del riesgo 1. introduccion - ane.gov.co

Revisado por:

Sara Castañeda

Fecha actualización:

28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9

POLÍTICA DE ADMINISTRACIÓN

DEL RIESGO

Página: 1 de 37

1. INTRODUCCION

La Agencia Nacional del Espectro (ANE) asume el compromiso de identificar, prevenir y

gestionar los riesgos de gestión, corrupción y seguridad digital que se puedan presentar

en la entidad y que afecten el cumplimiento de la misión y objetivos institucionales

relacionados con la planeación, atribución, vigilancia y control del Espectro Radioeléctrico

en Colombia, así como la satisfacción de las necesidades, expectativas y requisitos de los

clientes y partes interesadas.

La Administración de Riesgos de la Entidad tendrá un carácter prioritario y estratégico, y

estará fundamentada en el modelo de Gestión por Procesos, por lo que la identificación,

análisis, valoración, monitoreo y seguimiento de los riesgos se circunscribirán a los

objetivos estratégicos, a los objetivos de cada proceso y a la conformidad en la provisión

del servicio. La ANE, desde un enfoque preventivo, se compromete a gestionar de forma

anticipada las vulnerabilidades o eventos que puedan afectar el logro de los objetivos

institucionales y la satisfacción de los clientes.

Esta política se asume enmarcada en los parámetros del Modelo Integrado de Planeación

y Gestión, el Modelo Estándar de Control Interno en lo referente a las líneas de defensa,

la guía para la administración de riesgos -2018 emanada por el Departamento

Administrativo de Función Pública, la cual articula los riesgos de gestión, corrupción,

seguridad digital y la estructura del Sistema Integrado de Planeación y Gestión.

La gestión del riesgo de corrupción en la ANE se orienta a prevenir, eliminar y reducir la

ocurrencia de eventos en los que se use el poder para desviar la gestión de lo público

hacía un beneficio privado, mediante la construcción y fortalecimiento de una cultura de

rechazo a la corrupción y la corresponsabilidad con la gestión y administración de lo

público; la adecuada identificación, valoración y monitoreo periódico de los riesgos de

corrupción por parte de los líderes de los procesos, siguiendo las normas, directrices y

metodologías que sobre la materia expida el Gobierno Nacional

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 2 de 37

2. OBJETIVOS DE LA POLÍTICA

OBJETIVO GENERAL

Establecer los criterios y lineamientos para identificar, valorar, controlar, mitigar,

monitorear y hacer seguimiento a los riesgos de gestión, corrupción y seguridad digital a

los que está expuesta la Agencia Nacional del Espectro, con el propósito de generar una

cultura de prevención frente a la ocurrencia de hechos o situaciones que puedan afectar

el cumplimiento de la misión, los objetivos institucionales y la prestación del servicio; así

como la imagen, credibilidad y confianza de la ciudadanía en la gestión de la entidad.

OBJETIVOS ESPECÍFICOS

▪ Generar una cultura de prevención de riesgos de gestión, corrupción y seguridad digital

orientada a reducir y eliminar este tipo de riesgos en la entidad.

▪ Suministrar información a la Alta Dirección de la entidad con base en los resultados del

monitoreo periódico que se efectúe a los riesgos de gestión, corrupción y seguridad

digital, con el propósito de definir acciones efectivas que apunten a prevenir o a

controlar el riesgo.

▪ Identificar y administrar oportunamente los riesgos con el propósito de minimizar su

impacto negativo en la gestión institucional

▪ Contribuir a mejorar la eficiencia operacional mediante la mitigación de probabilidad e

impacto de eventos adversos.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 3 de 37

3. ALCANCE

Esta política aplica a todos los procesos que contempla el Sistema de Gestión de la

entidad, en la gestión de los siguientes riesgos:

▪ Riesgos de gestión: Posibilidad que suceda algún evento que tendrá un impacto

sobre el cumplimiento de los objetivos. Se expresa en términos de probabilidad y

consecuencia.

▪ Riesgos de corrupción: Posibilidad de que, por acción u omisión, se use el poder

para desviar la gestión de lo público hacia un beneficio privado.

▪ Riesgos de seguridad digital: Combinación de amenazas y vulnerabilidades en

el entorno digital, puede debilitar el logro de objetivos económicos y sociales, así

como afectar la soberanía nacional, la integridad territorial, el orden constitucional

y los intereses nacionales. Incluye aspectos relacionados con los controles físicos

y digitales.

4. TÉRMINOS APLICABLES A LA GESTIÓN DE RIESGOS

• Activo de Información: En relación con la seguridad de la información, se refiere a

cualquier información o elemento relacionado con el tratamiento de esta (software,

hardware, personas, infraestructura, información impresa o digital) que tenga valor para

la organización.

• Amenaza: Causa potencial de un incidente no deseado que aprovecha una

vulnerabilidad y que puede provocar daños a un sistema o a la organización

• Riesgo: Efecto de la incertidumbre sobre los objetivos.

• Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización

respecto al riesgo.

• Política para la gestión del riesgo: declaración de la Dirección y las intenciones

generales de una organización con respecto a la gestión del riesgo.

• Plan para la gestión del riesgo: esquema dentro del marco de referencia para la

gestión del riesgo que especifica el enfoque, los componentes y los recursos de la

gestión que se van a aplicar para la gestión del riesgo.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 4 de 37

• Dueño del riesgo: persona con la responsabilidad de rendir cuentas y la autoridad

para gestionar el riesgo.

