presentación de powerpoint - secretaría general · incorporar anexo 4 “lineamientos para la...

11

Esta presentación es propiedad intelectual controlada y producida por la Presidencia de la República.

Abril de 2019

Gestión del Riesgo

(Articulado Riesgos de Corrupción y de

seguridad digital)

Esta presentación es propiedad intelectual controlada y producida por Función Pública

Función Pública

Contenido

Alineación con el MIPG y PlanAnticorrupción y de Atención alCiudadano

Metodología Propuesta (Riesgos Gestión, Corrupción y Seguridad Digital)

01.

02.

03. Rol de las líneas de defensa dentro de la gestión del riesgo


Alineación con el MIPG y

Plan Anticorrupción y de

Atención al Ciudadano

01.


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo, se definen los

siguientes aspectos:

Factores de Riesgo Principales (Análisis Interno y Externo) atendiendo el diagnóstico de capacidades y entornos.

Planeación Estratégica de la entidad.

Tabla de Impactos principales por cada uno de los 5 niveles (Acorde con la estrategia y los procesos críticos)

Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción, estrategias para trámites, rendición

de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información), que pueden facilitar la construcción de acciones

para el mapa de riesgos de corrupción.

Articulación MIPG – Gestión del Riesgo

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

A partir de la dimensión de “Gestión con Valores para el Resultado” se definen los siguientes aspectos:

Estructura de Procesos, Procedimientos, Políticas, entre otras herramientas.

Instrumentos y herramientas relacionadas con las Tecnologías de la Información y las Comunicaciones para la mejora

de los procesos.


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Esquema de las Líneas de Defensa

Línea

Estratégica

Primera línea

de defensa

Segunda línea

de defensa

Tercera línea

de defensa

A partir de la dimensión de “Control Interno” se definen los siguientes aspectos:

Esquema de las líneas de Defensa para la definición de los roles y responsabilidades de la gestión del riesgo y

control.

A través de los componentes del MECI evaluar la efectividad de la estructura de control (diseño y ejecución de

los controles).

Componentes:

1. Ambiente de control

2. Evaluación del riesgo

3. Actividades de control

4. Información y comunicación

5. Actividades de monitoreo


Metodología (Riesgos Gestión, Corrupción y Seguridad Digital)

02.


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Análisis de Capacidades y

Entornos.

Caracterización de los grupos de valor

y sus necesidades

Priorización de esas necesidades y su

despliegue en las características de los

productos y servicios

Planeación Estratégica y su

despliegue hacia los procesos.

Plan Anticorrupción y de Atención al

ciudadano.

Política de Administración del Riesgo

Insumos Dimensión Direccionamiento Estratégico y

Planeación

Insumos Dimensión Gestión con

Valores para el Resultado

Antes de Iniciar con la Metodología

Estructura de Procesos,

Procedimientos, Políticas, entre otras

herramientas.

Instrumentos y herramientas

relacionadas con las Tecnologías de la

Información y las Comunicaciones para

la mejora de los procesos.

Aspectos Esenciales Habilitantes para la incorporación de la Metodología

Insumos Dimensión Control

Interno

Aprobación Política de

Administración del

Riesgo.

Esquema Líneas de

Defensa

Definiciones Básicas

Seguridad Digital

Corrupción

Riesgo: Posibilidad de que

suceda algún evento que tendrá

un impacto sobre el cumplimiento

de los objetivos. Se expresa en

términos de probabilidad y

consecuencias.

Gestión del Riesgo

Estratégicos,

operativos, financieros,

de cumplimiento,

imagen o reputacional,

entre otros

Riesgo de Corrupción:

Posibilidad de que por acción u

omisión, se use el poder para

desviar la gestión de lo público

hacia un beneficio privado.

Riesgo de Seguridad Digital:

Combinación de amenazas y

vulnerabilidades en el entorno

digital. Incluye aspectos del

ambiente físico, digital y las

personas.

Riesgo Inherente: Es aquel

al que se enfrenta una

entidad en ausencia de

acciones de la dirección

para modificar su

probabilidad o impacto.

Riesgo Residual:

Nivel de riesgo que

permanece luego

de tomar medidas

de tratamiento del

riesgo.

Activo: En el contexto de seguridad digital

son elementos tales como aplicaciones de la

organización, servicios web, redes, Hardware,

información física o digital, recurso humano,

entre otros, que utiliza la organización para

funcionar en el entorno digital

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Gestión del Riesgo

La gestión de riesgos no es estática. Se integra en el desarrollo de la estrategia, la

formulación de los objetivos de la entidad y la implementación de esos objetivos a través de la

toma de decisiones cotidiana.

Proceso efectuado por la Alta Dirección de la entidad y por todo el

personal para proporcionar a la administración un aseguramiento

razonable con respecto al logro de los objetivos.

Definiciones Básicas

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Paso 1: Política Institucional de Riesgos

Declaración de la Dirección y las intenciones generales de una organización con respecto a

la gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión o Administración del riesgo

establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.

La debe establecer la Alta Dirección en cabeza

del Representante Legal en el marco del

Comité Institucional de Coordinación de Control

Interno

Objetivo: Alineada con los obj institucionales

Alcance: Aplicable a todos los procesos

Niveles de aceptación del Riesgo: Decisión

informada de tomar un riesgo particular.

Metodología (Periodicidad,Tabla Impacto,

Factores de Riesgo), entre otros.

Los riesgos de corrupción no admiten

aceptación del riesgo.

Definir procesos susceptibles de posibles

actos de corrupción.

¿Quién la establece?¿Qué debe contener?

Frente a los Riesgos de Corrupción

Incorporar Anexo 4 “Lineamientos para la

gestión del riesgo de seguridad digital.

Frente a los Riesgos de Seguridad Digital

Seguridad y Salud en el Trabajo, Ambiental u otros

Incorporar lineamientos generales para su manejo en

los procesos que correspondan.

Frente a otros Sistemas de Gestión o

Requerimientos

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Paso 2: Identificacióndel Riesgo – Análisis de Objetivos

Tanto de orden estratégico como de los procesos.

Análisis de Objetivos Estratégicos

La entidad debe analizar los objetivos

estratégicos e identificar los posibles riesgos que

afectan su cumplimiento y que puedan ocasionar

su éxito o fracaso.

