GRUPO INTERNO DE TRABAJO DESARROLLO ...igacnet2.igac.gov.co/intranet/UserFiles/File...MANUAL DE...

MANUAL DE PROCEDIMIENTOS

ADMINISTRACIÓN DEL RIESGO

GRUPO INTERNO DE TRABAJO DESARROLLO ORGANIZACIONAL

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

TABLA DE CONTENIDO

No. de Pág.

1. OBJETIVO 1

2. ALCANCE 1

3. RESPONSABILIDADES 1

3.1 DE LA DIRECCIÓN GENERAL 1

3.2 DEL COMITÉ INSTITUCIONAL DE DESARROLLO ADMINISTRATIVO. 1

3.3 DE LA OFICINA ASESORA DE PLANEACIÓN – GRUPO INTERNO DE TRABAJO DESARROLLO ORGANIZACIONAL.

1

3.4 DE LA OFICINA DE INFORMÁTICA Y TELECOMUNICACIONES 2

3.5 DE LA OFICINA DE CONTROL INTERNO 2

3.6 DE LOS RESPONSABLES DE PROCESOS EN SEDE CENTRAL. 3

3.7 DE LOS DIRECTORES TERRITORIALES 4

3.8 DE LOS RESPONSABLES DE PROCESOS EN LAS DIRECCIONES TERRITORIALES 4

3.9 DE LOS RESPONSABLES DE LAS UNIDADES OPERATIVAS DE CATASTRO (UOC) Y CENTROS DE VENTAS.

5

3.10 DEL FACILITADOR DEL SISTEMA DE GESTIÓN INTEGRADO - SGI 5

3.11 DEL GRUPO INTERNO DE TRABAJO (GIT) CONTROL DISCIPLINARIO 6

4 GLOSARIO – DEFINICIONES 6

5 NORMAS 9

5.1 LEGALES 9

5.2 TECNICAS Y/O RELACIONADAS 10

5.3 DE PROCEDIMIENTO, LINEAMIENTOS O POLITICAS DE OPERACIÓN 10

5.3.1 Generales 10

5.3.2 De la materialización de riesgos y la autoevaluación a la administración del riesgo 23

5.3.3 Del seguimiento realizado por la Oficina de Control Interno. 25

6 FORMATOS, REGISTROS Y REPORTES 26

7 PROCEDIMIENTO - PASO A PASO 26

8 ANEXOS 29

9 IDENTIFICACION DE CAMBIOS 29




Pág. 1 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

1. OBJETIVO

Establecer las actividades requeridas para la administración del riesgo que incluye, la identificación de cuestiones internas y externas a través de la herramienta DOFA e identificar, analizar, valorar y tratar los riesgos en los procesos del IGAC, con el fin de determinar las respectivas acciones encaminadas a prevenir y administrar los mismos.

2. ALCANCE

Este manual aplica a todos los procesos del Sistema de Gestión Integrado - SGI del IGAC en la Sede Central, Direcciones Territoriales, Unidades Operativas de Catastro (UOC) y Centros de ventas. Inicia con el análisis e identificación del contexto estratégico basado en riesgos y finaliza con seguimiento por parte de la Oficina de Control Interno.

3. RESPONSABILIDADES

3.1. DE LA DIRECCIÓN GENERAL

° Gestionar los recursos necesarios para llevar a cabo las acciones encaminadas a administrar los riesgos.

° Analizar los resultados de la gestión realizada sobre los riesgos identificados en el IGAC y utilizarlos como insumo en la Revisión por la Dirección del SGI para la toma de decisiones.

° Adoptar la Política de Administración Integral de riesgos del IGAC, mediante Resolución Interna.

3.2. DEL COMITÉ INSTITUCIONAL DE DESARROLLO ADMINISTRATIVO.

° Revisar y aprobar la Política de Administración Integral de riesgos del IGAC.

3.3. DE LA OFICINA ASESORA DE PLANEACIÓN – GRUPO INTERNO DE TRABAJO DESARROLLO ORGANIZACIONAL

° Revisar y actualizar la política de administración integral del riesgo y someterla a consideración y aprobación del Comité Institucional de Desarrollo Administrativo.

° Socializar la política de administración integral de riesgos adoptada para cada vigencia y la metodología para la construcción de los mapas de riesgos.

° Asesorar a todos los procesos del IGAC en la identificación, análisis, valoración de riesgos y en la formulación de acciones para su tratamiento.

° Generar el Contexto Estratégico – DOFA Consolidado, el cual se hace basado en riesgos a partir del contexto estratégico - DOFA por proceso.

° Generar en el módulo de riesgos del aplicativo SOFIGAC, el mapa de riesgos de gestión y corrupción consolidado de la entidad en su versión vigente

° Consolidar y/o generar en el módulo de riesgos del aplicativo SOFIGAC, el mapa de riesgos institucional.

° Gestionar la publicación interna y externa de la política de administración integral del riesgo.

° Cada vez que se presenten ajustes o seguimientos a los mapas de riesgos de la entidad, gestionar la publicación externa de la versión vigente (con y sin seguimiento de autocontrol) del mapa de riesgos de gestión, corrupción e institucional consolidado de la entidad.

° Convocar y realizar mesas de trabajo entre la Oficina Asesora de Planeación – GIT Desarrollo Organizacional y los procesos institucionales, para generar o actualizar los mapas de riesgos de gestión y corrupción por procesos del IGAC.

° Durante las etapas de la construcción de los mapas de riesgos de gestión y corrupción que se publicarán en la página web institucional al inicio de cada vigencia, realizar consulta interna y externa para hacer de esto un proceso participativo, hasta lograr los mapas de riesgos oficiales definitivos, de acuerdo con la normatividad y metodologías aplicables expedidas por las instancias competentes.




Pág. 2 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

° Divulgar interna y externamente los mapas de riesgos de gestión y corrupción oficiales del IGAC.

° Generar en el aplicativo SOFIGAC, por lo menos tres (3) versiones de mapas de riesgos de gestión y corrupción en cada vigencia, una vez se hayan realizado los seguimientos cuatrimestrales de autocontrol desde la sede central y direcciones territoriales, así como los seguimientos cuatrimestrales independientes por parte de la Oficina de Control Interno.

° En caso que se presenten solicitudes oficiales de ajustes de mapas de riesgos de gestión y corrupción por parte de los procesos en la sede central, atenderlos, consolidarlos, aprobarlos e incluirlos en la generación de la versión que se vaya a emitir en el próximo cuatrimestre. Nota 1: los meses en los cuales se generará versión de mapas de riesgos serán enero, mayo y septiembre de cada vigencia. Lo anterior garantiza que los procesos en sede central y direcciones territoriales, así como la Oficina de Control Interno, realicen sus seguimientos en la misma versión del mapa de riesgos respectivo. Nota 2. En caso que existan situaciones desde los diferentes procesos, que ameriten la generación de una nueva versión de los mapas de riesgos de gestión o corrupción de la entidad, ésta deberá generarse en cualquier momento.

° Socializar a través del correo electrónico institucional del GIT Desarrollo Organizacional o de la Oficina Asesora de Planeación, los cambios de versiones que se den en los mapas de riesgos de la entidad.

° Generar por lo menos de forma anual, un memorando donde en el mes de enero se le informe de parte del Jefe de la Oficina Asesora de Planeación al Jefe de la Oficina de Control Interno, si durante la vigencia anterior se materializaron o no riesgos de gestión o corrupción. Nota: Para generar este memorando, la Oficina Asesora de Planeación utilizará como fuente, las notificaciones informativas que llegan durante el año al administrador del módulo de riesgos del aplicativo SOFIGAC, cuando se determina la materialización de algún riesgo.

3.4. DE LA OFICINA DE INFORMÁTICA Y TELECOMUNICACIONES

° Asesorar a todos los procesos del IGAC en la identificación, análisis, valoración de riesgos de los activos de información y en la formulación de acciones para su tratamiento.

° Sensibilizar a todos los procesos del IGAC en la identificación, análisis, valoración de riesgos de los activos de información y en la formulación de acciones para su tratamiento.

° Convocar y realizar mesas de trabajo con todos los procesos del IGAC, para ajustar los mapas de riesgos de gestión, en lo relacionado con seguridad de la información.

° Identificar y proponer ajustes y/o mejoras relacionadas con el módulo de riesgos del aplicativo SOFIGAC.

° Destinar los recursos financieros y demás requeridos para el mantenimiento y ajuste del módulo de riesgos de Sofigac

° Validar cuando sea necesario, la ejecución y efectividad de los controles inmersos en los mapas de riesgos de gestión, relacionados con seguridad de la información.

° Socializar a los procesos del IGAC la ocurrencia o materialización de incidentes de seguridad que se presenten en sus activos de información, lo cual conllevará a la actualización del mapa de riesgos de gestión.

3.5. DE LA OFICINA DE CONTROL INTERNO

° Verificar el establecimiento de mecanismos para la administración del riesgo, promoviendo en los diferentes procesos del SGI la cultura de autocontrol y autoevaluación.

° Realizar seguimiento a los mapas de riesgos de gestión y corrupción por procesos, con el fin de detectar posibles desviaciones y retroalimentar la administración de los riesgos.

° Hacer seguimiento cuatrimestral independiente en el módulo de riesgos del aplicativo SOFIGAC, a la ejecución de controles inmersos en los mapas de riesgos de gestión y corrupción de los procesos, así como a la determinación de materialización de riesgos.




Pág. 3 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

° En relación con las Direcciones Territoriales, realizar seguimiento selectivo a la ejecución de controles de mapas de riesgos y a la materialización de riesgos, procurando cubrir todas las Direcciones Territoriales durante la vigencia.

° Dejar registro de los resultados, producto del seguimiento a la Administración del riesgo.

° Verificar que los responsables de los procesos realicen el seguimiento a las acciones preventivas asociadas a riesgos, e igualmente verificar que se realice actualización de los Mapas de riesgos de gestión y corrupción por procesos e Institucional.

° Comunicar a los responsables de los procesos los resultados del seguimiento, sus hallazgos y sugerencias para el tratamiento de los riesgos identificados.

Elaborar informe con los resultados del seguimiento a los mapas de riesgos de cada proceso con destino a la Oficina Asesora de Planeación, como insumo para la revisión por la Dirección y a las demás instancias según la normatividad aplicable.

3.6. DE LOS RESPONSABLES DE PROCESOS EN SEDE CENTRAL

° Implementar la política de administración integral de riesgos vigente.

° Desarrollar adecuadamente cada una de las etapas de la administración del riesgo, para atender oportunamente cualquier cambio que se presente.

° Determinar los controles que permitan mitigar la probabilidad de materialización del riesgo y/o su impacto.

° Revisar y actualizar los mapas de riesgos de gestión y corrupción por proceso por lo menos una vez en el año.

° Planear adecuadamente y ejecutar oportunamente las acciones preventivas derivadas del manejo del riesgo residual inmerso en los mapas de riesgos de gestión y corrupción de los diferentes procesos, e involucrar en las mismas (sí procede), a las Direcciones Territoriales para controlar el riesgo a nivel nacional.

° Mantener actualizados los riesgos de gestión y de corrupción de su proceso y de acuerdo con el análisis y pertinencia, podrán hacer dicha actualización en cualquier momento teniendo en cuenta la metodología establecida.

° Ejercer autocontrol y realizar la autoevaluación no sólo en lo relacionado con la identificación de los riesgos, sino en cuanto al seguimiento de las acciones para su mitigación y el monitoreo permanente sobre la efectividad de los controles implementados.

° Estar en constante comunicación con los responsables de procesos en Direcciones Territoriales, en pro de mantenerlos informados de la generación y/o actualización de mapas de riesgos y contexto estratégico (DOFA) asociada a riesgos, así como para recordarles que deben hacer seguimiento periódico a la ejecución de controles inmersos en los mapas de riesgos y a la materialización de riesgos.