• Establecimiento del contexto: definición de los parámetros internos y externos que

han de tomar en consideración cuando se gestiona el riesgo, y establecimiento del

alcance y los criterios del riesgo. En el caso de la entidad esta actividad se desarrolla

mediante la aplicación de la matriz DOFA.

• Contexto externo: ambiente externo en el cual la organización busca alcanzar sus

objetivos.

• Contexto interno: ambiente interno en el cual la organización busca alcanzar los

objetivos.

• Valoración del riesgo: proceso global de identificación del riesgo, análisis del riesgo y

evaluación del riesgo.

• Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o

más amenazas.

• Identificación del riesgo: proceso para encontrar, reconocer y describir el riesgo.

• Fuente del riesgo: elemento que solo o en combinación tiene el potencial intrínseco

de originar un riesgo.

• Evento: presencia o cambio de un conjunto particular de circunstancias.

• Consecuencia: resultado de un evento.

• Probabilidad: oportunidad de que algo suceda.

• Análisis del riesgo: proceso para comprender la naturaleza del riesgo.

• Criterios del riesgo: términos de referencia frente a los cuales se evalúa la

importancia de un riesgo.

• Nivel del riesgo: magnitud de un riesgo expresada en términos de las consecuencias

y de su probabilidad.

• Evaluación del riesgo: proceso de comparación de los resultados del análisis del

riesgo con los criterios del riesgo, para determinar si éste, su magnitud o ambos son

aceptables.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 5 de 37

• Tratamiento del riesgo: proceso para modificar el riesgo, el cual puede implicar:

o Evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó

o Tomar el riesgo con el fin de perseguir una oportunidad

o Retirar a fuente del riesgo

o Cambiar la probabilidad

o Cambiar las consecuencias

o Compartir el riesgo con una o varias partes

• Control: medida que modifica un riesgo.

• Riesgo residual: riesgo resultante después del tratamiento del riesgo

• Monitoreo del riesgo: verificación, supervisión, observación crítica o determinación

continua del estado del riesgo con el fin de identificar los cambios.

• Revisión: acción que se emprende para determinar la idoneidad, conveniencia y

eficacia del riesgo.

• Riesgo Inherente: es aquel al que se enfrenta una entidad en ausencia de acciones

de la dirección para modificar su probabilidad o impacto

• Impacto: Se entiende como las consecuencias que puede ocasionar a la organización

la materialización del riesgo

• Gestión del Riesgo: proceso efectuado por la alta dirección de la entidad y por todo el

personal para proporcionar a la administración un aseguramiento razonable con

respecto al logro de los objetivos

ROLES, RESPONSABILIDADES Y AUTORIDADES DE LA GESTIÓN DE RIESGOS

• Alta Dirección:

Para el éxito de la implementación de una adecuada Administración del Riesgo, es

indispensable el compromiso asumido por equipo directivo de la entidad. En esta medida,

corresponde al Comité Directivo lo siguiente:

✓ Definir y aprobar la política de gestión del riesgo de la entidad.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 6 de 37

✓ Asignar obligaciones y responsabilidades en los niveles respectivos dentro de la

organización.

✓ Gestionar el riesgo y propiciar una cultura de identificación y prevención de riesgos,

con la participación de los funcionarios, contratistas y partes interesadas.

✓ Proveer los recursos necesarios para implementar y mantener en funcionamiento la

gestión de riesgos en la entidad.

✓ Velar porque se implementen las metodologías de administración del riesgo.

✓ Comunicar los beneficios de la gestión de riesgos en la entidad.

✓ Hacer seguimiento al mapa de riesgos, garantizando que existan indicadores para

medir la gestión del riesgo y promoviendo la prevención de este en concordancia con

el perfil de riesgo aceptado para la Entidad.

✓ Tomar decisiones sobre los planes de manejo de riesgos materializados.

✓ Revisar y evaluar de manera periódica los resultados los informes periódicos que

presente el responsable del Sistema de Gestión de Calidad sobre la gestión del

riesgo en la entidad, a fin de tomar las decisiones que permitan minimizar la

probabilidad de ocurrencia y el impacto en caso de que se materialicen.

✓ Pronunciarse sobre la evaluación periódica de la gestión de riesgos que realicen los

órganos de control.

• Dueños de procesos:

Es el responsable de la gestión del riesgo del proceso que lidera conforme a lo

establecido en la siguiente tabla:

Proceso Responsable de la gestión de riesgos

Direccionamiento estratégico Director General / Profesional con funciones

de planeación

Comunicaciones y participación

ciudadana

Profesional con funciones de líder de

comunicaciones / Profesional con funciones

de líder oficina de proyectos

Disponibilidad de espectro Subdirector de Gestión y Planeación

Técnica del Espectro

Gestión del conocimiento e innovación Profesional con funciones de líder de

gestión del conocimiento

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 7 de 37

Gestión internacional Asesor con funciones de líder de

participación internacional

Uso legal del espectro Subdirector de Vigilancia y Control

Atención cliente Profesional con funciones de planeación

Gestión contractual Subdirector de Soporte Institucional

Gestión de recursos físicos Subdirector de Soporte Institucional

Gestión de tecnologías y seguridad de la

información

Asesor de TI

Gestión documental Asesor de TI

Gestión financiera Subdirector de Soporte Institucional

Gestión jurídica Asesor jurídico

Talento Humano Subdirector de Soporte Institucional

Evaluación independiente Jefe de Control Interno

Medición, análisis y mejora Profesional con funciones de planeación

Los dueños de proceso tienen a su cargo las siguientes funciones:

✓ Adelantar las acciones necesarias para la identificación, análisis, valoración,

tratamiento, monitoreo, revisión y seguimiento de los riesgos de gestión, corrupción y

seguridad digital del proceso, mediante un ejercicio participativo con su equipo de

trabajo y de autocontrol y seguimiento permanente; aprobar dicha información y la

documentación asociada.

