guia para la administraciÓn del riesgo propiedad del … · 2021. 5. 1. · guia para la...

MEDICIÓN Y MEJORA CÓDIGO: GUMM01

VERSIÓN: 5

GUÍA PARA LA ADMINISTRACIÓN DEL RIESGO FECHA: 31/03/2021

Página 1 de 62

GUIA PARA LA ADMINISTRACIÓN DEL RIESGO

PROPIEDAD DEL INSTITUTO NACIONAL PARA SORDOS INSOR

La información aquí contenida es propiedad del INSTITUTO NACIONAL PARA SORDOS INSOR, por lo tanto, no debe reproducirse, exponerse o discutirse más allá del grupo a quien va dirigida. Al recibir este documento, el destinatario acuerda no reproducir o hacer esta información disponible en ninguna forma a personas que no estén directamente relacionadas y sean responsables de la evaluación de su contenido.


VERSIÓN: 5


Página 2 de 62

TABLA DE CONTENIDO

INTRODUCCIÓN ............................................................................................................................. 4

1. OBJETIVO .................................................................................................................................. 4

2. ALCANCE ................................................................................................................................... 5

3. BASE LEGAL .............................................................................................................................. 5

4. DEFINICIONES ............................................................................................................................ 7

5. LINEAMIENTOS DE LA POLÍTICA DE ADMINISTRACIÓN DE RIESGOS ...................................... 12

5.1. ROLES Y RESPONSABILIDADES ............................................................................................ 13

5.2. CAPACIDAD DE RIESGO ........................................................................................................ 15

5.3. NIVELES DE ACEPTACIÓN DEL RIESGO, CALIFICACIÓN DEL IMPACTO Y TRATAMIENTO DE

RIESGOS....................................................................................................................................... 16

6. METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO....................................................... 17

6.1. IDENTIFICACIÓN DE RIESGOS ............................................................................................... 19

6.1.1. ESTABLECIMIENTO DEL CONTEXTO .................................................................................. 19

6.1.1.1. CONTEXTO ESTRATÉGICO ORGANIZACIONAL ................................................................ 20

6.1.1.2. CONTEXTO EXTERNO, INTERNO Y PROCESO ................................................................. 21

6.1.1.3. FACTORES A IDENTIFICAR EN CADA CATEGORÍA DEL CONTEXTO ................................. 22

6.1.1.3.1. IDENTIFICACIÓN DE ACTIVOS DE SEGURIDAD DIGITAL DEL PROCESO ....................... 23

6.2 IDENTIFICACIÓN DEL RIESGO ................................................................................................ 24

6.2.1. TIPOLOGÍAS DE RIESGOS ................................................................................................... 25

6.2.1.2. CLASIFICACIÓN DEL RIESGO ........................................................................ 26

6.2.1.3. RIESGOS DE CORRUPCIÓN ............................................................................................. 27

6.2.1.4. RIESGOS DE SEGURIDAD DIGITAL .................................................................................. 29

6.3. VALORACIÓN DEL RIESGO .................................................................................................... 29

6.3.1 ANÁLISIS DEL RIESGO ......................................................................................................... 30

6.4. EVALUACIÓN DE RIESGOS .................................................................................................... 35

6.4.1. ANÁLISIS Y EVALUACIÓN DE LOS CONTROLES PARA LA MITIGACIÓN DE LOS RIESGOS ... 38

6.5. ELABORACIÓN DEL MAPA DE RIESGOS ................................................................................ 42


VERSIÓN: 5


Página 3 de 62

6.6. ESTRATEGIAS Y HERRAMIENTAS PARA LA GESTIÓN DEL RIESGO ........................................ 43

6.7. MONITOREO Y REVISIÓN ..................................................................................................... 43

6.6.1. LINEAMIENTOS PARA EL MANEJO DE RIESGOS MATERIALIZADOS .................................. 45

6.7 COMUNICACIÓN Y CONSULTA .............................................................................................. 48

7. CONTEXTO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ......................................... 49

7.1 RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ............................................ 49

7.1.2. DEFINICIÓN DEL RIESGO ................................................................................................... 49

7.2. FACTORES DE RIESGO .......................................................................................................... 51

7.3. METODOLOGÍA DE ANÁLISIS DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

PARA EL INSTITUTO NACIONAL PARA SORDOS. ......................................................................... 51

7.4. PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN56

7.5. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN ......................................................... 58

8. ACTUALIZACIÓN DEL MAPA DE RIESGOS ................................................................................ 59

9. MATERIALIZACIÓN DE RIESGOS .............................................................................................. 59

10. COMUNICACIÓN Y CONSULTA .............................................................................................. 60

BIBLIOGRAFÍA .............................................................................................................................. 61


VERSIÓN: 5


Página 4 de 62

INTRODUCCIÓN

El concepto de Administración del Riesgo se introduce en las entidades públicas,

teniendo en cuenta que todas las organizaciones independientemente de su naturaleza,

tamaño y razón de ser, están permanentemente expuestas a diferentes riesgos o

eventos que afectan el logro de objetivos institucionales.

Con la implementación del Modelo Integrado de Planeación y Gestión, a través de la

política de Planeación Institucional correspondiente a la Dimensión de Direccionamiento

Estratégico, de acuerdo con su plataforma estratégica, el esquema de procesos,

procedimientos, políticas de operación, sistemas de información, tendrá insumos

esenciales para iniciar con la aplicación de la metodología propuesta para la

administración del riesgo”1. Este enfoque se encuentra respaldado por la NTC-ISO

31000 e ISO 9001:2015, que destacan la metodología como una herramienta

preventiva.

Así mismo, de acuerdo con los lineamientos de COSO 2013 y COSO ERM 2017, los

planes, programas o proyectos deben contemplar los riesgos para su ejecución y logro

de sus objetivos.

En conclusión, la administración de riesgos, permite establecer lineamientos precisos

para el tratamiento, manejo y seguimiento a los riesgos, siendo una actividad liderada

por la Alta Dirección y el Representante Legal, con la participación del Comité de

Coordinación de Control Interno y gestionada por parte de los líderes de proceso con

la participación y el compromiso de los servidores públicos de la Entidad.

1. OBJETIVO

Establecer una orientación metodológica que facilite la comprensión e implementación de la administración del riesgo en el INSOR, brindando lineamientos para la identificación, análisis, valoración de riesgos, determinación de roles y responsabilidades (esquema de líneas de defensa), así como el establecimiento de planes de tratamiento dirigidos a fortalecer el enfoque preventivo para facilitar el

tratamiento de los riesgos o minimizar su impacto en caso de su materialización u ocurrencia de eventos que puedan afectar negativamente el logro de los objetivos institucionales en el marco de los procesos, proyectos y planes.

1 Guía para la Administración del riesgo y el diseño de controles en entidades públicas. Departamento Administrativo de

Función Pública-DAFP


VERSIÓN: 5


Página 5 de 62

2. ALCANCE

Aplica a todos los procesos, proyectos y programas especiales y a todas las

actividades ejecutadas por los servidores en cumplimiento de sus funciones en

la identificación, el análisis, la valoración y el tratamiento de los riesgos. En el

caso de riesgos de seguridad digital estos se deben gestionar de acuerdo con

las disposiciones establecidas en el modelo de seguridad y privacidad de la

información.

3. BASE LEGAL

• Ley 87 de 1993. Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones.

• Ley 489 de 1998. Estatuto básico de organización y funcionamiento de la administración pública. Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones.

• Directiva presidencial 09 de 1999. Lineamientos para la

implementación de la política de lucha contra la corrupción.

• Ley 872 de 2003. Crea el sistema de la calidad en la rama ejecutiva del poder público y en otras entidades prestadoras de servicios.

• Ley 1474 de 2011. Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.

• Decreto 4170 de 2011 por el cual se crea la Agencia Nacional de Contratación Pública –Colombia Compra Eficiente–, se establece la necesidad de “crear políticas unificadas que sirvan de guía a los administradores de compras y que permitan monitorear y evaluar el desempeño del sistema y generar mayor trasparencia en las compras”.

• Decreto 943 de 2014 “Por el cual se actualiza el Modelo Estándar de

Control Interno –MECI”, donde en su estructura plantea para el módulo de


VERSIÓN: 5


Página 6 de 62

control a la planeación y gestión, el desarrollo de metodologías que permitan ejercer control sobre los proyectos que desarrollan las entidades.

• NTC ISO 9001: 2015. Requisitos Sistema de Gestión de Calidad

• Decreto 1083 de 2015. "Por medio del cual se expide el Decreto Único Reglamentario del sector de función pública”. (Incluye el contenido de los decretos 2145 de 1999, 1537 de 2001, 4110 de 2004, 4485 de 2009, 2482 de 2012, y 943 de 2014).

• Decreto 648 de 2017 Por el cual se modifica y adiciona el Decreto 1083 de 2015, Reglamentario Único del Sector de la Función Pública

• Decreto 1499 DE 2017: Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la

Ley 1753 de 2015. • Norma ISO/IEC 27001. Lineamientos para la gestión de seguridad y

privacidad de la información.

• NTC ISO 31000:2018. Lineamientos Administración / Gestión de riesgos

• Decreto 1008 de 2018. Establece lineamientos generales de la Política de Gobierno Digital para Colombia, antes estrategia de Gobierno en Línea, la cual desde ahora debe ser entendida como: el uso y aprovechamiento de las tecnologías de la información y las comunicaciones para consolidar un Estado y ciudadanos competitivos, proactivos, e innovadores, que generen valor público en un entorno de confianza digital.

• Decreto 2106 de 2019. Por el cual se dictan normas para simplificar, suprimir y reformar trámites, procesos y procedimientos innecesarios existentes en la administración pública"

• Manual operativo del Modelo Integrado de Planeación y Gestión versión 3

• Guía para la Administración del Riesgo en la Gestión, Corrupción y Seguridad Digital. Diseño de Controles en Entidades Públicas versión 5 de Noviembre de 2020


VERSIÓN: 5


Página 7 de 62

• Guía de orientación de aplicación de la GRSD en el sector público, territoriales y gobierno nacional

• Guía “Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano” de la Secretaria de Transparencia de la Presidencia de la República

4. DEFINICIONES

• Activo: En el contexto de seguridad digital son elementos tales como

aplicaciones de la organización, servicios web, redes, Hardware,

información física o digital, recurso humano, entre otros, que utiliza la

organización para funcionar en el entorno digital.

• Administración de riesgos: Conjunto de elementos de control y sus

interrelaciones, para que la entidad evalúe e intervenga aquellos eventos,

tanto internos como externos, que puedan afectar de manera positiva o

negativa el logro de sus objetivos institucionales. La administración del

riesgo contribuye a que la entidad consolide su Sistema de Control Interno

y a que se genere una cultura de autocontrol y autoevaluación al interior

de la misma.

• Amenaza: Causa potencial de un incidente no deseado.