° Socializar en la Sede Central y en las Direcciones Territoriales (DT) (si el mapa de riesgos aplica en las DT), las actualizaciones de mapas de riesgos de gestión o corrupción por procesos, que se presenten durante cada vigencia.

° Garantizar que en su(s) proceso(s) a cargo, se realice de forma cuatrimestral (con corte a abril, agosto y diciembre de cada año) por parte del funcionario o contratista asignado, el seguimiento en el módulo de riesgos del aplicativo SOFIGAC, a la ejecución de controles de mapas de riesgos, así como la determinación de materialización o no de riesgos.

° Participar en la determinación de materialización de riesgos.

° Documentar en el Acta del Comité de mejoramiento en lo que respecta a la autoevaluación de la administración del riesgo, las conclusiones sobre el seguimiento a controles, manifestando si estos han sido efectivos o han servido en la mitigación del riesgo y si se van o no a ajustar, también manifestar expresamente si se han o no presentado eventos o situaciones que demanden el ajuste de alguno de los componentes (incluido el contexto estratégico DOFA), de los actuales mapas de riesgos de gestión y corrupción del proceso, y si se han o no materializado riesgos.




Pág. 4 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Tomar decisiones en un comité de mejoramiento ordinario o extraordinario, sobre materialización de riesgos a nivel central (incluida la decisión de determinar según la situación o circunstancias, si un riesgo materializado, se mantiene como riesgo documentado en el mapa de riesgos de gestión o corrupción del proceso). De igual forma se debe determinar la causa de la materialización del riesgo, hacer el análisis de los controles establecidos, ejecutar el plan de contingencia indicado y actualizar (si hay lugar a ello) el mapa de riesgos del proceso.

En relación con los procesos que aplican en direcciones territoriales, los responsables de esos procesos en la sede central, deben analizar y tomar decisiones en cualquier momento en el marco de un comité de mejoramiento ordinario o extraordinario, respecto de las materializaciones de riesgos que se puedan llegar a generar en estas Direcciones Territoriales, Unidades Operativas de Catastro (UOC) o Centros de ventas, con el fin de determinarse en el módulo de riesgos del aplicativo SOFIGAC por parte del proceso en sede central, si esa materialización se trata de una situación particular que amerita tomar acciones documentadas solo donde se presentó, o si se requiere declarar y reportar en el módulo de riesgos del aplicativo SOFIGAC, la materialización generalizada del riesgo a nivel nacional y tomar otro tipo de decisiones (incluida la decisión de determinar según la situación o circunstancias, si el riesgo materializado se mantiene como riesgo documentado en el mapa de riesgos de gestión o corrupción). De igual forma se debe determinar la causa de la materialización del riesgo, hacer el análisis de los controles establecidos, ejecutar si es necesario el plan de contingencia indicado y actualizar (si hay lugar a ello) el mapa de riesgos del proceso en donde se materializó el riesgo.

° Reportar la materialización de riesgos en el aplicativo SOFIGAC en cualquier momento, en caso que un riesgo asociado a su proceso se materialice.

3.7. DE LOS DIRECTORES TERRITORIALES

° Documentar en el Acta del Comité de mejoramiento en lo que respecta a la autoevaluación de la administración del riesgo, las conclusiones sobre el seguimiento a controles de los mapas de riesgos que allí apliquen (incluyendo las Unidades Operativas de Catastro y Centros de ventas), manifestando si éstos han sido efectivos o han servido en la mitigación del riesgo y si se requieren o no ajustar, también manifestar expresamente si se han o no presentado eventos o situaciones que demanden el ajuste de alguno de los componentes (incluido el contexto estratégico - DOFA), de los actuales mapas de riesgos de gestión y corrupción del proceso, y si se han o no materializado riesgos

° Coordinar y verificar que el personal designado en su dirección territorial, de forma cuatrimestral (con corte a abril, agosto y diciembre de cada año) registre el seguimiento en el módulo de riesgos del aplicativo SOFIGAC, a la ejecución de controles de mapas de riesgos que allí apliquen, así como la determinación de materialización o no de riesgos.


3.8. DE LOS RESPONSABLES DE PROCESOS EN LAS DIRECCIONES TERRITORIALES

° En el módulo de riesgos del aplicativo SOFIGAC, hacer seguimiento cuatrimestral (con corte a abril, agosto y diciembre de cada año) a la ejecución de los controles inmersos en los mapas de riesgos de gestión y corrupción por procesos, que apliquen en las Direcciones Territoriales y determinar la materialización o no de riesgos en los procesos a su cargo. Nota: Para los procesos que apliquen en Unidades Operativas de Catastro (UOC) o Centros de ventas, en los seguimientos cuatrimestrales a ejecución de controles y determinación de materialización de riesgos, se debe tener en cuenta e incluir lo que en éstas UOC o Centros de ventas, se hace o sucede al respecto.

° Presentar en Comité de mejoramiento u otra instancia, las propuestas de ajustes o mejoras (si hay lugar a ello), en los diferentes componentes de los mapas de riesgos de gestión y corrupción que aplican en las Direcciones Territoriales.

° Socializar en el proceso respectivo, Unidad Operativa de Catastro (UOC) o Centros de ventas, las actualizaciones de las versiones de mapas de riesgos de gestión o corrupción por procesos que se presenten durante cada vigencia, en caso que en la actualización esté involucrado su proceso.





Pág. 5 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

° Reportar la materialización de riesgos en el aplicativo SOFIGAC en cualquier momento, en caso que se materialice un riesgo asociado a su proceso.

3.9. DE LOS RESPONSABLES DE LAS UNIDADES OPERATIVAS DE CATASTRO (UOC) Y CENTROS DE VENTAS.

° En caso que se determine en la sede central, que desde las UOC y Centros de Ventas, se deben aplicar los controles establecidos en los mapas de riesgos de gestión y corrupción, aplicarlos y guardar la evidencia de su ejecución.

° Reportar de forma cuatrimestral durante los primeros tres (3) días hábiles de los meses de mayo, septiembre y enero de cada vigencia, al responsable del proceso de la Dirección Territorial o proceso de la sede central asociado, lo relacionado con la ejecución de controles (si allí aplican) y determinación de materialización de riesgos (que allí se puedan llegar a materializar), frente a los procesos que puedan llegar a operar en las UOC y Centros de Ventas. Lo anterior con el objetivo que el responsable del proceso en la Sede Central o en la Dirección Territorial, tenga en cuenta lo que sucede en las UOC y Centros de Ventas, al momento de reportaren el módulo de riesgos del aplicativo SOFIGAC, su seguimiento cuatrimestral a la ejecución de controles y determinación de materialización de riesgos.

° En caso que en su Unidad Operativa de Catastro (UOC), Centro de Ventas o Centro Integrado de Servicios, exista información tendiente a determinar que cualquier riesgo de gestión o corrupción que allí aplique se ha materializado, debe comunicarle de forma inmediata el hecho presentado al Director Territorial o responsable de proceso en la Sede Central, asociado a su UOC, Centro de Ventas o Centro Integrado de Servicios, con el propósito de asegurarse que el hecho realmente se trata de una materialización y que se cuenta con la prueba que lo demuestra, esto con el fin de hacer el reporte respectivo desde la Dirección Territorial o proceso de la Sede Central, en el módulo de riesgos del aplicativo SOFIGAC, en caso que efectivamente se trate de una materialización de riesgo.

3.10. DEL FACILITADOR DEL SISTEMA DE GESTIÓN INTEGRADO – SGI

° Orientar a los funcionarios y contratistas de los procesos en la Sede Central, Direcciones Territoriales, Unidades Operativas de Catastro (UOC) y Centros de Ventas, en relación con las inquietudes que se presenten frente a la administración del riesgo, en especial con el seguimiento a controles y determinación de materialización de riesgos.

° Presentar en el comité de mejoramiento de cada proceso o Dirección Territorial, las conclusiones del seguimiento cuatrimestral a la ejecución de controles y determinación de materialización de riesgos, así como manifestar si se han o no materializado riesgos y presentar propuestas de ajustes o actualización de la información presente en los mapas de riesgo de gestión y corrupción (si aplica).

° Informar al Administrador del módulo de riesgos en la Oficina Asesora de Planeación – GIT Desarrollo Organizacional, cuando en su proceso en la sede central o en su dirección territorial, se requiera ajustar el nombre de personas (funcionarios o contratistas) responsables de hacer seguimiento a la ejecución de controles o de determinar la materialización de riesgos.

° Documentar en el módulo de riesgos del aplicativo SOFIGAC, el seguimiento a la ejecución de controles y determinación de materialización de riesgos, en los casos en que por fuerza mayor el responsable inicial de estas tareas no pueda realizarlas, siempre y cuando el facilitador cuente con la información suficiente para llevar a cabo dicha actividad.

° En los procesos de la Sede Central o Direcciones Territoriales que tengan a cargo Unidades Operativas de Catastro o Centros de Ventas, socializar por los menos una (1) vez al año, los riesgos que allí aplican y los controles que deben ejecutar (si hay lugar a ello), así como sus responsabilidades al respecto de la administración del riesgo.




Pág. 6 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

3.11. DEL GRUPO INTERNO DE TRABAJO (GIT) CONTROL DISCIPLINARIO

° Una vez se cuente con un fallo en firme debidamente ejecutoriado, a partir del quinto (5) día hábil siguiente, éste se debe informar en la Sede Central y/o Dirección Territorial donde se encuentre vinculado el disciplinado, con copia a la Oficina Asesora de Planeación y Oficina de Control Interno.

4. GLOSARIO – DEFINICIONES

Activo de Información

Es todo aquello que posea valor agregado para el instituto, tales como: elementos de hardware, software, de procesamiento, almacenamiento y comunicaciones, bases de datos, información física y digital, procedimientos y recursos humanos asociados con el manejo de los datos y la información misional, operativa, administrativa de la entidad, es decir, la información que se recibe, transforma y produce en el IGAC.

Amenaza Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.1 Una amenaza tiene el potencial de causar un incidente no deseado que puede resultar en un daño a un sistema, los activos o a la entidad. Este daño puede ocurrir de un ataque directo o indirecto sobre la información de la entidad. Por ejemplo, su destrucción no autorizada, revelación, modificación, corrupción, indisponibilidad o pérdida.

Administración de Riesgos

Conjunto de elementos de control que al interrelacionarse, permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos, del proceso como externos, que puedan afectar o impedir el logro de sus objetivos institucionales, sus etapas son:

Contexto estratégico (Factores internos, del proceso o externos del riesgo) Tipo de riesgo. (Clase o tipo de riesgo) Identificación del riesgo (Causas, riesgo, consecuencias) Análisis del riesgo inherente (Probabilidad e impacto inicial del riesgo) Valoración del riesgo (Identificación y evaluación de controles existentes) Análisis del riesgo residual. (Probabilidad e impacto residual del riesgo) Establecimiento de acciones de manejo del riesgo residual. (Acciones que

fortalecen controles existentes, o propician el establecimiento de controles, en caso de que estos no existan.)

Plan de contingencia. (Proyección de correcciones y acciones correctivas)

Causas del riesgo

Son los medios, las circunstancias. y/o agentes que generan o propician riesgos. Estas causas deben estar relacionadas con lo identificado en el contexto estratégico.

Confidencialidad Propiedad que determina que la información sólo esté disponible y sea revelada a individuos, entidades o procesos autorizados.2

Contexto de la Organización

Es la combinación de factores internos y externos, y de condiciones que pueden afectar en el enfoque de una organización u entidad a sus productos, servicios y partes interesadas.

Control Representa la actividad, política, proceso, dispositivo, práctica, entre otros, que actúa para minimizar la probabilidad de materialización de los riesgos o para minimizar el impacto de su materialización. Los controles deben estar asociados a las causas del riesgo, redactados de forma clara (sin dar lugar a ambigüedades o interpretaciones), diciendo el Grupo Interno de Trabajo - GIT, Oficina o Sede del IGAC dónde se debe aplicar, con qué periodicidad, y cuáles son las evidencias de su ejecución.