✓ Identificar y clasificar los activos de información de su proceso. Evaluar y actualizar los

controles de los riesgos.

✓ Realizar un seguimiento permanente a los riesgos identificados y reportar los informes

y los resultados de los indicadores y mecanismos de monitoreo de los riesgos de

acuerdo con la periodicidad definida, en los formatos o herramientas dispuestos para

tal fin, y en los comités primarios.

✓ Analizar los resultados del monitoreo y tomar las acciones preventivas, correctivas y de

mejora para mitigar la ocurrencia y el impacto de los riesgos.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 8 de 37

✓ Reportar la información relacionada con la materialización de los riesgos, así como las

cuantías de pérdida o recuperación por este concepto en el FOR_Reporte de

Materialización de Riesgos.

✓ Suministrar la información requerida para actualizar los riesgos, y para facilitar y

complementar las revisiones realizadas por los órganos de control.

✓ Delegar a un colaborador que haga las veces de suplente y asuma sus funciones

frente a la gestión de riesgos, en los casos en que sea necesario.

Nota: En el caso de que el Responsable de Riesgo se ausente temporal o

definitivamente, la persona encargada de suplir sus funciones, de manera formal o no

formal, asumirá estas responsabilidades y deberá asegurar su cumplimiento.

• Líder de Gestión de Riesgos de la entidad

Esta función se encuentra a cargo del profesional con funciones de planeación, quien

tiene a su cargo el liderazgo del Sistema Integrado de Gestión y en cuya cabeza se

encuentran las siguientes funciones:

✓ Definir los instrumentos, metodologías y procedimientos internos tendientes a la

gestión efectiva de los riesgos de la ANE y proponer sus correspondientes

actualizaciones y modificaciones

✓ Desarrollar los modelos de valoración del riesgo.

✓ Coordinar con los líderes de los procesos las actividades necesarias para la

aplicación y desarrollo de las metodologías para la administración de los riesgos de

gestión, corrupción y seguridad digital.

✓ Desarrollar los programas de capacitación y divulgación relacionados con la gestión

del riesgo en la ANE, capacitar y asesorar a los funcionarios en el diseño e

implementación del componente de administración del riesgo y coordinar con el

responsable de comunicaciones la divulgación, comunicación y publicación de los

respectivos Mapas de Riesgos.

✓ Hacer seguimiento al comportamiento de los riesgos a través de los resultados de

monitoreo, y al registro de eventos de riesgo materializados.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 9 de 37

✓ Monitorear el perfil de riesgo de la ANE e informar su evolución a la alta dirección y

otros órganos pertinentes.

• Oficial de Seguridad

✓ Asesorar a los dueños de proceso en la identificación de activos de información y la

gestión de sus riesgos de seguridad digital asociados.

✓ Brindar acompañamiento al Líder de Gestión de Riegos de la entidad en la

capacitación del personal de la entidad en identificación, clasificación de activos y

gestión de riesgos de seguridad digital.

✓ Hacer seguimiento a las acciones establecidas para la gestión de riesgos de

seguridad digital y comunicar a la alta dirección.

✓ Asesorar a la alta dirección en la toma de decisiones sobre el riesgo residual.

• Asesor de Control Interno:

✓ Hacer seguimiento a las acciones establecidas en los planes de manejo de riesgos y

emitir reportes periódicamente.

✓ Comunicar y presentar, luego del seguimiento y evaluación, sus resultados y

propuestas de mejoramiento (acciones correctivas y/o de mejora) y tratamiento a las

situaciones detectadas, a los dueños de los procesos.

✓ Verificar y evaluar la elaboración, el seguimiento y el control del Mapa de Riesgos de

Corrupción con la periodicidad establecida en la Guía para la gestión del riesgo de

corrupción de la Presidencia de la República.

✓ Evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las

etapas y los elementos de la administración del riesgo, con el fin de determinar las

deficiencias y sus posibles soluciones; e informar los resultados de la evaluación al

responsable del Sistema de Gestión de Calidad.

✓ Realizar una revisión periódica del registro de eventos de riesgo materializados y

mantener informado de esto al director de la entidad.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 10 de 37

• Funcionarios y contratistas de la entidad

Son responsables de cumplir con los controles que se han establecido para la gestión de

riesgos de la entidad y específicamente de cada proceso. Así mismo, son responsables

de informar al líder del proceso cualquier novedad frente a los riesgos para que se tomen

las acciones a que haya lugar.

5. METODOLOGIA DE GESTIÓN DEL RIESGO DE LA ENTIDAD

A continuación, se describen las actividades que deben ser implementadas en la entidad

para garantizar la gestión del riesgo. Es importante mencionar que los riesgos de cada

proceso deben identificarse por parte del líder de este en el “formato de riesgos por

proceso” que puede ser consultado en la intranet > S.I.G. > proceso Medición, análisis y

mejora > Formatos.

5.1. Entendimiento de la organización y de su contexto

Antes de iniciar el análisis de la gestión del riesgo, es necesario evaluar y entender el

contexto, tanto externo como interno, de la organización. En la ANE, este análisis se

realiza a través de la matriz DOFA (Debilidades, oportunidades, fortalezas y amenazas).