• Apetito del Riesgo: Es el nivel de riesgo que la entidad puede aceptar, relacionado con sus Objetivos, el marco legal y las disposiciones de la Alta

Dirección y del Órgano de Gobierno. El apetito de riesgo puede ser diferente para los distintos tipos de riesgos que la entidad debe o desea gestionar.2

• Aspecto Ambiental: Elemento de las actividades, productos o servicios de una organización que puede interactuar con el medio ambiente.

Un aspecto ambiental significativo es aquel que tiene o puede tener un

impacto ambiental significativo.3

2 Guía para la Administración del riesgo y el diseño de controles en entidades públicas. Departamento Administrativo de Función Pública DAFP

Versión 5-.OP Cit. Pág. 12 3 Guía Técnica Colombiana 104. Icontec. 2009.


VERSIÓN: 5


Página 8 de 62

• Auto seguimiento al mapa de riesgo: Consiste en el monitoreo a los riesgos identificados para asegurar la eficacia de los controles y acciones definidas para mitigar el riesgo y evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la administración del riesgo para aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.

• Capacidad del Riesgo: Es el máximo valor del nivel de riesgo que una

Entidad puede soportar y a partir del cual se considera por la Alta Dirección y el Órgano de Gobierno que no sería posible el logro de los objetivos de la Entidad.4

• Causa: todos aquellos factores internos y externos que solos o en

combinación con otros, pueden producir la materialización de un riesgo.5

• Causa Inmediata: Circunstancias bajo las cuales se presenta el riesgo, pero no constituyen la causa principal o base para que se presente el

riesgo.6

• Causa Raíz: Causa principal o básica, corresponde a las razones por la

cuales se puede presentar el riesgo.7

• Confidencialidad: Propiedad que tiene la información de no estar a disposición o revelada a personas, entidades o procesos no autorizados.8

• Consecuencia: los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.9

• Control: Medida que modifica un riesgo.(reducir o mitigar)

• Control del Riesgo: Parte de la gestión del riesgo que involucra la implementación de políticas, normas, procedimientos y cambios físicos con el fin de eliminar o minimizar los riesgos adversos.


Versión 5-.OP Cit. Pág. 12 5 Ibídem. Pág. 12

6 ibidem. Pág. 12

6 CONPES N° 167 del 9 de diciembre de 2013 7 Guía para la Administración del riesgo y el diseño de controles en entidades públicas. Departamento Administrativo de Función Pública DAFP

Versión 5-.OP Cit. Pág. 12 8 Ibídem. Pág: 12

9 Ibidem. Pág. 12


VERSIÓN: 5


Página 9 de 62

• Corrupción: “Uso del poder para desviar la gestión de lo público hacia el beneficio privado”.10

• Evaluación de riesgo: Tiene como finalidad establecer si se realiza y aplica correctamente los métodos, políticas y procedimientos establecidos para la administración de riesgo.

• Declaración de Aplicabilidad: Documento que identifica los controles aplicados por seguridad y privacidad de la información tras el resultado de un proceso de evaluación y tratamiento de riesgos.

• Disponibilidad: Propiedad de la información que permite que sea accesible y utilizable cuando se requiera.

• Evento: Hecho que se genera durante la gestión de un proceso afectando el logro del objetivo del mismo, tiene relación directa con las actividades críticas de los planes operativos, las actividades de ruta crítica de los Proyectos de Inversión y las actividades críticas de control de los procesos.

• Evento de seguridad de la información: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información, o una situación desconocida previamente que puede ser pertinente a la seguridad.

• Factores de riesgo: Son las fuentes generadoras de riesgo.11

• Frecuencia: Periodicidad con que ha ocurrido un evento.

• Gestión de incidentes de seguridad de la información: Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de seguridad de la información.

• Gestión del riesgo: proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.12

10 CONPES N° 167 del 9 de diciembre de 2013. “Estrategia Nacional de la Política Pública Integral Anticorrupción” Numeral III Marco Analítico,

literal B) Marco Conceptual. Bogotá, 2013 11 Guía para la Administración del riesgo y el diseño de controles en entidades públicas. Departamento Administrativo de Función Pública DAFP

Versión 5-.OP Cit. Pág.12 12 Guía para la Administración del riesgo y el diseño de controles en entidades públicas. Departamento Administrativo de Función Pública DAFP

Versión 5-.OP Cit. Pág:12


VERSIÓN: 5


Página 10 de 62

• Gestión del Riesgo de Corrupción: Es el conjunto de “Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo” de corrupción.13

• Impacto: Se entiende como las consecuencias que puede ocasionar a la organización la materialización del riesgo.14

• Impacto Ambiental: Cambio en el medio ambiente, ya sea adverso o beneficioso, como resultado total o parcial de los aspectos ambientales de una organización.15

• Inventario de Activos: Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del subsistema de seguridad y privacidad de la información, que tenga valor y necesite por tanto ser protegidos de potenciales riesgos.

• Incidente de seguridad de la información: Un evento de seguridad de la información no deseado o inesperado, que tiene una probabilidad

significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

• Integridad: Propiedad de la información que se caracteriza por ser clara y completa para las personas o entes autorizados.

• Mapa de riesgos: documento con la información resultante de la gestión del riesgo.16

• Mapa de Riesgos de Corrupción: Documento con la información resultante de la gestión del riesgo de corrupción.

• Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos. 17

13 Ibídem. Pág: 12,

14 Ibídem. Pág: 12

15 Norma Técnica Colombiana ISO 14001. Icontec. 2015 16 Guía para la Administración del riesgo y el diseño de controles en entidades públicas. Departamento Administrativo de Función Pública DAFP

Versión 5-.OP Cit. Pág.12


Versión 5-.OP Cit. Pág: 12


VERSIÓN: 5


Página 11 de 62

• Probabilidad: se entiende la posibilidad de ocurrencia del riesgo. Estará asociada a la exposición al riesgo del proceso o actividad que se esté analizando. La probabilidad inherente será el número de veces que se pasa por el punto de riesgo en el periodo de 1 año.18

• Plan Anticorrupción y de Atención al Ciudadano: Plan que contempla

la estrategia de lucha contra la corrupción que debe ser implementada por todas las entidades del orden nacional, departamental y municipal. Según los lineamientos contenidos en el artículo 73 de la Ley 1474 de 201119, el Mapa de Riesgos de Corrupción hace parte del Plan Anticorrupción y de Atención al Ciudadano

• Riesgo: Efecto que se causa sobre los objetivos de las entidades, debido a

eventos potenciales. Nota: Los eventos potenciales hacen referencia a la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones,

en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.

• Riesgo de gestión: Efecto o posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los objetivos. Se expresa en términos de probabilidad y consecuencias.20

• Riesgo de corrupción: Efecto o posibilidad de que, por acción u omisión,

se use el poder para desviar la gestión de lo público hacia un beneficio privado.21

• Riesgo Inherente: Nivel de riesgo propio de la actividad. El resultado de

combinar la probabilidad con el impacto, nos permite determinar el nivel del

riesgo inherente, dentro de unas escalas de severidad.22

• Riesgo Positivo: Efecto o posibilidad de ocurrencia de un evento o

situación que permita optimizar los procesos y/o la gestión institucional, a

18 Ibidem. Ibíd. P. 12

19 Ley 1474 de 2011, Artículo 73: “Plan Anticorrupción y de Atención al Ciudadano. Cada entidad del orden nacional, departamental y municipal

deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará entre otras

cosas, el mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias anti trámites y

los mecanismos para mejorar la atención al ciudadano.

El Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción señalara la metodología para diseñar y hacerle

seguimiento a la señalada estrategia.

Parágrafo. En aquellas entidades donde se tenga implementado un sistema integral de administración de riesgos, se podrá validar la metodología

de este sistema con la definida por el Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción.” 20 Guía para la Administración del riesgo y el diseño de controles en entidades públicas. Departamento Administrativo de Función Pública DAFP

Versión 5-.OP Cit. Pág.12


Versión 5-.OP Cit. Pág 12

22 Ibidem. Pág 12


VERSIÓN: 5


Página 12 de 62

causa de oportunidades y/o fortalezas que se presentan en beneficio de la

entidad. • Riesgo Residual: nivel de riesgo que permanece luego de tomar sus

correspondientes medidas de tratamiento. El resultado de aplicar la efectividad de los controles al riesgo inherente.23

• Riesgo de seguridad de la información: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño

en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000).24

• Seguridad de la Información: preservación de la confidencialidad, la integridad y la disponibilidad de la información.

• Tolerancia al Riesgo: Es el valor de la máxima desviación admisible del nivel de riesgo con respecto al valor del Apetito de riesgo determinado por

la entidad.25 • Tratamiento de riesgos: proceso de modificar el riesgo, mediante la

implementación de controles.

• Vulnerabilidad: Representan la debilidad de un activo o de un control que puede ser explotada por una o más amenazas.26

5. LINEAMIENTOS DE LA POLÍTICA DE ADMINISTRACIÓN DE RIESGOS

De acuerdo a la NTC ISO 31000 Numeral 2.4., “la política de administración de

riesgos, es una declaración de la dirección y las intenciones generales de una organización con respecto a la gestión del riesgo. La gestión o administración

del riesgo establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos”.

Los elementos que la política articula los elementos necesarios para brindar los

lineamientos y orientaciones para la gestión del riesgo. Debe contar con

objetivo, alcance, niveles de aceptación, niveles para calificar el impacto y el

tratamiento de riesgos.

23 Ibídem. Pág.12 24 Ibidem. Pág 12

25 Ibidem. Pág.12 26 Ibidem. Pág.12


VERSIÓN: 5


Página 13 de 62

5.1. ROLES Y RESPONSABILIDADES

Los roles y responsabilidades de todos los actores del riesgo y control, para el

aseguramiento de la gestión y prevención de la materialización de riesgos, se

fijan a través del modelo las líneas de defensa en la entidad como sigue a

continuación:

Línea estratégica: Comité Institucional de Coordinación de Control Interno

• Establecer la política de administración del riesgo.

• Evaluar y dar lineamientos sobre la administración de los riesgos en la

entidad.

• Revisar los cambios en el direccionamiento estratégico y cómo estos

pueden generar nuevos riesgos o modificar los que ya se tienen

identificados.

• Hacer seguimiento a cada una de las etapas de la gestión del riesgo y las

evaluaciones realizadas por Control Interno.

• Revisar el cumplimiento a los objetivos institucionales y de proceso y sus

indicadores e identificar en caso de que no estén cumpliendo, los posibles

riesgos que se están materializando.

• Revisar los planes de acción para cada uno de los riesgos.

• Asegurar que los servidores responsables de la gestión del riesgo cuenten con los conocimientos necesarios.