Control Correctivo

Representa el control que no puede evitar que un riesgo se materialice, pero permite enfrentar la situación una vez el riesgo se ha materializado, su naturaleza está enfocada a reducir el impacto de la materialización del riesgo. Ejemplo: contar con una

1 Tomado de ISO/IEC 27000:2013 2 Ibídem




Pág. 7 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

póliza de seguros o con copia de seguridad de información, permite minimizar el impacto de una pérdida

Control Detectivo Representa el control que permite el registro de la realización de una actividad, la cual puede o no propiciar que un riesgo se materialice, su aporte básicamente es de trazabilidad y su naturaleza se puede enfocar según el caso o la situación a reducir probabilidad e/o impacto. Ejemplo: Contar con Logs (registro de eventos) y auditoría en sistemas de información, que permitan el registro de información en tiempo real, puede evitar que usuarios no autorizados intenten ingresar al sistema o si ingresan y el riesgo de materializa al contar con información gravada, se podría llegar a recuperar información y disminuir el impacto. Contar con cámaras de seguridad filmando, puede evitar que sólo por el hecho de existir cámaras se evite el ingreso a algún lugar y así reducir la probabilidad de materialización de un riesgo, y por contar con un registro fílmico, en algún momento podría disminuirse el impacto si un riesgo se materializa.

Control Preventivo

Representa el control que está encaminado a evitar que un riesgo se materialice, su naturaleza está enfocada a reducir la probabilidad. Ejemplo: Establecimiento de perfiles de usuario con claves de acceso, que evitan ingresos no autorizados a un sistema de información y por ende reduce la probabilidad de materialización de un riesgo de pérdida de información.

Contexto Externo Representa aspectos esenciales del entorno en el cual opera la entidad, se pueden incluir entre otros factores como: políticos, sociales, culturales, legales, reglamentarios, tecnológicos, financieros, medioambientales y económicos.

Contexto Interno Representa los aspectos esenciales del ambiente en el cual la entidad busca alcanzar sus objetivos, se pueden incluir entre otros factores como: Estructura Organizacional, funciones y responsabilidades, políticas, objetivos, relaciones con partes involucradas, Cultura Organizacional, medio ambiente.

Contexto del proceso

Representa los aspectos esenciales del proceso y sus interrelaciones, se pueden incluir entre otros factores como: Objetivo del proceso, Alcance del proceso, Interrelaciones con otros procesos, procedimientos asociados, responsable del proceso, seguridad de la información.

Cuestiones internas

Representa las debilidades y fortalezas con las que cuenta cada uno de los procesos institucionales, las cuales se describen en el documento de DOFA por procesos e institucional basada en riesgos.

Cuestiones externas

Representa las oportunidades y amenazas con las que cuenta cada uno de los procesos institucionales, las cuales se describen en el documento de DOFA por procesos e institucional basada en riesgos.

Descripción del riesgo

Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.

DOFA Es la sigla usada para referirse a una herramienta analítica que permite trabajar con toda la información que posea sobre una entidad u organización, es útil para examinar sus Debilidades, Oportunidades, Fortalezas y Amenazas.

Disponibilidad

Propiedad de que la información se accesible y utilizable por solicitud de una entidad autorizada, cuando ésta así lo requiera.3

Evaluación del riesgo

Proceso utilizado para determinar las prioridades de la Administración del Riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.

Evento Incidente o situación, que ocurre en un lugar determinado durante un periodo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie.

3 Ibídem




Pág. 8 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Factibilidad Representa la posibilidad que existe de materialización de un riesgo, la cual se basa en información histórica o experiencias del proceso.

Fallo en firme Representa la decisión adoptada por la autoridad encargada de determinar si hubo falta o violación a la norma disciplinaria, el cual se encuentra debidamente ejecutoriado.

Frecuencia Se refiere al número de veces que ha ocurrido o se ha materializado el riesgo, en un determinado periodo de tiempo.

Gestión de riesgos de seguridad de la información

Proceso que permite analizar los riesgos en detalle, las interrelaciones y la importancia y de esta manera desarrollar los correctivos, identificando y estableciendo los controles efectivos necesarios para minimizar la materialización y garantizar la confidencialidad, integridad y disponibilidad de la información en la entidad

Impacto Son las consecuencias potenciales que genera el hecho que se materialice el riesgo.

Inventario de Activos de información

Identificación en una lista de todos aquellos recursos que posean valor para el IGAC (físicos, de información, software, documentos, servicios, personas, intangibles, etc) contemplados dentro del alcance del SGSI, los cuales requieran ser protegidos de potenciales riesgos.

Integridad Propiedad de salvaguardar la exactitud y estado completo de los activos4.

Mapa de riesgos Representación ordenada de la probabilidad e impacto de uno o más riesgos frente a un proceso, proyecto o programa.

Mapa de riesgos de corrupción

Componente del Plan Anticorrupción y de Atención al Ciudadano, en el cual se identifican y previenen los riesgos de corrupción que se pueden dar en la entidad

Mapa de riesgos de gestión por proceso

Representación ordenada que muestra el desarrollo de las etapas de la administración del riesgo a nivel de procesos, estos mapas de riesgos parten del análisis del objetivo del proceso, para identificar los eventos que pueden afectar su cumplimiento. En el mapa de riesgos de gestión del IGAC, se administran los riesgos de tipo: estratégico, de imagen, operativo, financiero, de cumplimiento, de tecnología, ambiental y de seguridad de la información.

Mapa de riesgos institucional

Representación ordenada que muestra el desarrollo de las etapas de la administración del riesgo a nivel institucional; los riesgos que conforman este mapa de riesgos, parten de la identificación que hace la Alta Dirección de posibles eventos que si se materializan, ponen en peligro el cumplimiento de la misión o la existencia misma de la entidad. Es importante resaltar que el mapa de riesgos institucional contempla todos los riesgos de gestión que después de controles se encuentren en zona de riesgo Alta o extrema, así como todos los riesgos de corrupción.

Materialización del riesgo

Se entiende que un riesgo se materializa, cuando se establece a través de evidencias y/o análisis probatorio, que el evento definido como riesgo en algún mapa de riesgos de gestión o corrupción del IGAC, se ha presentado o hecho realidad en algún momento. También se da por materializado un riesgo, cuando en un fallo disciplinario que se encuentre en firme y sea condenatorio, lo descrito en éste fallo pruebe que en ese momento, un riesgo vigente en algún mapa de riesgos de gestión o corrupción de la entidad, se ha presentado o hecho realidad.

Plan de acción para el manejo del riesgo residual

Conjunto de acciones preventivas que se deben ejecutar para dar tratamiento a los riesgos residuales (después de aplicados los controles) identificados, analizados y evaluados, estableciendo actividades, asignando responsabilidades y definiendo tiempos de ejecución.

Plan de contingencia

Componente del mapa de riesgos de gestión que describe las posibles acciones inmediatas a realizar solo en caso que el riesgo se materialice, esto con el fin de corregir los efectos o consecuencias inmediatas (correcciones) e implementar las acciones correctivas necesarias para evitar que vuelva a ocurrir.

4 Ibídem




Pág. 9 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Probabilidad Medida para estimar la ocurrencia del riesgo y se mide con criterios de frecuencia o de factibilidad.

Prueba Hecho, suceso, razón o argumento puestos en conocimiento de alguna autoridad interna o externa, a través de medios idóneos y legales, con el fin de demostrar su ocurrencia.

Riesgo Es la posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los objetivos.

Riesgos de corrupción

Se entiende por riesgo de corrupción la posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

Riesgo Inherente Riesgo inicial al que se expone o enfrenta el proceso o la entidad, en ausencia de controles que permitan modificar su probabilidad e impacto.

Riesgo residual Representa el riesgo que permanece, después de evaluar los controles establecidos en el proceso para mitigar el riesgo inherente.

SOFIGAC Aplicativo que soporta, integra y registra la trazabilidad de los datos con el fin de producir, y reportar información con valor para la toma de decisiones en tiempo real, en los temas de Planeación (Planes y Proyectos e Indicadores) y los temas del Sistema de Gestión integrado (Documentos, Acciones de mejoramiento, Producto no conforme, Administración de Riesgos, Sistema Ambiental, Sistema de Gestión de Seguridad y salud en el trabajo, entre otros).

Vulnerabilidad Debilidad de un activo o control que puede ser explotada por una o más amenazas.5 Las vulnerabilidades son debilidades asociadas con los activos de una organización. Estas debilidades pueden ser explotadas por una amenaza causando incidentes no deseados que pueden afectar la confidencialidad, integridad, disponibilidad de los activos de información. Una vulnerabilidad por sí sola no causa un daño; es simplemente una condición o grupo de condiciones que puede permitirle a una amenaza afectar a un activo.

Zona de riesgo: Representa la ubicación en la que se encuentra el riesgo inherente a la que se enfrenta inicialmente un proceso o la entidad en ausencia de controles, así como la ubicación del riesgo residual, cuando ya se han implementado controles.

5. NORMAS

5.1. LEGALES

Ley 1474 de 2011 “Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública” Capítulo VI, Articulo 73 “Plan Anticorrupción y de Atención al Ciudadano”.

Ley 489 de 1998. “Normas para el ejercicio del control interno en las entidades y organismos del Estado”.

Ley 87 de noviembre de 1993 “Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado”. Artículo 2 literal a) y f)

Decreto 1499 del 11 septiembre de 2017, Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015.

5 Ibídem




Pág. 10 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Decreto 124 del 26 de enero de 2016 del Departamento Administrativo de la Presidencia de la República, por el cual se sustituye el título 4 de la parte 1 del libro 2 del Decreto 1081 de 2015 relativo al “Plan anticorrupción y de atención al ciudadano”.

Decreto 943 de 2014 “Por el cual se actualiza el Modelo estándar de Control Interno MECI 2014.

Decreto 2641 de 2012, “Por el cual se reglamentan los artículos 73 y 76 de la Ley 1474 de 2011”

Decreto 1537 de julio de 2001 “Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el Sistema de Control Interno de las entidades y organismos del Estado” Artículos 3 y 4.

Directiva Presidencial 09 de diciembre de 1999, “lineamientos para la implementación de la política de lucha contra la corrupción”.

5.2. TÉCNICAS Y/O RELACIONADAS

NTC ISO 9001:2015 Sistema de Gestión de la Calidad – Requisitos

NTC ISO 14001:2015 Sistema de Gestión Ambiental – Requisitos.

NTC-ISO 31000:2009 Gestión del Riesgo. Principios y Directrices.

NTC 5254:2006 Norma Técnica Colombiana de Gestión del Riesgo.

Guía Técnica Colombiana GTC-ISO/IEC 27002:2015 Código de práctica para controles de seguridad de la información.

Guía para la gestión del riesgo de corrupción 2015. Secretaría de Transparencia de la Presidencia de la República y Departamento Administrativo de la Función Pública (DAFP).

Guía para la Administración del Riesgo. Departamento Administrativo de la Función Pública (DAFP), versión 3 – Diciembre de 2014

Norma Técnica Colombiana NTC-ISO/IEC 27001:2013 Sistemas de gestión de la seguridad de la información.

Guía No 7 de 2016- Gestión de Riesgo de Ministerio de Tecnologías de la Información.

Norma Técnica Colombiana NTC –ISO/IEC 27005:2008 Gestión de riesgos de la Seguridad la Información.

