Código: G1-S3-MA-01 MANUAL PARA LA ADMINISTRACIÓN DE ... · 6.6.2.5 Matriz Mapa de Riesgos de...
Transcript of Código: G1-S3-MA-01 MANUAL PARA LA ADMINISTRACIÓN DE ... · 6.6.2.5 Matriz Mapa de Riesgos de...
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
TABLA DE CONTENIDO
1. PROCESO ……………………………………………………………………………………………………………………………………..2 2. SUB PROCESO .............................................................................................................................................................................. 2
3. OBJETIVO. ...................................................................................................................................................................................... 2
3.1 OBJETIVOS ESPECÍFICOS: N/A ......................................................................................................................................... 2
4. INTRODUCCIÓN: ............................................................................................................................................................................ 2
4.1 MARCO NORMATIVO: ......................................................................................................................................................... 2
5. DEFINICIONES: .............................................................................................................................................................................. 4
6. CONTENIDO ................................................................................................................................................................................... 7
6.1 CONCEPTO DE RIESGO ..................................................................................................................................................... 7
6.2 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE GESTIÓN .................................................................... 8
6.2.1 Definición del contexto estratégico de riesgos ............................................................................................................... 10
6.2.2 Identificación de los riesgos ........................................................................................................................................... 11
6.2.3 Análisis y calificación de los riesgos .............................................................................................................................. 13
6.2.4 Evaluación del riesgo ..................................................................................................................................................... 14
6.2.5 Valoración de los riesgos ............................................................................................................................................... 16
6.2.6 Elaboración del mapa de riesgos ................................................................................................................................... 20
6.3 FORMULACIÓN DE POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO ........................................................................... 21
6.4 MONITOREO Y REVISIÓN ................................................................................................................................................ 22
6.5 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ....................... 22
6.5.1 Construccion de Riesgos de Seguridad de la Informacion ............................................................................................. 23
6.5.2 Estimación del riesgo ..................................................................................................................................................... 25
6.5.3 Evaluación del riesgo ..................................................................................................................................................... 26
6.5.4 Tratamiento de riesgos................................................................................................................................................... 27
6.5.5 Plan de tratamiento de riesgo ........................................................................................................................................ 29
6.5.6 Monitoreo y revisión ....................................................................................................................................................... 29
6.6 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE CORRUPCIÓN ................................................................. 30
6.6.1 Política Administración de Riesgos de Corrupción ........................................................................................................ 30
6.6.2 Construcción del Mapa de Riesgos de Corrupción ........................................................................................................ 30
6.6.2.2 Identificación del Riesgo de Corrupción .................................................................................................................. 30
6.6.2.3 Construcción del Riesgo de Corrupción ................................................................................................................... 31
6.6.2.4.1 Análisis del Riesgo de Corrupción ................................................................................................................ 32
6.6.2.4.2 Evaluación del Riesgo de Corrupción ........................................................................................................... 35
6.6.2.5 Matriz Mapa de Riesgos de Corrupción ................................................................................................................... 38
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
1. PROCESO: Gestión Estratégica Organizacional
2. SUB PROCESO: Gestión del Sistema Integrado
3. OBJETIVO: Establecer una metodología que permita identificar, analizar, valorar y administrar los riesgos, con el fin de prevenir su ocurrencia o minimizar el impacto del evento y/o incidente, los cuales pueden afectar los objetivos de la Unidad de Servicios Penitenciarios y Carcelarios - USPEC.
3.1 OBJETIVOS ESPECÍFICOS: N/A
4. INTRODUCCIÓN: El Estado Colombiano ha establecido una serie componentes técnicos, necesarios para el desarrollo y fortalecimiento del Sistema de Control Interno en todas las entidades públicas. Uno de los componentes más importantes es la administración del riesgo, por medio de la cual se genera la información necesaria para la identificación y análisis de los riesgos que impidan alcanzar los objetivos institucionales.
La implementación de una metodología de administración del riesgo para las entidades públicas, surge como un factor de gran importancia para la gestión pública, dado que actualmente dicha gestión se encuentra sobre la influencia de factores como una alta dinámica política y continuos cambios en la administración pública, que hace que las entidades se enfrenten a factores externos e internos, que dificulten el logro de los objetivos institucionales. Así mismo a través del Decreto 1599 de 2005 se adoptó el Modelo Estándar de Control Interno – MECI para todas las entidades del Estado, donde la “Administración del Riesgo” ha sido contemplada como uno de los componentes del Subsistema de Control Estratégico, que permiten evaluar los aspectos negativos, que afectan el cumplimiento de los objetivos institucionales. Con el fin de consolidar estos propósitos el Gobierno Nacional desarrolló para el año 2014 una actualización del MECI, en el cual se mantienen los fundamentos esenciales de Autocontrol, Autogestión y Autorregulación.
El Departamento Administrativo de la Función Pública al referirse a la actualización del MECI, describe que “entre las principales novedades que trae la actualización del modelo, se encuentra que los tres subsistemas de control a los que se refería la versión anterior se convierten en dos Módulos de Control, que sirven como unidad básica para realizar el control a la planeación y la gestión institucional, y a la evaluación y seguimiento. A partir de esta modificación, la información y comunicación se convierten en un eje transversales al Modelo” (DAFP, 2014).
Este documento describe la metodología y los lineamientos para los riesgos de gestión, los de Seguridad de la
Información y los riesgos para la Unidad de Servicios Penitenciarios y Carcelarios - USPEC, la cual se basa en la
Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP) y la “Guía de
Gestión de Riesgos” del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC). Así mismo se
encuentran los Riesgos de Corrupción, estableciéndose que se tendrán en cuenta los lineamientos señalados por el
Gobierno Nacional, a través de los documentos determinados para tal fin, estando a la fecha vigente la Guía para la
Gestión del Riesgo de Corrupción 2015, del Departamento Administrativo de la Función Pública (DAFP).
4.1 MARCO NORMATIVO:
Ley 87 de 1993: Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del estado y se dictan otras disposiciones
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Ley 489 de 1998: Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones.
Ley 1474 de 2011: Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.
Ley 1712 de 2014: Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones
Decreto 2145 de 1999: Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las entidades y organismos de la administración pública del orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 de 2000.
Decreto 1537 de 2001: Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado.
Decreto 1599 de 2005: Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano MECI 1000:2005, el cual determina las generalidades y la estructura necesaria para establecer, documentar, implementar y mantener un Sistema de Control Interno en las entidades y agentes obligados, conforme al artículo 5º de la Ley 87 de 1993.
Decreto 1649 de 2014: Por el cual se modifica la estructura del Departamento Administrativo de la Presidencia de la República.
Decreto 1081 de 2015: Por medio del cual se expide el Decreto Reglamentario Único del Sector Presidencia de la República.
Decreto 943 de 2014: Por el cual se actualiza el Modelo Estándar de Control Interno (MECI).
Norma Técnica Colombiana NTC-ISO-IEC 27001:2013: Sistemas de Gestión de la Seguridad de la Información.
Norma Técnica Colombiana NTC-ISO-IEC 27002: Primera Actualización: Código de práctica para la gestión de la seguridad de la información
Norma Técnica Colombiana NTC-ISO/IEC 27005:2009: Gestión del riesgo en la seguridad de la información.
Norma Técnica Colombiana NTC-ISO 31000:2011: Gestión del Riesgo. Principio y Directrices
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
5. DEFINICIONES:
Las siguientes definiciones fueron tomadas de la Guía para la Administración del Riesgo Departamento Administrativo de la Función Pública1 y la Guía para la Gestión del Riesgo de Corrupción Departamento Administrativo de la Función Publica2
Aceptar el Riesgo: Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular.
Acción Correctiva: Acción tomada para eliminar y/o mitigar la(s) causa(s) de una no conformidad detectada u otra situación no deseable.
Acción Preventiva: Acción tomada para eliminar la(s) causa(s) de una no conformidad potencial u otra situación potencial no deseable.
Activo: Cualquier cosa que tenga valor para la organización.
Administración de Riesgos: Conjunto de Elementos de Control que al interrelacionarse, permiten a la Entidad evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su función.
Agente Generador: Persona, elemento, cosa, situación o entidad que actúa o tiene capacidad de generar un riesgo.
Amenaza: Posibilidad de que un evento no planeado pueda suceder y originar consecuencias negativas.
Análisis de Riesgo: Elemento de Control, que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad para su aceptación y manejo.
Asumir el Riesgo: Medida de tratamiento del riesgo, en la cual se aceptan las consecuencias del riesgo por considerar muy baja la probabilidad de su ocurrencia, o leves sus consecuencias.
Causa: Motivo o circunstancia por la cual se puede originar un riesgo.
Compartir o Transferir el riesgo: Forma de reducir los efectos de un riesgo como medida de tratamiento que permita disminuir las pérdidas originadas por un riesgo trasladándolas o compartiéndolas con un tercero, frente a una probabilidad de ocurrencia de éste.
Confidencialidad: Propiedad de la información que hace que no esté disponible o que sea revelada a individuos no autorizados, entidades o procesos.
Consecuencia: Es el resultado de un evento expresado cualitativa o cuantitativamente, sea éste una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad.
1 (Tomado de la Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011) 2 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA).