Primera línea de defensa: Líderes de Proceso

• Desarrollar e implementar procesos de control y gestión de riesgos que afectan el logro de objetivos institucionales a través de su identificación,

análisis, valoración, monitoreo y acciones de mejora. • Identificar, documentar, analizar, valorar y establecer las acciones de

control relacionados con posibles actos de corrupción en el ejercicio de sus funciones y el cumplimiento de sus objetivos.

• Revisar los cambios en el direccionamiento estratégico o en el entorno y los posibles riesgos que se puedan generar y realizar la respectiva actualización de la matriz de riesgos de su proceso.

• Orientar el desarrollo e implementación de políticas y procedimientos

internos y asegurar que sean compatibles con las metas y objetivos de la entidad y emprender acciones de mejoramiento para su logro.

• Revisar el cumplimiento de los objetivos de su proceso y sus indicadores de desempeño, e identificar en caso de que no se estén cumpliendo los


VERSIÓN: 5


Página 14 de 62

posibles riesgos que se están materializando.

• Verificar el adecuado diseño, documentación, ejecución y actualización de las acciones de control para la mitigación del riesgo

• Establecer responsables e implementar las actividades de control.

• Desarrollar procesos de comunicación para que las personas desarrollen sus actividades de control.

• Establecer las acciones correctivas y oportunas ante la materialización de los riesgos identificados

Segunda línea de defensa: Oficina Asesora de Planeación y Sistemas

• Asegurar que los controles y los procesos de gestión de riesgos implementados por la primera línea de defensa, estén diseñados

apropiadamente y funcionen para el logro de los objetivos, así como para los riesgos de corrupción.

• Revisar los cambios en el direccionamiento estratégico o en el entorno y

cómo estos puedan generar nuevos riesgos o modificar los que ya se tienen identificados en cada uno de los procesos, con el fin de apoyar en la

actualización de matrices de riesgos. • Revisar la adecuada definición y desdoblamiento de los objetivos

institucionales a los objetivos de los procesos que han servido de base para

llevar a cabo la identificación de los riesgos y realizar las recomendaciones a que haya lugar.

• Revisar el adecuado diseño de los controles para la mitigación de los riesgos que se han establecido por parte de la primera línea de defensa y determinar las recomendaciones y seguimientos al mejoramiento de los

mismos. • Revisar el perfil de riesgo inherente y riesgo residual por cada proceso.

• Asegurar que los riesgos son monitoreados con relación a la política de administración del riesgo y hacer seguimiento a que las actividades establecidas para la mitigación del riesgo estén documentadas y

actualizadas en los procedimientos, teniendo presente el monitoreo de los riesgos y controles tecnológicos

• Elaborar informes sobre el monitoreo a los riesgos y eficiencia de los controles para las demás líneas de defensa.

• Supervisar el cumplimiento de las políticas y procedimientos específicos establecidos por la primera línea de defensa.

• Revisar los planes de acción establecidos para cada uno de los riesgos

materializados, con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelva a materializar.

Tercera línea de defensa: Equipo de Control Interno


VERSIÓN: 5


Página 15 de 62

• Proporcionar información sobre la efectividad del Sistema de Control

Interno a través de un enfoque basado en riesgos. • Revisar los cambios en el direccionamiento estratégico en el entorno y

cómo estos puedan generar nuevos riesgos o modificar los que ya se

tienen identificados en cada uno de los procesos, con el fin de que se identifiquen y se actualicen las matrices de riesgos por parte de los

responsables. • Revisar la adecuada definición y desdoblamiento de los objetivos

institucionales a los objetivos de los procesos que han servido de base

para llevar a cabo la identificación de los riesgos y realizar las recomendaciones a que haya lugar.

• Revisar que se hayan identificado riesgos significativos que afectan el cumplimiento de los objetivos de los procesos, además de incluir los riesgos de corrupción.

• Revisar el adecuado diseño y ejecución de los controles para la mitigación de los riesgos que se han establecido por parte de la primera línea de defensa y realizar las recomendaciones y seguimiento para el mejoramiento de los mismos.

• Revisar el perfil de riesgo inherente y riesgo residual por cada proceso y pronunciarse sobre cualquier riesgo que esté por fuera del perfil del riesgo de la entidad.

• Hacer seguimiento a que las actividades establecidas para la mitigación del riesgo estén documentadas y actualizadas en los procedimientos y

los planes de mejora como resultado de las auditorías efectuadas, además que se lleven de manera oportuna, que se establezcan las causas raíz del problema y se evite la repetición de hallazgos y la

materialización de riesgos. • Informar los cambios en la evaluación del riesgo a la Alta Dirección y

comunicarlos al Comité de Coordinación de Control Interno.

• Asesorar en la metodología para la identificación y administración del riesgo, en coordinación con la segunda línea de defensa.

• Suministrar recomendaciones para mejorar la eficiencia y eficacia de los controles.

• Establecer un Programa anual de auditoria basado en riesgos.

• Evaluar si los controles están presentes (en políticas y procedimientos) y funcionan.

5.2. CAPACIDAD DE RIESGO

En el marco del Comité Institucional de Coordinación de control interno, el

INSOR determina la capacidad del riesgo y el apetito del riesgo, teniendo en

cuenta los siguientes valores:


VERSIÓN: 5


Página 16 de 62

• Resultado del valor máximo de la escala entre probabilidad y el impacto

• Valor máximo que, según el buen criterio de la alta dirección y bajo los

requisitos del marco legal aplicable a la entidad, puede ser resistido por la

entidad antes de perder total o parcialmente la capacidad de cumplir con

sus objetivos. Este valor se denomina “capacidad de riesgo”

En el proceso de determinación del apetito de riesgo se considera el valor

máximo deseable del nivel de riesgo que podría permitir el logro de los

objetivos institucionales en condiciones normales de operación del modelo

integrado de planeación y gestión en la entidad. El apetito de riesgo puede

ser diferente para los distintos tipos de riesgos que la entidad debe o desea

gestionar.27

5.3. NIVELES DE ACEPTACIÓN DEL RIESGO, CALIFICACIÓN DEL

IMPACTO Y TRATAMIENTO DE RIESGOS

Una vez identificados los riesgos, se procede con la valoración de los mismos

en términos de probabilidad (frecuencia con la que se presenta) e impacto

(consecuencias que trae para la entidad), se realiza el análisis y evaluación

de los controles para la mitigación del riesgo, a partir del cruce de estas

variables, se elabora el mapa de riesgos a fin de determinar de manera

gráfica en que zona se ubican, contemplando unas zonas a partir de las cuales

se definirá su tratamiento, las zonas a contemplar son: baja, moderada,

alta y extrema; en consecuencia el tratamiento de riesgos permitirá

tomar medidas como aceptar, reducir, compartir o evitar.

De acuerdo a la NTC GTC137, Numeral 3.7.1.6, se establecen los criterios

para la decisión informada de tomar un riesgo particular. La aceptación del

riesgo puede ocurrir sin tratamiento del riesgo. Los riesgos aceptados están

sujetos a monitoreo. En el caso de los riesgos de corrupción, estos son

inaceptables, por tanto, siempre deben conducir a un tratamiento. En todos

los procesos se pueden presentar riesgos de corrupción.

Para el subsistema de Seguridad y Salud en el Trabajo las zonas establecidas

para adoptar la medida de tratamiento son: no aceptable, no aceptable con

control específico y aceptable.


Versión 5-.OP Cit. Pág 26


VERSIÓN: 5


Página 17 de 62

Es importante tener en cuenta que los riesgos deberán ser priorizados para

efectos de monitoreo y la implementación de acciones de mejora o controles,

que permitan llevar al riesgo a un nivel menor del inicialmente identificado.

El monitoreo a la gestión del riesgo en la entidad, se encuentra conformado

por dos componentes: el primero mediante el autocontrol realizado por los

líderes de los procesos de manera permanente y el segundo, mediante el

monitoreo realizado por la oficina de Planeación y Sistemas, con una

periodicidad cuatrimestral. Por lo cual, el INSOR realizará las actividades

necesarias para la implementación del esquema de líneas de defensa en el

monitoreo y seguimiento de la gestión del riesgo.

6. METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO

El adecuado manejo de los riesgos favorece el desarrollo y crecimiento de la

entidad, con el fin de asegurar dicho manejo es importante que se establezca

el entorno y ambiente organizacional, la identificación, análisis, valoración y

definición de las alternativas de acciones de mitigación de los riesgos,

mediante el desarrollo de los siguientes elementos, que se ilustran a

continuación en la figura 1.

Figura 1. Metodología para la administración de riesgos


VERSIÓN: 5


Página 18 de 62

Para efectos de generar evidencia de la aplicación de esta metodología, el INSOR dispone de la herramienta “Formato mapa de riesgos Institucional FOMM16 y/o formato mapa de riesgos de corrupción FOMM15” en los cuales se consolidan los riesgos identificados tanto de procesos, como los de corrupción (estos últimos señalados en la Ley 1474 de 2011), teniendo en cuenta que se clasifican como riesgos institucionales aquellos riesgos de los procesos misionales, y de los otros procesos que en su valoración permanecen en las zonas más altas de riesgo (extrema), los de corrupción.

Fuente: Gráfico tomado y adaptado de Función pública. Guía para la administración del riesgo y el diseño de

controles en entidades públicas Riesgos de gestión, corrupción y seguridad digital, Versión 5, 2020, pág 20


VERSIÓN: 5


Página 19 de 62

6.1. IDENTIFICACIÓN DE RIESGOS

“En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos

o riesgos, sus causas y sus consecuencias. Para el análisis se pueden involucrar

datos históricos, análisis teóricos, opiniones informadas y expertas y las

necesidades de las partes involucradas (NTC ISO31000, Numeral 2.15)”28

Los elementos para poder aplicar la metodología, corresponden al

establecimiento del contexto y a la identificación del riesgo.

Figura 2. Elementos para la identificación de Riesgos

Fuente: Adaptación por la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo- Función

Pública

6.1.1. ESTABLECIMIENTO DEL CONTEXTO

Corresponde a parámetros internos y externos a tener en cuenta para la administración del riesgo.

Esta actividad contempla la identificación del contexto tanto interno como

externo de la entidad, además del contexto del proceso y sus activos de seguridad digital29.

28 IBÍD Pág. 18 29 IBÍDEM


VERSIÓN: 5


Página 20 de 62

6.1.1.1. CONTEXTO ESTRATÉGICO ORGANIZACIONAL

Para la definición del contexto estratégico organizacional es fundamental realizar el análisis del contexto general de la entidad, para establecer su

complejidad, procesos, planeación institucional, entre otros aspectos, permitiendo conocer y entender la entidad, y su entorno, lo que determinará el análisis de riesgos y la aplicación de la metodología en general. A

continuación, se presenta los aspectos claves para la identificación del contexto organizacional:

Tabla 1. Contexto estratégico organizacional

Fuente: Adaptación hecha por la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo- Función Pública.