Es necesario revisar que los objetivos

estratégicos se encuentren alineados con la

Misión y la Visión Institucional, así como,

analizar su adecuada Formulación

(características SMART)

Análisis de Objetivos de Proceso

Los objetivos de proceso deben ser

analizados con base en las características

mínimas explicadas en el punto anterior,

pero además, se debe revisar que los

mismos estén alineados con la Misión y la

Visión, es decir, asegurar que los objetivos

de proceso contribuyan a los objetivos

estratégicos.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


La entidad debe analizar los objetivos estratégicos y revisar que se encuentren alineados

con la Misión y la Visión Institucional, así como, analizar su adecuada formulación, es

decir, que contengan las siguientes características mínimas:

Tomado de: https://www.questionpro.com/

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Establecer

Identificar

Recopilar

Investigar

Buscar

Registrar

Tener en cuenta para los Objetivos

Un objetivo es un

enunciado que

expresa una acción

por lo tanto debe

iniciarse con un

verbo fuerte

Los objetivos

deben ser:

Medibles, realistas

y se deben evitar

frases subjetivas


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Paso 2: Identificacióndel Riesgo

En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos,

sus causas y sus consecuencias.

Establecimiento del Contexto

Definición de los parámetros internos y

externos que se han de tomar en

consideración para la administración del

riesgo (NTCISO31000, Numeral 2.9).

Se debe establecer el contexto tanto interno

como externo de la entidad, además del

contexto del proceso y sus activos de

seguridad digital.

Identificación del Riesgo

Se determinan las causas fuentes del

riesgo y los eventos con base en el análisis

de contexto para la entidad y del proceso,

que pueden afectar el logro de los

objetivos.

Es importante centrarse en los riesgos más

significativos para la entidad, relacionados

con los objetivos de los procesos.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Tabla ilustrativa 1 - Factores para cada categoría del contexto

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Frente a los Objetivos Estratégicos:

La posibilidad de que la estrategia y los objetivos

no se alineen con la misión, la visión y los valores

básicos.

Los tipos y la cantidad de riesgo que la

organización potencialmente se expone por la

elección de una estrategia particular.Cómo puede

Suceder?

1

2

3

Qué puede

suceder?

Cuándo puede

suceder?

Identificar la afectación del cumplimiento del

objetivo estratégico o del proceso según sea

el caso.

Establecer las causas a partir de los factores

determinados en el contexto

4Qué

consecuencias

tendría su

materialización?

Evitar iniciar con palabras negativas como: “No…” “Que no…”, o

con palabras que denoten un factor de riesgo (causa) tales como:

“ausencia de”, “falta de”, “Poco(a)”,“ Escaso(a)”,“Insuficiente”,

“Deficiente”, “Debilidades en

Establecer las causas a partir de los factores

determinados en el contexto

Determinar de acuerdo al desarrollo del proceso

Determinar los posibles efectos por la

materialización del riesgo

Pregúntese si el riesgo identificado esta relacionado

directamente con las características del objetivo. Si la

respuesta es “no” este puede ser la causa o la

consecuencia.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Para los riesgos de seguridad digital se requiere como requisito básico la identificación de

los Activos.

Anexo 4 “Lineamientos para la

gestión del riesgo de seguridad

digital en entidades públicas”

encontrarán:

Tabla 5. Tabla de amenazas

comunes

Tabla 6. Tabla de amenazas

dirigida por el hombre

Tabla 7. Tabla de

Vulnerabilidades Comunes

Pérdida de la integridad

1

2

3

Pérdida de la confidencialidad

Pérdida de la disponibilidad

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Para los riesgos relacionados con posibles actos de corrupción tomar en cuenta la matriz

para la definición del riesgo de corrupción.

Los riesgos de corrupción se establecen sobre procesos. El riesgo debe

estar descrito de manera clara y precisa. Su redacción no debe dar lugar

a ambigüedades o confusiones con la causa generadora de los mismos.

Con el fin de facilitar la identificación de riesgos de corrupción y de evitar

que se presenten confusiones entre un riesgo de gestión y uno de

corrupción, se sugiere la utilización de la Matriz de definición de riesgo

de corrupción, que incorpora cada uno de los componentes de su

definición.

Si en la descripción del riesgo, las casillas son

contestadas todas afirmativamente, se trata de un

riesgo de corrupción.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PROCESOS ENUNCIADO Marque aquí

GESTIÓN HUMANA Planeación Inadecuada

GESTIÓN FINANCIERA Emitir Estados financieros que no reflejen la realidad de la entidad

GESTIÓN CONTRACTUAL Pérdida de recursos de la Entidad

PLANEACIÓN INSTITUCIONAL Generación de lineamientos que no contribuye al logro del objetivo institucional

PLANEACIÓN INSTITUCIONALInadecuado funcionamiento de la plataforma tecnológica donde se realiza el seguimiento a la

planeación

ATENCIÓN AL USUARIO Orientación técnica incompleta (sin fondo)

GESTIÓN FINANCIERA Errores en los soportes de pago a proveedores

GESTIÓN CONTRACTUAL Contratar los bienes, servicios u obras requeridos sin las especificaciones técnicas y de calidad

necesarias

GESTIÓN HUMANA Errores en la liquidación de nómina, seguridad social y/o parafiscal.

ATENCIÓN AL USUARIO No contar con digiturno

Determine con respecto a los siguientes procesos si el enunciado corresponde a Riesgo, Causa o Consecuencia

Taller

Causas y Riesgos

CAUSA

RIESGO

CONSECUENCIA

RIESGO

CAUSA

RIESGO

CAUSA

RIESGO

RIESGO

CAUSA

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Paso 2: Identificacióndel Riesgo - Causas

La identificación del riesgo se lleva a cabo determinando

las causas con base en el contexto interno, externo y del

proceso que pueden afectar el logro de los objetivos.

(D) DEBILIDADES (factoresnegativos internos)

(O) OPORTUNIDADES (factorespositivos externos)

(F) FORTALEZAS (factorespositivos internos)

(A) AMENAZAS (factores negativosexternos)

MATRIZ DOFA

Identificación de factores

Políticos: Este apartado se refiere entre otras a políticas gubernamentales,

período gubernamental, elecciones, situación política de la región.

Económicos: Aquí se puede destacar la inflación, el desempleo, nivel de

endeudamiento, entre otros.

Sociales: Abarca aspectos demográficos, población vulnerable,

desplazados, factores étnicos y religiosos, entre otros.

