manual de administración del riesgo · web viewsi uno de esos componentes no está presente en la...

PROCESOADMINISTRACIÓN DEL

SISTEMA INTEGRADO DE GESTIÓN

CÓDIGO ASMN04

MANUAL MANUAL DE ADMINISTRACIÓN DEL RIESGO

VERSIÓN 1

TABLA DE CONTENIDO

1. OBJETIVO........................................................................................................................................... 2

2. ALCANCE........................................................................................................................................... 2

3. DEFINICIONES................................................................................................................................... 2

4. CICLO DE ADMINISTRACIÓN DEL RIESGO....................................................................................5

4.1 Lineamientos de la Política............................................................................................................64.2 Identificación del Riesgo...............................................................................................................6

4.2.1 Contexto de la Organización:...............................................................................................64.2.2 Identificación del Riesgo.....................................................................................................8

4.3 Tipología de los riesgos........................................................................................................104.4 Análisis de los riesgos..........................................................................................................11

4.4.1 Calificación de la probabilidad............................................................................................124.4.2 Calificación del impacto....................................................................................................124.4.3 Mapa de Calor.................................................................................................................12

4.5 Evaluación..........................................................................................................................134.5.1 Valoración de Controles....................................................................................................15

4.6 Tratamiento del Riesgo.........................................................................................................17

5. MONITOREO Y REVISIÓN...............................................................................................................18

5.2 Roles y Responsabilidades...................................................................................................195.3 Indicadores clave de riesgo...................................................................................................195.4 Materialización del riesgo......................................................................................................20

6. COMUNICACION.............................................................................................................................. 20

7. LINEAMIENTOS ESPECIALES........................................................................................................21

7.1 Riesgos de los Proyectos......................................................................................................217.2 Riesgos del Proceso Contractual...........................................................................................217.3 Riesgos de Seguridad y Salud en el Trabajo...........................................................................227.4 Riesgos de Gestión Ambiental...............................................................................................22

1/22



CÓDIGO ASMN04


VERSIÓN 1

1. OBJETIVO

Desarrollar los lineamientos metodológicos aplicables del ciclo de administración de riesgos de gestión, corrupción, y de seguridad y privacidad de la información de la Superintendencia Nacional de Salud, con el fin de asegurar el cumplimiento de los objetivos de la entidad.

2. ALCANCE

El documento da cuenta del ciclo para la administración del riesgo de la Supersalud desde la definición de los lineamientos para la gestión del riesgo, hasta el monitoreo y seguimiento de los riesgos identificados.

3. DEFINICIONES

Activos de Información: un activo es cualquier elemento que tenga valor para la organización, sin embargo, en el contexto de seguridad digital, son activos, elementos que utiliza la organización para funcionar en el entorno digital tales como: aplicaciones de la organización, servicios web, redes, información física o digital, tecnologías de información -TI, tecnologías de operación -TO.

Amenaza: situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.

Análisis de riesgo: proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo con base en su probabilidad e impacto de ocurrencia.

Apetito/Tolerancia al riesgo: límite superior de riesgo que la Supersalud está dispuesto a aceptar en la búsqueda de lograr los objetivos, maximizar la eficiencia del gasto y mejorar los tiempos de respuesta de atención a los grupos de valor clave.

Autenticidad: Propiedad de que una entidad es lo que afirma ser.

Causa: factor interno o externo que puede ocasionar la ocurrencia de un evento.

CICCI: Comité Institucional de Coordinación de Control Interno

Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados. La información debe ser accedida sólo por aquellas personas que lo requieran como una necesidad legítima para la realización de sus funciones.

Consecuencia: son los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor o demás partes interesadas

Control: medida que modifica el riesgo.

2/22



CÓDIGO ASMN04


VERSIÓN 1

Declaración de aplicabilidad: documento que enumera los controles aplicados por el Sistema de Gestión de la Seguridad de la Información (SGSI) de la organización tras el resultado de los procesos de evaluación y tratamiento de riesgos y su justificación, así como la justificación de las exclusiones de controles del anexo A de la norma técnica NTC-ISO/IEC 27001:2013.

Disponibilidad: propiedad de la información de estar accesible y utilizable cuando lo requiera una persona/entidad autorizada. La información debe estar en el momento y en el formato que se requiera, al igual que los recursos necesarios para su uso. La no disponibilidad de la información puede resultar en pérdidas financieras, de imagen y/o credibilidad ante los usuarios de la Superintendencia Nacional de Salud.

Efectividad: equilibrio entre el logro de los resultados planificados y el manejo de los recursos utilizados y disponibles para tal fin.

Eficacia: grado en el que se realizan las actividades planificadas y se alcanzan los resultados planificados.

Eficiencia: relación entre el resultado alcanzado y los recursos utilizados.