La evaluación del contexto externo de la organización puede incluir entre otros:

a) El ambiente social, cultural, político, legal, reglamentario, financiero, tecnológico,

económico y competitivo, bien sea internacional o nacional.

b) Impulsores clave y tendencias que tienen impacto en los objetivos de la

organización.

c) Relaciones con partes externas involucradas.

La evaluación del contexto interno puede incluir entre otros:

a) Gobierno, estructura organizacional, funciones y responsabilidades.

b) Políticas, objetivos y estrategias que se han implementado para lograrlos.

c) Capacidades, entendidas en términos de recursos y conocimiento (Ej. Capital,

tiempo, personas, procesos, sistemas y tecnologías).

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 11 de 37

d) Sistemas de información, flujos de información y procesos de toma de decisiones.

e) Cultura de la organización.

f) Normas, directrices y modelos adoptados por la organización.

g) Forma y extensión de las relaciones contractuales.

5.2. Establecer el contexto para la gestión del riesgo

En cada proceso se debe establecer el alcance, el objetivo y los recursos necesarios para

adelantar la gestión del riesgo. Esta información deberá ser registrada en el formato

“formato de riesgos por proceso” que puede ser consultado en la intranet > S.I.G. >

proceso Medición, análisis y mejora > Formatos.

Posteriormente, deberá diligenciarse la matriz DOFA, conforme a lo explicado en el

anterior numeral.

5.3. Identificación y clasificación de activos de información

Se deben identificar los activos de información del proceso y clasificarlos según su índice

de información clasificada y reservada para definir la criticidad del mismo, para lo anterior,

se debe diligenciar el formato riesgos por proceso en la hoja “Inventario de activos de un.”

conforme a lo definido en el documento Lineamientos de Gestión de Activos que puede

ser consultado en la intranet > S.I.G. > proceso Gestión de tecnologías y seguridad de la

información > Seguridad y privacidad de la información > Documentos de Soporte.

Una vez finalizado la identificación y clasificación de activos, se deberá dar inicio al

diligenciamiento de la hoja de “descripción de riesgos”, incluida en el formato “riesgos por

proceso”.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 12 de 37

5.4 Identificación del Riesgo

La identificación del riesgo se realiza determinando las causas con base en el contexto

interno, externo y del proceso que pueden afectar el logro de los objetivos. Algunas

causas externas no controlables por la entidad se podrán evidenciar en el análisis del

contexto, para ser tenidas en cuenta en el análisis y valoración del riesgo.

A partir de este contexto se identifíca el riesgo, el cual estará asociado a aquellos eventos

o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o

estratégicos.

Las preguntas claves para la identificación del riesgo permiten determinar:

¿Qué puede Suceder? Identificar la afectación del cumplimiento del objetivo estratégico

o del proceso según sea el caso.

¿Cómo puede Suceder? Establecer las causas a partir de los factores determinados en

el contexto

¿Cuándo puede Suceder? determinar de acuerdo al desarrollo del proceso.

¿Qué Consecuencias Tendría su Materialización? Determinar los posibles efectos de

materialización del riesgo.

Para los riesgos de seguridad digital se identificará la vulnerabilidad, la cual corresponde

a la debilidad o brecha del activo de información que causa su exposición y que puede ser

aprovechado por una amenaza interna o externa a la entidad.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 13 de 37

A continuación, un ejemplo de vulnerabilidades:

• Riesgo No: corresponde a un número consecutivo que permite dar mayor claridad al

formato.

• Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el

normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. En

este campo debe indicarse cuál es el riesgo identificado, una vez se identifican las

causas. Un riesgo puede tener relacionadas una o varias causas.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 14 de 37

• Clase de riesgo: Los riesgos identificados deben ser clasificados conforme a la

siguiente tipificación:

a) Riesgo Estratégico: Se asocia con la forma en que se administra la entidad. El

manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión

y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y

conceptualización de la entidad por parte de la alta gerencia.

b) Riesgos de imagen: Están relacionados con la percepción y la confianza de las partes

interesadas hacia la institución.

c) Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa

como técnica de la entidad, incluye riesgos provenientes de deficiencias en los

sistemas de información, en la definición de los procesos, en la estructura de la entidad

y la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades

de corrupción e incumplimiento de los compromisos institucionales.

d) Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad, que

incluye la ejecución presupuestal, la elaboración de los estados financieros, los pagos,

los manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad.

De la eficiencia y transparencia en el manejo de los recursos, así como de su

interacción con las demás áreas, dependerá en gran parte el éxito o fracaso de toda

entidad.

e) Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir

con los requisitos legales, contractuales, de ética pública y, en general, con su

compromiso ante la comunidad.

f) Riesgos de Tecnología: Se asocian con la capacidad de la entidad para que la

tecnología disponible satisfaga sus necesidades actuales y futuras y soporte el

cumplimiento de la misión.

g) Riesgos de corrupción: Probabilidad de que en una entidad pública los funcionarios

abusen del poder delegado para obtener un beneficio particular.

h) Riegos de Seguridad Digital: posibilidad de combinación de amenazas y

vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 15 de 37

y sociales, afectar la soberanía nacional, la integridad territorial, el orden constitucional

y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital

y las personas.

• Identificación del activo de seguridad de la información (Aplica únicamente para

riesgos de seguridad digital): Se debe seleccionar los activos de información que se

relacionan con el riesgo o que tiene la vulnerabilidad y amenaza asociada.

