encontrados, junto con las PQRD allegadas, denuncias e investigaciones adelantadas en la entidad y en otras entidades similares.

4- Identificar los eventos de riesgos: Partiendo de la identificación del proceso y la causa específica generadora, el

riesgo debe describirse de manera clara, precisa y que no genere ambigüedad o confusión en su interpretación.

Definición de riesgo de corrupción: Con el fin de establecer una estructura para la definición de un riesgo de

corrupción es necesario que la descripción del riesgo, contenga los siguientes componentes:

Acción u omisión: Hecho generador del riesgo

Uso del poder: hecho que evidencia el mal uso de las actuaciones en contra de la organización.

Desviación de la gestión de lo público: Posibles desviaciones que pudieran afectar la transparencia de

la gestión pública

Beneficio privado: Bien obtenido como consecuencia del uso del poder

La identificación clara de cada uno de los componentes anteriores permite evitar que se presente confusión entre

un riesgo de corrupción y uno de gestión.

5- Determinar las consecuencias: Se encuentran directamente relacionadas con los efectos ocasionados por la

ocurrencia de un riesgo, situaciones que pueden llegar a afectar los objetivos o procesos de la entidad,

específicamente una pérdida, un daño, un perjuicio o un detrimento en contra de la organización. La

determinación clara de las consecuencias se convierte en un insumo clave para determinar el impacto que

ocasiona un riesgo.

17 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 16-17)



Versión: 04



Tabla 11: Matriz Identificación del Riesgo de Corrupción

3. Identificación del riesgo de Corrupción

3.1 Proceso / Objetivo 3.2 Causa 3.3 Riesgo 3.4 Consecuencia

(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 18)

6.6.2.4 Valoración del Riesgo de Corrupción

6.6.2.4.1 Análisis del Riesgo de Corrupción

El análisis del riesgo de Corrupción se compone de un conjunto de etapas cuyo objetivo es medir el riesgo inherente,

mediante la determinación de la probabilidad de materialización del riesgo y sus consecuencias o impacto; con el fin de

clasificar la zona de riesgo correspondiente de acuerdo a las características de medición obtenidas18.

Para el cumplimiento del objetivo del Análisis de riesgo de Corrupción, es necesario determinar los criterios para la

medición del riesgo de corrupción, dando cumplimiento a los siguientes pasos:

1. Determinar el Nivel de Probabilidad: Para lograr determinar el nivel de Probabilidad es necesario basarse en el

la oportunidad de ocurrencia de un posible riesgo de Corrupción, es decir la frecuencia con la que se ha

presentado dicho riesgo (Ver tabla 12).

Tabla 12: Medición Riesgo de Corrupción - Probabilidad

Medición del Riesgo de Corrupción - Probabilidad

Descriptor Descripción Frecuencia Nivel

Rara Vez Excepcional

Ocurre en excepciones

No se ha presentado en

los últimos 5 años

1

Improbable Improbable

Puede ocurrir

Se presentó una vez en


2

Posible Posible

Es posible que suceda

Se presentó una vez en


3

Probable Es probable

Ocurre en la mayoría de los casos

Se presentó una vez en el

último año

4

Casi seguro Es muy seguro

El evento ocurre en la mayoría de las

circunstancias. Es muy seguro de que se presente

Se ha presentado más de

una vez al año

5

(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA)

18 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Páginas 18-20)



Versión: 04



2. Determinar el Nivel de Impacto: Para lograr determinar el nivel de impacto inicialmente se requiere el

diligenciamiento del “Formato para determinar el Impacto” (ver tabla 13), la sumatoria de las respuesta

afirmativas (SI), permiten clasificar el Riesgo de Corrupción (ver tabla 14).

Tabla 13: Determinación del Impacto.

(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA)

Si No

1 ¿Afectar al grupo de funcionarios del proceso?

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?

3 ¿Afectar el cumplimiento de misión de la Entidad?

4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad?

5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación?

6 ¿Generar pérdida de recursos económicos?

7 ¿Afectar la generación de los productos o la prestación de servicios?

8¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida

del bien o servicios o los recursos públicos?

9 ¿Generar pérdida de información de la Entidad?