Eventos: presencia o cambio de un conjunto particular de circunstancias.

Evento de seguridad de la información: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de Seguridad de la Información o la falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad.

Gestión del Riesgo: proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.

Impacto: se entiende como las consecuencias que puede ocasionar a la organización la materialización del riesgo.

Líneas de Defensa: esquema de roles y responsabilidades frente a la Sistema de Control Interno, gestión del riesgo y controles.

Indicador Clave de Riesgo (Key Risk Indicator — KRI): el KRI es un indicador que actúa como alerta temprana proveyendo a la Superintendencia la capacidad de identificar cambios en el nivel y/o perfil de riesgos de la misma. Adicionalmente, un KRI debe permitir la identificación de tendencias en el comportamiento de los riesgos.

Objetivo: es la finalidad del proceso o proyecto.

OAP: Oficina Asesora de Planeación

Perfil de Riesgo: resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.

3/22



CÓDIGO ASMN04


VERSIÓN 1

Probabilidad: se entiende como la posibilidad de ocurrencia del riesgo. Esta puede ser medida con criterios de frecuencia o factibilidad.

Riesgo de Corrupción: es la posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.

Riesgo de Gestión: es la probabilidad de ocurrencia de un evento adverso que puede dar lugar al incumplimiento de los objetivos.

Riesgos de Seguridad Digital (Ciberseguridad): Riesgos que resultan de la combinación de amenazas y vulnerabilidades en el ambiente digital y dada su naturaleza dinámica incluye también aspectos relacionados con el entorno físico1. Estos riesgos tienen una relación directa con los principios de la Seguridad de la Información y se clasifican teniendo en cuenta los siguientes grupos:

a. Pérdida de la Confidencialidad: Pérdida de la propiedad de la información que impide su divulgación a individuos, entidades o procesos no autorizados.

b. Pérdida de la Integridad: Pérdida de la propiedad de contar con información exacta y completa, o que pudo haber sido sin ser manipulada o alterada por personas o procesos no autorizados.

c. Pérdida de la Disponibilidad: Pérdida de la cualidad o condición de la información de encontrarse a disposición de quienes requieran acceder a ella, ya sean personas, procesos o aplicaciones.

Riesgo de Seguridad y Privacidad de la información: está asociado con el potencial de que las amenazas exploten las vulnerabilidades de un activo de información o grupo de activos de información y, por lo tanto, causen daños a una organización.

Riesgo Inherente: es el riesgo propio del evento, sin tener en cuenta controles o medidas de mitigación

Riesgo Materializado: ocurrencia de riesgo identificado.

Riesgo Residual: es el riesgo resultante después de considerar los controles y las medidas de mitigación.

Sistema de Control Interno: el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos, y mecanismos de verificación y evaluación adoptados por una Entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas y objetivos previstos.

1 Departamento Nacional de Planeación. CONPES 3854, pág 24.

4/22



CÓDIGO ASMN04


VERSIÓN 1

Sistema de Gestión de la Seguridad de la Información (SGSI): Conjunto de elementos interrelacionados o interactuantes (estructura organizacional, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer la política y los objetivos de Seguridad de la Información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua. Para efectos de entendimiento en la Superintendencia Nacional de Salud, el SGSI hace referencia al Subsistema de Seguridad de la Información (SSI).

Seguridad de la Información: preservación de los principios de confidencialidad, la integridad y la disponibilidad de la información

Supersalud/SNS: Superintendencia Nacional de Salud.

Tolerancia al Riesgo: son los niveles aceptables de desviación relativa a la consecución de objetivos.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión

Valoración del riesgo: proceso de análisis y evaluación del riesgo

Vulnerabilidad: debilidad de un activo o control que puede ser explotada por una o más amenazas

4. CICLO DE ADMINISTRACIÓN DEL RIESGO

La Superintendencia Nacional de Salud busca implementar un Sistema de Gestión de Riesgos interactivo y sistemático que permita la toma de decisiones de manera oportuna y efectiva, anticiparse a los eventos y riesgos identificados que puedan afectar el logro de los objetivos estratégicos y de proceso, evitar la ocurrencia de posibles riesgos de fraude y corrupción y una adecuada administración de la gestión de la seguridad y privacidad de la información. Lo anterior, se verá reflejado en las etapas de la administración del riesgo, conformadas de la siguiente manera:

5/22



CÓDIGO ASMN04


VERSIÓN 1

Gráfico 1: Ciclo de administración de riesgos de Supersalud Adaptado de la NTC 31000:2018

4.1 Lineamientos de la Política

La política de administración del riesgo es la declaración de la alta dirección para la gestión del riesgo, la cual está conformada por los siguientes elementos:

Objetivo Alcance Niveles de aceptación del riesgo Niveles para calificar el impacto Tratamiento al riesgo Periodicidad del seguimiento.