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Control: Proceso, política, práctica u otra acción existente que actúa para detectar y analizar situaciones con el propósito de minimizar el riesgo.
Control Correctivo: Aquel que permite el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.
Control Preventivo: Aquel que actúa para eliminar las causas del riesgo para prevenir su ocurrencia o materialización
Descripción del Riesgo: Narración o explicación de la forma como puede presentarse el riesgo.
Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.
Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad, generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Evaluación del Riesgo: Proceso utilizado para determinar las prioridades de la Administración del Riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.
Evento: Incidente o situación que ocurre en un lugar determinado durante un período determinado y éste puede ser cierto o incierto y su ocurrencia puede ser única o parte de una serie.
Evitar el Riesgo: Emprender acciones que impidan la materialización misma del riesgo.
Frecuencia del Riesgo: Medida estadística del número de veces que se presenta un riesgo en un periodo de tiempo determinado.
Identificación del Riesgo: Elemento de control, que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad, que ponen en riesgo el logro de su Misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. Se puede entender como el proceso que permite determinar qué podría suceder, por qué sucederá y de qué manera se llevará a cabo.
Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.
Integridad: Propiedad de la información relativa a su exactitud y completitud.
Mapa de Riesgos: Instrumento metodológico de prevención y autocontrol, que permite identificar, actualizar, reducir y autoevaluar la materialización de los riesgos inherentes a los objetivos estratégicos y procesos misionales de la organización. Es además una herramienta organizacional que facilita la visualización entendimiento de los riesgos y la definición de una estrategia para su apropiada administración.
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Mitigación: Son todas las medidas y planes que se llevan a cabo ante la posible ocurrencia de un riesgo, permitiendo a su vez esclarecer el panorama de amenazas y la planificación de las acciones a seguir, con el fin de reducir el riesgo futuro.
Monitorear: Verificar, supervisar o medir regularmente el progreso de una actividad, es la acción establecida para identificar los cambios en cada uno de los riesgos.
Pérdida: Consecuencia negativa que trae consigo un evento.
Política de Administración del Riesgo: Criterios de acción que rigen a todos los servidores de la entidad con relación a la Administración del Riesgo.
Probabilidad: Grado en el cual es posible que ocurra un evento, que se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.
Reducción del Riesgo: Aplicación de controles para reducir las probabilidades de ocurrencia de un evento.
Responsable de proceso: Aplican y sugieren los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo
Riesgo: Posibilidad de que suceda un algún evento que tendrá un impacto negativo sobre los objetivos o procesos institucionales. Se expresa en términos de probabilidad y consecuencias.
Riesgo Inherente Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto
Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.
Riesgo de seguridad de la información: Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.
Corrupción: Uso del poder para desviar la gestión de lo público hacia el beneficio privado
Riesgo de corrupción: Posibilidad de que por acción u omisión, se use el poder para poder desviar la gestión de lo público hacia un beneficio privado.
Sistema de Administración de Riesgo: Conjunto de elementos del direccionamiento estratégico de una entidad concerniente a la Administración del Riesgo.
Vulnerabilidad: Debilidad identificada sobre un activo y que puede ser aprovechado por una amenaza para causar una afectación sobre la confidencialidad, integridad y/o disponibilidad de la información.
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
6. CONTENIDO 6.1 CONCEPTO DE RIESGO “Riesgo es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o de los procesos. Se expresa en términos de probabilidad y consecuencias y se entiende que la Administración del Riesgo es el proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación.”3 La Administración de Riesgos incluye la identificación, análisis y valoración de éstos, la determinación e implantación de la política de Administración del Riesgo y el seguimiento a la evolución de los mismos. Según la Guía para la Administración del Riesgo, del Departamento Administrativo de la Función Pública, (DAFP, 2011) las clases de riesgos que pueden presentarse en la gestión de la entidad son:
Riesgo Estratégico: Se asocia con la forma en que se administra la entidad. El manejo del riesgo estratégico se
enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición
de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la
institución.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de
información institucional, la definición de los procesos, la estructura de la entidad, la articulación entre dependencias.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución
presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo
sobre los bienes.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales,
contractuales, de ética pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la entidad para satisfacer sus
necesidades actuales y futuras en el cumplimiento de la misión.
Dada la implementación del Sistema de Gestión de Seguridad de la información en la Entidad, se adiciona la clase de
riesgo “Riesgos de Seguridad de la Información” los cuales están relacionados con la afectación de la confidencialidad,
integridad y disponibilidad de la información y sus activos asociados. Este riesgo se presenta cuando hay posibilidades de
que una amenaza explote una vulnerabilidad.
Riesgos de Seguridad de la Información: Están relacionados con la afectación de la confidencialidad, integridad y disponibilidad de la información y sus activos asociados. Éste riesgo se presenta cuando hay posibilidades de que una amenaza explote una vulnerabilidad.
De igual manera y conforme con lo establecido en la Ley 1474 de 2011, la Secretaría de Transparencia de la Presidencia
de la República, actualizó la metodología para elaborar el Plan Anticorrupción y de atención al ciudadano, integrado por
cinco componentes, determinando el primero de ellos como Gestión del riesgo de corrupción - Mapa de Riesgos de
3 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
corrupción, siendo el instrumento que le permite a la entidad identificar, analizar y controlar los posibles hechos
generadores de corrupción, tanto internos como externos. Por lo anterior, el referente para la construcción del Mapa de
Riesgos de Corrupción, lo constituye la Guía para la Gestión del Riesgo de Corrupción 2015 – Función Pública.
6.2 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE GESTIÓN Se debe entender que desde el Modelo Estándar de Control Interno MECI 1000:2014, en su Módulo de Planeación y Gestión, se despliega el componente de administración del riesgo, en el que se definen los lineamientos para que las entidades públicas tomen acciones encaminadas al manejo de los efectos negativos de los procesos o actividades, respaldando el cumplimiento de los objetivos institucionales. Entre los objetivos definidos por la Guía para la Administración del Riesgo del DAFP, se encuentra (DAFP, 2011):
Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la administración un aseguramiento razonable
con respecto al logro de los mismos.
Ser consciente de la necesidad de identificar y tratar los riesgos en todos los niveles de la entidad.
Involucrar y comprometer a todos los servidores de las entidades de la Administración Pública en la búsqueda
de acciones encaminadas a prevenir y administrar los riesgos.
Cumplir con los requisitos legales y reglamentarios pertinentes.
Mejorar el Gobierno.
Proteger los recursos del Estado.
Establecer una base confiable para la toma de decisiones y la planificación.
Asignar y usar eficazmente los recursos para el tratamiento del riesgo.
Mejorar la eficacia y eficiencia operativa.
Mejorar el aprendizaje y la flexibilidad organizacional.
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Ilustración 1. Modelo Estándar de Control Interno
(Fuente: Modelo Estándar de Control Interno MECI 1000:2014)
Ilustración 2. Componente de Administración del Riesgo
(Fuente: Guía para la administración del riesgo DAFP 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
6.2.1 Definición del contexto estratégico de riesgos El contexto estratégico consiste en el análisis que realizan los responsables y líderes de los procesos/subprocesos, de los factores tanto internos como externos, que puedan generar situaciones de riesgo para el correcto funcionamiento de la Entidad, así como su nivel de incidencia, siendo el punto de inicio para la identificación de los riesgos. Para realizar el contexto estratégico, se hace necesario identificar aquellas situaciones que puedan llegar a afectar el cumplimiento de la misión, la visión y los objetivos institucionales. En este sentido, se deben tener en cuenta elementos tales como:
Plataforma estratégica vigente, plan estratégico institucional y plan de acción, en donde se identifique el cumplimiento
de la misión, visión, objetivos estratégicos, metas y factores críticos de éxito.
Mapa de procesos institucional.
Políticas y directrices institucionales (resoluciones, acuerdos, circulares, procedimientos, protocolos y demás
elementos definidos en la operación institucional).
Situaciones del entorno de carácter social, cultural, económico, tecnológico, político y legal, tanto nacional como
internacional y que tenga influencia en la gestión institucional.
Factores internos (debilidades) y factores externos (amenazas) los cuales pueden llegar a ser considerados como
causas generadoras del riesgo.
Por lo anterior, se debe contar con el apoyo y participación del Equipo Operativo Calidad MECI, para realizar talleres de trabajo, donde se integren los conocimientos de cada uno de los participantes del equipo y en el desarrollo de sus funciones se puedan identificar una serie de sucesos que podrían afectar el logro de los objetivos de los procesos y subprocesos. Complementariamente se puede tener en cuenta la información proveniente de experiencias significativas e información de vigencias anteriores, que apoye sistemáticamente la identificación de las causas de los riesgos en cada uno de los procesos institucionales. Entre los factores internos y externos que pueden afectar el desarrollo de las actividades de la Unidad, se encuentran: Tabla 1. Factores externos e internos en el contexto estratégico
FACTORES INTERNOS
Infraestructura Disponibilidad de activos, capacidad de los activos, acceso al capital, espacios y áreas para el desarrollo de los procesos.
Personal Capacidad del personal, funciones, responsabilidad, salud y seguridad.
Procesos Capacidad, diseño, ejecución, proveedores, entradas, salidas, conocimiento.
Tecnología Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento de software y hardware.