10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente?

11 ¿Dar lugar a procesos sancionatorios?

12 ¿Dar lugar a procesos disciplinarios?

13 ¿Dar lugar a procesos fiscales?

14 ¿Dar lugar a procesos penales?

15 ¿Generar pérdida de credibilidad del sector?

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?

17 ¿Afectar la imagen regional?

18 ¿Afectar la imagen nacional?

Respuesta

Formato para determinar el Impacto

Total preguntas afirmativas:____________ Total preguntas negativas:______________

Clasificación del Riesgo: Moderado__________ Mayor__________ Catastrófico___________

Puntaje:_____________

NºPregunta

Si el riesgo de corrupción se materializa podría…



Versión: 04



Tabla 14: Clasificación del Riesgo de Corrupción.

Clasificación de Riesgo de Corrupción - Impacto

Respuestas (Afirmativas) Descripción Nivel

1 - 5

Moderado: Afectación parcial al proceso y a

la dependencia

Genera medianas consecuencias para la entidad

5

6 - 11

Mayor: Impacto negativo de la Entidad

Genera altas consecuencias para la entidad

10

12 - 18

Catastrófico: Consecuencias desastrosas

sobre el sector

Genera consecuencias desastrosas para la

entidad

20


3. Determinar el Riesgo inherente: Se realiza mediante el cruce de los resultados obtenidos de la determinación del

nivel de Probabilidad (ver tabla 12) y el nivel impacto (ver tabla 14) a través de la multiplicación de las dos

variables relacionadas en la tabla de resultados de la calificación del Riesgo de Corrupción, con el fin de

determinar la zona de riesgo de corrupción correspondiente (ver tabla 15).

Tabla 15: Resultado de la calificación del Riesgo de Corrupción

Resultado de la calificación del Riesgo de Corrupción

Probabilidad Puntaje Zonas de Riesgo de Corrupción

Casi seguro

5

25

Moderada

50

Alta

100

Extrema

Probable

4

20

Moderada

40

Alta

80

Extrema

Posible

3

15

Moderada

30

Alta

60

Extrema

Improbable

2

10

Baja

20

Moderada

40

Alta

Rara vez

1

5

Baja

10

Baja

20

Moderada

Impacto Moderado Mayor Catastrófico

Puntaje 5 10 20


PR

OB

AB

ILID

AD

IMPACTO



Versión: 04



Tabla 16: Relación de Zonas de Riesgo y Tratamiento a seguir

Zona de

Riesgo

Puntaje

Probabilidad

Impacto

Tratamiento

Baja

De 5 a 10

Puntos

Rara vez o

improbable

Moderado y Mayor El Riesgo puede eliminarse o reducirse

Moderada

De 15 a 25

Puntos

Rara vez,

Improbable,

Posible, Probable

y Casi seguro

Moderado, Mayor

y Catastrófico

Debe llevarse el Riesgo a la Zona de Riesgo

Bajo o eliminarlo

Alta

De 30 a 50

Puntos

Improbable,

Posible, Probable

y Casi seguro

Mayor y

Catastrófico

Debe llevarse el Riesgo a la Zona de Riesgo

Moderado, Bajo o eliminarlo

Extrema

De 60 a 100

Puntos

Posible, Probable

y Casi seguro

Catastrófico

Los riesgos de esta zona, requieren de un

tratamiento prioritario, implementar

controles orientados a reducir la

probabilidad de ocurrencia del riesgo


6.6.2.4.2 Evaluación del Riesgo de Corrupción

La etapa de evaluación se enfoca en la comparación de los resultados obtenidos del análisis de riesgos y los controles

establecidos, con el fin de determinar la zona de riesgo final, para dar cumplimiento lo anterior es necesario desarrollar

los siguientes objetivos19:

Objetivo 1: Determinar el riesgo residual, el cual hace referencia a el riesgo que resulta después de aplicar los controles.

Objetivo 2: Tomar las medidas conducentes para reducir la probabilidad y el impacto causados por los eventos de riesgo.