Con estos elementos se busca desarrollar un compromiso de la alta dirección hacia todos los servidores públicos de la organización, para orientar las actividades de la gestión del riesgo e interiorizar la importancia de esta actividad como herramienta de alto nivel para la toma de decisiones basada en evidencias.

4.2 Identificación del Riesgo

4.2.1 Contexto de la Organización:

La identificación de los riesgos se determina a través del análisis del contexto interno y externo de la organización, considerados como estratégicos para los procesos y que sirven de base para la identificación de los posibles eventos adversos a la organización. Los cuales se presentan en la siguiente tabla:

Categoría Clase de Factor Factores6/22

REPORTE E INFORME

CO

MU

NIC

AC

IO

N Y

C

ON

SULT

AM

ON

ITOR

EO

Y REVISIÓ

N

LINEAMIENTOS



CÓDIGO ASMN04


VERSIÓN 1

Contexto Externo

Políticos Cambios de gobierno, legislación, políticas públicas, regulación.

Económicos y financieros

Disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.

Sociales y Culturales Demografía, responsabilidad social, orden público.

Tecnológicos Avances en la tecnología, acceso a los sistemas de información externos, gobierno en línea.

Ambientales Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

Legales y reglamentarias

Normatividad externa (leyes, decretos, ordenanza y acuerdos).

Contexto Interno

Financieros Presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada.

Personal Competencia de personal, disponibilidad de personal, seguridad y salud ocupacional.

Proceso Capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento.

TecnologíaIntegridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de sistemas de información.

Estratégicos Direccionamientos estratégicos, planeación institucional, liderazgo, trabajo en equipo.

Comunicación Interna

Canales utilizados y su efectividad, flujo de información necesaria para el desarrollo de las operaciones.

Contexto del Proceso

Diseño del proceso Claridad en la descripción del alcance y objetivo del proceso

Interacción con otros procesos

Relación precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios o clientes.

Transversalidad Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.

Procedimientos asociados

Pertinencia en los procedimientos que desarrollan los procesos.

Responsables del proceso

Grado de autoridad y responsabilidad de los funcionarios frente al proceso.

Comunicación entre los procesos

Efectividad en los flujos de información determinados en la interacción de los procesos.

Activos de seguridad digital del proceso

Información, aplicaciones de la entidad, hardware, redes y servicios de T.I. entre otros, que se debe proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano.

Tabla 1. Factores contexto interno, externo y de proceso. DAFP

7/22



CÓDIGO ASMN04


VERSIÓN 1

Una vez establecido el análisis de contexto, se dejará registrado en la matriz DOFA2, la cual se tomará como una de las fuentes para la identificación de posibles riesgos y sus posibles causas.

En cuanto a los riesgos asociados a seguridad de la información necesaria la identificación de activos de información. La identificación de activos contiene los siguientes pasos:

Listar los activos de cada proceso. Identificar el dueño de los activos Clasificar los activos Clasificar la información Determinar la criticidad del activo Identificar si existe infraestructura crítica cibernética

Previo a la identificación de riesgo y una vez analizado el contexto y los activos de información, es importante que la organización haya realizado la adecuada definición de los objetivos de los procesos, con el fin de determinar los aspectos más relevantes para la entidad y garantizar la satisfacción de las partes interesadas.

4.2.2 Identificación del Riesgo

Teniendo en cuenta el análisis de contexto y objetivos de los procesos, se identifican las situaciones o eventos que podrían dar lugar al no cumplimiento de los objetivos identificados. La identificación del riesgo debe dar respuesta a las siguientes preguntas:

¿Qué puede suceder?, ¿cómo puede suceder?, ¿cuándo puede suceder? y ¿qué consecuencias tendría su materialización?

Las anteriores respuestas permitirán determinar, las causas, riesgos y consecuencias. Los anteriores atributos constituyen la identificación del riesgo.

Una vez identificado el riesgo, es preciso establecer una adecuada redacción, que permita en todo caso, identificar claramente el evento. Razón por la cual es necesario tener en cuenta los siguientes aspectos:

Evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que denoten una causa tales como: “ausencia de”, “falta de”, “poco(a)”, “escaso(a)”, “insuficiente”, “deficiente”, “debilidades en…”

Generar en el lector o escucha la imagen del evento como si ya estuviera sucediendo.

Teniendo en cuenta los anteriores elementos, se procede a generar la redacción del riesgo, los riesgos ya sean de gestión, corrupción o seguridad de la información, tienen particularidades y factores diferenciales, los cuales se ejemplifican a continuación:

2Debilidades, Oportunidades, Fortalezas y Amenazas.8/22



CÓDIGO ASMN04


VERSIÓN 1

a) Para la redacción de un riesgo de gestión se toma como base el objetivo del proceso.