FACTORES EXTERNOS
Económicos Disponibilidad de capital, emisión de deuda o no pago de la misma, liquidez, mercados financieros, desempleo, competencia.
Medioambientales Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.
Políticos Cambios de gobierno, legislación, políticas públicas, regulación.
Sociales Demografía, responsabilidad social, terrorismo.
Tecnológicos Interrupciones, comercio desarrollo, producción, mantenimiento electrónico, datos externos, tecnología emergente.
(Fuente: Guía para la administración del riesgo DAFP 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Producto de este trabajo en cada proceso/subproceso, se diligencia el formato Matriz de Contexto Estratégico G1-S3-FO-07, en el cual se consolidarán todos los factores tanto internos como externos, que servirán para la posterior etapa de identificación. A continuación se presenta un ejemplo práctico:
Ilustración 3. Ejemplo Matriz de Contexto Estratégico
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
6.2.2 Identificación de los riesgos En esta etapa se realiza la identificación de los riesgos que pueden llegar a afectar el cumplimiento de la misión, la visión y los objetivos institucionales. Esta identificación se realiza mediante un análisis detallado de la Plataforma Estratégica y el Mapa de Procesos Institucional. Este proceso debe ser permanente y participativo, de tal forma que se puedan realizar los ajustes necesarios, cuando se presenten cambios en los factores externos e internos, incidiendo en el cumplimiento de los objetivos institucionales. Para que la etapa de identificación sea eficiente, es necesario centrarse en los riesgos más significativos para la Entidad, los cuales deben estar relacionados con los objetivos de los procesos/subprocesos y que afecten el cumplimiento de los objetivos institucionales. Es importante reconocer que esta etapa, se puede realizar a partir de la identificación de varias causas que pueden estar relacionadas, las cuales a su vez lo están con los agentes generadores. Por lo anterior, se sugiere la identificación de las causas utilizando uno de los métodos dispuestos para tal fin, a saber, árbol de problemas, cinco por qué y método de las seis M. Generalmente, puede llegar a confundir el riesgo con sus consecuencias (efectos). Un ejemplo de ellos, es que las “pérdidas económicas” no deberían considerarse como riesgo, puesto que realmente es la materialización de un riesgo. Para impedir este tipo de equivocación, se hace necesario identificar el riesgo e inmediatamente determinar sus consecuencias. De igual forma esta identificación se debe realizar a partir de los objetivos institucionales, así como del proceso/subproceso que se esté analizando.
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
A continuación presentamos un ejemplo que ayuda a la comprensión de esta etapa: Tabla 2. Ejemplo de identificación de riesgos
Proceso Subproceso Riesgo Descripción
Causas (Asociadas a Factores
externos, internos y agentes generadores)
Consecuencias
Gestión del Talento Humano
N/A
Bajo cumplimiento del Plan de Capacitación, Bienestar Social y Sistema de Salud y Seguridad en el Trabajo.
Posible incumplimiento en la ejecución de las actividades programadas en el Plan anual de capacitación, bienestar social y el sistema de seguridad y salud en el trabajo.
Se cuenta con un solo espacio para la realización de todos los eventos de la Unidad obsoletos.
No se cuenta con herramientas tecnológicas para el desarrollo de cursos virtuales dirigido a los funcionarios de los ERON.
Asignación de los funcionarios por parte de los Directivos que no cumplen con el perfil requerido para la capacitación.
Hallazgos por parte de entes de control.
No se atienda el total de la cobertura de funcionarios
Incumplimiento de los objetivos y metas institucionales.
Gestión de las Tecnologías de la Información
N/A Interrupción de acceso a recursos tecnológicos
Se puede ver afectada la disponibilidad de recursos tecnológicos Posibilidad de que se presenten daños, fallas o pérdidas de los recursos tecnológicos, en su uso, y/o almacenamiento.
Bajo conocimiento del correcto uso de los recursos tecnológicos por parte del usuario.
Falta de recursos financieros para la implementación de proyectos en materia de tecnología
Inadecuado mantenimiento del sistema eléctrico.
Incumplimientos en el desarrollo de las actividades misionales.
Plataforma tecnológica inestable.
Daños de los recursos tecnológicos tangibles.
(Fuente: Guía para la administración del riesgo DAFP 2011)
El resultado de esta etapa de identificación de riesgos, se realiza de acuerdo a la información y características del proceso/subproceso analizado y su información se documenta en el formato Matriz de Identificación de Riesgos G1-S3-FO-08, de la siguiente forma:
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Ilustración 3. Ejemplo Identificación de riesgos
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
6.2.3 Análisis y calificación de los riesgos En esta etapa, se realiza un análisis de los riesgos previamente identificados, buscando detectar la probabilidad de ocurrencia de los mismos, así como los impactos que estos pueden generar en la entidad. Lo anterior, de conformidad con la información proveniente de la etapa previa de identificación de riesgos. Existen dos variables a tener en cuenta al momento de realizar el análisis de los riesgos presentes en los procesos/subprocesos, definidas como la probabilidad y el impacto. La calificación del riesgo, se realiza teniendo en cuenta la estimación de la probabilidad de ocurrencia y el impacto que causa la materialización del riesgo. Probabilidad: “Se entiende como la posibilidad de ocurrencia del riesgo que puede ser medida con criterios de:
Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado en el que ha ocurrido el evento).
Factibilidad, teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de las siguientes especificaciones”:4 Tabla 3. Probabilidad de ocurrencia del riesgo
VALOR NIVEL
PROBABILIDAD DESCRIPCIÓN FRECUENCIA
1 Raro El evento puede ocurrir solo en circunstancias excepcionales.
No se ha presentado en los últimos 3 años.
2 Improbable El evento puede ocurrir en algún momento
Al menos una vez en los últimos 3 años.
3 Posible El evento podría ocurrir en algún momento
Al menos una vez en los últimos 2 años.
4 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias
Al menos una vez en el último año.
5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias
Más de una vez al año.
(Fuente: Guía para la administración del riesgo DAFP 2011)
Impacto: “Se entiende como Impacto a las consecuencias que se pueden ocasionar en la organización, debido a la materialización del riesgo. Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes especificaciones:”5 Tabla 4. Impactos que genera el riesgo
VALOR NIVEL DE IMPACTO
DESCRIPCIÓN
1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.
2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.
3 Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad
4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad
5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.
(Fuente: Guía para la administración del riesgo DAFP 2011)
La calificación de los riesgos detectados en el proceso o subproceso, se consolidan en el formato Matriz de Calificación y Evaluación de Riesgos G1-S3-FO-09. 6.2.4 Evaluación del riesgo En esta etapa se comparan los resultados obtenidos en la calificación del riesgo, con los criterios establecidos por la Unidad de Servicios Penitenciarios y Carcelarios para identificar el grado de exposición del riesgo. A continuación, se presenta una matriz donde se consolida el análisis cualitativo para la probabilidad e impacto. Tabla 5. Matriz de evaluación de los riesgos
PROBABILIDAD IMPACTO
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
Se debe tener en cuenta que dependiendo de la Evaluación de Riesgo, se deberá tomar en cuenta los siguientes lineamientos: B: Zona de riesgo Baja: Asumir el riesgo
5 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir
(Fuente: Guía para la administración del riesgo DAFP 2011)
El producto de esta evaluación del riesgo se designa como riesgo inherente, al cual se enfrenta la entidad en ausencia de acciones que modifiquen su probabilidad de ocurrencia o su impacto generado. Para dar una mayor idea de la forma como se evalúan los riesgos, se presenta a continuación el siguiente ejemplo: Tabla 6. Ejemplo de Calificación del riesgo
RIESGO CALIFICACIÓN
EVALUACIÓN Probabilidad Impacto
Debilidades en la unificación de criterios en materia contractual.
5 4 E
(Fuente: Guía para la administración del riesgo DAFP 2011)
La evaluación de los riesgos detectados en el proceso, se consolidan en el formato Matriz de Calificación y Evaluación de Riesgos G1-S3-FO-09, de la siguiente forma:
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Ilustración 4. Ejemplo de Calificación y evaluación de riesgos
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
6.2.5 Valoración de los riesgos La etapa de valoración del riesgo, es aquella en la cual se comparan los resultados obtenidos en la evaluación del riesgo (Zona de Riesgo), con los controles existentes identificados en los procesos y subprocesos institucionales, en donde se identifica su efectividad y nivel de aplicación al proceso. De esta forma se puede llegar a evaluar si el riesgo identificado y evaluado previamente, mantiene su nivel después de evaluarlos frente a los controles existentes. Culminada esta valoración se obtienen los riesgos residuales, que serán enviados al Mapa de Riesgo del Proceso/Subproceso6. Se deben valorar los controles existentes en el proceso/subproceso, con el fin de conocer el tipo de control y su respuesta, para ello se hace necesario describir el control y determinar su clasificación, teniendo en cuenta si es:
Control Preventivo: “Son aquellos controles que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización”7 Se debe tener en cuenta que cuando los controles son preventivos, al momento de valorarlos se mide la probabilidad.
Control Correctivo: “Son aquellos controles que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia”8 Cuando los controles son de tipo correctivos, se mide su incidencia en el impacto del riesgo.