La determinación de los controles o medidas conducentes para controlar el riesgo inherente debe estar sometido a los

siguientes pasos:

1. Determinar la naturaleza de los controles: Para definir la naturaleza se requiere determinar el tipo de control

necesario para la reducción y eliminación del riesgo; teniendo en cuenta las características del mismo para así

lograr asociarlo a una de las siguientes categorías

“Preventivos: Actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia,

y constituyen la primera línea de defensa contra ellos; también actúan para disminuir la acción de los

agentes generadores de los riesgos.

Detectivos: Se diseñan para descubrir un evento, irregularidad o un resultado no previsto; alertan sobre

la presencia de los riesgos y permiten tomar medidas inmediatas; pueden ser manuales o

computarizados. Generalmente sirven para supervisar la ejecución del proceso y se usan para verificar

19 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Páginas 24-25)



Versión: 04



la eficacia de los controles preventivos. Ofrecen la segunda barrera de seguridad frente a los riesgos,

pueden informar y registrar la ocurrencia de los hechos no deseados, accionar alarmas, bloquear la

operación de un sistema, monitorear, o alertar a los funcionarios.

Correctivos: Permiten el restablecimiento de una actividad, después de ser detectado un evento no

deseable, posibilitando la modificación de las acciones que propiciaron su ocurrencia. Estos controles

se establecen cuando los anteriores no operan, y permiten mejorar las deficiencias. Por lo general,

actúan con los controles detectivos, implicando reprocesos. Son de tipo administrativo y requieren

políticas o procedimientos para su ejecución”20.

2. Determinar si los controles están documentados: Es necesario la determinación del nivel de documentación de

los controles, con el fin de establecer la forma de cómo se realiza el control, el responsable y la periodicidad de

ejecución.

3. Determinar las clases de controles: Se encuentra enfocado a definir la clase de control a aplicar, teniendo en

cuenta el tipo de proceso en el que se encuentra y las herramientas con las que se cuente para su ejecución, de

esta manera se puede dividir de la siguiente manera.

Controles manuales: Políticas de operación aplicables, autorizaciones a través de firmas o confirmaciones

vía correo electrónico, archivos físicos, consecutivos, listas de chequeos, controles de seguridad con

personal especializado entre otros.

Controles automáticos: Utilizan herramientas tecnológicas como sistemas de información o software,

diseñados para prevenir, detectar o corregir errores o deficiencias, sin que tenga que intervenir una persona

en el proceso.

Teniendo en cuenta los pasos anteriores se debe aplicar la tabla controles riesgos de corrupción (ver tabla 17), con el fin

de obtener una evaluación numérica del riesgo basado en los controles utilizados y así determinar el riesgo residual.

20 (Tomado Portal del MECIP: http://www.mecip.gov.py/mecip/?q=node/176.)



Versión: 04



Tabla 17: Controles de Riesgos de Corrupción

Controles de riesgos de corrupción

Descripción del riesgo

Naturaleza del control Criterios para la evaluación Evaluación

Preventivo Detectivo Correctivo Criterio de medición Si No

¿Existen manuales, instructivos o procedimientos para el manejo del control?

15

¿Está(n) definido(s) el(los) responsable(s) de la ejecución del control y del seguimiento?

5

¿El control es automático? 15

¿El control es manual? 10

¿La frecuencia de ejecución del control y seguimiento es adecuada?

15

¿Se cuenta con evidencias de la ejecución y seguimiento del control?

10

¿En el tiempo que lleva la herramienta ha demostrado ser efectiva?

30

TOTAL 100


4. Determinación del riesgo residual: Teniendo en cuenta el resultado obtenido del riesgo inherente a través de la

aplicación de la Tabla 17, al resultado se le debe aplicar la tabla Calificación de los controles (ver tabla 18), con

el fin de determinar la zona de riesgo final21.

Tabal 18: Calificación de los Controles

Calificación de los controles

Puntaje a disminuir

De 0 a 50

0

De 51 a 75

1

De 75 a 100

2


Nota: Con la calificación obtenida se realiza un desplazamiento en la matriz, así: si el control afecta la probabilidad

se avanza hacia abajo. Si afecta el impacto se avanza a la izquierda.