Ejemplo:

Si el objetivo del proceso es:

Coordinar y ejecutar los procesos contractuales requeridos para la adquisición de bienes y servicios necesarios para la operación de la entidad y cumplimiento de su misión

institucional de manera oportuna.

La posible redacción del riesgo es:

Inoportunidad en la adquisición de los bienes y servicios requeridos por la entidad.


Dar respuesta a los derechos de petición, recursos de apelación, recursos de queja, recursos de reposición, silencios administrativos positivos, revocatorias, PQRD,

denuncias y consultas éticas, presentadas por los usuarios/ciudadanos, con oportunidad y calidad para dar cumplimiento a la normativa vigente.

La posible redacción del riesgo es:

Inadecuada respuesta a las peticiones quejas, reclamos y denuncias generadas por la entidad

b) En cuanto a los riesgos de corrupción se deben tener en cuenta para la redacción los siguientes elementos:

Acción u omisión + uso del poder + desviación de la gestión de lo público + el beneficio privado.

Si uno de esos componentes no está presente en la identificación del riesgo, es posible que no se trate de un riesgo de corrupción sino de uno de gestión. Para este caso, la redacción estaría establecida de la siguiente manera:

Ejemplo

9/22



CÓDIGO ASMN04


VERSIÓN 1


Ejecutar y gestionar las actividades de cobro que correspondan en cumplimiento de la normativa vigente y de la facultad legal prevista para el efecto. Lo anterior, con el fin de

generar el recaudo de la cartera a favor de la Entidad

La posible redacción de riesgo es:

Dilatar u omitir el inicio y desarrollo del procedimiento de cobro persuasivo y coactivo, o de alguna de sus etapas para beneficio propio o de un tercero.

c) Para la definición de los riesgos de seguridad de la información se tiene como referente el activo de información sobre el cual se va a establecer el riesgo, asimismo, respecto a los riesgos asociados a seguridad de la información se debe tener en cuenta la afectación en la cual se pueda incurrir sobre los riesgos existentes de pérdida de integridad, confidencialidad y disponibilidad de la información, a lo cual se les debe asociar los activos y conjuntamente analizar las amenazas y vulnerabilidades

Ejemplo

Si el activo de información es:

Base de datos de nómina/Pérdida de la integridad

.La posible redacción de riesgo es:

Pérdida de la integridad de la base de datos de nómina.

4.3 Tipología de los riesgos

Las tipologías existentes de riesgos susceptibles de ser identificadas para la Supersalud son:

Tipología de Riesgos Descripción de la Tipología

Riesgos de Gestión

Estratégico Posibilidad de ocurrencia de eventos que afecten los objetivos estratégicos de la organización pública y por tanto impactan toda la entidad.

Gerenciales Posibilidad de ocurrencia de eventos que afecten losprocesos gerenciales y/o la alta dirección.

10/22



CÓDIGO ASMN04


VERSIÓN 1

Tipología de Riesgos Descripción de la Tipología

De imagen o reputacional

Posibilidad de ocurrencia de un evento que afecte la imagen, buen nombre o reputación de una organización ante sus clientes y partes interesadas.

Operativos Posibilidad de ocurrencia de eventos que afecten los procesos misionales de la entidad.

Financieros

Posibilidad de ocurrencia de eventos que afecten los estados financieros y todas aquellas áreas involucradas con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de cuentas, costos, etc.

Cumplimiento y conformidad

Posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la organización debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.

TecnológicosPosibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura tecnológica (hardware, software, redes, etc.) de una entidad.

Riesgos de Corrupción

De CorrupciónRelacionados con acciones, omisiones, uso indebido del poder, de los recursos o de la información para la obtención de un beneficio particular o de un tercero.

Riesgos de Seguridad de Seguridad y Privacidad de la Información

Riesgos de seguridad y privacidad de la información

Posibilidad de combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.

En cuanto a los riesgos de seguridad digital existen tres (3) tipos de riesgos: pérdida de confidencialidad, pérdida de la integridad y pérdida de la disponibilidad de los activos

Tabla 2. Tipología de riesgos. DAFP

4.4 Análisis de los riesgos

El análisis del riesgo busca determinar a través de la medición cuantitativa y cualitativa tanto la probabilidad de ocurrencia del riesgo identificado, como el impacto establecido para la organización, con el fin de estimar la zona de riesgo inherente.