5.3. DE PROCEDIMIENTO, LINEAMIENTOS O POLITICAS DE OPERACIÓN

5.3.1. Generales

Para la administración del riesgo, los responsables de los procesos deberán partir del conocimiento del IGAC y su entorno, de las cuestiones externas e internas que son pertinentes para su propósito y su dirección estratégica, plan estratégico, de los objetivos institucionales, del objetivo del proceso, de resultados de auditorías internas y externas, de información obtenida en actividades de rendición de cuentas, de evaluación de riesgos de periodos anteriores, revisión de mejores prácticas, resultados de evaluación de la gestión financiera, resultados de análisis de la capacidad institucional, medición de desempeño institucional en periodos anteriores, de las necesidades, expectativas y satisfacción de los clientes/usuarios y partes interesadas de la entidad, entre otros. Con los anteriores criterios, en los mapas de riesgos de la entidad se documentarán los riesgos más importantes a nivel institucional, a los cuales se requiera aplicar las diferentes etapas de la administración del riesgo, los otros riesgos que se puedan presentar sobre los cuales no sea necesario aplicar toda la administración del riesgo, se pueden documentar asociando acciones preventivas, de acuerdo a lo establecido en el vigente Manual de procedimientos de Acciones de mejoramiento.

La identificación, análisis y valoración de riesgos de gestión se hará a nivel de procesos con la metodología establecida por el Departamento Administrativo de la Función Pública, a través de la guía de Administración de Riesgo.

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=43292#73

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=43292#76

http://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-seguridad-la-informacion/

http://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-seguridad-la-informacion/




Pág. 11 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

La identificación de los riesgos de corrupción se hará a nivel de procesos con la metodología establecida por la Secretaría de la Transparencia de la Presidencia de la República, dicho mapa de riesgos se deberá actualizar y publicar de acuerdo con la normatividad vigente.

Los tipos de riesgos de gestión con los que cuenta el IGAC son:

Estratégico: Se asocia con la forma en que se administra la entidad, su manejo se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.

Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la Institución.

Operativo: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.

Financiero: Se relaciona con el manejo de los recursos de la entidad que incluyen la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejo de excedentes de tesorería y el manejo sobre los bienes.

Cumplimiento: Se asocia con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

Tecnología: Están relacionados con la capacidad tecnológica y de seguridad de la información de la entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión.

Ambiental: Son aquellos generados por la exposición a factores internos y externos que afectan el medio ambiente de la entidad (la contaminación, ambientes poco saludables, malos hábitos) inherentes a las actividades que desarrolla en cada proceso.

Seguridad de la información: Son aquellos riesgos relacionados con los activos de información, las vulnerabilidades y amenazas a las que se encuentran expuestos, a fin de determinar los controles adecuados para asumir, reducir, evitar, compartir o transferir el riesgo de seguridad, con la finalidad de preservar los criterios de confidencialidad, disponibilidad e integridad de la información.

La Alta Dirección revisará y actualizará si hay lugar a ello, la política integral de administración del riesgo por lo menos una vez en el año, preferiblemente en el primer trimestre.

Producto del autocontrol, los mapas de riesgos de gestión y corrupción podrán ser actualizados en cualquier momento por parte del responsable del proceso, dicha actualización se revisará en la Oficina Asesora de Planeación - GIT Desarrollo Organizacional, quien a su vez gestionará en el módulo de riesgos del aplicativo SOFIGAC, la emisión de la nueva versión del mapa de riesgos de gestión o corrupción de la entidad.

Cuando en el mapa de riesgos de gestión el riesgo residual se ubique en una zona de riesgo diferente a baja, necesariamente se deberán implementar acciones de manejo del riesgo adicionales a los controles existentes, no obstante, si el riesgo se mantiene en zona de riesgo baja, sería importante poder identificar acciones para continuar mitigándolo o analizar la viabilidad de identificar otros riesgos.

Si al momento de establecer o actualizar los riesgos de gestión o corrupción de los procesos de la entidad, el riesgo inherente se encuentra en “zona de riesgo” “baja” o “moderada”, se hace necesario analizar si ese riesgo es realmente representativo e importante para el proceso y amerita que se le apliquen todas las etapas de la administración del riesgo, incluyéndolo en un mapa de riesgos de gestión o corrupción.

Con base en la valoración de los riesgos, los responsables de los procesos deben tomar decisiones y fijar los lineamientos de la administración de los riesgos de sus procesos, teniendo en cuenta tratamientos relacionados con: “evitar, reducir, compartir o transferir y asumir el riesgo.

El Mapa de Riesgos Institucional contempla todos los riesgos de gestión que después de controles se encuentren en zona de riesgo Alta o Extrema, así como todos los riesgos de corrupción.

El Mapa de Riesgos de Corrupción debe contener los riesgos de corrupción identificados en cada uno de los procesos con su análisis, medidas de mitigación y seguimiento.

https://es.wikipedia.org/wiki/Vulnerabilidad

https://es.wikipedia.org/wiki/Amenaza_inform%C3%A1tica




Pág. 12 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Los mapas de riesgos de gestión, corrupción e institucional del IGAC, se actualizarán y se publicarán interna y externamente, a más tardar el 31 de enero de cada vigencia, de acuerdo o en los términos establecidos en la normatividad aplicable

La identificación, análisis y valoración de riesgos se hará con enfoque de procesos a nivel nacional, no habrá mapas de riesgos por Dirección Territorial.

Cuando los controles inmersos en un mapa de riesgos de gestión o corrupción sólo se ejecuten desde la Sede Central, desde las Direcciones Territoriales no se debe hacer seguimiento a la ejecución de esos controles.

En el establecimiento de los mapas de riesgos de los procesos, se puede dar la situación donde a los diferentes riesgos identificados se le asocien causas internas o externas, que por diversas razones podrían no llegar a contrarrestarse con los controles o las acciones preventivas establecidas en los procesos, sin embargo éstas causas si se deben relacionar en los mapas de riesgos, ya que las mismas pueden generar que los riesgos se presenten y/o materialicen.

A partir de las oportunidades y fortalezas descritas en el contexto estratégico (DOFA) basado en riesgos por proceso, se determinan y establecen acciones de mejora en el módulo de acciones de mejoramiento del aplicativo SOFIGAC.

Los documentos DOFA, los cuales basados en riesgos contienen por procesos las cuestiones internas y externas (debilidades, oportunidades, fortalezas y amenazas), se revisan y actualizan por lo menos una (1) vez al año en el mismo momento en que se hace la revisión y actualización de los mapas de riesgos de gestión y corrupción por procesos de la entidad, ya que algunos de los factores que componen las debilidades o amenazas, se asocian como causas de los riesgos que se identifican en los mapas de riesgos por proceso.

Las mesas de trabajo para la actualización de la administración del riesgo se realizarán anualmente preferiblemente a mediados del mes de diciembre de cada año y los ajustes realizados serán validados para su aprobación en el mismo mes o en el mes de enero de cada año, para que entren en vigencia.

Al momento de hacer la evaluación de los controles asociados a los riesgos, la probabilidad o el impacto en el riesgo residual se disminuye, dependiendo si el control es preventivo, detectivo o correctivo.

En relación con las cuestiones internas y externas, la descripción de los factores que componen las amenazas, oportunidades, debilidades y fortalezas, dispuestos en el documento Contexto Estratégico - DOFA por procesos es:

EXTERNO:

Económico - Financiero: Disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.

Cultural: Conjunto de conocimientos, ideas, tradiciones y costumbres que caracterizan a un grupo poblacional.

Interinstitucional: Se refiere a las diferentes relaciones que se pueden dar entre diferentes instituciones.

Legal y reglamentario: Se refiere a todo lo establecido por la ley o que esté conforme con ella.

Medioambiental: Actividades de una organización que pueden causar algún cambio ambiental en la flora, fauna y/o ecosistemas. Ejemplo: emisiones, residuos, catástrofes naturales, derrames, entre otros, que pueden causar multas, afectar la imagen institucional, litigios y pérdida de permisos o licencias.

Político: Cambios de gobierno, políticas públicas, regulación.

Social: Demografía, responsabilidad social, orden público.

Tecnológico: Avances en tecnología, acceso a sistemas de información externos, gobierno en línea.

Competitivo y de mercado: Se refiere al escenario físico o virtual donde tiene lugar un conjunto regulado de transacciones e intercambios de bienes y servicios.

Grupos de Interés: Es un conjunto de personas, organizadas por un interés en común, con el fin de actuar conjuntamente en defensa de ese interés.




Pág. 13 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Otro: Se refiere a una categoría diferente a las mencionadas anteriormente.

INTERNO:

Recursos Financieros-Económicos: Presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada.

Cultura Organizacional: Se entiende al conjunto de creencias, hábitos, principios y valores, actitudes y tradiciones al interior de la entidad.

Planeación: Se refiere al accionar que tiene que ver con políticas, planes, programas y proyectos al interior de la entidad.

Medioambiental: Actividades de una organización que pueden causar algún cambio ambiental en la flora, fauna y/o ecosistemas. Ejemplo: emisiones, residuos, catástrofes naturales, derrames, entre otros, que pueden causar multas, afectar la imagen institucional, litigios y pérdida de permisos o licencias.

Estructura Organizacional: Se refiere al concepto fundamentalmente jerárquico de subordinación dentro de la entidad.

Recursos Humanos: Competencia del personal, disponibilidad del personal, seguridad y salud ocupacional. Para el tema de Seguridad de la información, corresponde al personal que por su conocimiento, experiencia y criticidad para el proceso, son considerados activos de información.

Procesos: Capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento.

Tecnología: Se define como la capacidad de avance tecnológico mediante el desarrollo del conocimiento y su aplicación, lo comprende: Investigación (descubrimiento) desarrollo (innovación) y operaciones (difusión).

Grupos de Interés: Es un conjunto de personas, organizadas por un interés en común, con el fin de actuar conjuntamente en defensa de ese interés.

Coordinación y Comunicación: Canales utilizados y su efectividad, así como adecuado y oportuno flujo de la información necesaria para el desarrollo de las operaciones.


DEL PROCESO:

Diseño del proceso: Claridad en la descripción del alcance y objetivo del proceso.

Interacciones con otros procesos: Relación precisa con otros procesos, en cuanto a insumos, proveedores, productos, usuarios o clientes.

Transversalidad: Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.

Procedimientos asociados: Pertinencia en los procedimientos que desarrollan los procesos.

Responsables del proceso: Grado de autoridad y responsabilidad de los funcionarios frente al proceso.

Comunicación entre los procesos: Efectividad en los flujos de información determinados en la interacción de los procesos.

Información y datos de la entidad: Corresponden a este tipo datos e información almacenada o procesada física o electrónicamente tales como: bases y archivos de datos, contratos, documentación del sistema, investigaciones, acuerdos de confidencialidad, manuales de usuario, procedimientos operativos o de soporte, planes para la continuidad del negocio, acuerdos sobre retiro y pruebas de auditoría, entre otros

Sistemas de información y aplicaciones de Software: Software de aplicación, interfaces, software del sistema, herramientas de desarrollo y otras utilidades relacionadas

Dispositivos de Tecnologías de información- Hardware: Equipos de cómputo que por su criticidad son considerados activos de información, no sólo activos fijos.




Pág. 14 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Soporte para almacenamiento de información: Equipo para almacenamiento de información como USB, Discos Duros, CDs, SAN, NAS

Redes de Comunicaciones: Equipos de comunicaciones que por su criticidad son considerados activos de información, tales como: Firewall, Router, VPN, entre otros.

Servicios: Servicios de computación y comunicaciones, tales como Internet, páginas de consulta, directorios compartidos e Intranet


Nota: En relación con el contexto estratégico de los mapas de riesgos de corrupción, lo que corresponde a “Del proceso”, allí no aplica.