Tecnológicos: Cubre la tecnología en la industria, la agricultura, los

servicios y las Tics, adicional las tendencias tecnológicas asociadas con las

políticas de Estado, entre otros.

Ecológicos: Uso de combustibles fósiles y su influencia en el cambio

climático, la contaminación del aire, suelo, tierra, agua, residuos, reciclaje,

energías renovables, entre otros.

Legales: Legislación cambiante, legislación sobre empleo, licencias,

propiedad industrial, entre otros.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Paso 2: Identificacióndel Riesgo - Causas Una vez realizado el análisis de

Contexto

Defina porqué se genera el

riesgo?

CONTEXTO ESTRATÉGICO

PROCESO: GESTIÓN CONTRACTUAL

OBJETIVO: Adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su

continua operación.

FACTORES

EXTERNOSCAUSAS

FACTORES

INTERNOSCAUSAS

Normatividad

Nuevas regulaciones y

requerimientos en materia

contractual.

ProcedimientosCarencia de controles en el

procedimiento de contratación

Talento humano

Insuficiente capacitación del

personal de contratos frente a

cambios en la regulación

contractual.

Normograma -Información desactualizada

PolíticasInadecuadas políticas de

operación


Los objetivos estratégicos y de proceso se desarrollan a

través de actividades, pero no todas tienen la misma

importancia, por tanto se debe establecer cuáles de ellas

contribuyen mayormente al logro de los objetivos y estas

son las actividades críticas o factores claves de éxito; estos

factores se deben tener en cuenta al identificar las causas

que originan la materialización de los riesgos.

Análisis de CausasNro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom

1 Insuficiente capacitación del

personal de contratos.

10 8 9 7 10 9 53 8,8

2 Fallas en la radicación de

propuestas

1 6 2 6 5 6 26 4,3

3 Mala atención a los

proveedores

5 3 1 5 4 3 21 3,5

4 Inadecuadas políticas de

operación

7 9 7 8 7 10 48 8,0

5 Desconocimiento de la

normatividad contractual

6 4 3 1 2 1 17 2,8

6 Débil gestión de adquisiciones 2 1 5 2 1 2 13 2,2

7 Desconocimiento de los

cambios en la regulación

contractual

8 7 10 9 8 7 49 8,2

8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3,8

9 Carencia de controles en el

procedimiento de contratación

9 10 8 10 9 8 54 9,0

10 Normograma desactualizado 4 2 6 3 3 5 23 3,8

CRITERIOS DE PRIORIZACIÓN

• En esta matriz se deben incluir todas las debilidades y

amenazas identificadas en el establecimiento del

contexto

• Cada integrante priorizará en orden de importancia de

menor a mayor las causas utilizando una escala donde 1

es la de menor importancia y «N» la de mayor

importancia dependiendo del número de causas.

• Un integrante del grupo debe organizar en la tabla las

calificaciones y calcular el promedio aritmético de cada

causa, siendo las de mayor promedio las causas raíz.

Priorización de Causas


RIESGO DESCRIPCIÓN TIPO CAUSAS CONSECUENCIAS

“In

op

ort

un

idad

enla

adq

uis

ició

nd

elo

sb

ien

esy

serv

icio

sre

qu

erid

os

po

rla

enti

dad

La combinación de factores como,

insuficientes capacitación del personal de

contratos, cambios en la regulación

contractual, inadecuadas políticas de

operación y Carencia de controles en el

procedimiento de contratación pueden

ocasionar la Inoportunidad en la adquisición

de los bienes y servicios requeridos por la

entidad, repercutiendo en la continuidad de la

operación de la entidad.

Operativo Carencia de controles en el

procedimiento de contratación1. Demoras en los procesos

2. incumplimiento en la entrega de

bienes y servicios a los grupos de

valor

3. Demandas y demás acciones

jurídicas

4. Detrimento de la imagen de la

entidad ante sus grupos de valor

5. Investigaciones disciplinarias

Insuficiente capacitación del personal

de contratos.

Desconocimiento de los cambios en la

regulación contractual

Inadecuadas políticas de operación

Proceso Contratación:

Objetivo “Adquirir con oportunidad y calidad técnica los bienes

y servicios requeridos por la entidad para su continua

operación”

Ejemplo

Análisis de la Probabilidad

Se analiza qué tan posible es que ocurra el riesgo, se expresa en

términos de frecuencia o factibilidad, donde frecuencia implica

analizar el número de eventos en un periodo determinado, se trata de

hechos que se han materializado o se cuenta con un historial de

situaciones o eventos asociados al riesgo, y factibilidad implica

analizar la presencia de factores internos y externos que pueden

propiciar el riesgo, se trata en este caso de un hecho que no se ha

presentado pero es posible que suceda.

Nivel Descriptor Descripción Frecuencia

5 Casi seguro Se espera que el evento ocurra en la

mayoría de las circunstancias

Mas de 1 vez al año.

4 Probable Es viable que el evento ocurra en la

mayoría de las circunstancias

Al menos 1 vez en el

último año.

3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los

últimos 2 años.

2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los

últimos 5 años.

1 Rara vez El evento puede ocurrir solo en

circunstancias excepcionales (poco

comunes o anormales)

No se ha presentado en

los últimos 5 años.

Paso 3: valoración del riesgo

Criterios parar calificar la probabilidad

Importante

El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la

disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de

no contar con datos históricos, se trabajará de acuerdo con la experiencia de los

funcionarios que desarrollan el proceso y de sus factores internos y externos.

(Revisar matriz de análisis de priorización de probabilidad).

Permite establecer la probabil idad de ocurrencia del riesgo y el nivel de

consecuencias o impacto, con el fin de estimar la zona de riesgo inicial

(RIESGO INHERENTE).

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Criterios para calificar el Impacto – Riesgos de GestiónNivel Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

CA

TAST

RÓ

FIC

O- Impacto que afecte la ejecución presupuestal en un valor ≥50%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥50%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por más de cinco (5) días.- Intervención por parte de un ente de control u otro ente regulador.- Pérdida de Información crítica para la entidad que no se puede recuperar.- Incumplimiento en las metas y objetivos institucionales afectando de forma grave laejecución presupuestal.- Imagen institucional afectada en el orden nacional o regional por actos o hechos decorrupción comprobados.