4.4.1 Calificación de la probabilidad

11/22



CÓDIGO ASMN04


VERSIÓN 1

La calificación de probabilidad permite determinar la posibilidad de que ocurra el riesgo identificado. Para lo cual, se tendrá en cuenta los criterios establecidos para determinar el descripto de la probabilidad tanto cuantitativa como lo cualitativamente. A continuación, se relaciona la tabla de probabilidad:

Descriptor Criterio de frecuencia PuntajeCasi seguro Más de una vez en el último año 5

Probable Al menos una vez en el último año 4Posible Al menos una vez en los últimos dos años 3Improbable Al menos una vez en los últimos cinco años 2Rara vez No se ha presentado en los últimos cinco años 1Tabla 3: Calificación de Probabilidad. DAFP

4.4.2 Calificación del impacto

En la calificación de impacto hace referencia a las consecuencias que puede ocasionar a la organización la materialización del riesgo. Se tienen en cuenta las consecuencias potenciales establecidas en la identificación del riesgo, ya sean de tipo cuantitativas o cualitativas. Para su determinación, se deben utilizar las tablas de niveles de impacto establecida en la Política de Riesgos, tanto para los riesgos de gestión, corrupción y seguridad y privacidad de la información.

En el caso de seguridad de la información, la probabilidad y el impacto se determinan con base a la amenaza, no en las vulnerabilidades.

Esta valoración se realiza sobre en los principios de la Seguridad de la Información:

Confidencialidad: Mide el impacto que tendría para la Superintendencia Nacional de Salud la pérdida de confidencialidad sobre los activos de información, es decir, que sean conocidos por personas no autorizadas.Integridad: Mide el impacto que tendría la pérdida de integridad, es decir, si la exactitud y estado completo de los activos de información o sus métodos de procesamiento fueran alterados.Disponibilidad: Mide el impacto que tendría la pérdida de disponibilidad, es decir, si los usuarios autorizados no tuvieran acceso a los activos de información en el momento que lo requieran.

4.4.3 Mapa de Calor

El mapa de calor es una representación gráfica en la cual se establece la zona de riesgos determinada conforme al nivel de impacto y probabilidad definido.

Pro

bab

ilida Casi Seguro Alta Alta Extrema Extrema Extrema

12/22



CÓDIGO ASMN04


VERSIÓN 1

d

Probable Moderada Alta Alta Extrema Extrema

Posible Baja Moderada Alta Extrema Extrema

Improbable Baja Baja Moderada Alta Extrema

Rara Vez Baja Baja Moderada Alta Extrema

Insignificante Menor Moderado Mayor Catastrófico

ImpactoGráfico 2. Mapa de calor riesgos de gestión

Una vez identificada la probabilidad y el impacto, en las etapas anteriores, seobtiene como resultado el riesgo inherente. Con respecto a los riesgos de corrupción, el análisis se realizará teniendo en cuenta los niveles “moderado”, “mayor” y “catastrófico”, como se muestra en el grafico 3 Mapa de calor riesgos de corrupción, dado que estos riesgos siempre serán significativos.

Prob

abili

dad

Casi SeguroAlta Alta Extrema Extrema Extrema

Probable Moderada Alta Alta Extrema Extrema

Posible Baja Moderada Alta Extrema Extrema

Improbable Baja Baja Moderada Alta Extrema

Rara Vez Baja Baja Moderada Alta Extrema

Insignificante Menor Moderado Mayor Catastrófico

ImpactoGráfico 3. Mapa de calor riesgos de corrupción

Una vez validada la zona de riesgo, se inicia la etapa de evaluación del riesgo.

4.5 Evaluación

La evaluación es la etapa en la cual se identifican los controles que permiten reducir o mitigar el riesgo. El éxito de la etapa de evaluación estará determinado por el adecuado diseño y ejecución de las actividades de control establecidas, razón por la cual, es imprescindible el cumplimiento de los elementos para la definición de controles, los cuales se presentan en la siguiente tabla:

Elemento Descripción del elemento

13/22



CÓDIGO ASMN04


VERSIÓN 1

1. Responsable

Cargo o rol asignado para ejecutar el control. Debe tener la autoridad, competencias y conocimientos para ejecutar el control dentro del proceso y sus responsabilidades deben ser adecuadamente segregadas o redistribuidas entre diferentes individuos, para reducir así el riesgo de error o de actuaciones irregulares o fraudulentas.

2. PeriodicidadEl control debe tener una periodicidad específica para su realización (diario, mensual, trimestral, anual, etc.) y su ejecución debe ser consistente y oportuna para la mitigación del riesgo.

3. Propósito del control

El control debe tener un propósito que indique para qué se realiza, y que ese propósito conlleve a prevenir las causas que generan el riesgo (verificar, validar, conciliar, comparar, revisar, cotejar) o detectar la materialización del riesgo, con el objetivo de llevar a cabo los ajustes y correctivos en el diseño del control o en su ejecución.

4. Cómo se realiza la actividad de control

El control debe indicar el cómo se realiza, de tal forma que se pueda evaluar si la fuente u origen de la información que sirve para ejecutar el control es confiable para la mitigación del riesgo.