VERSIÓN: 5


Página 21 de 62

6.1.1.2. CONTEXTO EXTERNO, INTERNO Y PROCESO

A partir de los factores que se definan es posible establecer las causas de

los riesgos a identificar.

Figura 3. Análisis del contexto interno, externo y del proceso

Fuente: Adaptación por la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo- Función Pública

• Identificación de los puntos de riesgo: son actividades dentro del flujo del proceso donde existe evidencia o se tienen indicios de que pueden ocurrir eventos de riesgo operativo y deben mantenerse bajo control para asegurar que el proceso cumpla con su objetivo.


VERSIÓN: 5


Página 22 de 62

• Identificación de áreas de impacto: es la consecuencia económica o reputacional a la cual se ve expuesta la organización en caso de materializarse un riesgo. Los impactos que aplican son afectación económica (o presupuestal) y reputacional

• Identificación de áreas de factores de riesgo: son las fuentes generadoras de riesgos.

6.1.1.3. FACTORES A IDENTIFICAR EN CADA CATEGORÍA DEL

CONTEXTO

Tabla 2. Factores del contexto

Contexto externo Contexto interno

Contexto del proceso

Económicos:

Disponibilidad de capital,

liquidez, mercados

financieros, desempleo,

competencia.

Financieros:

Presupuesto de

funcionamiento,

recursos de

inversión,

infraestructura,

capacidad instalada.

Diseño Del Proceso: Claridad en

la descripción del alcance y

objetivo del proceso.

Políticos: Cambios de

gobierno, legislación,

políticas públicas,

regulación.

Personal:

Competencia del

personal,

disponibilidad del

personal, seguridad y

salud ocupacional.

Interacciones con otros

Procesos: Relación precisa con

otros procesos en cuanto a

insumos, proveedores, productos,

usuarios o clientes.

Sociales y culturales:

Demografía,

responsabilidad social,

orden público.

Procesos:

Capacidad, diseño,

ejecución,

proveedores,

entradas, salidas,

gestión del

conocimiento.

Transversalidad: Procesos que

determinan lineamientos

necesarios para el desarrollo de

todos los procesos de la entidad.

Tecnológicos: Avances

en tecnología, acceso a

sistemas de información

externos, gobierno en

línea.

Tecnología:

Integridad de datos,

disponibilidad de

datos y sistemas,

desarrollo,

producción

mantenimiento de

sistemas de

información.

Procedimientos Asociados:

Pertinencia en los procedimientos

que desarrollan los procesos.


VERSIÓN: 5


Página 23 de 62

Contexto externo Contexto

interno Contexto del proceso

Ambientales: Emisiones

y residuos, energía,

catástrofes naturales,

desarrollo sostenible.

Estratégicos:

Direccionamiento

estratégico,

planeación

institucional,

liderazgo, trabajo en

equipo.

Responsables Del Proceso:

Grado de autoridad y

responsabilidad de los

funcionarios frente al proceso.

Comunicación Externa:

Mecanismos utilizados

para entrar en contacto

con los usuarios o

ciudadanos, canales

establecidos para que el

mismo se comunique con

la entidad.

Comunicación

Interna: Canales

utilizados y su

efectividad, flujo de

la información

necesaria para el

desarrollo de las

operaciones.

Comunicación Entre Los

Procesos: Efectividad en los

flujos de información

determinados en la interacción de

los procesos.

Activos de seguridad digital

del proceso: información, aplicaciones, hardware entre otros, que se deben proteger

para garantizar el funcionamiento. interno de

cada proceso, como de cara al ciudadano.

Fuente: Adaptación por la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo- Función Pública.

6.1.1.3.1. IDENTIFICACIÓN DE ACTIVOS DE SEGURIDAD DIGITAL DEL

PROCESO

Figura 4. Pasos para la identificación de activos de seguridad digital

Fuente: Gráfico tomado y adaptado de Función pública. Guía para la administración del riesgo y el diseño de controles en

entidades públicas Riesgos de gestión, corrupción y seguridad digital, Versión 4, 2018, pág. 22

Para la identificación de activos de seguridad digital del proceso, se cuenta con unos lineamientos específicos sobre los que se dará alcance en otra sección de

este documento.


VERSIÓN: 5


Página 24 de 62

6.2 IDENTIFICACIÓN DEL RIESGO

La identificación del riesgo, se realiza determinando las causas, con base en el contexto interno, externo y de los procesos ya analizados para la entidad, y que pueden afectar el logro de los objetivos. Algunas causas externas no controlables por la entidad se podrán evidenciar en el análisis de contexto correspondiente, para ser tenidas en cuenta en el análisis y valoración del riesgo.

A partir de este levantamiento de causas se procederá a identificar el riesgo,

el cual estará asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso, es necesario referirse a sus características o las formas en que se observa o manifiesta.

En este caso es posible hacer una corta descripción del riesgo dentro de la identificación, o bien abrir una columna adicional donde se realice dicha

descripción, cada entidad determinará si lo incorpora o no, de acuerdo con sus necesidades de ampliación o compresión del riesgo.

Cuando se generen dudas con respecto a si se identificó un riesgo o realmente lo identificado es una causa, se sugiere aplicar las siguientes preguntas y frase:

• ¿Qué puede suceder? • ¿Cómo puede suceder? • ¿Cuándo puede suceder?

• ¿Qué consecuencias trae su materialización?

Fuente: Guía para la Administración de riesgos Versión 5 - DAFP


VERSIÓN: 5


Página 25 de 62

6.2.1. TIPOLOGÍAS DE RIESGOS

De acuerdo a la naturaleza e incidencia de los riesgos sobre los procesos,

estos pueden categorizarse y clasificarse, como sigue30:

Tabla 3. Riesgos

Tipo de riesgo Descripción

Riesgos estratégicos

Se asocian con la forma en que se

administra la Entidad. El manejo del riesgo

estratégico se enfoca a asuntos globales

relacionados con la misión y el cumplimiento

de los objetivos estratégicos, la clara

definición de políticas, diseño y

conceptualización de la entidad por parte de

la alta gerencia.

Riesgos de imagen o credibilidad

Están relacionados con la percepción y la

confianza por parte de la ciudadanía hacia la

institución.

Riesgos operativos

Comprenden riesgos provenientes del

funcionamiento y operatividad de los

sistemas de información institucional, de la

definición de los procesos, de la estructura

de la entidad, de la articulación entre

dependencias.

Riesgos financieros

Se relacionan con el manejo de los recursos

de la entidad que incluyen la ejecución

presupuestal, la elaboración de los estados

financieros, los pagos, manejos de

excedentes de tesorería y el manejo sobre

los bienes.

Riesgos de cumplimiento

Se asocian con la capacidad de la entidad

para cumplir con los requisitos legales,

contractuales, de ética pública y en general

con su compromiso ante la comunidad.

Riesgos de tecnología

Están relacionados con la capacidad

tecnológica de la Entidad para satisfacer sus

necesidades actuales y futuras y el

cumplimiento de la misión.

30 Guía para la administración del riesgo Versión 4, Op. cit., pág.28


VERSIÓN: 5


Página 26 de 62

Tipo de riesgo Descripción

Riesgos de corrupción

Posibilidad de que, por acción u omisión,

mediante el uso indebido del poder, de los

recursos o de la información, se lesionen los

intereses de una entidad y en consecuencia

del Estado, para la obtención de un beneficio

particular.

Riesgos Ambientales

Originado por la relación entre los seres

humanos, sus actividades y el medio

ambiente. Incluye los riesgos para el

ambiente (cambios ambientales originados

por actividades de la organización) y los

riesgos para la organización debido a temas

de medio ambiente (incumplimiento de

legislación, reputación, multas entre

otros).16

Riesgo de seguridad de la información

Posibilidad de que una amenaza concreta

que pueda aprovechar una vulnerabilidad

para causar una pérdida o daño en un activo

de información; estos daños consisten en la

afectación de la confidencialidad, integridad

o disponibilidad de la información. Cuando la

amenaza se convierta en una oportunidad se

debe tener en cuenta en el beneficio que se

genera. También se puede generar riesgo

positivo en la seguridad de la información

por el aprovechamiento de oportunidades y

fortalezas que se presenten. Fuente: Adaptación por la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo- Función Pública.

A partir de las directrices de la nueva guía de riesgos propuesta por Función

Pública y dada la importancia y tratamiento especial, se realizará una profundización y explicación de las generalidades de los riesgos de corrupción y seguridad digital.

6.2.1.2. CLASIFICACIÓN DEL RIESGO

Categorías en donde se clasifican y agrupan los riesgos identificados:


VERSIÓN: 5


Página 27 de 62

Ejecución y administración de procesos Pérdidas derivadas de errores en la ejecución y administración de procesos

Fraude externo

Pérdida derivada de actos de fraude por personas ajenas a la organización (no participa personal de la entidad)

Fraude interno

Pérdida debido a actos de fraude, actuaciones irregulares, comisión de hechos delictivos abuso de confianza, apropiación indebida, incumplimiento d e regulaciones legales o internas de la entidad en las cuales está involucrado por lo menos 1 participante interno de la organización, son realizadas de forma intencional y/o con ánimo de lucro para sí mismo o para terceros

Fallas tecnológicas Errores en hardware, software, telecomunicaciones, interrupción de servicios básicos.

Relaciones laborales

Pérdidas que surgen de acciones contrarias a las leyes o acuerdos de empleo, salud o seguridad, del pago de demandas por daños personales o de discriminación.

Usuarios, productos y prácticas

Fallas negligentes o involuntarias de las obligaciones frente a los usuarios y que impiden satisfacer una obligación profesional frente a éstos.

Daños a activos fijos/ eventos externos

Pérdida por daños o extravíos de los activos fijos por desastres naturales u otros riesgos/eventos externos como atentados, vandalismo, orden público.

Fuente: Guía para la Administración de riesgos Versión 5 - DAFP

6.2.1.3. RIESGOS DE CORRUPCIÓN

Los riesgos de corrupción se establecen sobre procesos. El riesgo debe estar

descrito de manera clara y precisa. Su redacción no debe dar lugar a

ambigüedades o confusiones con la causa generadora de los mismos31.



VERSIÓN: 5


Página 28 de 62

Para su identificación se han determinado los siguientes criterios:

• Acción u omisión.

• Uso del poder

• Desviar la gestión de lo público

• Beneficio privado

Etapas para el manejo de riesgos de corrupción32

• La información de riesgos de corrupción se levanta y elabora de manera

anual, esta actividad la realiza el responsable del proceso junto con su equipo.

• La consolidación de la información estará a cargo de la Oficina Asesora de Planeación y Sistemas y el reporte lo adelanta el proceso encargado de gestionar el riesgo, que a su vez lidera su administración.

• Se podrán realizar ajustes y modificaciones orientadas a mejorar el mapa de riesgos de corrupción después de su publicación y durante su año de

vigencia.