En la fase de Identificación de riesgos de gestión relacionados con seguridad de la información, se analizan las causas del riesgo que podría comprometer los criterios de confidencialidad, integridad y disponibilidad de los activos de información de la entidad, y se debe tener en cuenta lo siguiente:

- Flujo de información (entradas, salidas, procesamiento) y la respectiva caracterización de los

procesos de la entidad. - Inventario de activos de información de cada proceso. - Clasificación de los activos de información de los procesos. - Vulnerabilidades asociadas a los activos de información e identificación de las amenazas que

podrían materializarse.

En relación con los riesgos de seguridad de la información por procesos, se establecen los siguientes riesgos a administrarse en el IGAC:

- Pérdida o robo de la información. - Indisponibilidad de la información. - Daño o alteración de la información. - Divulgación de información.

Las actividades para ejecutar el análisis de riesgos de gestión relacionados con seguridad de la información son:

- Identificación de activos de información: En esta actividad, todos los Responsables de procesos del IGAC, deben identificar los activos de información asociados a su proceso. Ver en el listado maestro de documentos, la vigente M15000-01 Metodología Gestión de Activos de información, emitida desde el proceso Gestión Informática.

- Identificación de amenazas / causas: Las amenazas pueden originarse de sucesos o eventos accidentales o deliberados de acuerdo con la guía de gestión de riesgos de MinTic.

Tabla 1. Amenazas / Causas6

TIPO AMENAZA

Daño físico Fuego

Agua

6 Guía de Gestión de Riesgos de MinTic




Pág. 15 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Contaminación

Accidente importante

Destrucción del equipo o medios

Polvo, corrosión

Eventos naturales

Fenómenos climáticos

Fenómenos sísmicos

Fenómenos volcánicos

Fenómenos meteorológico

Inundación

Pérdida de los servicios esenciales

Fallas en el sistema de suministro de agua o aire acondicionado

Pérdida de suministro de energía

Falla en equipo de telecomunicaciones

Perturbación debida a la radiación

Radiación electromagnética

Radiación térmica

Impulsos electromagnéticos

Compromiso de la información

Interceptación de señales de interferencia comprometida

Espionaje remoto

Escucha encubierta

Hurto de medios o documentos

Compromiso de la información

Hurto de equipo

Recuperación de medios reciclados o desechados

Divulgación

Datos provenientes de fuentes no confiables

Manipulación con hardware

Manipulación con software

Detección de la posición

Destrucción del equipo o de medios

Fallas técnicas

Fallas del equipo

Mal funcionamiento del equipo

Saturación del sistema de información

Mal funcionamiento de software

Incumplimiento en el mantenimiento del sistema de información

Acciones no autorizadas

Uso no autorizado del equipo

Copia fraudulenta del software

Uso de software falso o copiado




Pág. 16 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Corrupción de los datos

Procesamiento ilegal de datos

Compromiso de las funciones

Error en el uso

Abuso de derechos

Falsificación de derechos

Negación de acciones

Incumplimiento en la disponibilidad del personal

- Identificación de Vulnerabilidades: La identificación de las vulnerabilidades evidencia las debilidades relacionadas con los activos en cuanto a:

Ambiente físico

Personal, Procedimientos, controles de dirección y administración

Hardware, Software, o equipos e instalaciones de comunicación

Tabla 2. Vulnerabilidades7

TIPO DE ACTIVOS

VULNERABILIDADES AMENAZAS

HARDWARE

Mantenimiento insuficiente / Instalación fallida de los medios de almacenamiento


Ausencia de esquemas de reemplazo periódico

Destrucción de equipos o medios

Susceptibilidad a la humedad, el polvo y la suciedad

Polvo, corrosión y congelamiento

Sensibilidad a la radiación electromagnética

Radiación Electromagnética

Ausencia de un eficiente control de cambios en la configuración

Error en el uso

Susceptibilidad a las variaciones de voltaje

Pérdida del suministro de energía

Susceptibilidad a las variaciones de temperatura

Fenómenos Meteorológicos

Almacenamiento sin protección

Hurto medios o documentos

Falta de cuidado en la disposición final

Hurto medios o documentos

Copia no controlada Hurto medios o documentos

SOFTWARE

Ausencia o insuficiencia de pruebas de software

Abuso de los derechos

Ausencia de terminación de sesión cuando se abandona la estación de trabajo


7 Guía de Gestión de Riesgos de MinTic




Pág. 17 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Disposición o reutilización de los medios de almacenamiento sin borrado adecuado


Ausencia de pistas de auditoria


Asignación errada de los derechos de acceso


En términos de tiempo utilización de datos errados en los programas de aplicación

Corrupción de datos

Interfaz de usuario compleja Error en el uso

Ausencia de documentación Error en el uso

Configuración incorrecta de los parámetros

Error en el uso

Ausencia de mecanismos de identificación y autenticación. Como la autenticación de usuario


Tablas de contraseñas sin protección


Gestión deficiente de contraseñas


Habilitación de servicios innecesarios

Procesamiento ilegal de datos

Software nuevo o inmaduro Mal funcionamiento de SW

Especificaciones incompletas o no claras para los desarrolladores

Mal funcionamiento de SW

Ausencia de control de cambios eficaz

Mal funcionamiento de SW

Descarga y uso no controlado de SW

Manipulación con SW

Ausencia de copias de respaldo

Manipulación con SW

Ausencia de protección física del edificio, puertas y ventanas


Fallas en la producción de informes de gestión


RED

Ausencia de pruebas de envío o recepción de mensajes


Líneas de comunicación sin protección

Escucha encubierta

Tráfico sensible sin protección

Escucha encubierta

Conexión deficiente de cables

Fallas del equipo de telecomunicaciones

Punto único de fallas Fallas del equipo de telecomunicaciones




Pág. 18 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Arquitectura insegura de la red

Espionaje remoto

Transferencia de contraseñas en claro

Espionaje remoto

Gestión inadecuada de la red (tolerancia a fallas en el enrutamiento)

Saturación del sistema de información

Conexiones de red pública sin protección


PERSONAL Ausencia de personal Incumplimiento en la disponibilidad del personal

Procedimientos inadecuados de contratación

Destrucción de equipos y medios

Entrenamiento insuficiente en seguridad

Error en el uso

Falta de conciencia acerca de seguridad

Error en el uso

Ausencia de mecanismos de monitoreo

Procesamiento ilegal de los datos

Trabajo no supervisado del personal externo o de limpieza


Ausencia de políticas para el uso correcto de los medios telecomunicaciones y mensajería


LUGAR Uso inadecuado o descuidado del control de acceso físico a las edificaciones y los recintos

Hurto de medios o documentos Hurto de equipos

Ubicación en área susceptible de inundación

Daño físico por agua

Red energética inestable Pérdida de suministro de energía

Ausencia de procedimiento formal para el registro y retiro de usuarios


Ausencia de proceso formal para la revisión de los derechos de acceso


Ausencia de disposición en los contratos con clientes o terceras partes ( con respecto a la seguridad)


Ausencia de procedimientos de monitoreo de los recursos de procesamiento de la información


Ausencia de auditorias Abuso de los derechos

Ausencia de procedimientos de identificación y valoración de riesgos





Pág. 19 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

ORGANIZACIÓN

Respuesta inadecuada de mantenimiento del servicio


Ausencia de acuerdos de nivel de servicio o insuficiencia de los mismos


Ausencia de procedimientos de control de cambios


Ausencia de procedimiento formal para la documentación del MSPI

Corrupción de datos

Ausencia de procedimiento formal para la autorización de la información disponible al público

Datos provenientes de fuentes no confiables

Ausencia de asignación adecuada de responsabilidades en seguridad de la información


Ausencia de planes de continuidad

Falla del equipo

Ausencia de políticas sobre el uso de correo electrónico

Error en el uso

Ausencia de procedimientos para introducción del software en los sistemas operativos

Error en el uso

Ausencia de registro en bitácoras

Error en el uso

Ausencia de procedimientos para el manejo de información clasificada

Error en el uso

Ausencia de responsabilidad en seguridad de la información en la descripción de cargos

Error en el uso

Ausencia de los procesos disciplinarios definidos en caso de incidentes de seguridad de la información

Hurto de equipo

Ausencia de política formal sobre la utilización de computadores portátiles

Hurto de equipo

Ausencia de control de los activos que se encuentran fuera de las instalaciones

Hurto de equipo

Ausencia de política sobre limpieza de escritorio y pantalla


Ausencia de autorización de los recursos de





Pág. 20 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

procesamiento de información

Ausencia de mecanismos de monitoreo establecidos para las brechas en seguridad


Ausencia de revisiones regulares por parte de la gerencia

Uso no autorizado de equipo

Ausencia de procedimientos para la presentación de informes sobre las debilidades en la seguridad

Uso no autorizado de equipo

Ausencia de procedimientos del cumplimiento de las disposiciones con los derechos intelectuales.

Uso de Software falsificado o copiado.

- Identificación de los controles existentes para los riesgos de seguridad de la información: Se debe

identificar los controles existentes con la finalidad de revisar sí estos se encuentran documentados, validar su aplicación en la actualidad y determinar sí han sido efectivos para minimizar los riesgos. En caso de existir un control que sea insuficiente o injustificado, se debe eliminar o reemplazar por otro control más adecuado.

Los responsables de los procesos deben realizar las siguientes actividades para identificar los controles existentes asociados a los activos de información:

- Identificar los controles existentes para evaluar la efectividad de los mismos. - Revisar documentos de la entidad que incluyan controles sobre los activos de información en los

riesgos de gestión y de corrupción de los procesos del IGAC. - Realizar revisiones en sitio, comparando los controles implementados contra la lista de controles

que deberían tener. - Revisar los resultados de auditorías internas.

La siguiente es la tabla que se utiliza en el IGAC, para determinar la posibilidad de ocurrencia o materialización del riesgo de gestión o corrupción, probabilidad que se determina con base en criterios de frecuencia o de factibilidad, esto dependiendo de la información histórica con que cuente cada proceso.

TABLA DE PROBABILIDAD

NIVEL

DESCRIPTOR

DESCRIPCIÓN (FACTIBILIDAD)

FRECUENCIA

FRECUENCIA (solo para riesgos de gestión relacionados con seguridad de la

información)

1

RARO

El evento puede ocurrir solo en circunstancias excepcionales

No se ha presentado en los últimos 5 años.

Menos de una vez cada 10 años.

2

IMPROBABLE

El evento puede ocurrir en algún momento.

Al menos de 1 vez en los últimos 5 años.

Desde una vez cada 10 años hasta una vez

cada 5 años

3

POSIBLE

El evento podría ocurrir en algún momento.

Al menos de 1 vez en los últimos 2 años.

Desde una vez cada 5 años hasta una vez

cada año




Pág. 21 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

4

PROBABLE

El evento probablemente ocurrirá en la mayoría de las

circunstancias.

Al menos de 1 vez en el último año.

Desde un (1) evento/año hasta tres

(3) eventos/año

5

CASI SEGURO

Se espera que el evento ocurra en la mayoría de las circunstancias.

Más de 1 vez al año. Más de tres (3) veces por año

Frecuencia: Se refiere al número de veces que ha ocurrido o se ha materializado el riesgo, en un determinado periodo de tiempo.

Factibilidad: Se tiene en cuenta el hecho que el riesgo no ha ocurrido, pero podría ocurrir, este tema aplica para todos los tipos de riesgo.

Nota: Para determinar la probabilidad, se puede utilizar cualquiera de las dos opciones: frecuencia o factibilidad.

La siguiente es la tabla de impacto que se utiliza en el IGAC, para determinar el impacto en el análisis del riesgo de gestión.