MA

YOR

- Impacto que afecte la ejecución presupuestal en un valor ≥20%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥20%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por más de dos (2) días.- Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.- Sanción por parte del ente de control u otro ente regulador.- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento enlas metas de gobierno.- Imagen institucional afectada en el orden nacional o regional por incumplimientos en laprestación del servicio a los usuarios o ciudadanos.

MO

DER

AD

O

- Impacto que afecte la ejecución presupuestal en un valor ≥5%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥5%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por un (1) día.- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante losentes reguladores o una demanda de largo alcance para la entidad.- Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.- Reproceso de actividades y aumento de carga operativa.- Imagen institucional afectada en el orden nacional o regional por retrasos en laprestación del servicio a los usuarios o ciudadanos.- Investigaciones penales, fiscales o disciplinarias.

MEN

OR

- Impacto que afecte la ejecución presupuestal en un valor ≥1%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥1%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.

- Interrupción de las operaciones de la Entidad por algunas horas.- Reclamaciones o quejas de los usuarios que implican investigaciones internasdisciplinarias.- Imagen institucional afectada localmente por retrasos en la prestación del servicio a losusuarios o ciudadanos.

INSI

GN

IFIC

AN

TE

- Impacto que afecte la ejecución presupuestal en un valor ≥0,5%- Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%.- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto totalde la entidad en un valor ≥0,5%- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un enteregulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.

- No hay interrupción de las operaciones de la entidad.- No se generan sanciones económicas o administrativas.- No se afecta la imagen institucional de forma significativa.

FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

FUENTE: Ministerio de Tecnologías de la Información y las Comunicaciones

NIVELVALOR DEL

IMPACTO

CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL

Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo

INSIGNIFICANTE 1

Afectación ≥X% de la población

Afectación ≥X% del presupuesto anual de la entidad

No hay Afectación medioambiental

Sin afectación de la integridad

Sin afectación de la disponibilidad

Sin afectación de la confidencialidad

MENOR 2



Afectación leve del Medio Ambiente requiere de ≥X días de

recuperación

Afectación leve de la integridad

Afectación leve de la disponibilidad

Afectación leve de la confidencialidad

MODERADO 3



Afectación leve del Medio Ambiente requiere de ≥X semanas

de recuperación

Afectación moderada de la integridad de la información

debido al interés particular de los empleados y terceros

Afectación moderada de la disponibilidad de la información


Afectación moderada de la confidencialidad de la información


MAYOR 4



Afectación importante del Medio Ambiente que requiere de

≥X meses de recuperación

Afectación grave de la integridad de la información debido al

interés particular de los empleados y terceros

Afectación grave de la disponibilidad de la información


Afectación grave de la confidencialidad de la información


CATASTRÓFICO 5



Afectación muy grave del Medio Ambiente que requiere de

≥X años de recuperación

Afectación muy grave de la integridad de la información


Afectación muy grave de la disponibilidad de la información


Afectación muy grave confidencialidad de la información



Para los riesgos de seguridad digital los criterios para calificar el impacto son:

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Nro PREGUNTA:

Si el riesgo de corrupción se materializa podría...

Respuest

a

SI NO

1 ¿Afectar al grupo de funcionarios del proceso? X

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X

3 ¿Afectar el cumplimiento de misión de la Entidad? X

4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? X

5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? X

6 ¿Generar pérdida de recursos económicos? X

7 ¿Afectar la generación de los productos o la prestación de servicios? X

8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida

del bien o servicios o los recursos públicos?

X

9 ¿Generar pérdida de información de la Entidad? X

10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X

11 ¿Dar lugar a procesos sancionatorios? X

12 ¿Dar lugar a procesos disciplinarios? X

13 ¿Dar lugar a procesos fiscales? X

14 ¿Dar lugar a procesos penales? X

15 ¿Generar pérdida de credibilidad del sector? X

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? X

17 ¿Afectar la imagen regional? X

18 ¿Afectar la imagen nacional? X

19 ¿Genera daño ambiental X

Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado.

Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor.

Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico.

10

MODERADO Genera medianas consecuencias sobre la entidad

MAYOR Genera altas consecuencias sobre la entidad.

CATASTROFICO Genera consecuencias desastrosas para la entidad

Cri

teri

os

pa

ra c

ali

fic

ar

el

Imp

ac

to –

Rie

sg

os

de

Co

rru

pc

ión

Nivel de Impacto MAYOR

Importante

Se debe diligenciar una tabla de estas por

cada riesgo de corrupción identificado.

Los niveles de impacto Insignificante y

Menor no aplica para riesgos de

corrupción.

Valoración del riesgo –Análisis de Riesgo

Para los riesgos de corrupción

los criterios para calificar el

impacto son:


Análisis del Impacto Mapa de calor (Riesgo inherente)

El impacto se debe analizar y calificar a partir de las consecuencias identificadas

en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el

impacto fue identificado como mayor por cuanto genera interrupción de las

operaciones.

Mapa de Calor

Se toma la calificación de probabilidad (resultante de la tabla Matriz de

priorización de probabilidad), en el ejemplo: probable y la calificación de

impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en

la fila y la de impacto en la columnas correspondientes, establezca el punto de

cruce de las dos y este punto corresponderá al nivel de riesgo, que para el

ejemplo es nivel extremo – color rojo determinando así el riesgo

inherente..

R1


Análisis del Impacto en riesgos de corrupción Mapa de calor (Riesgo inherente)

Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en

cuenta solamente los niveles moderado, mayor y catastrófico, dado que estos

riesgos siempre serán significativos; en este orden de ideas, no aplican los

niveles de impacto insignificante y menor, que si aplican para los demás

riesgos.

De acuerdo a la tabla de criterios para calificar el impacto de la página anterior,

nuestro ejemplo tiene en nivel de impacto MAYOR. La probabilidad de los

riesgos de corrupción se califica con los mismos cinco niveles de los demás

riesgos .

Por ultimo ubique en el mapa de calor el punto de cruce resultante de la

probabilidad y el impacto para establecer el nivel del riego inherente, para el

ejemplo corresponde a: EXTREMO

ImportanteAunque se utilice el mismo mapa de calor , para los riesgos de gestión y de

corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado,

Mayor y Catastrófico.

R1

Aplica para

los riesgos

de

corrupción

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Tratamiento del riesgo

Es la respuesta establecida por la Primer Línea de Defensa para la

mitigación de los diferentes riesgos. Ningún riesgo de corrupción podrá ser

aceptado.