5. Qué pasa con las observaciones o desviaciones resultantes de ejecutar el control.

El control debe indicar qué pasa con las observaciones o desviaciones como resultado de ejecutar el control. Al momento de evaluar si un control está bien diseñado para mitigar el riesgo, si como resultado de un control preventivo se observan diferencias o aspectos que no se cumplen, la actividad no debería continuarse hasta que se subsane la situación o si es un control que detecta una posible materialización de un riesgo, deberían gestionarse de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u observaciones.

6. Evidencia de la ejecución del control

El control debe dar cuenta que:1. Fue realizado por el responsable que se definió.2. Se realizó de acuerdo a la periodicidad definida.3. Se cumplió con el propósito del control.4. Se dejó la fuente de información que sirvió de base para su ejecución.5. Hay explicación a las observaciones o desviaciones resultantes de ejecutar el control.

Tabla 3. Elementos para definir un control. Fuente: DAFP

14/22



CÓDIGO ASMN04


VERSIÓN 1

Teniendo en cuenta los elementos del control, se procede a unificar dichos elementos en una misma redacción.

Ejemplo:

Verificar cada vez que se va a realizar un contrato por parte del profesional de contratación, a través de una lista de chequeo, que la información suministrada por el proveedor corresponda con los requisitos establecidos para adelantar el proceso de

contratación. En caso de encontrar información faltante, solicitar al proveedor por correo la información, con el fin de continuar con el proceso de contratación. Evidencia: lista de chequeo diligenciada en la carpeta del proceso contractual y correos a que hubo lugar en

donde solicitó la información faltante.

Cada uno de los controles definidos deben estar encaminados a mitigar las causas identificadas, por lo tanto, por cada causa debe existir un control. Cuando los controles son robustos, es probable que un mismo control pueda abordar varias causas.

Conforme a lo anterior, los controles pueden ser de dos tipos:

Controles Preventivos: Controles que están diseñados para evitar un evento no deseado en el momento en que se produce.

Controles Detectivos: Controles que están diseñados para identificar un evento o resultado no previsto después de que se haya producido.

4.5.1 Valoración de Controles

Una vez identificados los controles, se deberá valorar tanto su diseño como su ejecución, con el fin de asegurar la mitigación de los riesgos establecidos, en tal sentido, se establecer los criterios de calificación por cada uno de los aspectos de evaluar:

Elemento Aspecto a evaluar Opción de Respuesta

Valor de la Calificación

Responsable

¿Existe un responsable asignado a la ejecución del control?

Asignado 15

No asignado 0

¿El responsable tiene la autoridad y adecuada segregación de funciones en la ejecución del

control?

Adecuado 15

Inadecuado 0

Periodicidad ¿La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación del riesgo o a Oportuna 15

15/22



CÓDIGO ASMN04


VERSIÓN 1

detectar la materialización del riesgo de manera oportuna? Inoportuna 0

Propósito

¿Las actividades que se desarrollan en el control realmente buscan por si sola prevenir o detectar las causas que pueden dar origen al riesgo, Ej.: verificar, validar, cotejar, comparar, revisar, etc.?

Prevenir 15

Detectar 10

No es un control 0

Cómo se realiza la

actividad de control

¿La fuente de información que se utiliza en el desarrollo del control es información confiable que

permita mitigar el riesgo?

Confiable 15

No confiable 0

Qué pasa con las

observaciones o

desviaciones

¿Las observaciones, desviaciones o diferencias identificadas como resultados de la ejecución del control son investigadas y resueltas de manera

oportuna?

Se investigan y resuelven

oportunamente15

No se investigan y resuelven

oportunamente.0

6. Evidencia de la

ejecución del control

¿Se deja evidencia o rastro de la ejecución del control que permita a cualquier tercero con la

evidencia llegar a la misma conclusión?

Completa 15

Incompleta 10

no existe 0

Tabla 4. Evaluación de Controles. DAFP

Si el resultado de las calificaciones del control, o el promedio en el diseño y ejecución de los controles, están por debajo de 96 puntos, se debe establecer acciones que permita tener un control o controles correctamente diseñados. Con esta información se busca validar tanto el diseño como la ejecución del control, teniendo en cuenta que es tan importante el adecuado diseño como el registro y evidencia de la aplicación de los controles establecidos, para garantizar su operatividad.

Una vez se han valorado los controles de manera individual, se debe determinar si los controles en su conjunto contribuyen a la disminución de la probabilidad y/o del impacto, de esta respuesta dependerá el rango de desplazamiento del mapa de calor sobre el eje. Este rango se establece de la siguiente manera:

Solidez del

conjunto de los

controles

Controles ayudan a disminuir la probabilidad

Controles ayudan a disminuir el impacto

Columnas en la matriz de riesgo

que se desplazara en el eje de

probabilidad

Columnas en la matriz de riesgo

que se desplazan en el eje de

impacto.