La Guía de Administración del Riesgo del DAFP (DAFP, 2011), define algunos lineamientos y ejemplos que facilitan la identificación de controles aplicados en las entidades: Tabla 7. Ejemplos de Controles
CONTROLES
Controles de
Gestión
Políticas claras aplicadas
Seguimiento al plan estratégico y operativo
Indicadores de gestión
Tableros de control
Seguimiento a cronograma
Evaluación del desempeño
Informes de gestión
6 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011) 7 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011) 8 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Monitoreo de riesgos
Controles Operativos
Conciliaciones
Consecutivos
Verificación de firmas
Listas de chequeo
Registro controlado
Segregación de funciones
Niveles de autorización
Custodia apropiada
Procedimientos formales aplicados
Pólizas
Seguridad física
Contingencias y respaldo
Personal capacitado
Aseguramiento y calidad
Controles Legales Normas claras y aplicadas
Control de términos (Fuente: Guía para la administración del riesgo DAFP 2011)
Para adelantar la evaluación de los controles existentes, se deberá tener en cuenta los siguientes criterios: Ilustración 5. Valoración del riesgo
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
(Fuente: Guía para la administración del riesgo DAFP 2011)
Los controles luego de su valoración permiten desplazarse en la matriz, de acuerdo a si están enfocados hacia la probabilidad o impacto. En el caso de la probabilidad desplazaría casillas hacia arriba y en el caso del impacto hacia la izquierda, como se muestra en el siguiente gráfico, de acuerdo a la valoración de controles. Ilustración 6. Disminución de Probabilidad e Impacto de los riesgos
(Fuente: Guía para la administración del riesgo DAFP, 2011)
Para dar una mayor claridad de la valoración del riesgo, se presenta a continuación un ejemplo práctico, que facilita el entendimiento de cómo se realiza el desplazamiento de las casilla en la Matriz de evaluación antes de controles. Ejemplo: Ilustración 7. Ejemplo aplicado a la metodología
RIESGO
CALIFICACIÓN
CONTROLES
TIPO DE CONTROL
(Probabilidad – Impacto)
DESPLAZAMIENTO
Pro
babi
lidad
Impa
cto
Incumplimiento en la generación de
respuestas a los usuarios (términos establecidos por la
ley).
4 3
Aplicativo que permite mediante alarmas controlar las fechas límite para las respuestas a los usuarios sobre las comunicaciones escritas recibidas. (Dicho control es efectivo, pero no se encuentra documentado, por lo tanto corresponde al nivel 3 de la tabla de valoración del riesgo, donde el desplazamiento es 1 casilla )
Probabilidad 1
Plan de capacitaciones a los servidores, sobre la normatividad vigente y el manejo adecuado del sistema de información implementado.
Probabilidad 0
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
(Fuente: Guía para la administración del riesgo DAFP, 2011)
El resultado de la valoración del riesgo, llamado riesgo residual, es aquel riesgo al cual se le realizará el tratamiento del riesgo, de acuerdo con la ubicación de la zona en la cual quedó. “A continuación se establecen las diferentes opciones de tratamiento del riesgo, de acuerdo con la zona en la cual quedó ubicado el riesgo residual. B: Zona de riesgo Baja: Asumir el riesgo M: Zona de riesgo Moderada: Asumir el riesgo, Reducir el riesgo A: Zona de riesgo Alta: Reducir el riesgo, Evitar, Compartir o Transferir E: Zona de riesgo Extrema: Reducir el riesgo, Evitar, Compartir o Transferir Asumir un riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual, donde el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles. Evitar el riesgo: Implica tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. Compartir o Transferir el riesgo: Reduce su efecto a través de compartir o transferir las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar
(Dicho control no es efectivo, por lo tanto corresponde al nivel 2 de la tabla de valoración del riesgo, donde el desplazamiento es 0 casilla )
TOTAL Probabilidad 1
Impacto 0
Se totaliza la calificación de cada uno de los controles existentes sobre el riesgo, teniendo en cuenta si estos apuntan hacia probabilidad o hacia impacto. En este ejemplo se tienen dos controles, los cuales están dirigidos a disminuir la probabilidad de ocurrencia del riesgo. La sumatoria de la calificación de los controles, indican el desplazamiento de una (1) casilla en la calificación del riesgo obtenida en la Matriz de evaluación antes de controles, lo que indicaría que el riesgo se ubicara bajo una probabilidad posible (3) y se mantiene en un impacto moderado (3); manteniéndose en la zona de riesgo alta, como se muestra en la siguiente figura:
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización”.9 La respectiva valoración del riesgo, se consolida en el formato Matriz de Valoración del Riesgo G1-S3-FO-10, en el cual, se podrán identificar y clasificar cada uno de los controles existentes tanto para la probabilidad, como para el impacto e identificando su nivel de eficacia frente a la gestión del riesgo. Cuando no existan controles, se deberá registrar la frase “No existe”. Ilustración 8. Matriz de valoración de riesgos
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
6.2.6 Elaboración del mapa de riesgos El Mapa de Riesgos es una representación final de los riesgos, con sus respectivas calificaciones de probabilidad e impacto en cada uno de los procesos/subprocesos. Se debe tener en cuenta que el Mapa de Riesgos se establece, desde dos niveles diferentes. El primero de ellos es el Mapa de Riesgos por Proceso/Subproceso G1-S3-FO-11, en el cual se visualiza la identificación, calificación, evaluación y valoración, de cada riesgo detectado en el proceso/subproceso. El segundo nivel corresponde al Mapa de Riesgos Institucional G1-S3-FO-12, en el cual se consolidan los riesgos categorizados en la zona alta y extrema identificados en todos los procesos y subprocesos institucionales, que afecten el cumplimiento de la misión y objetivos institucionales. Ilustración 9. Mapa de Riesgos de Proceso/Subproceso
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
9 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
El Mapa de Riesgos de Proceso/Subproceso G1-S3-FO-11, contendrá aquellas acciones de control definidas para el manejo del riesgo, buscando prevenir o reducir el riesgo detectado, teniendo en cuenta su viabilidad técnica y financiera. Para esto, es indispensable que se formule de manera simultánea la acción de control en el formato G1-S3-FO-04 Reporte de Acción, la cual corresponderá a una acción preventiva. El monitoreo estará a cargo de los responsables de los procesos/subprocesos. A continuación se presenta un ejemplo del diligenciamiento del formato de Mapa de Riesgos de Proceso/Subproceso. Ilustración 10. Ejemplo Mapa de Riesgos de Proceso / Subproceso
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
Una vez se consolide y apruebe el Mapa de Riesgos Institucional G1-S3-FO-12, las acciones de control que buscan mitigar los riesgos en la zona alta y extrema, al igual que los que se encuentran en el Mapa de Riesgos por proceso/subproceso en la zona baja y media, se documentarán bajo el procedimiento de Acciones Correctivas, Preventivas y de Mejora G1-S3-PR-02. El monitoreo estará a cargo de los responsables de los procesos/subprocesos y de la Oficina de Control Interno, teniendo en cuenta los parámetros establecidos en el Procedimiento de Acciones Correctivas, Preventivas y de Mejora. De acuerdo con lo establecido por el Departamento Administrativo de la Función Pública, en el Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014 “es recomendable que, dentro de los lineamientos dados por la dirección, se incluya una periodicidad mínima para revisar los riesgos identificados, lo anterior teniendo en cuenta los cambios que se presentan al interior de las organizaciones y en su entorno. Se sugiere que esta revisión se realice como mínimo una vez al año; sin embargo, debe dejarse claro que ésta debe realizarse cada vez que las circunstancias lo ameriten (ejemplo: cambios en la normatividad, que la entidad asuma nuevas funciones, cambios de gobierno, etc.)”. (DAFP 2014) Adicionalmente, los responsables de cada uno de los procesos/ subprocesos, deberán:
Informar oportunamente a la Oficina Asesora de Planeación y Desarrollo, los nuevos riesgos identificados en los procesos y/o subprocesos, desarrollando su respectiva calificación y valoración.
Los responsables de proceso/subproceso, tienen la posibilidad de organizar y desarrollar mesas de trabajo, en donde se genere la participación activa de los funcionarios para la identificación, calificación y valoración de riesgos.
6.3 FORMULACIÓN DE POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO La formulación de Políticas, estará bajo la responsabilidad de la Alta Dirección y el Comité de Coordinación de Control Interno, teniendo en cuenta el Mapa de Riesgos Institucional. Esta Política se efectuará de forma tal que permita tener un
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
control sobre su la implementación, basándose en la información de los planes institucionales y objetivos de los procesos/subprocesos. La política deberá adoptarse y socializarse, de tal forma que todos los funcionarios y contratistas de la entidad, puedan participar activamente en la prevención y mitigación de los riesgos detectados en cada uno de los procesos/subprocesos. 6.4 MONITOREO Y REVISIÓN Una vez diseñado y validado el plan para administrar los riesgos en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización. El monitoreo es esencial para asegurar que las acciones que se están llevando a cabo se cumplan y faciliten la evaluación de la eficacia en su implementación. Por lo tanto, se deben adelantar revisiones sistemáticas sobre la ejecución de las acciones para determinar su eficacia. El monitoreo debe estar a cargo de:
Los responsables de los procesos/subprocesos
La Oficina de Control Interno. Su finalidad principal será la aplicación y definición de los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función, asesorará, comunicará y presentará luego del seguimiento y evaluación, sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.10 6.5 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Este capítulo toma como referencia la información suministrada por la firma consultora a través de la cual se ejecutó el contrato 332 de 2016. Para identificar riesgos en seguridad de la información de una manera asertiva es importante verificar posibles hechos que afecten la disponibilidad, integridad y/o confidencialidad de la información, de acuerdo a la Norma Técnica Colombiana NTC-ISO/IEC 27005:2009, la cual establece la identificación de los activos de información sus amenazas, vulnerabilidades y controles que tengan relación con cada uno de los riesgos identificados para tales activos. Adicionalmente para establecer el nivel de riesgo tanto inherente como residual se emplean los valores establecidos por el DAFP a través de la Guía para la Administración del Riesgo, 2011. La USPEC realizará la gestión de riesgos de seguridad de la información, a través del formato A3-FO-33 Matriz de riesgos de seguridad de la información.