• Amenazas (Aplica únicamente para riegos de seguridad digital): Conforme a la

vulnerabilidad detectada se deben identificar la causa potencial que se aprovecha de la

misma.

A continuación, un ejemplo de amenazas:

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 16 de 37

5.4. Análisis Del Riesgo

Este análisis busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de

sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para

establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del

riesgo dependerá de la información obtenida en el formato de identificación de riesgos y la

disponibilidad de datos históricos y aportes de los servidores de la entidad.

• Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo; la cual puede

ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: Número de

veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de

factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya

materializado.

Con la finalidad de medir la probabilidad de los riesgos, la entidad ha establecido los

siguientes criterios:

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 17 de 37

Nivel Descriptor Descripción Frecuencia

5 Casi seguro

Se espera que el evento ocurra en la mayoría de las circunstancias

Mas de 1 vez al año.

4 Probable Es viable que el evento ocurra en la mayoría de las circunstancias

Al menos 1 vez en el último año.

3 Posible El evento podrá ocurrir en algún momento

Al menos 1 vez en los últimos 2 años.

2 Improbable El evento puede ocurrir en algún momento

Al menos 1 vez en los últimos 5 años.

1 Rara vez El evento puede ocurrir solo en circunstancias excepcionales (poco comunes o anormales)

No se ha presentado en los últimos 5 años.

Con base en la anterior tabla, el líder del proceso deberá estimar el nivel de

probabilidad en el que se encuentra el riesgo evaluado.

• Impacto: Se entiende como las consecuencias que puede ocasionar a la organización

la materialización del riesgo. Los criterios establecidos en la entidad para la medición

del impacto son:

Criterios para calificar el Impacto – Riesgos de Gestión

Nivel Impacto (consecuencias) Cuantitativo

Impacto (consecuencias) Cualitativo

CA

TA

ST

RÓ

FIC

O

- Impacto que afecte la ejecución presupuestal en un valor ≥50% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por más de cinco (5) días. - Intervención por parte de un ente de control u otro ente regulador. - Pérdida de Información crítica para la entidad que no se puede recuperar. - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal. - Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 18 de 37

MA

YO

R


- Interrupción de las operaciones de la Entidad por más de dos (2) días. - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta. - Sanción por parte del ente de control u otro ente regulador. - Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno. - Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

MO

DE

RA

DO


- Interrupción de las operaciones de la Entidad por un (1) día. - Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad. - Inoportunidad en la información ocasionando retrasos en la atención a los usuarios. - Reproceso de actividades y aumento de carga operativa. - Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos. - Investigaciones penales, fiscales o disciplinarias.

ME

NO

R

- Impacto que afecte la ejecución presupuestal en un valor ≥1% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥1% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por algunas horas. - Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias. - Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.

INS

IGN

IFIC

AN

TE

- Impacto que afecte la ejecución presupuestal en un valor ≥0,5% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el

- No hay interrupción de las operaciones de la entidad. - No se generan sanciones económicas o administrativas. - No se afecta la imagen institucional de forma significativa.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 19 de 37

presupuesto total de la entidad en un valor ≥0,5% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.

Con base en la anterior tabla, el líder del proceso deberá estimar el nivel de impacto

asociado al riesgo evaluado.

Criterios para calificar el Impacto – Riesgos de Seguridad Digital CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL

NIVEL

VALOR DEL

IMPACTO

CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL

Impacto (consecuencias) Cuantitativo

Impacto (consecuencias) Cualitativo

INSIGNIFICANTE 1

Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad No hay Afectación medioambiental

Sin afectación de la integridad Sin afectación de la disponibilidad Sin afectación de la confidencialidad

MENOR 2

Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación leve del Medio Ambiente requiere de ≥X días de recuperación

Afectación leve de la integridad Afectación leve de la disponibilidad Afectación leve de la confidencialidad

MODERADO 3

Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación leve del Medio Ambiente requiere de ≥X semanas de recuperación

Afectación moderada de la integridad de la información debido al interés particular de los empleados y terceros Afectación moderada de la disponibilidad de la información debido al interés particular de los empleados y terceros Afectación moderada de la confidencialidad de la información debido al interés particular de los empleados y terceros

MAYOR 4

Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación importante del Medio Ambiente que requiere de ≥X meses de recuperación

Afectación grave de la integridad de la información debido al interés particular de los empleados y terceros Afectación grave de la disponibilidad de la información debido al interés particular de los empleados y terceros

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 20 de 37

Afectación grave de la confidencialidad de la información debido al interés particular de los empleados y terceros

CATASTRÓFICO 5

Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación muy grave del Medio Ambiente que requiere de ≥X años de recuperación

Afectación muy grave de la integridad de la información debido al interés particular de los empleados y terceros Afectación muy grave de la disponibilidad de la información debido al interés particular de los empleados y terceros Afectación muy grave confidencialidad de la información debido al interés particular de los empleados y terceros

• Zona de riesgo: La zona de riesgo se establecerá identificando en la siguiente matriz

la probabilidad por el impacto para riesgos de gestión y seguridad digital:

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 21 de 37

Para riesgos de corrupción no aplicarán las escalas de impacto insignificante y

menor, conforme a lo anterior la matriz de probabilidad e impacto para riesgos de

corrupción se muestra a continuación.

5.6 Evaluación del Riesgo

Identificación de los Controles: en esta parte se documenta el listado y descripción de los controles existentes para mitigar el escenario de riesgo descrito previamente.