Fuerte Directamente Directamente 2 2

16/22



CÓDIGO ASMN04


VERSIÓN 1

Fuerte Directamente Indirectamente 2 1Fuerte Directamente No disminuye 2 0Fuerte No disminuye Directamente 0 2

Moderado Directamente Directamente 1 1Moderado Directamente Indirectamente 1 0Moderado Directamente No disminuye 1 0Moderado No disminuye Directamente 0 1

Tabla 5: Criterio de desplazamiento probabilidad e impacto.

Tratándose de riesgos de corrupción únicamente hay disminución de probabilidad. Es decir, para el impacto no opera el desplazamiento.

4.6 Tratamiento del Riesgo

El tratamiento del riesgo es el mecanismo mediante el cual se establecen las acciones para abordar el riesgo, conforme a la identificación del riesgo residual. Las opciones de manejo son las siguientes:

17/22

Se reduce la probabilidad o el impacto del riesgo transfiriendo

o compartiendo una parte de este

Se abandonan las actividades que dan lugar al riesgo

Se adoptan medidas para reducir la probabilidad o el

impacto del riesgo

No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo.

Aceptar Reducir

CompartirEvitar



CÓDIGO ASMN04


VERSIÓN 1

Gráfico 4: Tratamiento a Riesgo

En cuanto al tratamiento de riesgos es importante tener en cuenta que:

Los riesgos de corrupción nunca se pueden aceptar. Las políticas, proceso y procedimientos por si solos no son controles. En cuanto a riesgos de para mitigar/tratar los riesgos de seguridad digital, se deben

emplear como mínimo los controles del Anexo A de la ISO/IEC 27001:2013, estos también se encuentran en el anexo 4. “Lineamientos para la gestión del riesgo de seguridad digital”.

5. MONITOREO Y REVISIÓN

El monitoreo y seguimiento es clave para lograr una adecuada administración de los riesgos, especialmente garantizar que las actividades de control y la frecuencia del seguimiento. Esta actividad se hará conforme a lo establecido por la organización en la Política de Administración del Riesgo.

El objetivo de la etapa de monitoreo por las diferentes líneas de defensa, es la de garantizar que la gestión del riesgo se estén desarrollando conforme a lo establecido en este manual, especialmente garantizar la eficacia y efectividad de los controles, tanto en su diseño como en su ejecución, determinar permanentemente la idoneidad de los mismo y evitar la materialización del riesgos.

Es posible que en el seguimiento se determine la identificación de nuevos riesgos o el ajuste y modificación a los ya existentes.

5.2 Roles y Responsabilidades

Los roles y responsabilidades respecto a la administración del riesgo en la Supersalud, se hará de acuerdo a lo definido por la líneas de defensa del manual operativo de MIPG en la dimensión Control Interno y conforme a lo establecido en la Guía para la administración del riesgo y el diseño de controles en entidades públicas del Departamento Administrativo de la Función Pública.

18/22



CÓDIGO ASMN04


VERSIÓN 1

Gráfico 5. Responsabilidad Líneas de Defensa. DAFP.

Esta información será documentada en la Matriz de Roles y responsabilidades, en donde se desarrollaran las acciones a ejecutar por cada una de las líneas de defensa.

5.3 Indicadores clave de riesgo

Los indicadores clave de riesgos están encaminados a evaluar la eficacia y efectividad de los controles establecidos, en tal sentido, a través del monitoreo y seguimiento se realizará la verificación de la eficacia de los controles por cada riesgo, y a través de indicadores, se verifica la efectividad de los controles establecidos, es decir, la ocurrencia o no de la materialización del riesgo.

Igualmente, en el caso de los riesgos de seguridad y privacidad de la información se deben generar indicadores para medir la gestión realizada en cuanto a la eficacia y la efectividad de los planes de tratamiento implementados respecto a la pérdida de confidencialidad, de integridad, de disponibilidad y reporte de incidentes.

5.4 Materialización del riesgo

En caso de que alguna de las líneas de defensa durante la etapa de monitoreo identifique la materialización del riesgo, se adelantaran las siguientes acciones:

Riesgo de Corrupción Riesgo de gestión Riesgos de seguridad y privacidad de la información

• Informar a la alta dirección sobre la materialización del

• Realizar la revisión, análisis y acciones correspondientes • Las acciones a realizar en

19/22

Define el marco general para la gestión del riesgo y el control. Supervisa su cumplimiento, está a cargo de la alta dirección y el comité institucional de coordinación de control interno

Línea Estratégica

Desarrolla e implementa procesos de control y gestión de riesgo a través de su identificación, análisis, valoración, monitoreo y acciones de mejora.