21 Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Páginas 25-26



Versión: 04



Ilustración 17: Calificación de los controles


6.6.2.5 Matriz Mapa de Riesgos de Corrupción

Después de haberse desarrollado el proceso de construcción del Mapa de Riesgos de Corrupción, se procede a la elaboración de la Matriz de Riesgos de Corrupción de la entidad, a través del diligenciamiento del modelo presentado en la Ilustración 17 Mapa de Riesgos de Corrupción, cuyo formato se encuentra publicado en la página de la entidad en Sistema Integrado de Gestión Institucional en el link www.uspec.gov.co/?page_id=3329 codificado de la siguiente manera: G1-S1-FO-15 Mapa de Riesgos Corrupción.

Nivel

5

4

3

2

1

Moderado Mayor Catastrófico

3 4 5

Si afecta el Impacto se desplaza a la izquierda

Probabilidad Nivel

Casi seguro 5

Probable 4

Posible 3

Improbable 2

Rara vez 1

Moderado Mayor Catastrófico

3 4 5

Si afecta la Probabilidad se desplaza hacia abajo.

Zona de riesgo de corrupción

Impacto

Nivel

PR

OB

AB

ILIDA

D

Probabilidad

Casi seguro

Probable

Posible

Improbable

Rara vez

Zona de riesgo de corrupción

IMPACTO

Resultados de la calificación del Riesgo de Corrupción

Impacto

Nivel

Resultados de la calificación del Riesgo de Corrupción

http://www.uspec.gov.co/?page_id=3329

https://www.uspec.gov.co/wp-content/uploads/2018/02/G1-S1-FO-15_Mapa_Riesgos_Corrupcion_V02.xlsx



Versión: 04



Ilustración 18: Mapa de Riesgos de Corrupción


Para el diligenciamiento adecuado de la matriz Mapa de Riesgo de Corrupción es necesario tener en cuenta los resultados de todas las etapas anteriores asociadas a la construcción del riesgo de corrupción con el fin de diligenciar los numerales 3. Identificación del Riesgo y 4. Valoración del Riesgo de Corrupción en todos sus componentes documentados en el formato G1-S1-FO-15 Mapa de Riesgos Corrupción.

Los numerales 5. Monitoreo y Revisión y 6. Avance del formato G1-S1-FO-15 Mapa de Riesgos Corrupción, deben ser diligenciados de la siguiente manera:

Monitoreo y Revisión

Para el diligenciamiento de este numeral, los líderes de los procesos de los riesgos identificados con sus equipos deberán

monitorear y revisar periódicamente el documento del Mapa de Riesgos de Corrupción, con el fin de ajustarlo al contexto

en el que se encuentre la entidad y las variaciones en los riesgos identificados de acuerdo al periodo evaluado, ya que la

corrupción es una actividad difícil de detectar.

Para dar cumplimiento a lo anterior se debe tener en cuenta22:

22 Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 28

1. MAPA DE RIESGOS DE CORRUPCIÓN

6.Avance

2 . Vigencia: _____________________________

3 . Identificación del riesgo 4 . Valoración del riesgo de corrupción 5 . Monitoreo y revisión

4.1

.1.1

P

rob

abili

dad

4.1

.1.2

Im

pac

to

4.1

.1.3

Z

on

a d

e ri

esg

o

4.2

.2.1

Pro

bab

ilid

ad

4.2

.2.2

Im

pac

to

4.2

.2.3

Z

on

a d

e ri

esg

o

4.2

.3.1

P

erio

dic

idad

de

ejec

uci

ón

4.2

.3.2

Acc

ion

es

4.2

.3.3

Reg

istr

o

3.1

P

roce

so /

Ob

jetiv

o

4.2

.1 C

on

tro

les

4 .2 .2 Riesgo residual4 .2 .3 Acciones asociadas

al control

4 .2 Valoración del riesgo

3.3

Rie

sgo

4 .1 Análisis del riesgo

5.2

Acc

ion

es

5.3

Res

po

nsa

ble

5.4

In

dic

ado

r

4 .1.1 Riesgo inherente

6.1

P

rim

er p

erío

do

6.2

S

egu

nd

o p

erío

do

5.3

T

erce

r P

erío

do

3.2

Cau

sa

5.1

Fec

ha

3.4

C

onse

cuen

cia





Versión: 04



1. Garantizar que los controles (acciones) son eficaces y eficientes. 2. Obtener información de las novedades presentadas en la entidad con el fin de mejorar la valoración del riesgo. 3. Analizar y aprender lecciones a partir de los eventos, los cambios, las tendencias, los éxitos y los fracasos. 4. Detectar cambios en el contexto interno y externo. 5. Identificar riesgos emergentes.