• Los líderes de los procesos junto con su equipo realizarán el monitoreo y evaluación permanente a la gestión de los riesgos de corrupción.

• A partir de la identificación de riesgos la Oficina Asesora de Planeación y Sistemas consolidará el mapa de riesgos de corrupción de la entidad.

• El mapa de riesgos de corrupción se debe publicar en la página web de la entidad, en la sección de transparencia y acceso a la información pública de acuerdo a lo establecido en el artículo 2.1.1.2.1.4 del Decreto

1081 de 2015, a más tardar el 31 de enero de cada año.

• La publicación será parcial y fundamentada en la elaboración del índice de información clasificada y reservada. En dicho instrumento la entidad debe establecer las condiciones de reserva y clasificación de algunos de

los elementos constitutivos del mapa de riesgos en los términos dados en los artículos 18 y 19 de la Ley 1712 de 2014. En este caso se deberá

anonimizar esa información. Es decir, la parte clasificada o reservada, aunque se elabora, no se hace visible en la publicación.

• Los servidores públicos y contratistas de la entidad deben conocer el

mapa de riesgos de corrupción antes de su publicación.

32 Guía para la administración del riesgo Versión 4, Op. cit., pág.24 y 25


VERSIÓN: 5


Página 29 de 62

• Así mismo, La Oficina Asesora de Planeación y Sistemas, adelantará las acciones para que la ciudadanía y los interesados externos conozcan y manifiesten sus consideraciones y sugerencias sobre el proyecto del

mapa de corrupción.

• El jefe de control interno o quien haga sus veces, adelantará

seguimiento a la gestión de riesgos de corrupción.

6.2.1.4. RIESGOS DE SEGURIDAD DIGITAL

Los riesgos de seguridad digital, consideran la afectación de tres criterios en un

activo o un grupo de activos dentro del proceso: “Integridad, confidencialidad o disponibilidad”.

Para el riesgo identificado se deben asociar el grupo de activos o activos

específicos del proceso y, conjuntamente, analizar las posibles amenazas y

vulnerabilidades que podrían causar su materialización.

Dentro de la metodología para su establecimiento se deben tener en cuenta:

• Riesgo

• Activo

• Descripción del riesgo

• Causas/ vulnerabilidades

• Consecuencias

6.3. VALORACIÓN DEL RIESGO

La valoración del riesgo consiste en establecer la probabilidad de

ocurrencia del riesgo y el nivel de consecuencias o impacto, con el fin

de estimar la zona de riesgo inicial (RIESGO INHERENTE).

Figura 5. Esquema de valoración del riesgo


VERSIÓN: 5


Página 30 de 62

Fuente: Adaptación de la Oficina Asesora de Planeación y Sistemas, basado en la Guía Administración del Riesgo- Función

Pública.

6.3.1 ANÁLISIS DEL RIESGO

La calificación del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y su impacto en caso de materializarse para determinar la zona de exposición al riesgo, que depende de nivel de calificación de estos dos elementos.

La probabilidad puede ser medida con criterios de frecuencia, determinando el

número de veces que un riesgo ha sucedido en un tiempo determinado, o de

factibilidad teniendo en cuenta la presencia de factores internos y externos que

pueden propiciar el riesgo, aunque éste no se haya materializado. El impacto

se mide según el grado en que las consecuencias o efectos pueden perjudicar

a la organización si se materializa el riesgo. 18

Para los riesgos ambientales, la probabilidad acá utilizada se entiende como la

posibilidad de que se genere un impacto ambiental, como consecuencia de

acciones no previstas.


VERSIÓN: 5


Página 31 de 62

Para fines prácticos, el INSOR calificará los riesgos de acuerdo a los

siguientes criterios:

Para estimar la Probabilidad

Bajo el criterio de FRECUENCIA se analizan el número de eventos en un

periodo determinado, se trata de hechos que se han materializado o se

cuenta con un historial de situaciones o eventos asociados al riesgo.

Bajo el criterio de FACTIBILIDAD se analiza la presencia de factores internos

y externos que pueden propiciar el riesgo, se trata en este caso de un hecho

que no se ha presentado, pero es posible que se dé.

Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de las siguientes especificaciones:

Tabla 4. Criterios para definir el nivel de probabilidad del riesgo

Fuente: Guía Administración del Riesgo- Función Pública

Nota: la exposición al riesgo estará asociada al proceso o actividad que se esté analizando, es decir, al número de veces que se pasa por el punto de riesgo en el periodo. En caso de no contar con datos históricos, bajo el

concepto de factibilidad se trabajará de acuerdo con la experiencia de los


VERSIÓN: 5


Página 32 de 62

funcionarios que desarrollan el proceso y de sus factores internos y externos.

De esta manera, el análisis de frecuencia deberá proceder con la aplicación de una matriz de priorización de probabilidad, la cual se construye a partir de la calificación privada que cada integrante de un equipo otorga al riesgo

de acuerdo a su percepción del nivel de probabilidad en términos de factibilidad, a fin de que a través de un promedio se pueda identificar.

Bajo el criterio de Impacto, el riesgo se debe medir a partir de las siguientes

especificaciones, contenidas en la tabla de impactos o consecuencias definida en la política de riesgos institucional, esto aplica sólo para riesgos de gestión, pro no para riesgos de corrupción:

Tabla 5. Criterios para determinar el impacto

Descriptor I m pa c t o

( c o n s e c u e n c i a s ) c u a n t i tat i v o

I m pa c t o ( c o n s e c u e n c i a s )

c u a l i tat i v o

Catastrófico 100%

Impacto que afecte la ejecución presupuestal en un valor ≥50%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un

valor ≥50%.

- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.

Interrupción de las operaciones de la entidad por más de cinco (5) días. - Intervención por parte de un ente de control u otro ente regulador. - Pérdida de información crítica

para la entidad que no se puede recuperar. - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución

presupuestal.

- Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados. El riesgo afecta la imagen de la entidad a nivel nacional, con efecto publicitario sostenido a nivel país

Mayor 80%

Impacto que afecte la ejecución presupuestal en un valor ≥20%.

- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥20%.

- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥20% del

Interrupción de las operaciones de la entidad por más de dos (2) días. - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.

- Sanción por parte del ente de control u otro ente regulador. - Incumplimiento en las metas y

objetivos institucionales afectando el cumplimiento en las metas de gobierno.

- Imagen institucional afectada en


VERSIÓN: 5


Página 33 de 62




c u a l i tat i v o

presupuesto general de la entidad.

el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

Moderado 60%

Impacto que afecte la ejecución presupuestal en un valor ≥5%. - Pérdida de cobertura en la prestación

de los servicios de la entidad ≥10%. - Pago de indemnizaciones a terceros

por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥5%. - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥5% del

presupuesto general de la entidad.

Interrupción de las operaciones de la entidad por un (1) día.

- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de

largo alcance para la entidad. - Inoportunidad en la información,

ocasionando retrasos en la atención a los usuarios. - Reproceso de actividades y aumento de carga operativa. - Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del

servicio a los usuarios o ciudadanos. - Investigaciones penales, fiscales o disciplinarias.

Menor 40%

Impacto que afecte la ejecución

presupuestal en un valor ≥1%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%.

- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥1%.

- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥1% del presupuesto general de la entidad.

Interrupción de las operaciones de la entidad por algunas horas. - Reclamaciones o quejas de los

usuarios, que implican investigaciones internas disciplinarias. - Imagen institucional: afecta la

imagen de la entidad internamente, de conocimiento general nivel interno, de junta directiva y/o de proveedores.

Leve 20%

Impacto que afecte la ejecución

presupuestal en un valor ≥0,5%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un

valor ≥0,5%.

- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las

No hay interrupción de las operaciones de la entidad. - No se generan sanciones

económicas o administrativas. - No se afecta la imagen institucional de forma significativa, afecta la imagen de

algún área de la organización


VERSIÓN: 5


Página 34 de 62




c u a l i tat i v o

cuales afectan en un valor ≥0,5% del presupuesto general de la entidad.

Fuente: Adaptación de la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo- Función Pública

Para el caso de la valoración del impacto en riesgos de corrupción no aplica la

anterior tabla, se deben utilizar otros criterios para su calificación, a través de la a aplicación de un conjunto de preguntas que otorgan un puntaje a fin de definir el impacto33:

Tabla 6. Valoración de impacto en riesgos de corrupción

PREGUNTA: Si el riesgo de corrupción se materializa podría…

SI NO

1. ¿Afectar al grupo de funcionarios del proceso?

2. ¿Afectar el cumplimiento de metas y objetivos de la

dependencia?

3. ¿Afectar el cumplimiento de misión de la entidad?

4.¿Afectar el cumplimiento de la misión del sector al que

pertenece la entidad?

5. ¿Generar pérdida de confianza de la entidad,

afectando su reputación?

6. ¿Generar pérdida de recursos económicos?

7. ¿Afectar la generación de los productos o la prestación

de servicios?

8. ¿Dar lugar al detrimento de calidad de vida de la

comunidad por la pérdida del bien,

servicios o recursos públicos?

9. ¿Generar pérdida de información de la entidad?

10. ¿Generar intervención de los órganos de control, de

la Fiscalía u otro ente?

11. ¿Dar lugar a procesos sancionatorios?

12. ¿Dar lugar a procesos disciplinarios?

13. ¿Dar lugar a procesos fiscales?

14. ¿Dar lugar a procesos penales?

15. ¿Generar pérdida de credibilidad del sector?



VERSIÓN: 5


Página 35 de 62

PREGUNTA: Si el riesgo de corrupción se materializa podría…

SI NO

16. ¿Ocasionar lesiones físicas o pérdida de vidas

humanas?

17. ¿Afectar la imagen regional?

18. ¿Afectar la imagen nacional?

19. ¿Generar daño ambiental?

Fuente: Adaptación de la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo- Función

Pública

Si la respuesta a la pregunta 16 es afirmativa, el riesgo se considera catastrófico. Por cada riesgo de corrupción identificado es necesario dar respuesta a las preguntas anteriormente presentadas.

Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en cuenta solamente los niveles “moderado”, “mayor” y “catastrófico”, dado que estos riesgos

siempre serán significativos; en este orden de ideas, no aplican los niveles de impacto insignificante y menor, que sí aplican para los demás riesgos.

6.4. EVALUACIÓN DE RIESGOS Una vez identificadas la probabilidad y el impacto y para estimar el nivel de riesgo

inicial, se cruzan los valores en la siguiente matriz también denominada mapa

de calor, con el fin de determinar la zona en la cual se ubica el riesgo identificado.

Este primer análisis del riesgo se denomina Riesgo Inherente y se define como

aquél al que se enfrenta una entidad en ausencia de acciones por parte de la

Dirección para modificar su probabilidad o impacto.

Figura 5. Matriz de Calificación, Evaluación y Respuesta a los Riesgos.