No se adopta ninguna

medida que afecte la

probabilidad o el impacto

del riesgo.

OPCIONES DE

TRATAMIENTO

Aceptar el Riesgo

Se adoptan medidas para

reducir la probabilidad o el

impacto del riesgo, o ambos;

por lo general conlleva a la

implementación de controles.

Reducir el Riesgo

Se abandonan las actividades

que dan lugar al riesgo,

decidiendo no iniciar o no

continuar con la actividad que

causa el riesgo.

Evitar el Riesgo

Se reduce la probabilidad o el

impacto del riesgo,

transfiriendo o compartiendo

una parte del riesgo.

Compartir el Riesgo

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser aceptado. Esto debería

aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.

Aceptar el Riesgo

RIESGO

ANTES DE

MEDIDAS DE

TRATAMIENTO

RIESGO

DESPUES DE

MEDIDA DE

TRATAMIENTO

MEDIDA DE TRATAMIENTO

ACEPTAR

No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo.

La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también

pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el

riesgo. En ambos escenarios debe existirun seguimiento continuo del riesgo.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la

cancelación de una actividad o conjunto de actividades.

Evitar el Riesgo

Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos

arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo

tanto hay situaciones donde no es una opción.

RIESGO

ANTES DE

MEDIDA DE

TRATAMIENTO

NO HAY RIESGOS

DESPUES DE

MEDIDA DE

TRATAMIENTO


EVITAR

Se abandonan las actividades que dan lugar alriesgo, decidiendo no iniciar o no continuar con laactividad que causa el riesgo.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Compartir el Riesgo

MEDIDA DE TRATAMIENTORIESGO

ANTES DE

MEDIDA DE

TRATAMIENTO

COMPARTIR

Se reduce la probabilidad o el impacto del riesgo,transfiriendo o compartiendo una parte del riesgo.

RIESGO

DESPUES DE

MEDIDA DE

TRATAMIENTO

Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser

compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del

riesgo.

Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y

tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un

acuerdo contractual.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como algo

aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.

Reducir el Riesgo

Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo

que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo.

RIESGO

ANTES DE

MEDIDA DE

TRATAMIENTO

RIESGO

DESPUES DE

MEDIDA DE

TRATAMIENTO


REDUCIR

Se adoptan medidas para reducir la probabilidad oel impacto del riesgo, o ambos; esto conlleva a laimplementación de controles.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Taller 3

Valoración del Riesgo – Evaluación Controles

Probabilidad de Ocurrencia: 4 - Impacto: 4 - Nivel de Riesgo Inherente: Extremo

Tipo de Control:

A continuación califique el diseño del control y su ejecución y el nivel de Riesgo Residual:

Los postulados que no cumplen con los requisitos son informados, mediante comunicación formal escrita, firmada por el líder del proceso de TH.

TALLER No 3 Evaluación de Controles

Proceso: Talento Humano

Objetivo: Gestionar el ingreso, desarrollo y retiro del talento humano al servicio de la Entidad, a través del desarrollo de actividades, planes y programas, tendientes a garantizar servidores

públicos competentes, para alcanzar los objetivos institucionales y generar continuidad en los procesos.

Riesgo: Contratar personal que no cumple con los requisitos para el cargo.

Control 1:

El profesional de Talento Humano cada vez que se va a realizar un proceso de selección, verifica que la información suministrada por el postulante corresponda con los requisitos establecidos

para el cargo, a través de una lista de chequeo donde están los requisitos del manual de funciones y los revisa con la información suministrada (puede ser física o digital). En caso de encontrar

información faltante, requiere al postulante a través de correo para el suministro de la información y poder continuar con el proceso.

Control 2:

Procedimiento ligado a un sistema de información (software) para el registro de los postulantes que cumplen con los requisitos con sus documentos soporte.

Verificación y análisis de documentación cuyo soporte queda registrado en el sistema, se utilizan usuarios para el análisis (profesional de TH) y un usuario de administrador (líder del proceso de TH) quien verifica y

da visto bueno para continuar con el proceso de nombramiento.

Para cada proceso de selección se aplica el procedimiento.

Acorde con las evidencias o soportes los responsables de ejecutar el control lo hacen de forma sistemática.

Acorde con la información suministrada determine:

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

¿Qué son las Actividades de

Control?

Son las acciones establecidas a través de políticas y procedimientos que

contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección

para mitigar los riesgos que inciden en el cumplimiento de los objetivos.

ACTIVIDADES DE CONTROL DOCUMENTADAS EN

Políticas Procedimientos

Una política por si sola

no es un control.

Los controles se despliegan a

través de los procedimientos

documentados.

La actividad de control debe por si sola mitigar o

tratar la causa del riesgo y ejecutarse como parte

del día a día de las operaciones.

Paso 3: Valoración del riesgo – Tratamiento del Riesgo

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

CLASIFICACIÓN DE LAS

ACTIVIDADES DE

CONTROL

CONTROLES PREVENTIVOS CONTROLES DETECTIVOS

Este tipo de controles intentan evitar la ocurrencia de los riesgos

que puedan afectar el cumplimiento de los objetivos.

Controles que están diseñados para identificar un evento o

resultado no previsto después de que se haya producido.

Buscan detectar la situación no deseada para que se corrija y se

tomen las acciones correspondientes.

Revisión al cumplimiento de los requisitos

contractuales, en el proceso de selección

del contratista o proveedor.

Realizar una conciliación bancaria, para

verificar que los saldos en libros corresponden

con los saldos en Bancos.

Tratamiento del riesgo – Rol 1ª Línea de Defensa

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Diseño de Controles

VARIABLES A

EVALUAR PARA EL

ADECUADO DISEÑO DE

CONTROLES

PASO

1Debe tener definido el responsable de realizar la actividad de

control.

PASO

2Debe tener una periodicidad definida para su ejecución.

PASO

3Debe indicar cuál es el propósito del control.

PASO

4Debe establecer el cómo se realiza la actividad de control.

PASO

5

Debe indicar qué pasa con las observaciones o desviaciones

resultantes de ejecutar el control.

PASO

6Debe dejar evidencia de la ejecución del control.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

1Debe tener definido el responsable de realizar la actividad de

control.

El Profesional de Contratación

El Auxiliar de Cartera.

El Coordinador de Operaciones.

La Coordinadora de Nomina.

El aplicativo de nomina.

El aplicativo de contratación.