10 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
6.5.1 Construcción de Riesgos de Seguridad de la Información
6.5.1.1 Identificación del riesgo
Es el primer paso del ciclo de gestión de riesgos de seguridad de información y su objetivo es conocer el nivel de exposición de los activos de información con valor alto y crítico, frente a las amenazas y vulnerabilidades existentes en el funcionamiento de los procesos, es decir conocer los riesgos a los cuales se encuentra expuesto tal activo. La lista de activos proviene del inventario identificado por el proceso a través de los siguientes formatos:
A3-FO-34 Inventario de Activos de Información Tipo de Activo: Información A3-FO-35 Inventario de Activos de Información Tipo de Activo: Hardware-Software-Servicios A3-FO-36 Inventario de Activos de Información Tipo de Activo: Recursos Humanos
6.5.1.2 Identificación de amenazas o fuentes de riesgo
Tomando como base los tipos de amenazas propuestos por Norma Técnica Colombiana NTC-ISO/IEC 27005:2009, se analizan cuales aplican para cada activo de información, considerando el criterio del dueño del proceso y/o responsables asignados. Se identificarán amenazas de tipo: Deliberadas: corresponde a las acciones ejecutadas por personas que bajo diferentes motivaciones como pueden ser económicas, políticas, de reconocimiento, terrorismo o sabotaje, pretendan afectar la confidencialidad, integridad y/o disponibilidad de los activos de información de USPEC. A continuación se citan ejemplos de amenazas de este tipo:
Acceso no autorizado
Repudio
Fuga de información intencional
Denegación de servicio
Modificación mal intencionada
Destrucción o eliminación malintencionada
Robo
Ataque informático
Indisponibilidad deliberada
Coacción
Ingeniería social
Suplantación de identidad
Abuso
Malware
Instalación no autorizada
Accidentales: acciones ejecutadas involuntariamente debido a desconocimiento, descuido, cansancio o hechos fortuitos que puedan afectar la confidencialidad, integridad y/o disponibilidad de los activos de información de USPEC. Algunos ejemplos son:
Modificación por error
Destrucción o eliminación por error
Interrupción de servicio por error
Pérdida de equipos
Indisponibilidad accidental
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Falla
Entorno: eventos cuyo origen se encuentra en los equipos, infraestructura, instalaciones, medio ambiente y que pueden llegar a afectar la confidencialidad, integridad y/o disponibilidad de los activos de información de USPEC. Como ejemplo se pueden mencionar lo siguiente:
Interferencia electromagnética
Fuego
Agua
Corte de suministro eléctrico
Terremoto
Violación a derechos de autor
Variación no soportada de las condiciones ambientales
Descarga eléctrica
Paro
6.5.1.3 Identificación de vulnerabilidades
Para cada tipo de amenaza el oficial de seguridad o quien haga sus veces, orienta al funcionario responsable del proceso para conocer que vulnerabilidades pueden ser aprovechadas por dicha amenaza para generar un escenario de riesgo por la pérdida de la confidencialidad, integridad o disponibilidad de la información de la Entidad. Las amenazas y vulnerabilidades aplican de acuerdo con el tipo de activo de información. A continuación se citan ejemplos ilustrativos:
Vulnerabilidades para la amenaza fuga de información deliberada en el tipo de activo información: ausencia de monitoreo, ausencia de mecanismos de cifrado, ausencia de Políticas de seguridad.
Vulnerabilidades para la amenaza interrupción del servicio accidental en el tipo de activo hardware: ausencia de sistemas UPS, ausencia de redundancia, insuficientes mecanismos de monitoreo, mantenimiento insuficiente de la plataforma.
Vulnerabilidades para la amenaza indisponibilidad del personal: ausencia de procedimientos documentados, inapropiada segregación de funciones.
Es de anotar que la identificación de vulnerabilidades para encontrar el riesgo residual se hace considerando los controles existentes, los cuales fueron identificados para reducir la probabilidad o modificar el impacto de la ocurrencia de una amenaza. De esta forma si el control existente no reduce la probabilidad o no cambia el impacto para que el riesgo resultante se encuentre dentro del Nivel de Riesgo Aceptable - NRA (riesgos ubicados en la zona baja y moderada), dicho control debe ser mejorado o reemplazado.
6.5.1.4 Identificación de Efectos
Esta actividad identifica los daños o las consecuencias para la Entidad que podrían ser causadas por la materialización del riesgo.
A continuación se muestra un ejemplo del análisis del riesgo de acuerdo a lo establecido en el formato A3-FO-33 Matriz de riesgos de seguridad de la información.
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Ilustración 12. Análisis del riesgo
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
6.5.2 Estimación del riesgo
De acuerdo a la identificación de riesgos realizado en la etapa anterior, se procede con su respectiva estimación con el propósito de definir la probabilidad de ocurrencia de los mismos, así como los impactos que estos pueden generar en la entidad. Existen dos variables a tener en cuenta al momento de realizar el análisis de los riesgos presentes en los procesos, definidas como la probabilidad y el impacto. La calificación del riesgo, se realiza teniendo en cuenta la estimación de la probabilidad de ocurrencia y el impacto que causa la materialización del riesgo.
6.5.2.1 Probabilidad
“Se entiende como la posibilidad de ocurrencia del riesgo que puede ser medida con criterios de:
Frecuencia, si se ha materializado (por ejemplo: número de veces en un tiempo determinado en el que ha ocurrido el evento).
Factibilidad, teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.
Bajo el criterio de Probabilidad, el riesgo se debe medir a partir de las siguientes especificaciones”:11 Tabla 8. Probabilidad de ocurrencia del riesgo
VALOR NIVEL
PROBABILIDAD DESCRIPCIÓN FRECUENCIA
1 Raro El evento puede ocurrir solo en circunstancias excepcionales.
No se ha presentado en los últimos 3 años.
2 Improbable El evento puede ocurrir en algún momento
Al menos una vez en los últimos 3 años.
3 Posible El evento podría ocurrir en algún momento
Al menos una vez en los últimos 2 años.
4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias
Al menos una vez en el último año.
5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias
Más de una vez al año.
(Fuente: Guía para la administración del riesgo DAFP, 2011)
11 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
6.5.2.2 Impacto
“Se entiende como Impacto a las consecuencias que se pueden ocasionar en la organización, debido a la materialización del riesgo. Bajo el criterio de impacto, el riesgo se debe medir a partir de las siguientes especificaciones:”12 Tabla 9. Impactos que genera el riesgo
VALOR NIVEL DE IMPACTO
DESCRIPCIÓN
1 Insignificante Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.
2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.
3 Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad
4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad
5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.
(Fuente: Guía para la administración del riesgo DAFP, 2011)
A continuación se muestra un ejemplo de la estimación del riesgo a través del diligenciamiento del formato A3-FO-33 Matriz de riesgos de seguridad de la información.
Ilustración 13. Estimación del riesgo
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
6.5.3 Evaluación del riesgo En ésta etapa se comparan los resultados obtenidos en la estimación del riesgo, con los criterios establecidos por la Unidad de Servicios Penitenciarios y Carcelarios para identificar el nivel de exposición del riesgo, a este riesgo se le denomina riesgo inherente. A continuación, se presenta una matriz donde se consolida el análisis cualitativo para la probabilidad e impacto. 12 (Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Tabla 10. Tabla para medir grado de exposición al riesgo
PROBABILIDAD IMPACTO
Insignificante (1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)
Raro (1) B B M A A
Improbable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de riesgo Baja. M: Zona de riesgo Moderada. A: Zona de riesgo Alta. E: Zona de riesgo Extrema.
(Fuente: Guía para la administración del riesgo DAFP, 2011)
Una vez se determina el riesgo inherente se evalúan los controles existentes con el fin de establecer su efectividad para la mitigación del riesgo. El producto de esta evaluación del riesgo se designa como riesgo residual, al cual se enfrenta la entidad en ausencia de acciones que modifiquen su probabilidad de ocurrencia o el impacto generado.
Los riesgos inherentes y residuales del proceso, se consolidan en el formato A3-FO-33 Matriz de riesgos de seguridad de la información y su estimación se realizará de acuerdo a lo descrito en el numeral 6.5.2.