TABLA DE IMPACTO

TIPO

NIVEL

DESCRIPTOR

DESCRIPCIÓN

En caso que el riesgo se materialice el impacto u afectación sería……

CONFIDENCIALIDAD EN LA INFORMACIÓN

1 INSIGNIFICANTE Se afecta a una persona en particular.

2 MENOR Se afecta a un grupo de trabajo interno del proceso.

3 MODERADO Se afecta a todo el proceso.

4 MAYOR La afectación se da a nivel estratégico.

5 CATASTRÓFICO La afectación se da a nivel institucional.

CREDIBILIDAD O IMAGEN

1 INSIGNIFICANTE Se afecta al grupo de funcionarios y contratistas del proceso.

2 MENOR Se afecta a todos los funcionarios y contratistas de la entidad.

3 MODERADO Se afecta a los usuarios de la Sede Central de la entidad.

4 MAYOR Se afecta a los usuarios de las Direcciones Territoriales.

5 CATASTRÓFICO Se afecta a los usuarios de la Sede Central y de las Direcciones Territoriales.

LEGAL

1 INSIGNIFICANTE Se producen multas para la entidad.

2 MENOR Se producen demandas para la entidad.

3 MODERADO Se producen investigaciones disciplinarias.

4 MAYOR Se producen investigaciones fiscales.

5 CATASTRÓFICO Se producen intervenciones y o sanciones para la entidad por parte de un Ente de control u otro Ente regulador.




Pág. 22 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

La siguiente es la tabla de impacto que se utiliza en el IGAC, para determinar el impacto en el análisis del riesgo de corrupción, lo cual operará con base en las dieciocho (18) preguntas establecidas en la guía para la gestión de riesgo de corrupción 2015, de la Secretaría de Transparencia de la Presidencia de la República.

Medición del Riesgo de Corrupción

(Impacto)

NIVEL

DESCRIPTOR

DESCRIPCIÓN

5

Moderado

Afectación parcial al proceso y a la dependencia Genera a medianas consecuencias para la entidad.

10

Mayor

Impacto negativo de la Entidad Genera altas consecuencias para la entidad.

20

Catastrófico

Consecuencias desastrosas sobre el sector Genera consecuencias desastrosas para la entidad.

El tratamiento de riesgos implica un proceso cíclico de:

Decidir si los niveles de riesgo residual son aceptables.

Generar nuevos planes de tratamiento de riesgos.

Evaluar la eficacia de los planes de tratamiento de riesgos existentes.

Equilibrar los costos y los esfuerzos aplicados frente a los beneficios derivados.

Dentro del plan de tratamiento de riesgos se define el orden de prioridad en el que se deben implantar las opciones de tratamiento de riesgo.

Se seleccionan los controles que permitan asumir, reducir, evitar, compartir o transferir los valores de exposición del riesgo y posteriormente, se busca un nivel aceptable del riesgo en cada proceso.

Los procesos deberán indicar para los riesgos de gestión relacionados con seguridad de la información, si actualmente tienen implementados algunos de los controles del Anexo A de la Norma Técnica Colombiana NTC-ISO/IEC 27001:2013 Sistemas de gestión de la seguridad de la información, o en

OPERATIVO

1 INSIGNIFICANTE Se tendrían que realizar ajustes a una actividad concreta del proceso.

2 MENOR Se tendrían que realizar ajustes en los procedimientos del proceso.

3 MODERADO Se tendrían que realizar ajustes en la interacción de procesos.

4 MAYOR Se presentarían intermitencias o dificultades en la operación del proceso

5 CATASTRÓFICO Se presentaría paro o no operación del proceso.




Pág. 23 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

caso de no tenerlos, proponerlos para el tratamiento del riesgo residual. Estos controles también pueden ser alineados con otras normas y Sistemas de Gestión existentes en la entidad.

5.3.2. De la materialización de riesgos y la autoevaluación a la administración del riesgo.

° Los elementos a tener en cuenta para determinar la materialización de un riesgo de gestión o corrupción son:

1. Que se cuente con las pruebas (evidencia) que demuestren que el evento denominado como riesgo pasó a ser realidad.

2. Si hay una situación en la que posiblemente se esté dando la materialización de un riesgo de gestión o corrupción, en la cual solo existen presuntas pruebas, y la mencionada situación pasa a ser investigada en un proceso disciplinario, se debe esperar a la comunicación de un fallo en firme por parte del GIT Control Disciplinario, para comprobar la efectiva materialización del riesgo con base en lo descrito en el fallo.

Cuando se reporte la materialización de un riesgo en SOFIGAC, se puede adjuntar la parte resolutiva del fallo debidamente ejecutoriado, o un documento que haga alusión o referencie el hecho presentado.

En caso que en los procesos de la sede central exista información tendiente a determinar que cualquier riesgo de gestión o corrupción se ha materializado, si es un funcionario o contratista (diferente al responsable del proceso) el que cuenta con la información, éste debe comunicarle de forma inmediata el hecho presentado al responsable de ese proceso, con el propósito que este último trate el tema con el facilitador del Sistema de Gestión Integrado y realice las actividades pertinentes para asegurarse que realmente se trata de una materialización y que se cuenta con las pruebas (evidencias) que demuestran el hecho, esto con el fin de hacer el reporte respectivo desde el proceso en el módulo de riesgos del aplicativo SOFIGAC, dentro de los cinco (5) días hábiles siguientes a la determinación de la materialización del riesgo y establecer las acciones correctivas a que haya lugar.

En caso que en los procesos de la sede central exista información tendiente a determinar que cualquier riesgo de gestión o corrupción se ha materializado, y es el responsable de ese proceso quien cuenta con la información, éste último debe convocar reunión con la(s) persona(s) involucrada(s) en la posible materialización de riesgo, así como con el Facilitador del SGI de su proceso, con el propósito de asegurarse que realmente se trata de una materialización y que se cuenta con la prueba (evidencia) que demuestra el hecho, esto con el fin de hacer el reporte respectivo desde el proceso en el módulo de riesgos del aplicativo SOFIGAC, dentro de los cinco (5) días hábiles siguientes a la determinación de la materialización del riesgo y establecer las acciones correctivas a que haya lugar.

En relación con los procesos en la sede central, se deben tomar decisiones en un comité de mejoramiento ordinario o extraordinario, sobre materialización de riesgos a nivel central (incluida la decisión de determinar según la situación o circunstancias, si un riesgo materializado, se mantiene como riesgo documentado en el mapa de riesgos de gestión o corrupción del proceso).De igual forma se debe determinar la causa de la materialización del riesgo, hacer el análisis de los controles establecidos, ejecutar el plan de contingencia indicado y actualizar (si hay lugar a ello) el mapa de riesgos del proceso. También se debe establecer en el módulo de acciones de mejoramiento del aplicativo SOFIGAC las correcciones y acciones correctivas correspondientes, de acuerdo con lo dispuesto en el vigente manual de procedimiento P12100-04 “Acciones de mejoramiento. Nota: Todas las decisiones tomadas se deben documentar en el acta del Comité de mejoramiento. En caso que se considere que por el riesgo materializado no se van a documentar acciones, se debe dejar la debida justificación en el acta del Comité de mejoramiento.

En relación con los procesos que aplican en direcciones territoriales, los responsables de esos procesos en la sede central, deben analizar y tomar decisiones en cualquier momento en el marco de un comité de mejoramiento ordinario o extraordinario, respecto de las materializaciones de riesgos que se puedan llegar a generar en estas Direcciones Territoriales, Unidades Operativas de Catastro (UOC)




Pág. 24 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

o Centros de ventas, con el fin de determinarse en el módulo de riesgos del aplicativo SOFIGAC por parte del proceso en sede central, si esa materialización se trata de una situación particular que amerita tomar acciones documentadas solo donde se presentó, o si se requiere declarar y reportar en el módulo de riesgos del aplicativo SOFIGAC, la materialización generalizada del riesgo a nivel nacional y tomar otro tipo de decisiones (incluida la decisión de determinar según la situación o circunstancias, si el riesgo materializado se mantiene como riesgo documentado en el mapa de riesgos de gestión o corrupción). De igual forma se debe determinar la causa de la materialización del riesgo, hacer el análisis de los controles establecidos, ejecutar si es necesario el plan de contingencia indicado y actualizar (si hay lugar a ello) el mapa de riesgos del proceso en donde se materializó el riesgo. así mismo se debe establecer en el módulo de acciones de mejoramiento del aplicativo SOFIGAC las correcciones y acciones correctivas correspondientes, de acuerdo con lo dispuesto en el vigente manual de procedimiento P12100-04 “Acciones de mejoramiento. Nota: Todas las decisiones tomadas se deben documentar en el acta del Comité de mejoramiento. En caso que se considere que por el riesgo materializado no se van a documentar acciones, se debe dejar la debida justificación en el acta del Comité de mejoramiento.

En caso que en algún proceso de las direcciones territoriales exista información tendiente a determinar que un riesgo de gestión o corrupción se ha materializado, si es un funcionario o contratista el que cuenta con la información, éste debe comunicarle de forma inmediata el hecho presentado al responsable de ese proceso, para que éste último trate el tema con el facilitador del Sistema de Gestión Integrado (SGI) de su dirección territorial y con el Director Territorial, con el propósito de asegurarse que realmente se trata de una materialización y que se cuenta con las pruebas (evidencias) que demuestran el hecho, esto con el fin de hacer el reporte respectivo desde la Dirección Territorial en el módulo de riesgos del aplicativo SOFIGAC, dentro de los cinco (5) días hábiles siguientes a la determinación de la materialización del riesgo y establecer las acciones correctivas a que haya lugar.

En caso que en algún proceso de las direcciones territoriales exista información tendiente a determinar que cualquier riesgo de gestión o corrupción se ha materializado y es el responsable de ese proceso quien cuenta con la información, éste debe comunicarle de forma inmediata el hecho presentado al facilitador del Sistema de Gestión Integrado (SGI) de su dirección territorial, así como al Director Territorial, con el propósito de asegurarse que realmente se trata de una materialización y que se cuenta con la prueba (evidencia) que demuestra el hecho, esto con el fin de hacer el reporte respectivo desde la Dirección Territorial en el módulo de riesgos del aplicativo SOFIGAC, dentro de los cinco (5) días hábiles siguientes a la determinación de la materialización del riesgo y establecer las acciones correctivas a que haya lugar.

En caso que en las direcciones territoriales, sea el Director Territorial quien cuente con la información tendiente a determinar que cualquier riesgo de gestión o corrupción se ha materializado, éste deberá convocar reunión con la(s) persona(s) involucrada(s) en la posible materialización de riesgo, con el responsable del proceso en el cual se dio la situación, así como con el Facilitador del SGI de su dirección territorial, con el propósito de asegurarse que realmente se trata de una materialización y que se cuenta con la prueba (evidencia) que demuestra el hecho, esto con el fin de hacer el reporte respectivo desde la Dirección Territorial en el módulo de riesgos del aplicativo SOFIGAC, dentro de los cinco (5) días hábiles siguientes a la determinación de la materialización del riesgo y establecer las acciones correctivas a que haya lugar.

° En el caso que en la sede central, direcciones territoriales, unidades operativas de catastro o centros de ventas, se presente cualquier situación que esté relacionada con la materialización de un riesgo de gestión o corrupción, y se cuente solo con presuntas pruebas que no permitan determinar inmediatamente la efectiva materialización, si ésta mencionada situación se encuentra inmersa en un proceso disciplinario, se debe esperar a que por parte del GIT Control Disciplinario, se comunique de manera oficial el fallo en firme en contra del funcionario disciplinado, para así cerciorarse que lo descrito en el fallo comprueba la efectiva materialización del riesgo. En el caso que el fallo en firme compruebe la materialización del riesgo, se debe reportar en SOFIGAC esta materialización desde el proceso en la sede central o dirección territorial, según corresponda, dentro de los cinco (5) días hábiles siguientes a la determinación de la materialización del riesgo, lo anterior teniendo en cuenta que en el momento del fallo en firme, el riesgo aún se encuentre vigente en el mapa de riesgos de gestión o corrupción; también se deberán establecer las acciones correctivas a que haya lugar.