VERSIÓN: 5


Página 36 de 62


Se busca confrontar el resultado del análisis de riesgo inicial frente a los controles

establecidos, con el fin de determinar la zona de riesgo final (RIESGO RESIDUAL)

Acciones fundamentales para el riesgo

• Identificar controles existentes • Quién lleva a cabo el control (responsable)

• Qué periodicidad tiene • Qué busca hacer el control (objetivo) • Cómo se lleva a cabo el control (procedimiento)

• Evidencia de la ejecución del control • Tipo de control (manual o automático)

• Cuando se realiza el control (periodicidad) • Qué pasa con las desviaciones resultantes de ejecutar el control

Los controles se definen como mecanismos, políticas, prácticas u otras acciones existentes que actúan para minimizar el riesgo negativo o potenciar

oportunidades positivas en la gestión del riesgo, con el fin de garantizar el desarrollo y cumplimiento de las actividades acorde a los requisitos institucionales.


VERSIÓN: 5


Página 37 de 62

Los controles definidos pueden estar incluidos en34:

Políticas claras aplicadas:

• Políticas claras aplicadas • Seguimiento al plan estratégico y operativo • Indicadores de gestión • Tableros de control • Seguimiento a cronograma Informes de gestión

Conciliaciones:

• Conciliaciones

• Consecutivos • Verificación de firmas

• Listas de chequeo • Registro controlado • Segregación de funciones

• Niveles de autorización • Custodia apropiada

• Procedimientos formales aplicados • Pólizas • Seguridad física

• Contingencias y respaldo • Personal capacitado

• Aseguramiento y calidad • La evaluación al sistema de control interno del INSOR. • Los planes de mejoramiento y las auditorías.

• En la realización de actividades de capacitación o sensibilización a los servidores públicos sobre autocontrol y autoevaluación

Normas claras y aplicadas

• Normas claras y aplicadas • Control de términos

34 Adaptado Riesgos Superintendencia Financiera


VERSIÓN: 5


Página 38 de 62

Estructura para la descripción del control:

La descripción del control contiene el cargo del servidor o el sistema que realiza la actividad, el

verbo que indica la acción y los detalles que permiten identificar claramente el objeto del control.

Tipos de Controles:

De acuerdo a la Guía de Administración de riesgos de la Función Pública V5, se pueden considerar

los siguientes tipos de controles:

• Control preventivo: control accionado en la entrada del proceso y antes de que se realice

la actividad originadora del riesgo, se busca establecer las condiciones que aseguren el

resultado final esperado.

• Control detectivo: control accionado durante la ejecución del proceso. Estos controles

detectan el riesgo, pero generan reprocesos.

• Control correctivo: control accionado en la salida del proceso y después de que se

materializa el riesgo. Estos controles tienen costos implícitos.

Así mismo, de acuerdo con la forma como se ejecutan tenemos:

• Control manual: controles que son ejecutados por personas.

• Control automático: son ejecutados por un sistema.

6.4.1. ANÁLISIS Y EVALUACIÓN DE LOS CONTROLES PARA LA

MITIGACIÓN DE LOS RIESGOS

Surtidos los análisis anteriormente mencionados, para dar continuidad con la

metodología para la definición de las actividades de control por parte de la

primera línea de defensa, es necesario validar que los controles estén bien

diseñados, a fin de que efectivamente contribuyan con la mitigación de causas

que conducen a la materialización del riesgo, para tales efectos se cuenta con

una matriz que de acuerdo a las características del control en relación con la

eficiencia y formalización se estima el peso del diseño del control.

Responsable de ejecutar el

controlAcción Complemento Control


VERSIÓN: 5


Página 39 de 62

A continuación, se presenta la herramienta basada en la metodología de l

función pública para la valoración del riesgo:

Tabla 7. Análisis y evaluación del diseño del control

Criterio de evaluación Descripción Peso

Atributos de

eficiencia

Tipo

Preventivo

Va hacia las causas del riesgo, aseguran

el resultado final esperado.

25 %

Detectivo

Detecta que algo ocurre y devuelve el

proceso a los controles

preventivos. Se pueden generar

reprocesos.

15 %

Correctivo

Dado que permiten reducir el impacto de la materialización del

riesgo, tienen un costo e n su

implementación.

10%

Implementación

Automático

Son actividades de procesamiento o

validación de información que se

ejecutan por un sistema y/o aplicativo

de manera automática sin la intervención de

personas para su realización.

25 %

Manual

Controles que son ejecutados por una

persona, tiene implícito el error

humano.

15 %


VERSIÓN: 5


Página 40 de 62

Atributos

informativos

Documentación

Documentado

Controles que están documentados en el proceso, ya sea en

manuales, procedimientos,

flujogramas o cualquier otro

documento propio del proceso

-

Sin

documentar

Identifica a los controles que pese a que se ejecutan en el

proceso no se encuentran

documentados en ningún documento propio del proceso .

-

Frecuencia

Continua

El control se aplica siempre que se

realiza la actividad que conlleva el

riesgo.

-

Aleatoria

El control se aplica aleatoriamente a la

actividad que conlleva el riesgo

-

Evidencia

Con registro

El control deja un registro permite

evidencia la ejecución del control.

-

Sin registro

El control no deja registro de la

ejecución del control. -

Fuente: Adaptación de la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo-

Función Pública

Los resultados de la evaluación del diseño del control, se valoran como sigue a continuación:

Tabla 8. Mapa de calor acorde a tipo de control


VERSIÓN: 5


Página 41 de 62


La anterior valoración, se aplicará para determinar el diseño de cada control,

no obstante, con cumplir sólo este criterio no es suficiente, es necesario

realizar una evaluación de los resultados de su ejecución, por tanto el

responsable debe llevar a cabo una confirmación de su aplicación y

posteriormente esta acción se confirma con las actividades de control interno.

Así mismo debe realizarse una evaluación del conjunto de controles, “la solidez

del conjunto de controles se obtiene calculando el promedio aritmético simple

de los controles por cada riesgo”35.

Una vez implantadas las acciones para el manejo de los riesgos, la valoración

después de controles se denomina RIESGO RESIDUAL, éste se define como

aquel que permanece después que la dirección desarrolle sus respuestas a los

riesgos36

35 IBÏD Pág 64

36 INTOSAI: GUÍA PARA LAS NORMAS DE CONTROL INTERNO DEL SECTOR PÚBLICO http://www.intosai.org


VERSIÓN: 5


Página 42 de 62

Para la aplicación de los controles al riesgo residual, se debe realizar un primer

cálculo de manera acumulada, el cual dependiendo del valor resultante, se

aplicará un primer control. A continuación se definen los criterios de valoración

del control:

• Datos relacionados con la probabilidad

• Datos relacionados con el impacto inherente

• Datos de valoración de controles

6.5. ELABORACIÓN DEL MAPA DE RIESGOS

El mapa de riesgos es una representación final de la probabilidad e impacto

de uno o más riesgos37 frente a un proceso, proyecto o programa.

Como productos finales se obtienen:

MAPA INSTITUCIONAL DE RIESGOS: Contiene a nivel estratégico los

mayores riesgos a los cuales está expuesta la entidad, se alimenta con los

riesgos residuales Altos o Extremos de cada uno de los procesos que pueden

afectar el cumplimiento de la misión institucional y objetivos de la entidad.

En este mapa se deberán incluir los riesgos identificados como posibles actos

de corrupción, en cumplimiento del artículo 73 de la Ley 1474 de 2011.38

MAPA DE RIESGOS POR PROCESO: Recoge los riesgos identificados para

cada uno de los procesos, los cuales pueden afectar el logro de sus objetivos.

Un mapa de riesgos puede adoptar la forma de un cuadro resumen que

muestre cada uno de los pasos llevados a cabo para su levantamiento (Mapa

de riesgos integrado (riesgos gestión y corrupción))

37 PRESIDENCIA DE LA REPÚBLICA. Lineamientos para la Administración del Riesgo. Bogotá. 201

38 DAFP. Guía para la administración del Riesgo v3, 2014, p.28.


VERSIÓN: 5


Página 43 de 62

El mapa de riesgos también puede adoptar una forma gráfica, facilitando la

visualización de los riesgos que a nivel institucional se consolidan, este tipo

de desarrollos se alimentan del resultado de cada uno de los mapas de

procesos. El énfasis del mapa institucional está en los riesgos altos y

extremos de cada proceso

Todas las acciones contempladas dentro del mapa, unido a la información

reportada por los indicadores debe suministrar la información requerida para

el seguimiento respectivo a los mapas.

6.6. ESTRATEGIAS Y HERRAMIENTAS PARA LA GESTIÓN DEL RIESGO

El Instituto Nacional para Sordos establecerá los planes de acción pertinentes

para combatir el riesgo:

En el caso de reducir, después de realizar un análisis, se puede realizar una trasferencia a un

tercero a través de seguros o pólizas; dado esto la responsabilidad económica recae sobre el

tercero. Por otro lado se considera el establecimiento de un plan de acción que permita mitigar el

nivel de riesgo, de esta manera no se considera como un control adicional

6.7. MONITOREO Y REVISIÓN

El monitoreo y revisión debe asegurar que las acciones establecidas en los

mapas de riesgo se están llevando a cabo y evaluar la eficacia en su

implementación, adelantando revisiones sobre la marcha para evidenciar

Reducir

•Despues de realizar un análisis y considerar que el nivel de riesgo es alto, se determina tratarlo mediante trasferencia o mitigación

Aceptar

•Despues de realizar un análisis y considerar los niveles de riesgo se determina asumir el mismo, conociendo los efectos de su posible materialización

Evitar

•Despues de realizar un análisis y considerar que el nivel de riesgo es demasiado alto, se dermina No asumir la actividad que genera este riesgo


VERSIÓN: 5


Página 44 de 62

todas aquellas situaciones o factores que pueden influir en la aplicación de

acciones preventivas.

Reporte de gestión del riesgo

• Responsables de los procesos (primera línea de defensa):

Encargados de realizar las acciones asociadas a los controles establecidos

para cada uno de los riesgos identificados para su proceso, de acuerdo con

la periodicidad establecida en el procedimiento de acciones preventivas y

administración de riesgos.

Durante la aplicación de las acciones de seguimiento cada líder de proceso

debe mantener la traza o documentación respectiva de todas las

actividades realizadas, para garantizar de forma razonable que dichos

riesgos no se materializarán y por ende que los objetivos del proceso se

cumplirán.

• Oficina Asesora de Planeación y Sistemas (segunda línea de

defensa): encargada de realizar monitoreo de coherencia de acuerdo a lo

planteado por la primera línea de defensa, en este sentido realizará

acompañamiento para la gestión del riesgo adecuada y reporte de avance.