Primera Línea de Defensa

Asegura que los controles y los procesos de gestión de riesgos implementados por la primera línea de defensa, estén diseñados apropiadamente y funcionen.

Segunda Línea de Defensa

Proporciona información sobre la efectividad del S.C.I., a través de un enfoque basado en riesgos, incluida la operación de la primera y segunda línea de defensa

Tercera Línea de Defensa



CÓDIGO ASMN04


VERSIÓN 1

Riesgo de Corrupción Riesgo de gestión Riesgos de seguridad y privacidad de la información

Riesgo.• El superintendente convoca al

Comité de Coordinación de Control Interno e informar sobre los hechos detectados, desde donde se toman las decisiones para iniciar la investigación de los hechos.

• Realizar la denuncia ante el ente de control respectivo.

• Revisar el mapa de riesgos de corrupción, en particular, las causas, riesgos y controles.

• Verificar que se tomaron las acciones y se actualizó el mapa de riesgos.

para resolver el hecho.• Verificar que se tomaron las

acciones y que se actualizó el mapa de riesgos correspondiente.

• Informar a la Alta Dirección sobre el hallazgo y las acciones tomadas.

caso de un evento de Seguridad y Privacidad de la Información, se encuentran registradas en la Guía de Gestión de Incidentes de Seguridad de la Información – GSGU08

Tabla 6. Materialización del Riesgo. Propia

6. COMUNICACION

La comunicación de los riesgos se realiza a través de una campaña de comunicaciones institucional, con el objetivo de involucrar a las partes interesadas y que estén alineadas en cuanto al conocimiento de la política y metodología adoptada por la Supersalud. Igualmente, hacer partícipes a los colaboradores y ciudadanía en el conocimiento del Mapa de Riesgos definido por la entidad.

Por otro lado, la comunicación, trabajo en equipo y participación de los funcionarios con mayor experiencia o experticia en los temas, son importantes para una definición adecuada de los riesgos.

La comunicación también se refiere a los reportes establecidos entre las diferentes líneas de defensas:

20/22



CÓDIGO ASMN04


VERSIÓN 1

Grafico 6. Reporte y Comunicaciones

7. LINEAMIENTOS ESPECIALES

7.1 Riesgos de los Proyectos

Los riesgos asociados a los proyectos de inversión deben identificarse y gestionarse durante la ejecución del proyecto. Los riesgos propios y específicos de los proyectos de inversión de acuerdo con la documentación y metodología que sea adoptada para tal efecto o señalada por el Departamento Nacional de Planeación.

7.2 Riesgos del Proceso Contractual

Por su parte para los riesgos propios derivados de la adquisición de bienes o prestación de servicios por parte de terceros a la entidad, en sus fases contractual y post contractual se definen en los estudios previos propios de cada contratación. Esta definición se realiza de acuerdo con las metodologías definidas por Colombia Compra Eficiente y en lo pertinente en los documentos PPMN01 Manual de Contratación.

21/22

Linea Estratégica Que todos los niveles de la

organización conozcan su rol en la gestión de riesgos.

Primera Línea

Implementar metodología y reportar a la segunda línea avances y

dificultades en la gestión del riesgo.

Segunda Línea de Defensa

Difusión y asesoría , asi como seguimiento a planes de

tratamiento.

Tercera Línea de Defensa

Evaluar el aseguramiento independiente sobre la gestión del

riesgo.



CÓDIGO ASMN04


VERSIÓN 1

7.3 Riesgos de Seguridad y Salud en el Trabajo

Para la identificación de peligros, evaluación y valoración de los riesgos del Sistema de Seguridad y Salud en el Trabajo se implementará de acuerdo a la normatividad vigente.

7.4 Riesgos de Gestión Ambiental.

Para la identificación de los riesgos de Gestión Ambiental, estos se determinarán de los aspectos e impactos ambientales significativos a los cuales se les dará tratamiento de acuerdo con el procedimiento ASPD03 “ADMINISTRACIÓN DEL RIESGO” y el manual ASMN04 “MANUAL DE ADMINISTRACIÓN DEL RIESGO”.

CONTROL DE CAMBIOSASPECTOS

QUE CAMBIARON

EN EL DOCUMENTO

DETALLES DE LOS CAMBIOS EFECTUADOS

RESPONSABLE DE LA

SOLICITUD DEL CAMBIO

FECHA DEL CAMBIO

DD/MM/AAAAVERSIÓN

Adopción del documento

Mediante memorando Nurc 3-2020-6485 se solicita la adopción del Manual de Administración del Riesgo.

Mediante memorando Nurc 3-2020-7062 se aprueba la adopción del manual.

Jefe Oficina Asesora de Planeación

29/05/2020 1

22/22

manual de administración del riesgo · web viewsi uno de esos componentes no está presente en la...

Documents