Pág. 25 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

° En caso que en la sede central, direcciones territoriales, unidades operativas de catastro o centros de ventas, al momento de comunicarse un fallo en firme por parte del GIT Control Disciplinario, de alguna situación que tenga que ver con la materialización de un riesgo de gestión o corrupción, si en ese momento del fallo, lo descrito en el mismo demuestra la efectiva materialización y el riesgo ya no se encuentra vigente en el mapa de riesgos de gestión o corrupción del proceso, el hecho no se podrá tratar como una materialización de riesgo, sino que deberá tratarse como una realidad a atenderse o como un acto de corrupción, estableciendo en el módulo de acciones de mejoramiento del aplicativo SOFIGAC, las acciones correctivas a que haya lugar y seguirse las actuaciones administrativas correspondientes, por quien tenga la competencia para hacerlo.

° En caso que en la sede central, direcciones territoriales, unidades operativas de catastro o centros de ventas, la materialización de un riesgo de gestión o corrupción sea generado por responsabilidad de un Contratista del IGAC, esta materialización solo se podrá determinar, si se cuenta con las pruebas (evidencias) que demuestran el hecho, es decir que se demuestre que el evento denominado como riesgo pasó a ser realidad. Al respecto se debe reportar en SOFIGAC esa materialización desde el proceso en la sede central o dirección territorial, según corresponda, dentro de los cinco (5) días hábiles siguientes a la determinación de la materialización del riesgo

Una vez los responsables de procesos determinan la materialización de un riesgo, se genera una notificación informativa a través del aplicativo SOFIGAC para el Jefe de la Oficina de Control Interno.

En el módulo de riesgos del aplicativo SOFIGAC, se realiza el seguimiento en la Sede Central (SC) y Direcciones Territoriales (DT), a la ejecución de controles inmersos en los mapas de riesgos de gestión y corrupción, así como a la materialización de riesgos, por lo menos de forma cuatrimestral, durante los tres (3) días hábiles del mes siguiente a los cuatrimestres (enero – abril, mayo – agosto, septiembre diciembre) que serán reportados.

Si por alguna razón un control que debía realizarse no se ejecutó durante el cuatrimestre, la justificación de este hecho se debe dejar explícita en el espacio donde se hace el seguimiento en el aplicativo SOFIGAC, allí también se podrá adjuntar cualquier documento que soporte la no ejecución del control.

° En la autoevaluación a la administración del riesgo, que se hace como mecanismo de autocontrol en los Comités de mejoramiento en Sede Central y Direcciones Territoriales, hay que documentar en el acta de dicho comité, las conclusiones sobre el seguimiento a controles de mapas de riesgos, manifestando si éstos han sido efectivos o han servido en la mitigación del riesgo y si se van o no a ajustar, también manifestar expresamente si se han o no presentado eventos o situaciones que demanden el ajuste de alguno de los componentes (incluido el contexto estratégico - DOFA), de los actuales mapas de riesgos de gestión y corrupción del proceso, y si se han o no materializado riesgos. Nota: La autoevaluación del riesgo que se realiza en las sedes de las Direcciones Territoriales, debe incluir a las Unidades Operativas de Catastro (UOC) o Centros de ventas que estén a su cargo, lo cual debe documentarse en la respectiva Acta de Comité de mejoramiento.

Durante la realización de los Comités de Mejoramiento por procesos en la Sede Central, además de analizar la información propia del proceso, se debe analizar la información reportada por las Direcciones Territoriales, en relación a las propuestas de actualización de mapas de riesgos (si hay lugar a ello) o en relación a materialización de riesgos de gestión o corrupción.

Si el o los riesgos inmersos en un mapa de riesgos de gestión o corrupción se pudieran llegar a materializar en las Direcciones Territoriales, así allí no se ejecuten controles, hay que determinar e informar en el aplicativo SOFIGAC cuatrimestralmente desde estas direcciones territoriales, si el riesgo se materializó o no.

5.3.3. Del seguimiento realizado por la Oficina de Control Interno

Teniendo en cuenta que los riesgos nunca dejan de representar una amenaza para el IGAC, la Oficina de Control Interno hace seguimiento periódico a la ejecución de los controles inmersos en los mapas de riesgos, así como a la ejecución de las acciones preventivas que hacen parte del plan para el tratamiento de riesgos de cada uno de los procesos de la entidad.

Registrar los resultados del seguimiento de cada una de las acciones preventivas establecidas para la mitigación de los riesgos.




Pág. 26 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

Realizar seguimiento a la administración del riesgo institucional, donde se incluye seguimiento a los mapas de riesgos, por lo menos tres (3) veces al año con corte a abril 30, agosto 31 y diciembre 31.

° Si en cualquier momento durante el desarrollo de las actividades de auditoría y seguimiento independiente que realiza la Oficina de Control Interno, se determina con pruebas (evidencias) que se ha materializado un riesgo de gestión o corrupción, se deberá revisar desde la Oficina de Control Interno, si en el momento en que se dio la materialización con base en la pruebas, el riesgo aún se encontraba vigente en algún mapa de riesgos de gestión y corrupción de la entidad. En caso que si se encuentre vigente, se deberá reportar por parte de la Oficina de Control Interno dentro de los cinco (5) días hábiles siguientes a la determinación de la materialización del riesgo en el aplicativo SOFIGAC, para que el proceso en la sede central o dirección territorial establezca las acciones a que haya lugar. Nota: Cuando se reporte la materialización del riesgo en SOFIGAC, no se deben adjuntar las pruebas, sino un documento que haga alusión o referencie el hecho presentado.

En caso que al momento de determinarse la materialización del riesgo por parte de la Oficina de Control Interno con base en la pruebas (evidencias), el riesgo ya no se encuentre vigente en un mapa de riesgos de gestión o corrupción de la entidad, el hecho no se podrá tratar como una materialización de riesgo, sino que deberá tratarse como una realidad a atenderse o como un hecho de corrupción, para lo cual la Oficina de Control Interno le informará la situación de manera oficial a quien corresponda, para que se establezcan las acciones a que haya lugar.

6. FORMATOS, REGISTROS Y REPORTES

F12100-15 Contexto Estratégico – DOFA consolidada

Reportes relacionados en el aplicativo Sofigac – módulo de riesgos.

7. PROCEDIMIENTO – PASO A PASO

7.1 GESTIÓN DE LA ADMINISTRACIÓN DEL RIESGO

RESPONSABLE ACTIVIDAD CONTROLES Y ASPECTOS

RELEVANTES

Oficina Asesora de Planeación - GIT Desarrollo Organizacional –

Administrador del módulo de riesgos de SOFIGAC.

1. Realiza las actividades necesarias, coordinando con el proceso de Comunicaciones, para informar interna y externamente que se van a realizar mesas de trabajo, de revisión y actualización de contexto estratégico (DOFA), mapas de riesgos de gestión y corrupción, y que pueden participar en esta actividad de manera presencial o virtual

Oficina Asesora de Planeación - GIT Desarrollo Organizacional

2. Coordina las actividades necesarias para hacer en mesa de trabajo la formulación, revisión y/o actualización del Contexto Estratégico (DOFA) basado en riesgos y de los mapas de riesgos de gestión y corrupción por proceso.

Tener en cuenta las guías emitidas por el DAFP en relación con la administración del riesgo de gestión y de la Secretaría de la Transparencia de la Presidencia de la República para el caso de los riesgos de corrupción.

Recordar que la revisión y/o actualización debe ser participativa

Responsables de procesos en Sede Central con sus equipos de trabajo incluido el facilitador del SGI del

proceso, representante(s) de Gestión Informática por el tema de seguridad de la información y la

En mesa de trabajo y bajo el liderazgo del GIT de Desarrollo Organizacional, realizan las siguientes actividades

3. Formulan, revisan y/o actualizan (si hay lugar a ello) el Contexto Estratégico (DOFA) (factores internos, externos y del proceso), de acuerdo al proceso objeto de análisis.

Las mesas de trabajo para la actualización de la administración del riesgo, se realizarán anualmente preferiblemente a mediados del mes de diciembre de cada año y los ajustes realizados serán validados para su aprobación en el mismo mes o en el mes de enero de cada año, para que




Pág. 27 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA



RELEVANTES

Oficina Asesora de Planeación -GIT Desarrollo Organizacional.

4. Identifican, describen y clasifican los riesgos de gestión y corrupción del proceso, especificando las causas y estableciendo las posibles consecuencias que la materialización de éstos puedan generar.

5. Analizan los riesgos de gestión y corrupción identificados, estiman el número de veces que el riesgo ha estado presente en un determinado tiempo y definen el nivel de la probabilidad.

6. Establecen para riesgos de gestión y corrupción, la magnitud del impacto del riesgo, en caso de materializarse.

7. Valoran los riesgos de gestión y corrupción identificados, evaluando los controles existentes en el proceso a nivel nacional, los cuales están direccionados a evitar la materialización del riesgo o a disminuir las consecuencias de su materialización

8. Deciden el manejo que se les dará a los riesgos identificados de gestión a través de acciones preventivas eligiendo la opción de tratamiento más adecuada: “evitar”, “reducir”, “compartir” o “asumir” el riesgo, también generan el plan de contingencia a aplicar en caso de materialización de riesgos. Para el caso de riesgos de corrupción elige las opciones “evitar” o “reducir” el riesgo.

entren en vigencia.

Identificar adecuadamente los riesgos a nivel nacional, ya que de esto depende la formulación de las acciones para su tratamiento. (Tener en cuenta en el análisis si aplica a las Direcciones Territoriales o complementar según aplique)

La zona de riesgo y las opciones de manejo del riesgo inherente y residual, de riesgos de gestión y corrupción, se obtienen con base en los niveles de probabilidad e impacto identificados.

Diligenciar registro de asistencia en las mesas de trabajo que se realicen.

Tener en cuenta para la generación de acciones preventivas, lo dispuesto en el manual de procedimientos de acciones de mejoramiento.

Oficina Asesora de Planeación -GIT Desarrollo Organizacional –


9. Con la información formulada, revisada y/o actualizada en las actividades 2 a 8 entre la Oficina Asesora de Planeación -GIT Desarrollo Organizacional y los procesos institucionales, genera la versión previa o borrador de los mapas de riesgos de gestión y corrupción.

10. Publica interna y externamente por lo menos entre 2 y 3 días hábiles, los mapas de riesgos de gestión y corrupción versión previa o borrador, para obtener aportes.

11. Genera la versión definitiva oficial de los mapas de riesgos de gestión, corrupción e institucional.

12. Publica interna y externamente la versión definitiva oficial de los mapas de riesgos de gestión, corrupción e institucional.

Informar interna y externamente sobre la publicación de los mapas de riesgos de gestión y corrupción versión previa o borrador.

Tener en cuenta los aportes internos y externos para la generación de los mapas de riesgos oficiales.

Informar interna y externamente sobre la publicación de los mapas de riesgos de gestión y corrupción versión definitiva oficial.

Facilitador del SGI en la sede central

13. Documenta en el módulo de riesgos del aplicativo SOFIGAC, el contexto estratégico (DOFA) y los mapas de riesgos de gestión y corrupción definitivos oficiales de su proceso y envía para validación del responsable del proceso.

Cuando se envíen los mapas de riesgos para validación, no olvidar describir los ajustes realizados en los mapas de riesgos de gestión y corrupción.




Pág. 28 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA



RELEVANTES

Responsable de procesos en Sede Central

14. Aprobar en el módulo de riesgos del aplicativo SOFIGAC, los ajustes realizados o la formulación de los mapas de riesgos de gestión y corrupción de su proceso a cargo.

Cuando se envíen los mapas de riesgos para aprobación del administrador del módulo de riesgos del aplicativo SOFIGAC, no olvidar describir los ajustes realizados en los mapas de riesgos de gestión y corrupción.

Oficina Asesora de Planeación -GIT Desarrollo Organizacional –


15. Aprobar en el módulo de riesgos del aplicativo SOFIGAC, la generación o ajustes realizados a los mapas de riesgos de gestión y corrupción de los procesos institucionales y generar versión.