En lo posible iniciar la descripción de los controles con las palabras:

Se tiene … Se cuenta con … Se ejecutan … Se realizan … Se da seguimiento a … Se está …

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 22 de 37

Ejemplos de Controles

A continuación, el líder de proceso junto con su equipo de trabajo deberá identificar y

registrar los controles a implementar para mitigar el riesgo. Cada causa debe tener como

mínimo un control.

• Descripción del control: Documentar los controles que se adelantan en el proceso

con el fin de mitigar los riesgos. En el control se debe indicar qué se hace, cómo se

hace y quién lo hace.

• Evaluación del diseño de controles: se debe calificar los siete criterios para que el

sistema evalúe el diseño de cada uno de los controles.

• Evaluación de ejecución del control: Se deben calificar la ejecución del control para

cada uno de los controles

• Calificación de solidez del conjunto de controles: Calificado el diseño y ejecución

de todos los controles el sistema calculará la calificación conjunta de los controles.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 23 de 37

• Control ayuda a mitigar la probabilidad: Se debe seleccionar si los controles ayudan

en la disminución de la probabilidad para que el sistema calcule los puntos a disminuir

en probabilidad del riesgo.

• Control ayuda a mitigar el impacto: Se debe seleccionar si los controles ayudan en

la disminución del impacto para que el sistema calcule los puntos a disminuir en

impacto del riesgo.

Valoración de los Controles

Fuente: Presentación Gestión de Riesgo DAFP

Para la valoración, la guía de Gestión de Riesgo emitida por el DAFP, establece una tabla de parámetros y criterios en donde se otorgan puntajes dependiendo de la evaluación del control, estos dependen de las respuestas seleccionadas, para cada columna hay un listado de respuestas a seleccionar.

Esta valoración de controles se efectúa automáticamente en la herramienta de acuerdo con las respuestas dadas e identificando previamente el tipo de control y si este afecta probabilidad o impacto según sea el caso.

En la herramienta se deben diligenciar las columnas correspondientes a:

• Controles • Descripción del control • Evidencia • ¿Afecta Probabilidad? • ¿Afecta Impacto?

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 24 de 37

Análisis y Evaluación de los Controles

Para valorar cada uno de los controles es necesario escoger alguna de las opciones mostradas en la siguiente tabla:

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 25 de 37

Criterios de Valoración de Controles

Criterio de Evaluación Opción de Respuesta al Criterio de Evaluación Peso en la Evaluación del Diseño del control

1. Asignación del Responsable

Asignado 15

No asignado 0

2. Segregación y autoridad del responsable

Adecuado 15

Inadecuado 0

2. Periodicidad Oportuna 15

Inoportuna 0

3. Propósito

Prevenir 15

Detectar 10

No es un control 0

4. Cómo se realiza la actividad de control

Confiable 15

No Confiable 0

5. Qué pasa con las observaciones o desviaciones

Se investigan y resuelven oportunamente 15

No se investigan ni resuelven oportunamente 0

6. Evidencia de Ejecución del Control

Completa 10

Incompleta 5

Diseño

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 26 de 37

Ejecución

Rango Calificación de la Ejecución

Opción de Respuesta al Criterio de Evaluación

Fuerte El control se ejecuta de manera consistente por parte del responsable

Moderado El control se ejecuta algunas veces por parte del responsable

Débil El control no se ejecuta por parte del responsable

5.7 Valoración del Riesgo (Residual)

Una vez realizado el análisis y evaluación de los controles para la mitigación de los

riesgos, se procede a la valoración residual (después de controles)

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 27 de 37

5.8 Tratamiento de los Riesgos

El tratamiento del riesgo consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos, o bien aprovechar las ventajas que pueda reportarnos.

Acorde al valor final del riesgo, es decir el Riesgo Residual (riesgo después de controles), se debe definir la aceptación, mitigación o transferencia del riesgo, El DAFP plantea las siguientes definiciones para las medidas de respuesta contempladas:

Asumir el riesgo: luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles.

Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 28 de 37

6. ACCIONES TOMADAS PARA ABORDAR LOS RIESGOS O MEJORAR LOS

CONTROLES

Una vez finalizado el análisis y la valoración del riesgo, se deberán establecer las

actividades que anualmente se desarrollarán con el objetivo de abordar los riesgos o

mejorar los controles.

Para cada una de las actividades se deberá definir:

- Fechas de inicio y de terminación

- Acciones por desarrollar

- Responsable

- Indicadores y mecanismos de monitoreo

- Evidencias, registros o soportes

7. ESTRATEGIAS PARA EL DESARROLLO DE LA POLÍTICA

La política de administración del riesgo se desarrollará mediante un ejercicio periódico de

formulación, actualización, revisión, monitoreo y seguimiento a los mapas de riesgos de

gestión por procesos, corrupción y seguridad digital, teniendo en cuenta los siguientes

criterios:

▪ La identificación, análisis y valoración de riesgos se hará con enfoque basado en

procesos y activos de información para seguridad digital.

▪ El análisis del contexto estratégico de la entidad es la base para la identificación del

riesgo que suministra información sobre las condiciones internas y del entorno que

pueden generar eventos que originan oportunidades o afectan negativamente el

cumplimiento de la misión, objetivos de la entidad y la adecuada prestación del

servicio.

▪ La administración del riesgo requiere del compromiso y responsabilidad de la alta

Dirección de la ANE, por lo que estará a cargo de los líderes de los procesos la

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 29 de 37

gestión de los mapas de riesgos de la entidad, así como su monitoreo y revisión

permanente.