Ilustración 14. Estimación del riesgo
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC) 6.5.4 Tratamiento de riesgos
Para los riesgos residuales de seguridad de información el Nivel de Riesgo Aceptable-NRA se encuentra ubicado en las zonas baja y moderada, es decir, en estos casos las opciones de tratamiento serán las siguientes:
Zona de riesgo Baja (B): Asumir el riesgo Zona de riesgo Moderada (M): Asumir el riesgo, Reducir el riesgo
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Para los riesgos residuales de seguridad de información ubicados en las zonas alta y extrema las opciones están dadas de acuerdo a la siguiente especificación, en estos casos se hará necesario definir un plan de tratamiento de riesgos (Ver numeral 6.5.5):
Zona de riesgo Alta (A): Reducir el riesgo, Evitar, Compartir o Transferir Zona de riesgo Extrema (E): Reducir el riesgo, Evitar, Compartir o Transferir
A continuación se definen cada una de las opciones de tratamiento del riesgo: Asumir un riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual, donde el líder del proceso simplemente acepta la pérdida residual probable. Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles. Evitar el riesgo: Implica tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. Compartir o Transferir el riesgo: Reduce su efecto a través de compartir o transferir las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización”.13 El tratamiento del riesgo residual se registra en el formato A3-FO-33 Matriz de riesgos de seguridad de la información, tal como se muestra en el siguiente ejemplo: Ilustración 15. Análisis de Riesgos
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
13 Guía para la Administración del Riesgo, Departamento Administrativo de la Función Pública, 4ª Ed. Septiembre 2011
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
6.5.5 Plan de tratamiento de riesgo
Para aquellos riesgos de seguridad de información no aceptables por USPEC, se debe establecer un plan de tratamiento que incluya los siguientes elementos:
El plan de tratamiento requiere una definición clara de elementos a desarrollar y cada una debe contar con el registro de los siguientes ítems:
Controles: listado de medidas que deben ser ejecutadas con el fin de mitigar el riesgo residual.
Responsable: nombre de funcionario quien ejecutará la actividad descrita en el plazo asignado.
Fecha: fechas de inicio y finalización de la medida que se ejecutará.
Seguimiento: cada tres meses se deberá reportar el avance de las medidas propuestas para mitigar el riesgo.
Ilustración 16. Plan de tratamiento de riesgos
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
6.5.6 Monitoreo y revisión
Los riesgos identificados traerán consigo controles que incluyen el monitoreo de las amenazas correspondientes, invirtiendo los recursos con base en la criticidad del riesgo asociado. Las amenazas asociadas con riesgos cuya calificación se encuentre por fuera del NRA de USPEC, deben ser monitoreadas invirtiendo recursos necesarios para lograr registrar con el nivel de detalle requerido, los puntos donde pueda evidenciarse la amenaza correspondiente. Las responsabilidades del monitoreo y la revisión deben estar claramente definidas. El seguimiento de los riesgos identificados se llevará cabo de manera trimestral por cada uno de los líderes de los procesos, quienes reportarán a la Oficina de Tecnología para su posterior monitoreo. El monitoreo y revisión de los riesgos deberán comprender todos los aspectos del proceso para la gestión del riesgo con el fin de:
Velar que los controles son eficaces tanto en el diseño como en la operación
Obtener información adicional para mejorar la valoración del riesgo.
Analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes) los cambios, las tendencias, los éxitos y los fracasos.
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Detectar cambios en el contexto externo e interno, incluyendo los cambios en los criterios de riesgo y en el mismo, que puedan exigir revisión de los tratamientos del riesgo y las prioridades.
6.6 METODOLOGÍA PARA LA ADMINISTRACIÓN DE RIESGOS DE CORRUPCIÓN
Para la construcción del Mapa de Riesgos de Corrupción, se tomó como base los lineamientos establecidos en la Guía
para la Gestión del Riesgo de Corrupción 2015 de la Función Pública14, por lo tanto en lo relativo a los Riesgos de
Corrupción se dará cumplimiento a los parámetros citados en la Guía o directriz vigente. La metodología establecerá la
Identificación, Valoración, Análisis, Evaluación, Construcción de la Matriz del Mapa de Riesgos de Corrupción y
Seguimiento.
6.6.1 Política Administración de Riesgos de Corrupción “La Política de Administración de Riesgos hace referencia al propósito de la Alta Dirección de gestionar el riesgo. Esta
política debe estar alineada con la planificación estratégica de la entidad, con el fin de garantizar la eficacia de las acciones
planteadas frente a los riesgos de corrupción identificados. Dentro del mapa institucional y de política de administración
del riesgo de la entidad deberán contemplarse los riesgos de corrupción, para que a partir de ahí se realice un monitoreo
a los controles establecidos para los mismos.
La Política de Administración de Riesgos se puede adoptar a través de manuales o guías. Para estos efectos, se deben
tener en cuenta entre otros: objetivos que se espera lograr, estrategias para establecer cómo se va a desarrollar la política,
acciones que se van a desarrollar contemplando el tiempo, los recursos, los responsables y el talento humano requerido,
seguimiento y evaluación a la implementación y efectividad de las políticas”15
6.6.2 Construcción del Mapa de Riesgos de Corrupción
Para la construcción el mapa de Riesgos de Corrupción, se debe tener en cuenta los siguientes pasos.
6.6.2.1 Identificación del Riesgo de Corrupción
Esta etapa tiene como objetivo conocer las fuentes de los riesgos, las causas y consecuencias, para identificar los
posibles riesgos de corrupción.
6.6.2.2 Identificación del Contexto
Se hace necesario determinar los factores que afectan positiva o negativamente el cumplimiento de la misionalidad de la entidad, esto con el fin de identificar los escenarios en los que se presentan y así lograr determinar el contexto específico en el que se desarrollan16.
14 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA.) 15 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 13) 16 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 15)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
6.6.2.3 Construcción del Riesgo de Corrupción
El Objetivo de esta actividad es lograr identificar los posibles riegos de corrupción a los cuales la Entidad está expuesta;
de esta manera se establecen las siguientes 5 fases para su construcción17:
1- Identificación del proceso: El Mapa de Riesgos de Corrupción se elabora basado en los 12 procesos establecidos
en la entidad, para lo cual es necesario tener en cuenta los procesos Misionales, Estratégicos, de Apoyo y
Evaluación.
2- Objetivo del Proceso: Para el cumplimiento de esta esta etapa, es necesario indicar el objetivo del Proceso al
cual se le identificarán los riesgos de corrupción.
3- Establecer las causas: Teniendo en cuenta los factores internos y externos que pueden propiciar un escenario
de corrupción en la entidad, se establecen los agentes generadores del riesgo.
Con el fin de lograr establecer las causas es necesario especificar situaciones que evidencien o puedan ser consecuencia de prácticas corruptas. Para este efecto es pertinente acudir a fuentes de información histórica como: registros históricos, informes de años anteriores y toda la memoria institucional con la que cuente la entidad. Basado en lo anterior es importante analizar los posibles hechos de corrupción encontrados, junto con las PQRD allegadas, denuncias e investigaciones adelantadas en la entidad y en otras entidades similares.
4- Identificar los eventos de riesgos: Partiendo de la identificación del proceso y la causa específica generadora, el
riesgo debe describirse de manera clara, precisa y que no genere ambigüedad o confusión en su interpretación.
Definición de riesgo de corrupción: Con el fin de establecer una estructura para la definición de un riesgo de
corrupción es necesario que la descripción del riesgo, contenga los siguientes componentes:
Acción u omisión: Hecho generador del riesgo
Uso del poder: hecho que evidencia el mal uso de las actuaciones en contra de la organización.
Desviación de la gestión de lo público: Posibles desviaciones que pudieran afectar la transparencia de
la gestión pública
Beneficio privado: Bien obtenido como consecuencia del uso del poder
La identificación clara de cada uno de los componentes anteriores permite evitar que se presente confusión entre
un riesgo de corrupción y uno de gestión.
5- Determinar las consecuencias: Se encuentran directamente relacionadas con los efectos ocasionados por la
ocurrencia de un riesgo, situaciones que pueden llegar a afectar los objetivos o procesos de la entidad,
específicamente una pérdida, un daño, un perjuicio o un detrimento en contra de la organización. La
determinación clara de las consecuencias se convierte en un insumo clave para determinar el impacto que
ocasiona un riesgo.
17 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 16-17)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Tabla 11: Matriz Identificación del Riesgo de Corrupción
3. Identificación del riesgo de Corrupción
3.1 Proceso / Objetivo 3.2 Causa 3.3 Riesgo 3.4 Consecuencia
(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 18)
6.6.2.4 Valoración del Riesgo de Corrupción
6.6.2.4.1 Análisis del Riesgo de Corrupción
El análisis del riesgo de Corrupción se compone de un conjunto de etapas cuyo objetivo es medir el riesgo inherente,
mediante la determinación de la probabilidad de materialización del riesgo y sus consecuencias o impacto; con el fin de
clasificar la zona de riesgo correspondiente de acuerdo a las características de medición obtenidas18.
Para el cumplimiento del objetivo del Análisis de riesgo de Corrupción, es necesario determinar los criterios para la
medición del riesgo de corrupción, dando cumplimiento a los siguientes pasos:
1. Determinar el Nivel de Probabilidad: Para lograr determinar el nivel de Probabilidad es necesario basarse en el
la oportunidad de ocurrencia de un posible riesgo de Corrupción, es decir la frecuencia con la que se ha
presentado dicho riesgo (Ver tabla 12).