No olvidar describir los ajustes realizados en los mapas de riesgos de gestión y corrupción, para respaldar la generación de versiones.

Tener en cuenta que los mapas de riesgos deben estar aprobados, por parte del responsable del proceso y del administrador de riesgos, para que puedan hacer parte de las nuevas versiones de mapas de riesgos.

Responsable de procesos en Sede Central y Direcciones Territoriales

16. Da a conocer el Contexto Estratégico (DOFA) y los mapas de riesgos de gestión y corrupción oficiales definitivos a funcionarios y contratistas que trabajan en sus respectivos procesos.

Responsables de procesos y equipo de trabajo en Sede Central y

Direcciones Territoriales

17. Aplica los controles, realiza las acciones preventivas asociados a los mapas de riesgos de gestión y corrupción por cada proceso, hace seguimiento cuatrimestral a la ejecución de los controles, determina materialización o no de riesgos y presentan los resultados del seguimiento en Comité de mejoramiento, lo cual sirve para tomar decisiones de posibles actualizaciones a los mapas de riesgos del proceso.

Oficina de Control Interno

18. Realiza seguimiento cuatrimestral a la administración del riesgo institucional, genera el informe respectivo y publica de acuerdo a la normatividad relacionada vigente.




Pág. 29 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

8. ANEXOS

Anexo 1. Flujograma procedimiento Gestión de la administración del riesgo

9. IDENTIFICACIÓN DE CAMBIOS

VERSIÓN NUMERAL DESCRIPCIÓN FECHA

7

1

Se incluyó el tema de cuestiones internas y externas en el objetivo del manual de procedimientos.

Marzo de 2017

2 Se adicionó el alcance incluyendo Unidades Operativas de Catastro (UOC), Centros de ventas y Centros integrados de servicios

3

Se eliminaron, ajustaron y adicionaron responsabilidades a la oficina Asesora de Planeación – GIT desarrollo Organizacional, Oficina de Control Interno, facilitadores del SGI y Directores Territoriales; en relación con los responsables de procesos en la sede central y en las direcciones territoriales, se ajustaron e incluyeron responsabilidades enfocadas en los seguimientos de autocontrol de riesgos y materialización de riesgos, se incluyeron responsabilidades para los responsables de Unidades Operativas de Catastro (UOC), Centros de ventas y Centros integrados de servicios y del GIT de Control Disciplinario

4 Se modificaron e incluyeron términos del Glosario del manual de procedimientos

5

Se incluyó en la normatividad técnica del manual de procedimientos, lo relacionado con la norma NTC ISO 14001:2015 Sistema de Gestión Ambiental – Requisitos.

Se modificaron y adicionaron las políticas de operación Generales, incluyendo el tema de expectativas de usuarios, tipos de riesgos, emisión de versiones de riegos, publicación de mapas de riesgos, componentes del contexto estratégico DOFA y su revisión y actualización, revisión de mapas de riesgos de gestión y corrupción, criterios de probabilidad y de impacto.

Se adicionó un capitulo relacionado con la materialización de riesgos y la autoevaluación a la administración del riesgo

Se ajustaron las políticas de operación de la Oficina de Control interno, en relación con el seguimiento independiente que allí se realiza.

6

Se eliminan los formatos F12100-09/16.V2 Mapa de riesgos de corrupción, F12100-10/16.V2 Contexto Estratégico - DOFA, F12100-11/16.V8 Mapa de Riesgos de Gestión por Proceso, teniendo en cuenta que éstos se encuentran inmersos en el aplicativo SOFIGAC. Se genera el formato F12100-15/17.V1 Contexto Estratégico – DOFA consolidado.

7

En el paso a paso del manual de procedimientos, se incluyó una actividad relacionada con informar interna y externamente sobre la revisión de contexto estratégico y mapas de riesgos de la entidad, para buscar hacer de esta una actividad participativa. Se incluyó control referente a hacer la revisión de la administración del riesgo preferiblemente a mediados del mes de diciembre de cada año y sobre la publicación de mapas de riesgos en borrador y definitivos. Se incluyeron actividades que tienen que ver con documentar en el aplicativo Sofigac el contexto estratégico y los mapas de riesgos, aprobaciones de los responsables de procesos y del administrador del módulo de riesgos del aplicativo SOFIGAC. Se ajustó la actividad relacionada con el seguimiento realizado por la Oficina de Control Interno.

8 Se complementó el flujograma del procedimiento con base en nuevas actividades del paso a paso.

8

2 Se quita del alcance a los centros integrados de servicios que aplican a nivel nacional, mientras se determina cómo operará la administración del riesgo en estas sedes de la entidad.

Dic de 2017

3

Se ajustaron y adicionaron responsabilidades a la Oficina Asesora de Planeación – GIT Desarrollo Organizacional; se crearon responsabilidades para la Oficina de Informática y Comunicaciones relacionadas con la seguridad de la información, se creó una nueva responsabilidad para los facilitadores del SGI, frente a socializar por lo menos una (1) vez al año en relación con la administración del riesgo, en las Unidades Operativas de Catastro y en los Centros de Ventas.

http://igacnet2.igac.gov.co/intranet/UserFiles/File/procedimientos/manuales/exel/2016/F12100-09-16V2%20Mapa%20de%20Riesgos%20de%20corrupcion.xls

http://igacnet2.igac.gov.co/intranet/UserFiles/File/procedimientos/manuales/exel/2016/F12100-10-16V2%20Contexto%20Estrategico.xls

http://igacnet2.igac.gov.co/intranet/UserFiles/File/procedimientos/manuales/exel/2016/F12100-11-16V8%20Mapa%20de%20Riesgos%20de%20Gestion.xls

http://igacnet2.igac.gov.co/intranet/UserFiles/File/procedimientos/manuales/exel/2016/F12100-11-16V8%20Mapa%20de%20Riesgos%20de%20Gestion.xls




Pág. 30 de 30

Cód. P12100-05/17.V8

Fecha Dic. de 2017

COPIA NO CONTROLADA

4. Se incluyeron términos relacionados con la seguridad de la información, se ajustaron términos existentes

5.

Se eliminó la norma técnica NTCGP 1000:2009 por haber perdido vigencia y se incluyeron normas técnicas relacionadas con seguridad de la información. Se incluyó el Decreto 1499 de 2017. En los tipos de riesgos presentes en el mapa de riesgos de gestión del IGAC, se incluyó la tipología de “seguridad de la información” así como su definición. En relación con el contexto estratégico – DOFA, en los factores interno “Recursos humanos” y “tecnología” la definición de éstos se ajustó, complementándolos con información alusiva a seguridad de la información, Frente al factor interno “Del proceso” se incluyeron los conceptos de: Información y datos de la entidad, Sistemas de información y aplicaciones de Software, Dispositivos de Tecnologías de información- Hardware, Soporte para almacenamiento de información, Redes de Comunicaciones y Servicios. Se incluyó una política de operación, en la cual se definen cuáles son los riesgos de seguridad de la información que deben administrarse en el IGAC. Se aclararon políticas de operación relacionadas con causas a asociarse a los riesgos, determinación de probabilidad y no ejecución justificada de controles. Se cambió la definición del concepto de “tecnología” en el contexto interno. Se incluyeron nuevas políticas de operación relacionadas con seguridad de la información y con actividades para ejecutar el análisis de riesgos de gestión relacionados con seguridad de la información.

6 Se ajusta el formato F12100-15 Contexto Estratégico – DOFA consolidada, incluyendo ítems relacionados con seguridad de la información en el “contexto del proceso”. Se adicionó un espacio para control de cambios y firmas.

7 Se incluyó al proceso Gestión Informática, como participante en las mesas de trabajo de revisión y actualización de riesgos, para aportes en relación con riesgos de seguridad de la información.

ACTUALIZÓ GRUPO INTERNO DE TRABAJO DESARROLLO ORGANIZACIONAL

Willson Orlando Ávila Pinzón

ACTUALIZÓ OFICINA DE INFORMÁTICA Y TELECOMUNICACIONES

Laura Vanessa Berrio Hernández Carolina Arboleda Arcila

Andrés Giovanny Cadena Herrera

REVISÓ OFICINA DE CONTROL INTERNO

Gladys Marlenny Velásquez

Acosta Jorge Armando Porras Buitrago.

REVISÓ OFICINA DE INFORMÁTICA Y TELECOMUNICACIONES

Fredy Alfonso de la Ossa Rojas

REVISÓ GRUPO INTERNO DE TRABAJO DESARROLLO ORGANIZACIONAL

Nancy Patricia Gómez Martínez

VERIFICÓ TÉCNICAMENTE GRUPO INTERNO DE TRABAJO DESARROLLO ORGANIZACIONAL

Marcela Yolanda Puentes Castrillón

VALIDÓ, APROBÓ Y OFICIALIZÓ OFICINA ASESORA DE PLANEACIÓN

Andrea del Pilar Moreno Hernández

ANEXO 1

FLUJOGRAMA PROCEDIMIENTO ADMINISTRACIÓN DEL RIESGO


Pág. 1 de 2

Fecha Diciembre de 2017

Sede Central Sede Central Sede Central Sede Central Sede Central

Oficina Asesora de Planeación - GIT

Desarrollo Organizacional –

Administrador del módulo de riesgos

de SOFIGAC.

Oficina Asesora de Planeación - GIT

Desarrollo Organizacional

Responsables de procesos en Sede

Central con sus equipos de trabajo

incluido el facilitador del SGI del

proceso, , representante(s) de Gestión

Informática por el tema de seguridad de

la información y la Oficina Asesora de

Planeación -GIT Desarrollo

Organizacional.

Oficina Asesora de Planeación -GIT

Desarrollo Organizacional –

Administrador del módulo de riesgos

de SOFIGAC.

Facilitador del SGI

Realizar actividades para informar interna y externamente que se va a

revisar DOFA y mapas de riesgos del IGAC

1

Inicio

Formular, revisar y/o actualizar (si hay lugar a ello) el Contexto Estratégico

3

Realizar la identif icación del riesgo, clasif icándolo, estableciendo causas y

consecuencias.

4

Analizar los riesgos de gestión y corrupción, de acuerdo a los niveles de

probabilidad definidos.

5

Documenta en el módulo de riesgos del aplicativo SOFIGAC, el contexto estratégico (DOFA) y los

mapas de riesgos

13

Establecer la magnitud del impacto del riesgo de gestión y corrupción, en caso

de materializarse, de acuedo con los niveles de impacto definidos.

Valorar los riesgos de gestión y corrupción identif icados, evaluando los

controles existentes en el proceso a nivel Nacional

6

7

Decidir el tratamiento que se le dará a los riesgos una vez se hace la

evaluación de controles .

8

P/2

Generar la versión previa o borrador de los mapas de riesgos de gestión y

corrupción.

9

Publicar interna y externamente los mapas de riesgos de gestión y

corrupción versión previa o

borrador

10

Generar la versión definitiva oficial de los mapas de riesgos de gestión

y corrupción

Publica interna y externamente la versión definitiva oficial de los mapas de riesgos de gestión y

corrupción.

11

12

Coordinar actividades necesarias para hacer mesas de trabajo, donde se van a

revisar DOFA y mapas de riesgos del IGAC

2

ANEXO 1

FLUJOGRAMA PROCEDIMIENTO ADMINISTRACIÓN DEL RIESGO


Pág. 2 de 2

Fecha Diciembre de 2017

GRUPO INTERNO DE TRABAJO DESARROLLO ...igacnet2.igac.gov.co/intranet/UserFiles/File...MANUAL DE...

Documents

Transcript of GRUPO INTERNO DE TRABAJO DESARROLLO ...igacnet2.igac.gov.co/intranet/UserFiles/File...MANUAL DE...