Avance

La Oficina de Control Interno es la encargada de realizar el seguimiento al Mapa de Riesgos de Corrupción. En este sentido es necesario que dentro de los procesos de auditoría interna se analicen las causas, los riesgos de corrupción y se logre determinar la efectividad de los controles (acciones) establecidas en cada uno de los procesos incorporados en el Mapa de Riesgos de Corrupción23. El seguimiento se efectuará cuatrimestralmente los resultados serán publicados en la página Web de la Unidad para consulta, de la siguiente manera:

✓ Primer corte 30 de abril: se publica dentro de los diez (10) primeros días hábiles del mes de mayo.

✓ Segundo corte 31 de agosto: se publica dentro de los diez (10) primeros días hábiles del mes de septiembre.

✓ Tercer corte al 31 de diciembre: se publica dentro de los diez (10) primeros días hábiles del mes de enero.

La consulta y divulgación se efectúa durante las etapas de construcción del Mapa de Riesgos de Corrupción en el marco de un proceso participativo involucrando a los procesos de la entidad donde se identifiquen riesgos de corrupción. El Mapa de Riesgos de Corrupción debe ser consolidado anualmente por la Oficina Asesora de Planeación y Desarrollo, a partir de la información reportada por cada uno de los responsables de los procesos donde se identifiquen riesgos de corrupción. Este deberá ser publicado antes del 31 de enero de la vigencia en curso. 23 Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 29



Versión: 04



RESUMEN DE CAMBIOS

Versión Fecha Numerales Descripción de la modificación

01 17/06/2014 Todos Se crea el Documento

02 25/11/2014 6.2.6 Se delimita la documentación de las acciones correctivas, preventivas y de mejora a los riesgos de zona alta y extrema identificados en el mapa de riesgos institucional.

02 07/06/2016 1 Se ajusta el nombre del proceso de acuerdo con la actualización del Mapa de Procesos Institucional. La versión del documento se mantiene debido a que su contenido no se modificó.

03 27/10/2016 Todos Se ajusta el Manual teniendo en cuenta la metodología del Departamento Administrativo de la Función Pública y los requerimientos de la entidad.

04 19/04/2018 6.5 y 6.6 Se actualiza el manual teniendo en cuenta la inclusión de la metodología de riesgos de seguridad de la información y la metodología para la administración de riesgos de corrupción.

RESPONSABILIDAD Y AUTORIDAD

Elaboró / Actualizó: Revisó: Aprobó:

Firma: Original Firmado Firma: Original Firmado Firma: Original Firmado

Nombre: Mayra Alexandra Agudelo Carvajal.

Nombre: Oscar Javier Suarez Ramos Nombre: Oscar Javier Suarez Ramos

Cargo: Profesional Especializado. Cargo: Jefe Oficina de Tecnología Cargo: Jefe Oficina de Tecnología

Dependencia: Oficina Tecnología Dependencia: Oficina Tecnología Dependencia: Oficina Tecnología


Nombre: Juan Manuel Vanegas Jamaica.

Nombre: Andrea Catalina Hernández. Nombre: Gustavo Adolfo Camelo Hurtado.

Cargo: Profesional Especializado. Cargo: Profesional Universitario. Cargo: Jefe Oficina Asesora de Planeación y Desarrollo.

Dependencia: Oficina Asesora de Planeación y Desarrollo




Nombre: Nombre: Santiago Alegria Velasco Nombre:

Cargo: Cargo: Profesional Universitario. Cargo:

Dependencia: Dependencia: Oficina Asesora de Planeación y Desarrollo

Dependencia:

código: g1-s3-ma-01 manual para la administraciÓn de ... · 6.6.2.5 matriz mapa de riesgos de...

Documents