Tabla 12: Medición Riesgo de Corrupción - Probabilidad
Medición del Riesgo de Corrupción - Probabilidad
Descriptor Descripción Frecuencia Nivel
Rara Vez Excepcional
Ocurre en excepciones
No se ha presentado en
los últimos 5 años
1
Improbable Improbable
Puede ocurrir
Se presentó una vez en
los últimos 5 años
2
Posible Posible
Es posible que suceda
Se presentó una vez en
los últimos 2 años
3
Probable Es probable
Ocurre en la mayoría de los casos
Se presentó una vez en el
último año
4
Casi seguro Es muy seguro
El evento ocurre en la mayoría de las
circunstancias. Es muy seguro de que se presente
Se ha presentado más de
una vez al año
5
(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA)
18 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Páginas 18-20)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
2. Determinar el Nivel de Impacto: Para lograr determinar el nivel de impacto inicialmente se requiere el
diligenciamiento del “Formato para determinar el Impacto” (ver tabla 13), la sumatoria de las respuesta
afirmativas (SI), permiten clasificar el Riesgo de Corrupción (ver tabla 14).
Tabla 13: Determinación del Impacto.
(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA)
Si No
1 ¿Afectar al grupo de funcionarios del proceso?
2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?
3 ¿Afectar el cumplimiento de misión de la Entidad?
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad?
5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación?
6 ¿Generar pérdida de recursos económicos?
7 ¿Afectar la generación de los productos o la prestación de servicios?
8¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida
del bien o servicios o los recursos públicos?
9 ¿Generar pérdida de información de la Entidad?
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente?
11 ¿Dar lugar a procesos sancionatorios?
12 ¿Dar lugar a procesos disciplinarios?
13 ¿Dar lugar a procesos fiscales?
14 ¿Dar lugar a procesos penales?
15 ¿Generar pérdida de credibilidad del sector?
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17 ¿Afectar la imagen regional?
18 ¿Afectar la imagen nacional?
Respuesta
Formato para determinar el Impacto
Total preguntas afirmativas:____________ Total preguntas negativas:______________
Clasificación del Riesgo: Moderado__________ Mayor__________ Catastrófico___________
Puntaje:_____________
NºPregunta
Si el riesgo de corrupción se materializa podría…
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Tabla 14: Clasificación del Riesgo de Corrupción.
Clasificación de Riesgo de Corrupción - Impacto
Respuestas (Afirmativas) Descripción Nivel
1 - 5
Moderado: Afectación parcial al proceso y a
la dependencia
Genera medianas consecuencias para la entidad
5
6 - 11
Mayor: Impacto negativo de la Entidad
Genera altas consecuencias para la entidad
10
12 - 18
Catastrófico: Consecuencias desastrosas
sobre el sector
Genera consecuencias desastrosas para la
entidad
20
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
3. Determinar el Riesgo inherente: Se realiza mediante el cruce de los resultados obtenidos de la determinación del
nivel de Probabilidad (ver tabla 12) y el nivel impacto (ver tabla 14) a través de la multiplicación de las dos
variables relacionadas en la tabla de resultados de la calificación del Riesgo de Corrupción, con el fin de
determinar la zona de riesgo de corrupción correspondiente (ver tabla 15).
Tabla 15: Resultado de la calificación del Riesgo de Corrupción
Resultado de la calificación del Riesgo de Corrupción
Probabilidad Puntaje Zonas de Riesgo de Corrupción
Casi seguro
5
25
Moderada
50
Alta
100
Extrema
Probable
4
20
Moderada
40
Alta
80
Extrema
Posible
3
15
Moderada
30
Alta
60
Extrema
Improbable
2
10
Baja
20
Moderada
40
Alta
Rara vez
1
5
Baja
10
Baja
20
Moderada
Impacto Moderado Mayor Catastrófico
Puntaje 5 10 20
(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 22)
PR
OB
AB
ILID
AD
IMPACTO
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Tabla 16: Relación de Zonas de Riesgo y Tratamiento a seguir
Zona de
Riesgo
Puntaje
Probabilidad
Impacto
Tratamiento
Baja
De 5 a 10
Puntos
Rara vez o
improbable
Moderado y Mayor El Riesgo puede eliminarse o reducirse
Moderada
De 15 a 25
Puntos
Rara vez,
Improbable,
Posible, Probable
y Casi seguro
Moderado, Mayor
y Catastrófico
Debe llevarse el Riesgo a la Zona de Riesgo
Bajo o eliminarlo
Alta
De 30 a 50
Puntos
Improbable,
Posible, Probable
y Casi seguro
Mayor y
Catastrófico
Debe llevarse el Riesgo a la Zona de Riesgo
Moderado, Bajo o eliminarlo
Extrema
De 60 a 100
Puntos
Posible, Probable
y Casi seguro
Catastrófico
Los riesgos de esta zona, requieren de un
tratamiento prioritario, implementar
controles orientados a reducir la
probabilidad de ocurrencia del riesgo
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
6.6.2.4.2 Evaluación del Riesgo de Corrupción
La etapa de evaluación se enfoca en la comparación de los resultados obtenidos del análisis de riesgos y los controles
establecidos, con el fin de determinar la zona de riesgo final, para dar cumplimiento lo anterior es necesario desarrollar
los siguientes objetivos19:
Objetivo 1: Determinar el riesgo residual, el cual hace referencia a el riesgo que resulta después de aplicar los controles.
Objetivo 2: Tomar las medidas conducentes para reducir la probabilidad y el impacto causados por los eventos de riesgo.
La determinación de los controles o medidas conducentes para controlar el riesgo inherente debe estar sometido a los
siguientes pasos:
1. Determinar la naturaleza de los controles: Para definir la naturaleza se requiere determinar el tipo de control
necesario para la reducción y eliminación del riesgo; teniendo en cuenta las características del mismo para así
lograr asociarlo a una de las siguientes categorías
“Preventivos: Actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia,
y constituyen la primera línea de defensa contra ellos; también actúan para disminuir la acción de los
agentes generadores de los riesgos.
Detectivos: Se diseñan para descubrir un evento, irregularidad o un resultado no previsto; alertan sobre
la presencia de los riesgos y permiten tomar medidas inmediatas; pueden ser manuales o
computarizados. Generalmente sirven para supervisar la ejecución del proceso y se usan para verificar
19 (Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Páginas 24-25)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
la eficacia de los controles preventivos. Ofrecen la segunda barrera de seguridad frente a los riesgos,
pueden informar y registrar la ocurrencia de los hechos no deseados, accionar alarmas, bloquear la
operación de un sistema, monitorear, o alertar a los funcionarios.
Correctivos: Permiten el restablecimiento de una actividad, después de ser detectado un evento no
deseable, posibilitando la modificación de las acciones que propiciaron su ocurrencia. Estos controles
se establecen cuando los anteriores no operan, y permiten mejorar las deficiencias. Por lo general,
actúan con los controles detectivos, implicando reprocesos. Son de tipo administrativo y requieren
políticas o procedimientos para su ejecución”20.
2. Determinar si los controles están documentados: Es necesario la determinación del nivel de documentación de
los controles, con el fin de establecer la forma de cómo se realiza el control, el responsable y la periodicidad de
ejecución.
3. Determinar las clases de controles: Se encuentra enfocado a definir la clase de control a aplicar, teniendo en
cuenta el tipo de proceso en el que se encuentra y las herramientas con las que se cuente para su ejecución, de
esta manera se puede dividir de la siguiente manera.
Controles manuales: Políticas de operación aplicables, autorizaciones a través de firmas o confirmaciones
vía correo electrónico, archivos físicos, consecutivos, listas de chequeos, controles de seguridad con
personal especializado entre otros.
Controles automáticos: Utilizan herramientas tecnológicas como sistemas de información o software,
diseñados para prevenir, detectar o corregir errores o deficiencias, sin que tenga que intervenir una persona
en el proceso.
Teniendo en cuenta los pasos anteriores se debe aplicar la tabla controles riesgos de corrupción (ver tabla 17), con el fin
de obtener una evaluación numérica del riesgo basado en los controles utilizados y así determinar el riesgo residual.
20 (Tomado Portal del MECIP: http://www.mecip.gov.py/mecip/?q=node/176.)
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Tabla 17: Controles de Riesgos de Corrupción
Controles de riesgos de corrupción
Descripción del riesgo
Naturaleza del control Criterios para la evaluación Evaluación
Preventivo Detectivo Correctivo Criterio de medición Si No
¿Existen manuales, instructivos o procedimientos para el manejo del control?
15
¿Está(n) definido(s) el(los) responsable(s) de la ejecución del control y del seguimiento?
5
¿El control es automático? 15
¿El control es manual? 10
¿La frecuencia de ejecución del control y seguimiento es adecuada?
15
¿Se cuenta con evidencias de la ejecución y seguimiento del control?
10
¿En el tiempo que lleva la herramienta ha demostrado ser efectiva?