• Oficina de Control Interno: Encargada de realizar el seguimiento a los

riesgos que a nivel institucional han sido consolidados. En sus procesos de

auditoría interna dicha oficina debe analizar el diseño e idoneidad de los

controles, determinando si son o no adecuados para prevenir o mitigar los

riesgos de los procesos, haciendo uso de las técnicas relacionadas con

pruebas de auditoría que permitan determinar la efectividad de los

controles.

NOTA: En cuanto a la periodicidad del seguimiento, para los riesgos

asociados a posibles actos de corrupción, se debe dar cumplimiento a las

fechas establecidas por la guía de la Secretaría de Transparencia,

denominada “Estrategias para la construcción del plan anticorrupción y de

atención al ciudadano”; para los riesgos de gestión ubicados en las diferentes

zonas de riesgo residual, se tomarán en cuenta las fechas establecidas en la

política de riesgos institucional.


VERSIÓN: 5


Página 45 de 62

Reporte de la gestión de riesgos de corrupción

Se debe reportar en el mapa y plan de tratamiento de riesgos los riesgos de corrupción, de tal manera que se comunique toda la información necesaria para su comprensión y tratamiento adecuado.39.

• Seguimiento: El Jefe de Control Interno o quien haga sus veces, debe adelantar seguimiento al Mapa de Riesgos de Corrupción, verificando la efectividad de los controles.

• Primer seguimiento: Con corte al 30 de abril. En esa medida, la publicación deberá surtirse dentro de los diez (10) primeros días del mes de mayo.

• Segundo seguimiento: Con corte al 31 de agosto. La publicación deberá surtirse dentro de los diez (10) primeros días del mes de septiembre.

• Tercer seguimiento: Con corte al 31 de diciembre. La publicación deberá

surtirse dentro de los diez (10) primeros días del mes de enero.

Reporte de la gestión del riesgo de seguridad digital

Se debe reportar en el mapa y planes de tratamiento. El responsable de seguridad digital apoyará y acompañará a las diferentes líneas de defensa tanto

para el reporte como para la gestión y el tratamiento de estos riesgos40.

6.6.1. LINEAMIENTOS PARA EL MANEJO DE RIESGOS MATERIALIZADOS

Si dentro del seguimiento realizado, bien sea por parte de la Oficina de Control

Interno o por los líderes de los procesos, se establece que se ha materializado

uno o más riesgos, las acciones requeridas son las siguientes41:

Materialización de Riesgos de Gestión (Ubicados en Zona Extrema,

Alta o Moderada)


40 IBIDEM 41 Fuente: Adaptación de la Oficina Asesora de Planeación y sistemas, basado en la Guía Administración del Riesgo- Función Pública.


VERSIÓN: 5


Página 46 de 62

Cuando es detectada por la Oficina de Control Interno, se procede de la

siguiente manera:

1. Cuando el riesgo es detectado por la Oficina de Control Interno:

2. Informar al líder del proceso sobre el hecho encontrado

3. Orientar al líder del proceso para que realice la revisión, análisis y

acciones correspondientes para resolver el hecho.

4. Verificar que se tomaron las acciones y que se actualizó el mapa de

riesgos correspondiente.

5. Convocar al Comité de Coordinación de Control Interno e informar sobre

la actualización realizada.

Cuando es detectada por el líder del proceso u otro funcionario que participa

o interactúa con el proceso, se procede de la siguiente manera:

1. Tomar las acciones correctivas necesarias, dependiendo del riesgo

materializado.

2. Iniciar los análisis de causas y determinar acciones preventivas y de

mejora.

3. Analizar y actualizar el mapa de riesgos.

4. Informar a la Alta Dirección obre el hallazgo y las acciones tomadas.

Materialización de Riesgos de Gestión (Ubicados en Zona Baja)


siguiente manera:

1. Informa al líder del proceso sobre el hecho.

2. Orientar técnicamente sobre las acciones determinadas en la política de

riesgos institucional



• Aplicar las orientaciones de la política de riesgos institucional (verificar

los niveles de aceptación del riesgo).


VERSIÓN: 5


Página 47 de 62

Materialización de Riesgos de Corrupción


siguiente manera:

• Convocar al Comité de Coordinación de Control Interno e informar sobre

los hechos detectados, desde donde se tomarán las decisiones para la

investigación de los hechos.

• Dependiendo del alcance (normatividad asociada al hecho de corrupción

materializado), realizar denuncia ante el ente de control respectivo.

• Facilitar el inicio de las acciones correspondientes, para revisar el mapa

de riesgos y sus controles asociados.

• Verificar que se tomaron las acciones y se actualizó el mapa de riesgos.



1. Informar a la Alta Dirección sobre el hecho encontrado.

2. De considerarlo necesario, realizar la denuncia ante el ente de contol

respectivo.

3. Iniciar con las acciones correctivas del caso.

4. Realizar el análisis de causas y determinar aciones preventivas y de

mejora

5. Analizar y actualizar el mapa de riesgos.

De acuerdo con seguimiento realizado es importante considerar al final de

cada vigencia si los mapas de riesgos deben ser actualizados o si se

mantienen bajo las mismas condiciones en cuanto a factores de riesgo,

identificación, análisis y valoración del riesgo.

Para poder determinarlo se analizará si no se han presentado hechos

significativos como son:

• Riesgos materializados relacionados con posibles actos de corrupción. • Riesgos de gestión materializados en cualquiera de los procesos. • Observaciones o hallazgos por parte de la Oficina de Control

Interno o bien por parte de un ente de control, respecto de la

idoneidad y efectividad de los controles.

• Cambios importantes en el entorno que puedan generar nuevos riesgos.


VERSIÓN: 5


Página 48 de 62

No obstante, los mapas de riesgos deben ser flexibles y permitir cambios cuando

se requieran.

Estos aspectos deben ser considerados para posibles ajustes o cambios sobre

los lineamientos establecidos en la política de riesgos institucional, para

fortalecer la administración del riesgo en la entidad.

6.7 COMUNICACIÓN Y CONSULTA

La comunicación y consulta con las partes involucradas tanto internas como

externas debería tener lugar durante todas las etapas del proceso para la

gestión del riesgo.

Este análisis debe garantizar que se tienen en cuenta las necesidades del

usuario o ciudadanos, de modo tal que los riesgos identificados, permitan

encontrar puntos críticos para la mejora en la prestación de los servicios. Es

preciso promover la participación de los funcionarios con mayor experticia,

con el fin que aporten su conocimiento en la identificación, análisis y

valoración del riesgo.

Se requieren:

• Estrategias de Comunicación • Trabajo en Equipo • Conocimiento y análisis de la complejidad de cada uno de los procesos

Un enfoque de equipos de trabajo puede:

• Ayudar a establecer correctamente el contexto para los procesos

• Garantizar que se toman en consideración las necesidades de los usuarios

• Ayudar a garantizar que los riesgos estén correctamente identificados

• Reunir diferentes áreas de experticia para el análisis de los riesgos • Garantizar que los diferentes puntos de vista se toman en consideración

adecuadamente durante todo el proceso • Fomentar la administración del riesgo como una actividad inherente al

proceso de planeación estratégica.


VERSIÓN: 5


Página 49 de 62

7. CONTEXTO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

La información es crucial para el desarrollo del objeto misional del Instituto

Nacional para Sordos INSOR, por tal razón debe ser protegida de cualquier

posibilidad de ocurrencia de eventos de riesgo de seguridad de la información

y que pudiese significar un impacto indeseado generando una consecuencia

negativa para el normal progreso de las actividades de la entidad.

De acuerdo con lo anterior y tomando como referencia el Modelo de

Seguridad y Privacidad de la información de MINTIC (MSPI), la gestión de

riesgos de seguridad y privacidad de la información en el Instituto Nacional

para Sordos INSOR cuenta con las buenas prácticas de las Norma Técnica

Colombiana (ISO/IEC 31000, ISO/IEC 27005), la “Guía de Riesgos” del

DAFP24, aprovechando el trabajo adelantado en la identificación de riesgos

para ser complementados con los riesgos de seguridad y privacidad de la

información.

7.1 RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

7.1.2. DEFINICIÓN DEL RIESGO

De acuerdo con la norma ISO/IEC 27000:2014, se define el riesgo como la

“Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus

consecuencias”. De igual manera el objetivo general de dicha norma es gestionar el riesgo para identificar y establecer controles efectivos que

garanticen la confidencialidad, integridad y disponibilidad de la información del Instituto Nacional para Sordos INSOR, donde se busca diseñar una metodología ágil enfocada en la identificación, gestión y tratamiento de los

Riesgos de Seguridad y Privacidad de la Información:


VERSIÓN: 5


Página 50 de 62

Figura 6. Riesgos de Seguridad y Privacidad de la Información

Fuente: Elaborado por la Oficina Asesora de Planeación y Sistemas

• Fuga o Pérdida de la Información: Información que hace que esta llegue a

personas no autorizadas, sobre la que su responsable pierde el control o el

estado que genera una condición irreparable en el tratamiento y procesamiento

de la Información. Ocurre cuando un sistema de información o proceso

diseñado para restringir el acceso sólo a sujetos autorizados revela parte de la

información que procesa o transmite debido a errores en la ejecución de los

procedimientos de tratamiento, las personas o diseño de los Sistemas de

Información.

• Pérdida de la Confidencialidad: Violación o incidente a la propiedad de

la información que impide su divulgación a individuos, entidades o procesos

no autorizados.

• Pérdida de la Integridad: Pérdida de la propiedad de mantener con

exactitud la información tal cual fue generada, sin ser manipulada ni

alterada por personas o procesos no autorizados.


VERSIÓN: 5


Página 51 de 62

• Pérdida de la Disponibilidad: Pérdida de la cualidad o condición de la

información de encontrarse a disposición de quienes deben acceder a ella,

ya sean personas, procesos o aplicaciones.

• Inadecuado Tratamiento de Datos Personales: Uso no adecuado de la

información que identifica a las personas, lo que repercute en una violación

de los derechos constitucionales.

7.2. FACTORES DE RIESGO

Se entiende por factores de riesgo dentro del Subsistema de Seguridad y

privacidad de la Información, aquellos que pueden afectar la confidencialidad,

la integridad o la disponibilidad de la información del Instituto Nacional para

Sordos INSOR. Entre los factores de riesgos que se encuentran identificados

están los siguientes:

Tabla 9. Factores de Riesgo asociados al SGSI

7.3. METODOLOGÍA DE ANÁLISIS DE RIESGOS DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN PARA EL INSTITUTO NACIONAL

PARA SORDOS.