▪ Los resultados del monitoreo, revisión y seguimiento a los mapas de riesgos serán

tema de estudio y revisión en las reuniones de Comité Primario que se adelanten en

las diferentes dependencias de la ANE junto con los líderes de los procesos y sus

equipos de trabajo.

▪ Los Mapas de riesgos serán divulgados a todo involucrado en el proceso.

▪ En el evento de que se materialice el riesgo, se debe reportar y formular el

correspondiente plan de mejoramiento, según el procedimiento establecido para tal

fin y evidenciar su nueva valoración en el Mapa de Riesgos.

▪ Para los Riesgos de Contratación Estatal se tendrá en cuenta el “Manual para la

Identificación y cobertura del Riesgo en los procesos de Contratación” establecido por

la Agencia Nacional de Contratación Colombia Compra Eficiente.

▪ Se fortalece el enfoque preventivo en la administración del Riesgo a través del

mejoramiento continuo de las estrategias que se desarrollan para gestionar los

riesgos a los que se encuentra expuesta la entidad.

▪ Se adelantarán revisiones periódicas de los mapas de riesgos para su actualización

permanente. Los cambios que se deriven de estas actualizaciones serán presentados

al Comité Institucional de Desarrollo Administrativo.

8. ACCIONES PARA DESARROLLAR LA POLÍTICA

Las metodologías para la identificación, análisis y valoración, control, monitoreo y

seguimiento de los riesgos, tanto de gestión, corrupción y seguridad digital, establecen el

marco de acción para implementar, desarrollar y mantener en el tiempo la política de

gestión de riesgo de la Agencia Nacional del Espectro – ANE.

A continuación, se relacionan las principales acciones que se contemplan para desarrollar

la política de administración del riesgo:

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 30 de 37

Actividad Tiempo Recursos

Responsables

y Talento

Humano

requerido

Formular, revisar,

aprobar y ajustar

la política para la

Administración de

Riesgos de la

entidad

Una vez al año

Metodología para

gestión de riesgos

(Guía para para la

administración del

riesgo de

corrupción y

procedimiento

Gestión del riesgo

de corrupción)

Comité

Directivo

Divulgar la

Política de

Administración

del Riesgo y las

metodologías.

Una vez se

aprueben la

Política y los

mapas de riesgos

de Gestión, Mapa

de Riegos de

corrupción y mapa

de riesgos de

seguridad digital

por los procesos.

Política aprobada

Profesional

con funciones

de planeación.

Elaborar, revisar y

actualizar el Mapa

de riesgos de

gestión por

Proceso

Semestralmente

Metodologías (Guía

para la

administración del

riesgo) y

metodología

establecida

internamente en la

entidad.

Líderes de los

procesos con

su equipo de

trabajo.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 31 de 37


Responsables

y Talento

Humano

requerido

Consolidar y

aprobar el Mapa

de riesgos por

proceso

El Mapa de

Riesgos por

Proceso al 31 de

marzo

El Mapa de

Riesgos de

corrupción el 31 de

enero

Formatos Matriz de

Mapas de Riesgos

por Proceso y de

Corrupción

Líderes de

proceso

Publicar y

divulgar los

Mapas de

Riesgos de la

entidad

Cada vez que se

actualicen

Carpeta compartida

SIG

Profesional

con funciones

de planeación

Evaluar, reevaluar

y actualizar los

controles

Semestralmente FOR_Riesgos por

proceso

Líderes de los

procesos con

su equipo de

trabajo.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 32 de 37


Responsables

y Talento

Humano

requerido

Monitorear,

revisar y hacer

seguimiento

periódico al mapa

de riesgos de

gestión por

procesos y al

mapa de riesgos

de corrupción.

Seguimiento

trimestral al Mapa

de Riesgos por

proceso

Disponibilidad del

equipo de trabajo

que adelante las

acciones asociadas

al control previstas

en los mapas de

riesgos y los demás

recursos que se

requieran para el

cumplimiento de

dichas acciones.

Líderes de los

procesos con

su equipo de

trabajo.

Reportar los

resultados del

monitoreo de

riesgos

Seguimiento

trimestral al Mapa

de Riesgos por

proceso

FOR_Riesgos por

proceso

Líderes de

procesos

Reportar la

materialización de

los riesgos

Seguimiento

trimestral al Mapa

de Riesgos por

proceso

FOR_Riesgos por

proceso – Sección

Monitoreo y

Revisión – Casillas

Materialización de

Riesgos

Líderes de

procesos

Tomar correctivos

a partir de los

Informes.

Posterior al

informe de

evaluación si

aplica.

Plan de

mejoramiento

FOR_ACAPAM

Líderes de

procesos y

equipo de

trabajo

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 33 de 37


Responsables

y Talento

Humano

requerido

Reportar

trimestralmente el

seguimiento a los

riesgos

trimestral

Actas de comité

directivo

Profesional

con funciones

de planeación

Solicitar acciones

con respecto al

resultado del

seguimiento de los

riesgos

trimestral

Actas de comité

directivo

Profesional

con funciones

de planeación

9. PERIODICIDAD Y RESPONSABLES DEL MONITOREO Y EVALUACIÓN A LA

EFECTIVIDAD DE LA POLÍTICA DE ADMINISTRACIÓN DEL RIESGO

La entidad debe asegurar el logro de sus objetivos adelantándose a eventos negativos

relacionados con la gestión de la entidad. El Modelo Integrado de Planeación y Gestión

(MIPG) en la dimensión 7 ”Control Interno” desarrolla a través de las líneas de defensa la

responsabilidad de la Gestión del Riesgo y Control

El monitoreo y la revisión de la gestión de riesgos, está alineado con la dimensión del

MIPG de “Control Interno”, que se desarrolla con el MECI a través de un esquema de

responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como

se especifica a continuación:

Línea Estratégica:

Define el marco general para la gestión del riesgo, el control y supervisa su cumplimiento.