El aplicativo de activos fijos

Cuando un control se hace de manera manual (ejecutado por

personas) es importante establecer el cargo responsable de su

realización.

Cuando el control lo hace un sistema o una aplicación de manera

automática a través de un sistema programado, es importante

establecer como responsable de ejecutar el control, el sistema o

aplicación.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

2Debe tener una periodicidad definida para su ejecución.

El control debe tener una periodicidad especifica para su ejecución (diario, mensual,

trimestral, anual) .

Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si

con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo

El Profesional de Contratación cada vez que se va a

realizar un contrato con un proveedor de servicios.

El Auxiliar de Cartera mensualmente.

El Coordinador de Operaciones diariamente

La Coordinadora de Nomina quincenalmente

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

3Debe indicar cuál es el propósito del control.

Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar,

detectar)

El profesional de Contratación cada vez que se va a

realizar un contrato verifica que la información

suministrada por el proveedor corresponda con los

requisitos establecidos de contratación.

PASO

4Debe establecer el cómo se realiza la actividad de control.

Cómo se realiza el control? permite evaluar si la fuente u origen de la información que

sirve para ejecutar el control, es confiable para la mitigación del riesgo.

El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada

por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo

donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

5Debe indicar qué pasa con las observaciones o desviaciones

resultantes de ejecutar el control.

Si como resultado de un control preventivo se observan diferencias o aspectos que no se

cumplen, la actividad no debería continuarse hasta que se subsane la situación.

El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada

por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo

donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En

caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la

información y poder continuar con el proceso de contratación.

Si es un control que detecta una posible materialización de un riesgo, debería gestionarse

de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u

observaciones.

Si el responsable de ejecutar el control no realiza ningunaactividad de seguimiento a las observaciones odesviaciones, o la actividad continúa a pesar de indicaresas observaciones o desviaciones, el control tendríaproblemas de diseño.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

PASO

6Debe dejar evidencia de la ejecución del control.

Esta evidencia ayuda a que se pueda revisar la misma información por parte de un

tercero y llegue a la misma conclusión de quien ejecutó el control.

Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros

establecidos en el diseño.

El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada

por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo

donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En

caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la

información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo

diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en

los casos que aplique.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Evaluación de los controles

para la mitigación de los

riesgos.

DISEÑO EJECUCIÓN

Que cumpla con los 6 aspectos

explicados

El control se ejecuta como fue

diseñado y de manera consistente.

Para la adecuada mitigación de los riesgos, no basta conque un control este bien diseñado, el control debeejecutarse por parte de los responsables tal como sediseño. Por que un control que no se ejecute, o un controlque se ejecute y este mal diseñado, no va a contribuir a lamitigación del riesgo

Paso 3: Valoración del riesgo – Diseño de Controles

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Análisis y Evaluación de los Controles para

la Mitigación de los Riesgos

Criterio de Evaluación Aspecto a Evaluar en el Diseño del Control Opción de Respuesta

1. Responsable

¿Existe un responsable asignado a la ejecución del control ? Asignado No asignado

¿El responsable tiene la autoridad y adecuada segregación de

funciones en la ejecución del control?Adecuado Inadecuado

2. Periodicidad¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación

del riesgo o a detectar la materialización del riesgo de manera oportuna?Oportuna Inoportuna

3. Propósito

¿Las actividades que se desarrollan en el control realmente buscan por si

sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo

Verificar, Validar Cotejar, Comparar, Revisar (…)?

Prevenir

DetectarNo es un control

4. Cómo se realiza la actividad de

control

¿La fuente de información que se utiliza en el desarrollo del control es

información confiable que permita mitigar el riesgo.Confiable No confiable

5. Qué pasa con las observaciones o

desviaciones

¿Las observaciones , desviaciones o diferencias identificadas como

resultados de la ejecución del control son investigadas y resueltas de manera

oportuna?

Se investigan y

resuelven

oportunamente

No se investigan ni

se resuelven

oportunamente

6. Evidencia de Ejecución del Control¿Se deja evidencia o rastro de la ejecución del control, que permita a

cualquier tercero con la evidencia, llegar a la misma conclusión?Completa Incompleta

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Criterio de Evaluación Opción de Respuesta al Criterio de EvaluaciónPeso en la Evaluación del

Diseño del control

1. Asignación del

Responsable

Asignado 15

No asignado 0

2. Segregación y

autoridad del responsable

Adecuado 15

Inadecuado 0

2. PeriodicidadOportuna 15

Inoportuna 0

3. Propósito

Prevenir 15

Detectar 10

No es un control 0

4. Cómo se realiza la

actividad de control

Confiable 15

No Confiable 0

5. Qué pasa con las

observaciones o

desviaciones

Se investigan y resuelven oportunamente 15

No se investigan ni resuelven oportunamente 0

6. Evidencia de Ejecución

del Control

Completa 10

Incompleta 5

No Existe 0

Tabla de Valoración Controles (Diseño y Ejecución)

Rango

Calificación del

Diseño

Opción de Respuesta al Criterio

de Evaluación

Fuerte Calificación entre 95 y 100

Moderado Calificación entre 86 y 94

DébilCalificación entre 0 y 85

Rango

Calificación de la

Ejecución

Opción de Respuesta al Criterio

de Evaluación

Fuerte

El control se ejecuta de manera

consistente por parte del

responsable

ModeradoEl control se ejecuta algunas veces

por parte del responsable

DébilEl control no se ejecuta por parte del

responsable

Ejecución

Diseño

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


realizar un contrato, verifica que la información


requisitos establecidos de contratación, a través de

una lista de chequeo donde están los requisitos de

información y la revisión con la información física

suministrada por el proveedor. En caso de encontrar

información faltante, requiere al proveedor a través de

correo para el suministro de la información y poder

continuar con el proceso de contratación. Como

evidencia deja Lista de Chequeo diligenciada con

la información de la carpeta del cliente, y correos

solicitando la información faltante en los casos

que aplique.