VERSIÓN: 5


Página 52 de 62

El Instituto Nacional para Sordos-INSOR utiliza una metodología para valorar los

riesgos de Seguridad y Privacidad de la Información, basado en el Sistema de

Gestión de Riesgos ya establecido en la entidad, que se identifica en la presente

Guía Metodológica y la Matriz de Valoración de Análisis de Riesgos, donde el

subsistema de Seguridad y Privacidad de la Información, contribuye al Sistema

Integrado de Gestión abarcando los siguientes aspectos:

Se identifican los activos de información en el flujo de cada proceso, teniendo

en cuenta el manejo de Gestión Documental, con el objetivo de valorarlos e

identificar los riesgos de seguridad y privacidad de la información asociados a

los factores, de esta manera se consideran los siguientes aspectos:

Tabla 10. Descripción de Activos


VERSIÓN: 5


Página 53 de 62


VERSIÓN: 5


Página 54 de 62

La Valoración del Activo de Información se realiza mediante la identificación del

impacto para el Instituto Nacional para Sordos-INSOR por la pérdida de las

propiedades, principios o fundamentos de la Seguridad de la Información,

teniendo en cuenta la siguiente tabla de criterios:

Tabla 11. Criterios



VERSIÓN: 5


Página 55 de 62

CONFIDENCIALIDAD: Impacto que tendría para el Instituto Nacional para

Sordos INSOR, la pérdida de confidencialidad sobre el activo de información,

es decir, que sea conocido por personas no autorizadas:

Crítico: Es la existencia de información más crítica (Calificada, Vital o Esencial)

a nivel de pérdida de su confidencialidad que cualquier otra y que por ende debe

tener una mayor protección. A la información (Calificada, Vital o Esencial) sólo

pueden tener acceso las personas que expresamente han sido declaradas

usuarios legítimos de esta información, y con los privilegios asignados. El

conocimiento o divulgación no autorizada de la información que gestiona este

activo impacta negativamente al Instituto Nacional para Sordos-INSOR.

Alto y Medio: Es la información que es utilizada por los funcionarios de la

SNS para realizar sus labores en los procesos y que no puede ser conocida

por terceros sin autorización del propietario del activo. El conocimiento o

divulgación no autorizada de la información que gestiona este activo impacta

negativamente al proceso evaluado y/o otros procesos de la SNS.

Bajo: Es la información que ha sido calificada como de conocimiento público.

Esta información puede ser entregada o publicada sin restricciones a los

funcionarios o a cualquier persona sin que implique daños a terceros ni a las

actividades y procesos del Instituto Nacional para Sordos-INSOR. El

conocimiento o divulgación no autorizada de la información que gestiona este

activo no tiene ningún impacto negativo en los procesos del Instituto Nacional

para Sordos-INSOR.

INTEGRIDAD: Impacto que tendría la pérdida de integridad, es decir, si la

exactitud y estado completo de la información y métodos de procesamiento

fueran alterados.

Crítico: La pérdida de exactitud y estado completo del activo impacta

negativamente la prestación de servicios de tecnología y de información en

el Instituto Nacional para Sordos-INSOR.


VERSIÓN: 5


Página 56 de 62

Alto y Medio: La pérdida de exactitud y estado completo del activo impacta

negativamente al proceso que gestiona la información y/o a otros procesos

del Instituto Nacional para Sordos-INSOR.

Bajo: La pérdida de exactitud y estado completo activo no tiene ningún

impacto negativo en los procesos del Instituto Nacional para Sordos-INSOR.

DISPONIBILIDAD: Impacto que tendría la pérdida de disponibilidad, es

decir, si los usuarios autorizados no tuvieran acceso a los activos de

información en el momento que lo requieran.

Crítico: La falta o no disponibilidad del activo de información impacta

negativamente la prestación de servicios de tecnología y de información en

el Instituto Nacional para Sordos-INSOR.

Alto y Medio: La falta o no disponibilidad del activo de información impacta

negativamente al proceso que gestiona la información y/o a otros procesos

del Instituto Nacional para Sordos-INSOR.

Bajo: La falta o no disponibilidad del activo de información no tiene ningún

impacto negativo en los procesos del Instituto Nacional para Sordos-INSOR.

7.4. PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN

Con base en el resultado del análisis de riesgos de seguridad y privacidad de

la información y con el fin de gestionar el riesgo residual, se proponen

acciones de mejora los cuales pueden estar en marcha por medio de planes

de acción o de tratamiento con la finalidad de que la información siempre

conserve las características de confidencialidad, integridad y disponibilidad

de la misma, desarrollándose como un proceso de seleccionar e implementar

medidas para modificar el nivel de riesgo.


VERSIÓN: 5


Página 57 de 62

El Plan de Tratamiento de Riesgos de Seguridad de la Información se integra a

la presente Guía Metodológica y a la Matriz de Análisis de Riesgos, contribuyendo

al fortalecimiento de los mecanismos de Gestión de Riesgos del Sistema

Integrado de Gestión del Instituto Nacional para Sordos-INSOR.

La formulación de actividades de tratamiento de riesgos de seguridad y

privacidad de la información y su aplicación de acuerdo con la valoración del

riesgo inherente documentado, se realiza buscando integrar la

implementación de la presente Guía Metodológica, describiendo a

continuación, el esquema de diligenciamiento:

Tabla 12. Tratamiento de Riesgos de Seguridad y Privacidad de la

Información


VERSIÓN: 5


Página 58 de 62


7.5. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN

El Instituto Nacional para Sordos-INSOR “evaluará el desempeño del modelo de gestión de riegos de seguridad y privacidad de la información”, por medio de un monitoreo esencial para revisar que las acciones se están llevando a


VERSIÓN: 5


Página 59 de 62

cabo y evaluar la eficiencia en su implementación adelantando verificaciones al menos una vez al año o cuando sea necesario, evidenciando todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones de tratamiento.

El monitoreo anual o en el momento que se determine, debe estar a cargo de los responsables de los procesos, la Oficina de Control Interno y la Oficina

Asesora de Planeación y Sistemas, aplicando y sugiriendo los correctivos y ajustes necesarios para propender por un efectivo manejo del riesgo de

seguridad y privacidad de la información.

8. ACTUALIZACIÓN DEL MAPA DE RIESGOS

El mapa de riesgos debe ser actualizado como mínimo una vez al año42 o cuando se identifican nuevos factores externos que afecten el objetivo del proceso, cuando el proceso evaluado presente cambios organizacionales, como objetivo, alcance y/o actividades, o como resultado de las observaciones del seguimiento realizado por la oficina de Control Interno.

En consecuencia, la actualización del mapa de riesgos es una actividad permanente y es recomendable que se realice una vez se obtengan resultados tanto del auto seguimiento como de los seguimientos realizados por la Oficina de Control Interno.

9. MATERIALIZACIÓN DE RIESGOS

Si como resultado de la autoevaluación o auto seguimiento por parte del líder

del proceso y/o del seguimiento por parte de la OCI (ver numeral 6.6), si un

riesgo se materializa, es fuente para la realización de una acción correctiva y

debe ser incluida en el plan de mejoramiento, de acuerdo con los

lineamientos contenidos en procedimiento Acciones correctivas preventivas

y de mejora para evitar o disminuir la probabilidad de que vuelva a suceder43.

42 DAFP, Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano, 2014, p.62 43 DAFP, Guía de administración del riesgo, 2011 p. 12


VERSIÓN: 5


Página 60 de 62

10. COMUNICACIÓN Y CONSULTA

El mapa de riesgos es publicado en la web y en la intranet de la Entidad para cada proceso, como comunicación y consulta de las partes involucradas y de todos los funcionarios y contratistas del INSOR

El líder del proceso debe comunicar y sensibilizar el mapa de riesgos junto

con el plan de manejo y políticas de operación que se derivan, con la finalidad de generar conciencia y conocimiento de los responsables de la

implementación del plan de manejo y con el propósito de que se entiendan las bases sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas acciones,

Esta comunicación es importante para aportar al interior del INSOR la creación de una cultura en la gestión del riesgo y además para garantizar que aquellos responsables de la implementación de las acciones dentro de cada uno de los procesos entiendan las bases sobre las cuales se toman las decisiones y las razones por las cuales se requieren dichas acciones.

Un enfoque de equipos de trabajo puede ser:

• Ayudar a establecer correctamente el contexto estratégico. • Garantizar que se toman en consideración las necesidades de las

partes involucradas.

• Ayudar a garantizar que los riesgos estén correctamente identificados.

• Reunir diferentes áreas de experticia para el análisis de los riesgos.

• Garantizar que los diferentes puntos de vista se toman en consideración adecuada durante todo el proceso.

• Fomentar la administración del riesgo como una actividad inherente al proceso de planeación estratégica.


VERSIÓN: 5


Página 61 de 62

BIBLIOGRAFÍA

1. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA –

DAFP,(2020) Guía para la administración del riesgo y el diseño de

controles en entidades públicas - Riesgos de gestión, corrupción y

seguridad digital - Versión 5 – Diciembre 2020.

2. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA –DAFP

(2014). DAFP, Guía para la administración del riesgo.

3. SECRETARIA DE TRANSPARENCIA PRESIDENCIA DE LA REPÚBLICA, DEPARTAMENTO NACIONAL DE PLANEACIÓN,

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA, OFICINA DE LAS NACIONES UNIDAD CONTRA LA DROGA Y EL DELITO, DNP (2013). Estrategias para la construcción del Plan

Anticorrupción y de Atención al Ciudadano, Pág. 6. 3. GUIA TÉCNICA COLOMBIANA 104 de 2009. Icontec. Bogotá,

Colombia. 4. ISO/IEC 27000:2014, Tecnología de la Información. Técnicas de

Seguridad Sistemas de gestión de seguridad de información. Descripción y vocabulario.

5. ICONTEC, NTC-ISO 27001:2013, Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos.

6. ISO/IEC 27005:2011, Tecnología de la Información. Técnicas de Seguridad. Administración de Riesgos de Seguridad de la Información.

7. SUPERINTENDENCIA NACIONAL DE SALUD. Administración del Sistema Integrado de Gestión. Pág. 11 a 30.

CONTROL DE CAMBIOS

Versión Cambio Fecha de aprobación

1 Creación del documento 17/07/2017

2 Actualización de la guía 28/09/2017

3 Actualización Guía: se actualiza metodología para

la Administración del Riesgo Institucional 27/06/2018

4 Actualización de la guía: por cambio en la guía de

administración del riesgo de Función Pública 05/04/2018


VERSIÓN: 5


Página 62 de 62

5

Actualización de la guía: por cambio en la guía de

administración del riesgo de Función Pública Versión 5

31/03/2021

CONTROL DEL DOCUMENTO

Elaboró Magda Yusef Rojas

Díaz Revisó

Cristian Camilo Daza

Aprobó: Carolina Ramos

Castellanos

Cargo: Contratista Oficina

Asesora de Planeación

y Sistemas Cargo:

Contratista Oficina Asesora de

Planeación y

Sistemas

Cargo: Jefe Oficina asesora

de Planeación

Fecha: 02/03/2021 Fecha: 30/03/2021 Fecha: 31/03/2021

guia para la administraciÓn del riesgo propiedad del … · 2021. 5. 1. · guia para la...

Documents