Está a cargo de la Alta Dirección y el Comité Institucional de Coordinación de Control

Interno

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 34 de 37

Primera línea de defensa:

Desarrolla e implementa procesos de control y gestión de riesgos a través de su

identificación, análisis, valoración, monitoreo y acciones de mejora

Está a cargo de los gerentes públicos y líderes de procesos, programas y proyectos de la

entidad

Rol Principal: Diseñar, implementar y monitorear los controles y gestionar de manera

directa en el día a día los riesgos de la entidad. Así mismo orientar el desarrollo e

implementación de políticas y procedimientos internos y asegurar que sean compatibles

con las metas y objetivos de la entidad y comprender las acciones de mejoramiento para

su logro.

Segunda línea de Defensa:

Asegura que los controles y los procesos de gestión de riesgos, implementados por la

primera línea de defensa, estén diseñados apropiadamente y funcionan como se pretende

A cargo de los servidores que tienen responsabilidades directas en el monitoreo y

evaluación de los controles y la gestión del riesgo: Jefes de Planeación, supervisores e

interventores de contracto o proyectos, coordinadores de otros sistemas de gestión de la

entidad, comité de contratación, entre otros.

Rol principal: Monitorear la gestión de riesgo y control ejecutada por la primera línea de

defensa, complementando su trabajo.

Tercera línea de defensa:

Proporciona información sobre la efectividad del S.C.I a través de un enfoque basado en

riesgos, incluida la operación de la primera y segunda línea de defensa.

A cargo de la Oficina de Control Interno, auditoria interna o quien haga sus veces

El Rol principal: proporcionar un aseguramiento en el más alto nivel de independencia y

objetividad sobre la efectividad del S.C.I

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 35 de 37

El alcance de este aseguramiento a través de la autoridad interna cubre todos los

componentes del S.C.I

10.1 Periodicidad y responsables del seguimiento y monitoreo de los riesgos

Los dueños de los procesos son los responsables de realizar permanentemente el

monitoreo de los riesgos y analizar los resultados con la periodicidad establecida para

cada mecanismo de monitoreo. Sin perjuicio de lo anterior, deben hacer seguimiento a los

riesgos en los comités primarios y, reportar los resultados del monitoreo y su análisis en el

FOR_Riesgos por proceso, el cual debe enviarse al responsable del Sistema de Gestión

de Calidad para su análisis y consolidación.

El monitoreo se realizará trimestralmente para los riesgos e Gestión y Seguridad Digital y

cuatrimestralmente para los riesgos de corrupción.

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 36 de 37

11. CONTROL DE CAMBIOS

Versión Fecha Naturaleza de la modificación

Elaborado por

Revisado por Firma de aprobación

0 15/07/2015 Se crea la política Sara Castañeda

Sara Castañeda

1 30/06/2016 Se ajusta la política incorporando lo relativo a la administración de riesgos de corrupción de acuerdo con los lineamientos establecidos en la Guía para la gestión del riesgo de corrupción

Alba Gómez

Sara Castañeda

Comité Institucional

2 12/01/2017 Se revisa la política por parte del comité institucional y se establece que la misma se encuentra ajustada a las necesidades de la entidad

Sara Castañeda



3 01/09/2017 Se incluyen los criterios para la valoración del riesgo

Antonio Soler

Sara Castañeda

Sara Castañeda

4 20/10/2017 Inclusión de los capítulos 4, 7 y 9. Inclusión y ajuste de algunas responsabilidades de los roles de la gestión de riesgos en el capítulo 6. Inclusión de

Norela Briceño

Sara Castañeda

Sara Castañeda

Revisado por:

Sara Castañeda


28/01/2020

Aprobado por

Comité Directivo

No de revisión: 9


DEL RIESGO

Página: 37 de 37

Versión Fecha Naturaleza de la modificación

Elaborado por

Revisado por Firma de aprobación

actividades del capítulo 8. Inclusión de las tablas de probabilidad e impacto, y de definiciones tales como la clase de riesgos y el tratamiento de riesgos.

5 09/04/2018 Se modifica incluyendo la capacitación anual alineada con los riesgos del proceso

Sara Castañeda

Sara Castañeda

Sara Castañeda

6 25/06/2018 Se ajusta incluyendo lineamientos de ISO 31000 y recomendaciones del diagnóstico de gestión de riesgos

Sara Castañeda

Sara Castañeda

Sara Castañeda

7 14/09/2018 Se incluye en el alcance de la política de riesgos el seguimiento y validación de los cambios normativos

Sara Castañeda

Comité Directivo

Comité Directivo

8 21/05/2019 Se ajusta a la nueva metodología establecida por el DAFP

Mayra Alba

Sara Castañeda

Comité Directivo

9 29/01/2020 Se ajusta la aprobación por comité directivo y se realizan otros ajustes de forma

Sara Castañeda

Comité DIrectivo

Comité Directivo

del riesgo 1. introduccion - ane.gov.co

Documents