Criterio de EvaluaciónOpción de Respuesta al Criterio de

Evaluación

Peso en la Evaluación

del Diseño del control

1. Asignación del ResponsableAsignado (Califica 15)

No asignado (Califica 0)

2. Segregación y autoridad del

responsable

Adecuado (Califica 15)

Inadecuado (Califica 0)

2. PeriodicidadOportuna (Califica 15)

Inoportuna (Califica 0)

3. Propósito

Prevenir (Califica 15)

Detectar (Califica 10)

No es un control (Califica 0)

4. Cómo se realiza la actividad de

control

Confiable (Califica 15)

No Confiable (Califica 0)

5. Qué pasa con las observaciones o

desviaciones

Se investigan y resuelven oportunamente

(Califica 15)

No se investigan ni resuelven

oportunamente (Califica 0)

6. Evidencia de Ejecución del Control

Completa (Califica 10)

Incompleta (Califica 5)

No Existe (Califica 0)

TOTAL

Evaluación Final del Control

Diseño

15

15

Tipo Control: Preventivo

Directamente ataca probabilidad de

ocurrencia del riesgo e

indirectamente ataca el impacto

15

15

15

15

10

100

Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación

Fuerte Calificación entre 95 y 100

Moderado Calificación entre 86 y 94

Débil Calificación entre 0 y 85

-F

UN

CI

ÓN

P

ÚB

LI

CA

-














que aplique.

Rango Calificación de la

EjecuciónOpción de Respuesta al Criterio de Evaluación

FuerteEl control se ejecuta de manera consistente por

parte del responsable

ModeradoEl control se ejecuta algunas veces por parte del

responsable

Débil El control no se ejecuta por parte del responsable

Ejecución

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Peso del diseño

individual o promedio de

los Controles. (DISEÑO)

El Control se ejecuta de manera

consistente por los responsables.

(EJECUCION)

Solidez individual de cada control

Fuerte:100 Moderado:50

Debil:0

Aplica acciones para

fortalecer el Control

Si / NO

Fuerte

Calificación Entre 95 y 100

Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte NO

Moderado ( Algunas veces) Fuerte + Moderado = Moderado SI

Débil (No se ejecuta) Fuerte + Débil = Débil SI

Moderado

Calificación Entre 86 y 94

Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado SI

Moderado (Algunas veces) Moderado + Moderado = Moderado SI

Débil (No se ejecuta) Moderado + Débil = Débil SI

Débil

Entre 0 y 85

Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil SI

Moderado (Algunas veces) Débil + Moderado = Débil SI

Débil (No se ejecuta) Débil + Débil = Débil SI

Solidez del Control Integralmente (Diseño y Ejecución)

-F

UN

CI

ÓN

P

ÚB

LI

CA

-














que aplique.


Peso del diseño

individual o

promedio de los

Controles.

(DISEÑO)

El Control se ejecuta de manera

consistente por los responsables.

(EJECUCION)

Solidez individual de cada

control Fuerte:100

Moderado:50

Debil:0

Fuerte

Calificación Entre

95 y 100

Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte

Moderado ( Algunas veces) Fuerte + Moderado =

Moderado

Débil (No se ejecuta) Fuerte + Débil = Débil

Moderado

Calificación Entre

86 y 94

Fuerte (Siempre se ejecuta) Moderado + Fuerte =

Moderado

Moderado (Algunas veces) Moderado + Moderado =

Moderado

Débil (No se ejecuta) Moderado + Débil = Débil

Débil

Entre 0 y 85

Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil

Moderado (Algunas veces) Débil + Moderado = Débil

Débil (No se ejecuta) Débil + Débil = Débil

-F

UN

CI

ÓN

P

ÚB

LI

CA

-


Riesgo 1

Riesgos Causas o Fallas ControlesDiseño del

Control

Ejecución

del Control

Solidez

Individual del

Control

Solidez del

Conjunto de

Controles

Causa 1

Causa 2

Control 1

Control 2

Control 3

Fuerte

Fuerte

Débil

Fuerte

Moderado

Fuerte

Fuerte (100)

Moderado (50)

Débil (0)

¿Como

evaluamos la

solidez del

conjunto de los

controles?

Calificación de la Solidez del Conjunto de Controles

FuerteEl promedio de la solidez individual de cada control al

sumarlos y ponderarlos es igual a 100.

ModeradoEl promedio de la solidez individual de cada control al

sumarlos y ponderarlos la calificación está entre 50 y 99

DébilEl promedio de la solidez individual de cada control al

sumarlos y ponderarlos la calificación es menor a 50.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual

Solidez del

conjunto de los

controles.

Controles ayudan

a disminuir la

probabilidad

Controles ayudan a

disminuir Impacto

# Columnas en la

matriz de riesgo que

se desplaza en el eje

de la Probabilidad

# Columnas en la matriz

de riesgo que se

desplaza en el eje de

Impacto

Fuerte Directamente Directamente 2 2

Fuerte Directamente Indirectamente 2 1

Fuerte Directamente No Disminuye 2 0

Fuerte No disminuye Directamente 0 2

Moderado Directamente Directamente 1 1

Moderado Directamente Indirectamente 1 0

Moderado Directamente No Disminuye 1 0

Moderado No disminuye Directamente 0 1

Si la solidez del conjunto de los controles es Débil, este nodisminuirá ningún cuadrante de impacto o probabilidadasociado al riesgo.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual

Solidez del

conjunto de los

controles.

Controles ayudan

a disminuir la

probabilidad

Controles ayudan a

disminuir Impacto

# Columnas en la

matriz de riesgo que

se desplaza en el eje

de la Probabilidad

# Columnas en la matriz

de riesgo que se

desplaza en el eje de

Impacto

Fuerte Directamente Directamente 2 2

Fuerte Directamente Indirectamente 2 1

Fuerte Directamente No Disminuye 2 0

Fuerte No disminuye Directamente 0 2

Moderado Directamente Directamente 1 1

Moderado Directamente Indirectamente 1 0

Moderado Directamente No Disminuye 1 0

Moderado No disminuye Directamente 0 1

Tipo Control: Preventivo

Directamente ataca probabilidad de

ocurrencia del riesgo e

indirectamente ataca el impacto

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Resultados del Mapa de Riesgo Residual.

Una vez realizado el análisis y evaluación de los controles para la mitigación de los

riesgos, procedemos a la elaboración del mapa de riesgo residual (después de los

controles ).

Riesgo 1 – Inoportunidad en la adquisición de los

bienes y servicios requeridos por la entidad.

Con una calificación de riesgo inherente de

probabilidad e impacto como se muestra en la siguiente

gráfica:

Control - Fuerte (bien diseñados y que siempre se

ejecutan), disminuyen de manera directa la probabilidad

e indirectamente el Impacto.

En nuestro ejemplo disminuiría dos cuadrantes de

probabilidad, pasa de probable a improbable y un

cuadrante de impacto, pasa de mayor a moderado.

-F

UN

CI

ÓN

P

ÚB

LI

CA

-

Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital)

Nro Riesgo Clasifi

cación

Causas Probabilida

d

Impact

o

Riesgo

Residu

al

Opción

Manejo

Actividad de Control Soporte Responsable Tiempo

1

Ino

po

rtu

nid

ad e

n la

ad

qu

isic

ión

de

los

bie

nes

y s

ervi

cio

s r

equ

erid

os

po

r la

en

tid

ad

Opera

tivo

Carencia de controles en

el procedimiento de

contratación

Impro

bable

Modera

do

Modera

do

Reducir Procedimiento e instrumentos de

contratación (lista de chequeo)

Para cada contrato, verifica que la

información suministrada por el

proveedor corresponda con los

requisitos establecidos de

contratación, a través de una lista de

chequeo donde están los requisitos

de información y la revisión con la

información física suministrada por el

proveedor

Lista de

Chequeo

diligenciad

a con la

informació

n de la

carpeta

del cliente,

y correos

solicitando

la

informació

n faltante

en los

casos que

aplique

Profesional de

Contratación

Siempre

que se

realice un

contrato

Inadecuadas políticas de

operación

Formato Mapa y Plan de Tratamiento de Riesgos.

Rol de las líneas de

defensa dentro de la

gestión del riesgo

03.


-F

UN

CI

ÓN

P

ÚB

LI

CA

-

• Media y Alta Gerencia: Jefes de planeación o

quienes hagan sus veces, coordinadores de

equipos de trabajo, comités de riesgos (donde

existan), comité de contratación, áreas

financieras, de TIC, entre otros que generen

información para el Aseguramiento de la

operación.

• Asegura que los controles y procesos de

gestión del riesgo de la 1ª Línea de Defensa

sean apropiados y funcionen correctamente,

supervisan la implementación de prácticas de

gestión de riesgo eficaces.

A cargo de la Alta Dirección y Comité Institucional de Coordinación de Control Interno

Este nivel analiza los riesgos y amenazas institucionales al cumplimiento de los planes estratégicos, tendrá la responsabilidad de definir

el marco general para la gestión del riesgo (política de administración del riesgo) y garantiza el cumplimiento de los planes de la entidad.

1ª. Línea de Defensa

• Controles de Gerencia Operativa

(Líderes de proceso y sus equipos).

• La gestión operacional se encarga del

mantenimiento efectivo de controles

internos, ejecutar procedimientos de

riesgo y el control sobre una base del día

a día. La gestión operacional identifica,

evalúa, controla y mitiga los riesgos.

2ª. Línea de Defensa 3ª. Línea de Defensa

• A cargo de la Oficina de Control Interno,

Auditoría Interna o quién haga sus veces

• La función de la auditoría interna, a través

de un enfoque basado en el riesgo,

proporcionará aseguramiento objetivo e

independiente sobre la eficacia de

gobierno, gestión de riesgos y control

interno a la alta dirección de la entidad,

incluidas las maneras en que funciona la

primera y segunda línea de defensa.

LÍNEA ESTRATÉGICA

Monitoreo y Revisión – Rol de las Líneas de Defensa.

El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través

de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue:

Línea EstratégicaFormular la Política de Administración del Riesgo y supervisar su cumplimiento, determinar los niveles de la aceptación o tolerancia al riesgo.

1a Línea de defensa 2a Línea de defensa 3a Línea de defensa

Oficinas de Planeación o quienes hacen sus veces: Oficinas de CI o quienes hagan sus veces

Generar lineamientos y dar a conocer cambios en el entorno (interno y externo) que puedan afectar el logro de los objetivos.

Oficinas de Planeación o quienes hacen sus

veces:

Asesorar a los líderes de los procesos y sus

equipos en la identificación de riesgos a los

procesos, acorde con la política de riesgos

establecida.

Trabajar de forma coordinada con la OCI de la

entidad para la incorporación de mejoras a la

gestión del riesgo en la entidad.

Definir mecanismos que permitan dar a conocer y

profundizar en los servidores la política de

riesgos, su metodología y correcta aplicación.

Conforme a lo establecido en la política de

administración del riesgo Identificar y dar

tratamiento a los riesgos que afectan los objetivos

operacionales de su proceso; definir y diseñar los

controles a los riesgos; elaborar, hacer seguimiento

y actualizar el mapa de riesgos de su proceso.

Monitorear el seguimiento a los riesgos institucionales y generar

reportes que permitan incorporar mejoras, tanto a los riesgos

identificados como a los controles aplicados.

Elaborar informes consolidados acorde con los estándares de

reporte definidos por la Alta Dirección en los temas clave

establecidos, con especial énfasis la gestión del riesgo y su

impacto frente al logro de los objetivos.

Monitorear los riesgos definidos como aceptables en la Política

de Riesgos Institucional y generar las alertas al Comité

Institucional de Coordinación de Control Interno sobre posibles

cambios en los factores de riesgo analizados.

Líderes de Proceso

Generar reportes a la Oficina Asesora de Planeación, así como

a la OCI en relación con materializaciones de riesgo, a fin de

tomar las acciones correspondientes.

Informar oportunamente a la Oficina Asesora de Planeación

sobre cambios en los factores internos o externos que afecten la

identificación de riesgos del proceso.

Realizar evaluación independiente al

cumplimiento y efectividad de la Política de

Administración del Riesgo, los mecanismos de

evaluación del riesgo y la efectividad de los

controles, en cumplimiento de su rol “Evaluación

de la Gestión del Riesgo”.

Alertar sobre la probabilidad de riesgo de fraude

o corrupción en las áreas auditadas

Evaluar la efectividad y la aplicación de

controles, planes de contingencia y actividades

de monitoreo vinculadas a los cambios que

pueden afectar el Sistema de Control Interno

para el cumplimiento de los objetivos.

Revisión del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos, que han servido de base para llevar a cabo la identificación de los

riesgos.

¡Gracias!

Carrera 6 No 12-62, Bogotá D.C., Colombia

7395656 Fax: 7395657

Línea gratuita de atención al usuario: 018000 917770

www.funcionpublica.gov.co

[email protected]

presentación de powerpoint - secretaría general · incorporar anexo 4 “lineamientos para la...

Documents