30
TOTAL 100
(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 25)
4. Determinación del riesgo residual: Teniendo en cuenta el resultado obtenido del riesgo inherente a través de la
aplicación de la Tabla 17, al resultado se le debe aplicar la tabla Calificación de los controles (ver tabla 18), con
el fin de determinar la zona de riesgo final21.
Tabal 18: Calificación de los Controles
Calificación de los controles
Puntaje a disminuir
De 0 a 50
0
De 51 a 75
1
De 75 a 100
2
(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 26)
Nota: Con la calificación obtenida se realiza un desplazamiento en la matriz, así: si el control afecta la probabilidad
se avanza hacia abajo. Si afecta el impacto se avanza a la izquierda.
21 Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Páginas 25-26
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Ilustración 17: Calificación de los controles
(Fuente: Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 26)
6.6.2.5 Matriz Mapa de Riesgos de Corrupción
Después de haberse desarrollado el proceso de construcción del Mapa de Riesgos de Corrupción, se procede a la elaboración de la Matriz de Riesgos de Corrupción de la entidad, a través del diligenciamiento del modelo presentado en la Ilustración 17 Mapa de Riesgos de Corrupción, cuyo formato se encuentra publicado en la página de la entidad en Sistema Integrado de Gestión Institucional en el link www.uspec.gov.co/?page_id=3329 codificado de la siguiente manera: G1-S1-FO-15 Mapa de Riesgos Corrupción.
Nivel
5
4
3
2
1
Moderado Mayor Catastrófico
3 4 5
Si afecta el Impacto se desplaza a la izquierda
Probabilidad Nivel
Casi seguro 5
Probable 4
Posible 3
Improbable 2
Rara vez 1
Moderado Mayor Catastrófico
3 4 5
Si afecta la Probabilidad se desplaza hacia abajo.
Zona de riesgo de corrupción
Impacto
Nivel
PR
OB
AB
ILIDA
D
Probabilidad
Casi seguro
Probable
Posible
Improbable
Rara vez
Zona de riesgo de corrupción
IMPACTO
Resultados de la calificación del Riesgo de Corrupción
Impacto
Nivel
Resultados de la calificación del Riesgo de Corrupción
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
Ilustración 18: Mapa de Riesgos de Corrupción
(Fuente: Oficina Asesora de Planeación y Desarrollo USPEC)
Para el diligenciamiento adecuado de la matriz Mapa de Riesgo de Corrupción es necesario tener en cuenta los resultados de todas las etapas anteriores asociadas a la construcción del riesgo de corrupción con el fin de diligenciar los numerales 3. Identificación del Riesgo y 4. Valoración del Riesgo de Corrupción en todos sus componentes documentados en el formato G1-S1-FO-15 Mapa de Riesgos Corrupción.
Los numerales 5. Monitoreo y Revisión y 6. Avance del formato G1-S1-FO-15 Mapa de Riesgos Corrupción, deben ser diligenciados de la siguiente manera:
Monitoreo y Revisión
Para el diligenciamiento de este numeral, los líderes de los procesos de los riesgos identificados con sus equipos deberán
monitorear y revisar periódicamente el documento del Mapa de Riesgos de Corrupción, con el fin de ajustarlo al contexto
en el que se encuentre la entidad y las variaciones en los riesgos identificados de acuerdo al periodo evaluado, ya que la
corrupción es una actividad difícil de detectar.
Para dar cumplimiento a lo anterior se debe tener en cuenta22:
22 Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 28
1. MAPA DE RIESGOS DE CORRUPCIÓN
6.Avance
2 . Vigencia: _____________________________
3 . Identificación del riesgo 4 . Valoración del riesgo de corrupción 5 . Monitoreo y revisión
4.1
.1.1
P
rob
abili
dad
4.1
.1.2
Im
pac
to
4.1
.1.3
Z
on
a d
e ri
esg
o
4.2
.2.1
Pro
bab
ilid
ad
4.2
.2.2
Im
pac
to
4.2
.2.3
Z
on
a d
e ri
esg
o
4.2
.3.1
P
erio
dic
idad
de
ejec
uci
ón
4.2
.3.2
Acc
ion
es
4.2
.3.3
Reg
istr
o
3.1
P
roce
so /
Ob
jetiv
o
4.2
.1 C
on
tro
les
4 .2 .2 Riesgo residual4 .2 .3 Acciones asociadas
al control
4 .2 Valoración del riesgo
3.3
Rie
sgo
4 .1 Análisis del riesgo
5.2
Acc
ion
es
5.3
Res
po
nsa
ble
5.4
In
dic
ado
r
4 .1.1 Riesgo inherente
6.1
P
rim
er p
erío
do
6.2
S
egu
nd
o p
erío
do
5.3
T
erce
r P
erío
do
3.2
Cau
sa
5.1
Fec
ha
3.4
C
onse
cuen
cia
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
1. Garantizar que los controles (acciones) son eficaces y eficientes. 2. Obtener información de las novedades presentadas en la entidad con el fin de mejorar la valoración del riesgo. 3. Analizar y aprender lecciones a partir de los eventos, los cambios, las tendencias, los éxitos y los fracasos. 4. Detectar cambios en el contexto interno y externo. 5. Identificar riesgos emergentes.
Avance
La Oficina de Control Interno es la encargada de realizar el seguimiento al Mapa de Riesgos de Corrupción. En este sentido es necesario que dentro de los procesos de auditoría interna se analicen las causas, los riesgos de corrupción y se logre determinar la efectividad de los controles (acciones) establecidas en cada uno de los procesos incorporados en el Mapa de Riesgos de Corrupción23. El seguimiento se efectuará cuatrimestralmente los resultados serán publicados en la página Web de la Unidad para consulta, de la siguiente manera:
✓ Primer corte 30 de abril: se publica dentro de los diez (10) primeros días hábiles del mes de mayo.
✓ Segundo corte 31 de agosto: se publica dentro de los diez (10) primeros días hábiles del mes de septiembre.
✓ Tercer corte al 31 de diciembre: se publica dentro de los diez (10) primeros días hábiles del mes de enero.
La consulta y divulgación se efectúa durante las etapas de construcción del Mapa de Riesgos de Corrupción en el marco de un proceso participativo involucrando a los procesos de la entidad donde se identifiquen riesgos de corrupción. El Mapa de Riesgos de Corrupción debe ser consolidado anualmente por la Oficina Asesora de Planeación y Desarrollo, a partir de la información reportada por cada uno de los responsables de los procesos donde se identifiquen riesgos de corrupción. Este deberá ser publicado antes del 31 de enero de la vigencia en curso. 23 Tomado de la Guía para la Gestión del Riesgo de Corrupción 2015 FUNCIÓN PÚBLICA. Página 29
MANUAL PARA LA ADMINISTRACIÓN DE RIESGOS
Código: G1-S3-MA-01
Versión: 04
Vigencia: 19/04/2018
SISTEMA INTEGRADO DE GESTIÓN INSTITUCIONAL - SIGI Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA.
RESUMEN DE CAMBIOS
Versión Fecha Numerales Descripción de la modificación
01 17/06/2014 Todos Se crea el Documento
02 25/11/2014 6.2.6 Se delimita la documentación de las acciones correctivas, preventivas y de mejora a los riesgos de zona alta y extrema identificados en el mapa de riesgos institucional.
02 07/06/2016 1 Se ajusta el nombre del proceso de acuerdo con la actualización del Mapa de Procesos Institucional. La versión del documento se mantiene debido a que su contenido no se modificó.
03 27/10/2016 Todos Se ajusta el Manual teniendo en cuenta la metodología del Departamento Administrativo de la Función Pública y los requerimientos de la entidad.
04 19/04/2018 6.5 y 6.6 Se actualiza el manual teniendo en cuenta la inclusión de la metodología de riesgos de seguridad de la información y la metodología para la administración de riesgos de corrupción.
RESPONSABILIDAD Y AUTORIDAD
Elaboró / Actualizó: Revisó: Aprobó:
Firma: Original Firmado Firma: Original Firmado Firma: Original Firmado
Nombre: Mayra Alexandra Agudelo Carvajal.
Nombre: Oscar Javier Suarez Ramos Nombre: Oscar Javier Suarez Ramos
Cargo: Profesional Especializado. Cargo: Jefe Oficina de Tecnología Cargo: Jefe Oficina de Tecnología
Dependencia: Oficina Tecnología Dependencia: Oficina Tecnología Dependencia: Oficina Tecnología
Firma: Original Firmado Firma: Original Firmado Firma: Original Firmado
Nombre: Juan Manuel Vanegas Jamaica.
Nombre: Andrea Catalina Hernández. Nombre: Gustavo Adolfo Camelo Hurtado.
Cargo: Profesional Especializado. Cargo: Profesional Universitario. Cargo: Jefe Oficina Asesora de Planeación y Desarrollo.
Dependencia: Oficina Asesora de Planeación y Desarrollo
Dependencia: Oficina Asesora de Planeación y Desarrollo
Dependencia: Oficina Asesora de Planeación y Desarrollo
Firma: Original Firmado Firma: Original Firmado Firma: Original Firmado
Nombre: Nombre: Santiago Alegria Velasco Nombre:
Cargo: Cargo: Profesional Universitario. Cargo:
Dependencia: Dependencia: Oficina Asesora de Planeación y Desarrollo
Dependencia: