GUIA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES · 2018-04-04 · GUIA PARA LA GESTIÓN DEL...

GUIA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES

CODIGO: G102PR06G01

Versión 02

Fecha Rige a partir de su liberación en GINA

Página 1 de 43

SISTEMA DE GESTION DE LA CALIDAD DE COLCIENCIAS, Una vez descargado o impreso este documento se considerará una COPIA NO CONTROLADA. Los documentos actualizados del S.G.C. se encuentran en el Portal de Colciencias http://www.colciencias.gov.co Micrositio S.G.C y GINA

DEPARTAMENTO ADMINISTRATIVO DE CIENCIA TECNOLOGIA

E INNOVACION- COLCIENCIAS

GUIA PARA LA GESTIÓN DEL RIESGO

Y LAS OPORTUNIDADES


CODIGO: G102PR06G01

Versión 02


Página 2 de 43


CONTROL DE CAMBIOS

Versión Fecha Numerales Descripción de la modificación

00 2015-05-27 Todos Se crea documento

01

Los cambios rigen a partir de su liberación en GINA

Todos

Se modifica basado en las nuevas directrices para la administración del riesgo emitidas por función pública, en la Guía para la administración del riesgo 2014 y Guía para la gestión del riesgo de corrupción 2015, resaltando los pasos necesarios llevar a cabo el establecimiento del Contexto, Identificación y valoración del riesgo, formulación y desarrollo del plan manejo de riesgo, comunicación y consulta. De igual manera se mejora la definición de las responsabilidades de la OCI, OAP y líderes de proceso en la gestión efectiva del riesgo. Se desglosa de manera detallada la manera de determinar tanto el impacto como la probabilidad con mayor objetividad. Así mismo, se desglosan aspectos a tener en cuenta para establecer la fortaleza de los controles existentes de forma cualitativa. En coherencia con el plan de integración de los sistemas de gestión se incluyen y articulan los aspectos para la gestión de riesgos de seguridad y privacidad de la información, recomendadas por el Modelo de Seguridad y Privacidad de la Información de Gobierno en Línea y por la norma ISO 27001:2013 Se incluyen directrices que permitan al lector la navegación en el módulo riesgo de la herramienta GINA.

02

Los cambios rigen a partir de su liberación en GINA

5.

8

9.2

9.5

9.6

10

Marco legal: Se incluye el Decreto 1499 de 2017, por el cual se adopta el Modelo Integrado de Planeación y Gestión. Se elimina la Ley 872 de 2003. Roles y Responsabilidades: Se amplían las responsabilidades en coherencia con la Guía de Gestión del Riesgos y caja de herramientas publicada por el DFFP en 2017. Identificación de riesgos: Se aclara que la identificación de los riesgos se realiza teniendo en cuenta los más significativos en relación con el cumplimiento de los objetivos de los procesos, los objetivos institucionales, así como los que pueden afectar la calidad del bien o servicio que la Entidad suministra. Se aclaran los lineamientos para la identificación y gestión de los riesgos de: Seguridad y privacidad de la Información, Seguridad y Salud en el Trabajo y procesos de contratación, Monitoreo y revisión: Se aclaran los criterios para evaluar la eficacia de las acciones tomadas para abordar los riesgos Lineamientos para el manejo de riesgos materializados: Se incluye este numeral el cual contiene los lineamientos para el manejo de riesgos materializados en coherencia con lo definido en la Guía de Gestión del Riesgos y caja de herramientas publicada por el DFFP en 2017. Metodología para la gestión de las oportunidades en Colciencias: Se incluye este numeral el cual contiene los lineamientos para la gestión de las oportunidades en la Entidad.


CODIGO: G102PR06G01

Versión 02


Página 3 de 43


TABLA DE CONTENIDO

INTRODUCCIÓN ............................................................................................................................................................................................ 4

1. OBJETIVO GENERAL .................................................................................................................................................................... 4

2. ALCANCE ........................................................................................................................................................................................ 5

3. BENEFICIOS DE LA GESTIÓN DE RIESGOS ............................................................................................................................... 5

4. DEFINICIONES ................................................................................................................................................................................ 6

5. MARCO LEGAL ............................................................................................................................................................................ 10

6. GESTIÒN DEL RIESGO ................................................................................................................................................................ 11

7. POLITICA DE ADMINISTRACION DEL RIESGO ......................................................................................................................... 12

8. ROLES Y RESPONSABILIDADES ............................................................................................................................................... 13

9. METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO EN COLCIENCIAS ................................................................... 15

9.1 Definición del Contexto estratégico ........................................................................................................................................... 16

9.2 Identificación de riesgos ............................................................................................................................................................. 19

9.2.1 Identificación de los riesgos del Sistema de Seguridad y Privacidad de la Información ..................................................... 24

9.2.2 Identificación y gestión de los riesgos del Sistema de Seguridad y Salud en el Trabajo .................................................... 26

9.2.3 Identificación y gestión de los riesgos en los procesos de contratación. ............................................................................. 26

9.3 Valoración del riesgo ................................................................................................................................................................... 27

9.3.1 Análisis de Riesgos ..................................................................................................................................................................... 27

9.3.2 Evaluación del Riesgos ............................................................................................................................................................... 31

9.4 Tratamiento del riesgo (medidas de respuesta) ....................................................................................................................... 36

9.4.1 Opciones de Manejo .................................................................................................................................................................... 37

9.4.2 Plan de manejo y/o acciones asociadas .................................................................................................................................... 37

9.5 Monitoreo y revisión .................................................................................................................................................................... 38

9.6 Lineamientos para el manejo de Riesgos Materializados ........................................................................................................ 39

9.7 Actualización del mapa de riesgos ............................................................................................................................................ 40

10. METODOLOGÍA PARA LA GESTIÓN DE LAS OPORTUNIDADES EN COLCIENCIAS ........................................................... 40

11. COMUNICACIÓN Y CONSULTA .................................................................................................................................................. 41

12. ALINEACIÓN CON LA POLÍTICA DE LUCHA CONTRA LA CORRUPCIÓN Y DE EFICIENCIA ADMINISTRATIVA .............. 41

13. PRODUCTO Y SERVICIO NO CONFORME ................................................................................................................................. 42

BIBLIOGRAFÍA ....................................................................................................................................................... ...43


CODIGO: G102PR06G01

Versión 02


Página 4 de 43


INTRODUCCIÓN

Las entidades existen con el fin último de generar valor para sus grupos de interés. En su camino cotidiano se enfrentan con la falta de certeza en diversos ámbitos, por lo que el reto de toda organización consiste en determinar cuanta incertidumbre se puede y se desea aceptar mientras se genera valor, que realmente permita la obtención de los resultados planificados. Las entidades operan en ambientes donde factores como la globalización, la tecnología, las regulaciones de los organismos de control, los mercados cambiantes y la competencia, crean incertidumbre. La mencionada incertidumbre está representada por eventos, que a su vez implican riesgos que pueden representar tanto amenazas como oportunidades para la entidad. En este sentido, Colciencias debe aunar esfuerzos en cumplimiento de su misión institucional y en la generación de acciones coherentes que permitan el logro de los objetivos propuestos; para ello debe ejecutar diferentes actividades enmarcadas bajo una gestión por procesos que puede verse afectada por la presencia de riesgos, por tanto se hace necesario contar con una herramienta encaminada a administrar y prevenir la ocurrencia de riesgos que puedan generar efectos negativos al interior de la entidad y que al mismo tiempo permita potencializar las posibles oportunidades identificadas. Una adecuada administración de los riesgos permitirá a la Dirección tratar la incertidumbre de una manera eficaz y por tanto generar más valor a la gestión institucional. La presente guía es un instrumento de tipo preventivo para analizar, valorar, tratar, comunicar, monitorear, revisar y realizar seguimiento a los riesgos de la corrupción, los riesgos institucionales y los del Modelo de Seguridad y Privacidad de la Información de Gobierno en Línea, a fin de optimizar y enfocar los esfuerzos institucionales en acciones estandarizadas que permitan abordar y tratar los riesgos identificados en forma eficiente y eficaz en coherencia con los objetivos y metas institucionales. 1. OBJETIVO GENERAL

Fortalecer la implementación y desarrollo de la política de administración del riesgo y las oportunidades a través de una guía metodológica que brinde lineamientos para un adecuado tratamiento de los riesgos institucionales, de corrupción y de seguridad y privacidad en la información, identificados en cada uno de los procesos que hacen parte del Sistema de Gestión organizacional, a fin de garantizar el cumplimiento de la misión y objetivos estratégicos de la Entidad. 1.2 OBJETIVOS ESPECÍFICOS

Generar una visión sistémica de la administración y evaluación de los riesgos de la Entidad, evidenciada en un ambiente de control adecuado y un direccionamiento estratégico que fije una orientación clara y planeada sobre las actividades de control y seguimiento para abordar las amenazas y oportunidades identificadas.

Proteger los recursos de la entidad, resguardándolos contra la materialización de los riesgos valorados como amenazas de corrupción, institucionales, seguridad y privacidad en la información.

Introducir y fortalecer dentro de los procesos y procedimientos puntos de control, que permitan evitar, reducir o mitigar, las vulnerabilidades o potenciales amenazas que se puedan presentar.


CODIGO: G102PR06G01

Versión 02


Página 5 de 43


Involucrar y comprometer a todos los servidores de la entidad en la búsqueda de acciones encaminadas a gestionar los riesgos de los procesos en los cuales participa.

Aumentar la probabilidad de alcanzar los objetivos y proporcionar a la administración un aseguramiento razonable con respecto al logro de los mismos.

Asegurar el cumplimiento de normas, leyes y regulaciones aplicables.

Mejorar el aprendizaje organizacional frente a la eficaz identificación y administración de los riesgos.

2. ALCANCE

Esta guía tiene como alcance la definición de las directrices para la gestión y administración de los riesgos institucionales partiendo desde la política de administración del riesgo, la construcción del mapa de riesgos, la comunicación, consulta y divulgación de los riesgos existentes, su priorización y el plan de manejo propuesto para su administración, así como las actividades de seguimiento, monitoreo, revisión y actualización aplicables para la gestión integral de los riesgos. Se incluyen los lineamientos para la gestión de los riesgos de corrupción, institucionales y del Modelo de Seguridad y Privacidad de la Información (MSPI), así como los lineamientos para la gestión de las oportunidades con el fin de garantizar un manejo sistemático y unificado que aplique de manera transversal a todos los procesos y funciones de Colciencias.

3. BENEFICIOS DE LA GESTIÓN DE RIESGOS

La gestión de los riesgos institucionales da acceso a los siguientes beneficios inherentes:

Alinea el riesgo y la estrategia: En su evaluación de alternativas estratégicas, la dirección considera los riesgos priorizados por la entidad, estableciendo los objetivos correspondientes y desarrollando mecanismos para gestionar las oportunidades o amenazas asociadas.

Mejora las decisiones de respuesta a los riesgos: La gestión de riesgos institucionales proporciona rigor para identificar las posibles oportunidades o amenazas que hacen parte del que hacer institucional y seleccionar entre las posibles alternativas de respuesta a las amenazas o a las oportunidades, la más viable y efectiva para alcanzar los resultados esperados.

Reduce las sorpresas y las pérdidas operativas: La gestión de los riesgos mejorar la capacidad de la Entidad para identificar las amenazas o vulnerabilidades que pueden afectar su gestión y establecer respuestas, reduciendo las sorpresas y las pérdidas asociadas.

Identifica y gestiona la diversidad de riesgos para toda la entidad: Cada entidad se enfrenta a riesgos que inciden de manera negativa o positiva en el desempeño de sus procesos y en el logro de los resultados planificados; la gestión de riesgos facilita respuestas eficaces e integradas a los impactos interrelacionados de dichos riesgos.

Provee respuestas integradas a múltiples riesgos: La ejecución de los procesos conllevan riesgos inherentes, para lo cual la gestión de los riesgos favorece la elaboración de soluciones integradas para administrarlos, bajo la premisa de optimizar los recursos disponibles y garantizar la coherencia en las respuestas institucionales, en el momento de abordar las posibles vulnerabilidades o amenazas, así como las oportunidades identificadas.


CODIGO: G102PR06G01

Versión 02


Página 6 de 43


Permite aprovechar las oportunidades: mediante la consideración de una amplia gama de potenciales eventos, la dirección está en posición de identificar y aprovechar las oportunidades de modo proactivo, a fin de potencializar los efectos deseables.

4. DEFINICIONES

Administración de riesgos: Proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación. (INTOSAI, 2000). Aceptación de riesgo: Decisión generada por la entidad de aceptar las consecuencias y probabilidad de un riesgo en particular, sin adelantar acciones de reducción y control. La aceptación del riesgo también se deriva del nivel de riesgo o umbral en el cual Colciencias acepta el riesgo. Activos de información: Se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización. Amenaza: Es la intención y la capacidad de afectar adversamente un sistema, ocasionando daños o alteraciones. Análisis cualitativo: Herramienta subjetiva que estandariza la evaluación de la probabilidad de ocurrencia y el impacto de los riesgos facilitando su evaluación y posibilidad de priorizarlos. Análisis de riesgo: Uso sistemático de la información disponible para valorar los riesgos en función de las causas o agentes

que los generan, las consecuencias generadas por un incidente y/o evento, su severidad y la posibilidad de ocurrencia del

mismo, con el fin de estimar la zona de riesgo inicial (riesgo inherente).

Causa: Medios, circunstancias, situaciones o agentes generadores del riesgo1. Algunas fuentes de riesgos son: el recurso humano, los procesos, la tecnología, la infraestructura y los acontecimientos externos. Comunicación y Consulta: Procesos continuos y reiterativos que una organización lleva a cabo para suministrar, compartir u obtener información e involucrarse en un diálogo con las partes interesadas, con respecto a la gestión del riesgo2. Consecuencia o impacto: Efectos generados por la ocurrencia de un riesgo que afecta los objetivos o un proceso de la entidad. Pueden ser entre otros, una pérdida, un daño, un perjuicio, un detrimento3. Control: Cualquier medida que adopte la entidad para gestionar los riesgos y proporcionar una seguridad razonable de alcanzar los objetivos y metas establecidos Establecimiento del Contexto: Definición de los parámetros internos y externos que se han de tomar en consideración cuando se identifica y gestiona el riesgo4.

1 FUNCIÓN PÚBLICA. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano -MECI- 2014. Página 64 2 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.12 Bogotá, 2011. Página 4. 4 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.9 Bogotá, 2011. Página 4.


CODIGO: G102PR06G01

Versión 02


Página 7 de 43


Evaluación del riesgo: Determinación de las prioridades de gestión del riesgo, mediante la comparación del nivel de riesgo

hallado (riesgo inherente) y la evaluación de las medidas de control existentes. Es una etapa que busca confrontar los

resultados del análisis de riesgo inicial frente a los controles establecidos, con el fin de determinar la zona de riesgo final

(riesgo residual).

Evento de seguridad de la información: Presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o falla de las salvaguardas, o una situación desconocida previamente que puede ser pertinente a la seguridad [ISO/IEC 27000:2014]. Evitar el riesgo: Decisión de no involucrarse en una situación o ejecutar una actividad en la cual se ha identificado un riesgo. Fecha límite de tratamiento: Fecha acordada para que el plan de tratamiento se haya ejecutado en su totalidad. Frecuencia: Número de sucesos o eventos que ocurren en un determinado periodo de tiempo y en una localización determinada. Gestión del riesgo: Es el conjunto de “Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo5. Contempla las etapas de política de administración del riesgo, construcción del mapa de riesgos, comunicación y consulta, monitoreo y revisión y seguimiento6. Gestión Integral Nuestra Aliada (GINA): Aplicativo a través del cual Colciencias administra la plataforma documental del Sistema de Gestión de la Entidad, los programas estratégicos y planes, indicadores, tablero de mando integral, riesgos y acciones de mejora Impacto: Son las consecuencias o efectos que puede generar la materialización del riesgo en la entidad Identificación del riesgo: Proceso para determinar lo que puede suceder, por qué y cómo impactaría en la entidad. Incidente de seguridad de la información: Evento o serie de eventos de seguridad de la información no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información [ISO/IEC 27000:2007]. Mapas de riesgo: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencia. Matriz de evaluación de riesgo: Herramienta que es utilizada para realizar la identificación, análisis y evaluación de los riesgos y su clasificación. Medidas de mitigación: Planificación y ejecución de actividades dirigidas a reducir o disminuir el nivel riesgo. Modelo de Seguridad y Privacidad de la Información (MSPI): Ciclo de operación que consta de cinco (5) fases (diagnóstico, planificación, implementación, evaluación de desempeño y mejora continua), las cuales permiten que las entidades puedan gestionar adecuadamente la seguridad y privacidad de sus activos de información.

5 Ibíd. Numeral 2.2 Bogotá, 2011. Página 4. 6 FUNCIÓN PÚBLICA. Guía para la Gestión del Riesgos de Corrupción. Bogotá, 2015. Página. 7


CODIGO: G102PR06G01

Versión 02


Página 8 de 43


Monitoreo: Verificación, supervisión, observación crítica o determinación continúa del estado con el fin de identificar cambios con respecto al nivel de desempeño exigido o esperado7. Nivel de riesgo: Indica que tan crítico es el riesgo al tener en cuenta su probabilidad de ocurrencia y su impacto, convirtiéndose en un criterio que permite priorizar los riesgos que se requieren gestionar.

Oportunidad: Momento o circunstancia oportunos o convenientes para alcanzar un resultado esperado.

Perfil del riesgo: Descripción de cualquier conjunto de riesgos8. Plan de tratamiento de riesgos: Se define como las decisiones de tratamiento de los riesgos y las actividades de control para su mitigación, a través de la aplicación selectiva de técnicas apropiadas y principios de administración para reducir las probabilidades de ocurrencia de los riesgos, sus consecuencias o ambas. Política de Administración del Riesgo: Declaración de la Dirección y las intenciones generales de una organización con respecto a la gestión del riesgo9. La gestión o Administración del riesgo establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos10. Probabilidad de ocurrencia: Se mide según la frecuencia (número de veces en que se ha presentado el riesgo en un período determinado) o por la factibilidad (factores internos o externos que pueden determinar que el riesgo se presente)11. Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan para generar un valor, que utilizan las entradas para proporcionar un resultado previsto12. Riesgo: Efecto de la incertidumbre sobre los objetivos13. Desde el contexto de la gestión del riesgo de corrupción se define como “cualquier circunstancia, evento, amenaza, acto u omisión, que pueda impedir el logro de los objetivos estratégicos, de proceso o de proyecto”14. Riesgo Legal o de Cumplimiento: Se asocia con la capacidad de la Entidad para cumplir requisitos legales, contractuales,

de ética pública y en general los compromisos con la comunidad

Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad, su manejo se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta dirección. Riesgos de Imagen: Se relación con la percepción y la confianza de la ciudadanía hacia la gestión de la institución.

7 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.28 Bogotá, 2011. Página 9. 8 Ibíd. Numeral 2.20 Bogotá, 2011. Página 4. 9 Ibíd. Numeral 2.4 Bogotá, 2011. Página 5 10 FUNCIÓN PÚBLICA. Guía para la Gestión del Riesgos de Corrupción. Bogotá, 2015. Página. 11 11 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.19. Bogotá, 2011. Página 7. 12 ICONTEC. NTC9000:2015. Sistema de Gestión de Calidad-Fundamentos y Vocabulario. Numeral 3.4.1. Bogotá, 2015. Página 16. 13 Ibíd. Numeral 3.7.9. Bogotá, 2015. Página 23. 14 FUNCIÓN PÚBLICA. Guía para la Gestión del Riesgos de Corrupción. Bogotá, 2015. Página. 10


CODIGO: G102PR06G01

Versión 02


Página 9 de 43


Riesgo inherente: Nivel de riesgo propio de cada actividad o proceso, sin tener en cuenta el efecto mitigante de los controles o sin que la administración realice actividades para modificar el impacto o la probabilidad del riesgo15. Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto16. Riesgos Operativos: Comprende los riesgos que provienen del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. Riesgos de Corrupción: Posibilidad que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular. Riesgo Residual: Es el riesgo resultante después de considerar los controles y las medidas de mitigación existentes o la probabilidad de que ocurra el riesgo después de aplicar las medidas que se consideren necesarias17. Sistema de Administración del Riesgo (SAR): Sistema a través del cual una entidad identifica, mide, monitorea y controla

el Riesgo. Está conformado por un conjunto de elementos entre los que se pueden mencionar las políticas establecidas por

la entidad en cuanto a su estructura organizacional, procesos, manejo de documentación, plataforma tecnológica y divulgación

de la información y genera como documentos básicos el Mapa de Riesgos y Plan de Manejo de Riesgo.

Transferir riesgos: Cambiar la responsabilidad o cargas por las pérdidas a un tercero mediante legislación, contrato, seguros u otros medios. Tratamiento del riesgo: Proceso para modificar el riesgo:

Evitar el riesgo deduciendo no iniciar o continuar la actividad que lo originó.

Tomar o incrementar el riesgo con el fin de perseguir una oportunidad

Retirar la fuente del riesgo

Cambiar la probabilidad

Cambiar las consecuencias

Compartir el riesgo non una varias de las partes (incluyendo los contratos y la financiación del riesgo)

Retener el riesgo a través de la decisión informada18.

Vulnerabilidad: Muestra la fragilidad o debilidad de un sistema (físico, técnico, organizacional, cultural, etc.) que puede ser afectado adversamente, causando daños o perjuicios.

15 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Bogotá, 2011. Página 22. 16 Función Pública. Guía para la Gestión del Riesgos de Corrupción. Bogotá, 2015. Página. 8 17 Ibíd. Página. 8 18 ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Bogotá, 2011. Página 8.


CODIGO: G102PR06G01

Versión 02


Página 10 de 43


5. MARCO LEGAL

Nombre del Documento Descripción

Ley 87 de 1993

Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones, artículo 2º literal a) Proteger los recursos de la organización, Buscando su adecuada administración ante posibles riesgos que los afectan. Artículo 2 literal f) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos.

Ley 489 de 1998 Por el cual se establece el Estatuto Básico de Organización y Funcionamiento de la Administración Pública.

Ley 1474 de 2011 Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública. Artículo 73. “Plan anticorrupción y de atención al ciudadano.

Ley 1712 de 2014 Por medio de la cual se crea la ley de transparencia y del derecho de acceso a la información pública nacional y se dictan otras disposiciones

Decreto 2145 de 1999

Decreto 2145 de 1999, por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del Orden Nacional y Territorial y se dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 del 2000.

Directiva Presidencial 09 de 1999 Se adoptan lineamientos para la implementación de la Política de Lucha contra la Corrupción.


Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el Sistema de Control Interno de las entidades y organismos del Estado que en el parágrafo del artículo 4º señala los objetivos del Sistema de Control Interno (…) define y aplica medidas para prevenir los riesgos, detectar y corregir las desviaciones… y en su artículo 3º establece el rol que deben desempeñar las oficinas de control interno (…) que se enmarca en cinco tópicos (…) valoración de riesgos. Así mismo, establece en su artículo 4º la administración de riesgos, como parte integral del fortalecimiento de los Sistemas de Control Interno en las entidades públicas (…).

Decreto 943 de 2014 MECI Por el cual se actualiza el Modelo Estándar de Control Interno - MECI.


CODIGO: G102PR06G01

Versión 02


Página 11 de 43


Nombre del Documento Descripción


Por medio del cual se expide el Decreto Único Reglamentario del Sector de Función Pública. Art. 2.2.22.1 y siguientes. Establece que el Plan Anticorrupción y de Atención al Ciudadano hace parte del Modelo Integrado de Planeación y Gestión. Art. 2.2.21.6.1. Adopta la actualización del Modelo Estándar de Control Interno para el Estado Colombiano (MECI)


Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015. Adopta el Nuevo Modelo Integrado de Planeación y Gestión

Consultar Normograma en GINA módulo Documentos/Reportes/Normograma

6. GESTIÒN DEL RIESGO

La gestión del riesgo se refiere a la arquitectura (principios, marco y etapas), que se deben ejecutar para asegurar la gestión

eficaz del riesgo.

Comprende el conjunto de “Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo19, y se compone de los siguientes elementos:

Política de administración del riesgo

Construcción del mapa de riesgos

Comunicación y consulta

Monitoreo y revisión

Seguimiento

19 Ibíd. Numeral 2.2 Bogotá, 2011. Página 4.

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=62518

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=61933#133


CODIGO: G102PR06G01

Versión 02


Página 12 de 43


Ilustración 1 Fases de la gestión del riesgo

Fuente: OAP (2017) basados en la Guía para la Gestión del riesgo de Función Pública

7. POLITICA DE ADMINISTRACION DEL RIESGO

Con el fin de lograr los objetivos establecidos en su planeación estratégica y misionalidad, el Departamento Administrativo de Ciencia, Tecnología e Innovación – COLCIENCIAS, se compromete a instaurar y conservar un sistema que permita y garantice la identificación, registro, análisis, evaluación, monitoreo y control de los riesgos inherentes al desarrollo de la misión y el cumplimiento de los objetivos institucionales, promoviendo la eficiencia administrativa y transparencia de la Entidad.

Lineamientos de la Política de Administración del Riesgo:

Corresponde a la Oficina Asesora de Planeación y la Oficina de Control Interno, impulsar a nivel institucional una cultura de gestión del riesgo coherente con el Modelo Integrado de Planeación y Gestión, el Modelo Estándar de Control Interno – MECI, el Modelo de Seguridad y Privacidad de la Información y las Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano.

Para facilitar el cumplimiento de los propósitos y requerimientos del Sistema de Administración de Riesgos (SAR), se mantendrá adecuada la estructura organizacional, el modelo de operación por procesos y los roles, responsabilidades y autoridades de cada uno de los funcionarios y colaboradores de la entidad.


CODIGO: G102PR06G01

Versión 02


Página 13 de 43


Con el fin de asegurar la comunicación y consulta, así como el establecimiento de roles, responsabilidades y autoridades en la gestión del riesgo la Entidad cuenta con un Equipo de Líderes y responsable de procesos, que esencialmente apoyan al área responsable del SAR en la recolección y evaluación de la información sobre riesgos en cada una de las dependencias y procesos de la Entidad.

Para el tratamiento de riesgo la Entidad ejecutará acciones para evitar, reducir, transferir o asumir el riesgo calificado como amenaza; para el caso de las oportunidades se promoverán las acciones para aumentar los resultados esperados. Dichas opciones establecen las orientaciones para que los líderes, responsables de procesos y en general las áreas de la Entidad, formulen las acciones que conforman el plan manejo del riesgo.

Las disposiciones aplicables para la gestión del riesgo institucional, se encuentran en el Procedimiento de Identificación, Análisis, Valoración, Seguimiento y Evaluación Del Riesgo G102PR06 y en la Guía para la Gestión del Riesgo” G102PR06G01.

La consolidación de los riesgos identificados y el seguimiento a los mismos se llevará a cabo a través del módulo “Gestión del Riesgo” del aplicativo GINA (Gestión Integrada Nuestra Aliada)20.

8. ROLES Y RESPONSABILIDADES

Con el fin de asegurar que las responsabilidades y autoridades para la gestión del riesgo se asignan y comunican a los roles

pertinentes, Colciencias determina las siguientes responsabilidades:

Comité de Desarrollo Administrativo: Es la instancia responsable de establecer, implementar y mantener la Política de Administración del Riesgo, de velar por su mejoramiento continuo.

Oficina de Control Interno (OCI) Es el área responsable de verificar que en la entidad se establece, implementa y mantiene la Política de Administración del Riesgo. Así mismo tiene la responsabilidad de hacer seguimiento a la evolución de los riesgos y al desarrollo de las acciones de mejora propuestas por los responsables de procesos, de manera tal que se verifique su cumplimiento y se propongan mejoras pertinentes. En sus procesos de auditoría interna dicha oficina debe analizar el diseño e idoneidad de los controles, determinando si son o no adecuados para prevenir o mitigar los riesgos de los procesos, haciendo uso de las técnicas relacionadas con pruebas de auditoría que permitan determinar la efectividad de los controles implementados para abordar las amenazas o vulnerabilidades. Desde el rol de asesoría debe mantener un canal de comunicación con los procesos facilitando técnicas para el proceso de levantamiento de los mapas de riesgo en cada una de sus etapas. Así mismo trabaja de forma coordinada y armónica con la Oficina Asesora de Planeación, con el fin de propender por la difusión de la política institucional de gestión de riesgos en toda la Entidad.

20 La configuración que surja en el módulo riesgos de la herramienta GINA, será implementadas conforme a lo establecido en el Manual de Usuario Riesgos Pro y Manual de Configuración Pro, documentados por la empresa proveedora Pensemos.


CODIGO: G102PR06G01

Versión 02


Página 14 de 43


Oficina Asesora de Planeación (OAP): Tiene la responsabilidad de capacitar a los colaboradores de la entidad en la metodología de la administración del riesgo, así como asesorar a los procesos de Colciencias en la implementación de la metodología para la administración de los riesgos. Impulsa a nivel institucional una cultura de gestión del riesgo coherente con el Modelo Integrado de Planeación y Gestión, el Modelo Estándar de Control Interno – MECI, el Modelo de Seguridad y Privacidad de la Información y las Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano. La OAP es la responsable de consolidar los riesgos identificados en cada uno de los procesos y realizar el respectivo cargue en la herramienta en GINA. Así mismo trabaja de forma coordinada y armónica con la Oficina de Control Interno, con el fin de propender por la difusión de la política institucional de gestión de riesgos en toda la Entidad.

Líderes y responsable de proceso: Son los responsables de ejecutar cada una de las etapas de la administración del riesgo desde el quehacer de cada uno de los procesos en los cuales participa, aportando en la elaboración, revisión y actualización de los riesgos asociados a sus procesos y garantizando la implementación de las acciones para el tratamiento de los mismos21. Deben analizar el contexto para el proceso a cargo en conjunto con su equipo de trabajo, identificando los riesgos

de su proceso.

Son responsables de asegurar el seguimiento y reporte de avances en el plan de tratamiento, el cual no debe superar

los tres meses, de forma que permitan que el autocontrol realizado sea la base para la toma de decisiones, y que se

logren introducir correctivos en el momento adecuado22.

Durante la aplicación de las acciones de seguimiento cada líder de proceso debe mantener la traza o documentación

respectiva de todas las actividades realizadas, para garantizar de forma razonable que dichos riesgos no se

materializarán y por ende que los objetivos de la Entidad y del proceso se cumplirán23.

21 Función Pública. Guía para la Administración del Riesgos de Corrupción. Bogotá, 2015. Página. 12 22 Función Pública. Guía para la Administración del Riesgo. Bogotá, 2015. Página. 30 23 Ibíd. p. 30


CODIGO: G102PR06G01

Versión 02


Página 15 de 43


9. METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO EN COLCIENCIAS

Las etapas definidas para la administración del riesgo en Colciencias, son las que se ilustra a continuación:

Ilustración 2 Fases de la administración del riesgo en Colciencias

Fuente: OAP (2017) basados en la Guía para la Administración del Riesgo y caja de herramientas. Función Pública.2017

Con el propósito de concentrar cada uno de las fases de administración del riesgo definidas en la presente guía, se utilizará como herramienta el módulo de “Gestión del Riesgo” del sistema de información “GINA”.


CODIGO: G102PR06G01

Versión 02


Página 16 de 43


Ilustración 3 Relación de la gestión del riesgo en GINA y las fases de administración del riesgo en Colciencias

Fuente: Función Pública (2014)

9.1 Definición del Contexto estratégico

Con el fin de identificar los factores externos e internos que inciden en el desempeño de los procesos y en el logro de las metas y objetivos establecidos en la planeación estratégica, la Entidad identificar el contexto externo, interno y del proceso, el cual es insumo para la identificación de los riesgos y las oportunidades que inciden en la gestión.

Ilustración 4 Características por tipo contexto

Fuente: Función Pública (2014)


CODIGO: G102PR06G01

Versión 02


Página 17 de 43


Algunos de los principales elementos que se deben tener en cuenta es el conocimiento de la entidad, es decir la claridad de la misión, visión y objetivos institucionales, así como de los objetivos de los procesos estratégicos, misionales, de apoyo y evaluación de Colciencias. De esta manera, es posible identificar los factores internos y externos que puedan generar riesgos en la Entidad y en consecuencia afectan su desempeño.

Cuando se realiza el análisis del contexto externo es necesario identificar aquellas condiciones del entorno políticas, económicas, sociales, tecnológicas, ambientales, legales, entre otras, que puedan llegar afectar tanto los objetivos de los procesos como influenciar la dinámica de los aspectos asociados a la estructura organizacional, asignación presupuestal, la gestión del talento humano, la imagen institucional, los trámites internos de la Entidad y la gestión de los procesos.

Ilustración 5 Factores contexto externo

Fuente: Guía para la Administración del Riesgo y caja de herramientas. Función Pública.2017

En el establecimiento del contexto interno es necesario tener en cuenta la planeación institucional, el modelo de operación por procesos, los recursos y conocimientos con que se cuenta (personas, procesos, sistemas, tecnología), las relaciones con las partes interesadas y la cultura organizacional

Ilustración 6 Factores contexto del proceso



CODIGO: G102PR06G01

Versión 02


Página 18 de 43


En el análisis del contexto del proceso Se determinan las características o aspectos esenciales del proceso y sus interrelaciones:

Ilustración 7 Factores contexto interno


Vale resaltar que la definición del contexto estratégico podrá ser modificada teniendo en cuenta las actualizaciones del ejercicio de planeación institucional y los cambios del entorno. Así pues, para surtir la etapa de contexto estratégico es perentorio como primera medida, incorporar al mapa de riesgos aquellas causas (internas y externas) o agentes generadores de riesgo provenientes del entorno o de la misma entidad que tienen la capacidad de originar un riesgo. Definir el contexto estratégico contribuye al control de la entidad frente a la exposición al riesgo, ya que permite conocer las situaciones generadoras de riesgos, a fin de abordarlas de forma adecuada y asegurar que se logren los resultados previstos. A continuación, se ilustran algunos factores que pueden ser generadores del riesgo, a fin de facilitar identificación. Es importante asegurar que la descripción de la causa o agente generador, sea clara y ajustada a la dinámica de la Entidad, a fin de permitir a los usuarios de consulta conocer detalladamente las características relacionadas a los mismos:


CODIGO: G102PR06G01

Versión 02


Página 19 de 43


Ilustración 8 Factores por tipo de contexto

Fuente: Guía para la Administración del Riesgo. Función Pública. 2017

9.2 Identificación de riesgos

En esta etapa se determinan las debilidades, amenazas, vulnerabilidades y oportunidades que inciden en la gestión de la Entidad y en el desempeño de los procesos basados en el análisis del Contexto Estratégico que la Entidad realiza y actualiza en cada vigencia. Es importante centrarse en los riesgos más significativos para la Entidad relacionados con los objetivos de los procesos, los objetivos institucionales (Función Pública, 2014), así como en los que pueden afectar la calidad del bien o servicio que la Entidad suministra, centrándose en preguntas como ¿Qué puede suceder?, ¿Cómo puede suceder?, ¿Cuándo puede suceder?, ¿Qué consecuencias tendría su materialización?. Para facilitar el proceso de identificación de los riesgos se recomienda tener en cuenta el conocimiento previo de aquellas situaciones que puedan obstaculizar el cumplimiento de los objetivos, la obtención de un resultado, la generación de procesos transparentes, el cumplimiento de requisitos legales o la satisfacción de un usuario, para lo cual se debe tener en cuenta los siguientes aspectos:


CODIGO: G102PR06G01

Versión 02


Página 20 de 43


- Resultados de las auditorías internas - Resultados de las auditorías externas realizadas por entes de control o entidades externas (Contraloría, Ente

Certificador, etc). - Resultados de las actividades de rendición de cuentas - Resultados del análisis de capacidad de institucional - Resultados de la evaluación de la gestión de riesgos en periodos anteriores - Resultados de la evaluación de la gestión financiera - Medición del desempeño institucional en periodos anteriores. - Medición de la satisfacción de grupos de valor en periodos anteriores - Revisión de mejores prácticas en materia de gestión y desempeño

Para la identificación del riesgo es necesario definir los siguientes parámetros:

Nombre del riesgo: nombre corto del riesgo identificado.

Descripción del riesgo: detalle o características de las formas en que se manifiesta el riesgo.

Clase de riesgo: Durante el proceso de identificación del riesgo se puede hacer una clasificación de este, con el fin de establecer con mayor facilidad el análisis del impacto. A continuación se presenta la clasificación básica de los riesgos en la gestión pública24:

Riesgo estratégico: Se asocia con la forma en que se administra la Entidad, su manejo se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta dirección.

Riesgo legal o de cumplimiento: se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

Riesgo de tecnología: Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.

Riesgo de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.

Riesgo financiero: Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad.

Riesgo operativo: Comprende los riesgos que provienen del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.

Riesgo de corrupción: Relacionados con acciones, omisiones, uso indebido del poder, de los recursos o de la información para la obtención de un beneficio particular o de un tercero.

Tipología de riesgo: indica si el riesgo identificado es institucional y/o de corrupción, es necesario generar una justificación del por qué corresponde a esta tipología.

24 La clasificación del riesgo y la descripción de los mismos han sido tomadas de la Guía de Administración del Riesgo del DAFP de

2014.


CODIGO: G102PR06G01

Versión 02


Página 21 de 43


Objetivos estratégicos afectados por el riesgo:

Este apartado permite registrar los objetivos estratégicos que pueden ser afectados por al riesgo identificado. En GINA es posible agregar éstos objetivos a través de la opción “Buscador” y seleccionando el objetivo estratégico que corresponda para el caso.


CODIGO: G102PR06G01

Versión 02


Página 22 de 43


Objetivos de proceso afectados por el riesgo:

Este apartado permite registrar los objetivos del proceso asociados al riesgo identificado. En GINA es posible agregar los aspectos antes mencionados a través de la opción “Buscador” y seleccionando el que corresponda para el caso.

Nota: El riesgo identificado debe asociar como mínimo a un objetivo estratégico y de proceso.

Causa o agentes generadores: Son los medios, las circunstancias, los sujetos u objetos que tienen la capacidad de originar un riesgo (se identifican con base en lo establecido en el numeral de Contexto).


CODIGO: G102PR06G01

Versión 02


Página 23 de 43


Efectos: corresponde a las consecuencias relacionadas con la materialización del riesgo sobre los objetivos institucionales. Dichos efectos pueden darse sobre las personas, bienes materiales e inmateriales, sanciones legales, perdidas económicas, de información, daño en imagen, pérdida de credibilidad y de confianza.

En resumen, la identificación del riesgo debe generar de los siguientes resultados:

1

Fuente: OAP (2017)


CODIGO: G102PR06G01

Versión 02


Página 24 de 43


9.2.1 Identificación de los riesgos del Sistema de Seguridad y Privacidad de la Información

En la identificación de las amenazas o vulnerabilidades relacionadas con el Sistema de Seguridad y Privacidad de la Información es necesario tener en cuenta cuáles y cuantos activos de información tiene cada proceso bajo su responsabilidad. Es importante considerar que las amenazas pueden causar daño temporal o permanente a los activos, procesos y sistemas de soporte de la entidad. Algunas amenazas pueden afectar a más de un activo y pueden causar diferentes impactos dependiendo de los activos que se vean afectados. (Ver “Manual de inventario de activos, clasificación y publicación de la información G104M02”). Con el fin de facilitar la identificación de estos riesgos, se describen una serie de amenazas comunes para el sistema de seguridad y privacidad de la información, con el fin de orientar la identificación de los riesgos relacionados:

Tabla 1. Amenazas comunes para el sistema de seguridad y privacidad de la información

TIPO AMENAZA

Daño Físico

Fuego

Agua

Accidente

Destrucción del equipo

Polvo, corrosión, congelamiento

Eventos Naturales

Fenómenos climáticos

Fenómenos volcánicos

Fenómenos meteorológicos

Perdida de los

servicios esenciales

Fallas en el sistema de suministro de agua o aire acondicionado

Perdida de suministro de energía

Falla en equipo de telecomunicaciones

Perturbación debida a

la radiación

Radiación electromagnética

Radiación térmica

Impulsos electromagnéticos

Compromiso de la

información

Interceptación de señales

Espionaje remoto

Hurto de medios o documentos

Hurto de equipos

Recuperación de medios reciclados o desechados

Divulgación no autorizada

Datos provenientes de fuentes no confiables

Manipulación con software

Manipulación con hardware

Detección de información

Fallas Técnicas

Fallas del equipo

Mal funcionamiento del equipo

Saturación del sistema de información


CODIGO: G102PR06G01

Versión 02


Página 25 de 43


Fuente: Oficina TIC- Colciencias

Las vulnerabilidades del sistema de seguridad y privacidad de la información, son fallas o debilidades que afectan la confidencialidad, integridad y disponibilidad de los sistemas. La identificación podrá obtenerse de pruebas de vulnerabilidad, visitas, entrevistas y/o basados en los criterios que la Entidad vea necesarios. Las posibles amenazas y vulnerabilidades que ocasionan la aparición de un riesgo sobre un activo de información, se relacionan a continuación, teniendo en cuenta el tipo de activo:

Tabla 2. Ejemplos vulnerabilidades y amenazas por tipo de activo

TIPO DE ACTIVO EJEMPLO DE VULNERABILIDADES EJEMPLO DE AMENAZAS

HARDWARE

Mantenimiento insuficiente Incumplimiento en el mantenimiento del sistema de información

Ausencia de esquemas de reemplazo periódico Destrucción de equipos o medios

Ausencia de un eficiente control de cambios en la configuración

Error en el uso

Susceptibilidad a las variaciones de temperatura Pérdida del suministro de energía

Almacenamiento sin protección Hurto de medios o documentos

SOFTWARE

Ausencia de logs de auditoria Abuso de derechos

Ausencia de documentación Error en el uso

Tablas de contraseñas sin protección Falsificación de derechos

Ausencia de control de cambios eficaz Manipulación con software

RED

Arquitectura de red insegura Espionaje remoto

Envío de contraseñas en texto claro Espionaje remoto

Gestión inadecuada de la red Saturación del sistema de información

PERSONAL

Ausencia de personal Incumplimiento en la disponibilidad del personal

Falta de conciencia acerca de la seguridad Error en el uso

Ausencia de políticas para el uso correcto del correo electrónico

Uso no autorizado del equipo

ORGANIZACIÓN Ausencia de auditorias Abuso de derechos

Ausencia de procedimiento formal para el registro y retiro de usuarios

Abuso de derechos

Mal funcionamiento del software

Incumplimiento del sistema de información

Acciones no

autorizadas

Uso no autorizado dele equipo

Copia fraudulenta del software

Uso de software falso o copiado

Corrupción de los datos

Procesamiento ilegal de datos

Compromiso de las

funciones

Error en el uso

Abuso de derechos

Falsificación de derechos

Negación de acciones

Incumplimiento en la disponibilidad del personal


CODIGO: G102PR06G01

Versión 02


Página 26 de 43


TIPO DE ACTIVO EJEMPLO DE VULNERABILIDADES EJEMPLO DE AMENAZAS

Ausencia de procedimientos de control de cambios Incumplimiento en el mantenimiento del sistema de información

Ausencia de procedimientos para el manejo de la información

Error en el uso

Fuente: Oficina TIC- Colciencias

9.2.2 Identificación y gestión de los riesgos del Sistema de Seguridad y Salud en el Trabajo

La identificación y gestión de los Riesgos del Sistema de Seguridad y Salud en el Trabajo, se realiza mediante la aplicación

del procedimiento de “Identificación de peligros, valoración de riesgos y determinación de controles” (A101PR07), a través

del cual se identifican los peligros y valorar los riesgos para las operaciones y actividades que generen situaciones adversas

que puedan poner en riesgo la salud y seguridad de los servidores públicos, contratistas y visitantes de Colciencias,

estableciendo los controles para prevenir accidentes de trabajo, enfermedades laborales y pérdidas materiales.

Para el registro de los riesgos identificados se utiliza la “Matriz de Identificación de Peligros y Valoración de Riesgos”

(A101PR07AN01).

9.2.3 Identificación y gestión de los riesgos en los procesos de contratación.

Atendiendo los lineamientos establecidos en el “Manual para la Identificación y Cobertura del Riesgo en los Procesos de

Contratación”, de Colombia Compra Eficiente, y en el “Manual de Contratación y Supervisión de la Entidad” (A106M01), para

la administración de los riesgo en los procesos de contratación, los responsables de la elaboración de los estudios previos,

junto con el grupo interdisciplinario responsable de la parte técnica, financiera y jurídica del proyecto deberán atender los

siguientes pasos:

- Establecer el contexto. - Identificar y clasificar los Riesgos. - Evaluar y calificar los Riesgos. - Asignación y tratamiento de los Riesgos. - Monitorear los Riesgos.

Para desarrollar cada uno de los pasos enunciados anteriormente se debe tener en cuenta lo establecido en el “Manual para

la Identificación y Cobertura del Riesgo en los Procesos de Contratación”, publicado en la página web de Colombia Compra

Eficiente, en el siguiente enlace:

https://www.colombiacompra.gov.co/sites/cce_public/files/cce_documents/manual_cobertura_riesgo_r.pdf

Para la valoración del riesgo se debe consultar el Manual para la Identificación y Cobertura del Riesgo en los Procesos de

Contratación, en el link:




CODIGO: G102PR06G01

Versión 02


Página 27 de 43


9.3 Valoración del riesgo

El paso de valoración del riesgo incluye dos etapas que la desarrollan: el análisis y la evaluación de los riesgos, que se continuación se describen:

Ilustración 9 Etapas valoración del riesgo

Fuente: OAP (2017)

9.3.1 Análisis de Riesgos

Esta etapa busca establecer tanto la probabilidad de ocurrencia del riesgo como la consecuencia o impacto, con el propósito de estimar la zona de riesgo inicial (riesgo inherente).

Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo en un periodo determinado. Pueden determinarse a través de la revisión de una serie de hechos que se hayan materializado o basados en históricos de situaciones relacionadas. Los niveles que se deben considerar para calificar la probabilidad se presentan en la tabla que sigue:

Tabla 3. Niveles de probabilidad de ocurrencia del riesgo

Nivel Descriptor Descripción Frecuencia

1 Rara vez El evento puede ocurrir solo en circunstancias excepcionales (poco comunes o anormales).

No se ha presentado en los últimos cinco (5) años

2 Improbable El evento puede ocurrir en algún momento.

Al menos una vez en los últimos cinco (5) años


CODIGO: G102PR06G01

Versión 02


Página 28 de 43


Nivel Descriptor Descripción Frecuencia

3 Posible El evento podría ocurrir en algún momento.

Al menos una vez en los últimos dos (2) años

4 Probable El viable que el evento ocurra en la mayoría de las circunstancias.

Al menos una vez en el último año

5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias.

Más de una vez al año

Fuente: Guía para la Administración del Riesgo. Función Pública.2015 El análisis de frecuencia se podrá analizar de acuerdo al proceso, la disponibilidad de datos históricos, los factores internos y externos o y/o la experiencia de los colaboradores de Colciencias que desarrollan dicho proceso.

Impacto: Se entiende como las consecuencias que puede acarrear a la Entidad, la materialización del riesgo. Se identifican el nivel de la consecuencia teniendo en cuenta los siguientes niveles:

Tabla 4. Niveles de impacto de ocurrencia del riesgo

Nivel Descriptor Impacto (consecuencias) Cualitativo Impacto (consecuencias) Cuantitativo

1 Insignificante

Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad, teniendo en cuenta que: - No hay interrupción de las operaciones

de la entidad. - No se generan sanciones económicas o

administrativas. - No se afecta la imagen institucional de

forma significativa.

Podría presentarse: - Impacto que afecte la ejecución presupuestal en un

valor ≤0,5%. - Pérdida de cobertura en la prestación de los servicios

de la entidad ≤1%. - Pago de indemnizaciones a terceros por acciones

legales que pueden afectar el presupuesto total de la entidad en un valor ≤0,5%.

- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≤0,5%del presupuesto general de la entidad.

2 Menor

Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad, basados en aspectos como: - Interrupción de las operaciones de la

Entidad por algunas horas. - Reclamaciones o quejas de los

usuarios que implican investigaciones internas disciplinarias.

- Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.

Podría presentarse: - Impacto que afecte la ejecución presupuestal en un

valor ≤1%. - Pérdida de cobertura en la prestación de los servicios

de la entidad ≤5%. - Pago de indemnizaciones a terceros por acciones

legales que pueden afectar el presupuesto total de la entidad en un valor ≤1%

- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≤1%del presupuesto general de la entidad.

3 Moderado

Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad, implicando:

Puede presentar: - Impacto que afecte la ejecución presupuestal en un

valor ≥5%


CODIGO: G102PR06G01

Versión 02


Página 29 de 43



- Interrupción de las operaciones de la Entidad por un (1) día

- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad.

- Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.

- Reproceso de actividades y aumento de carga operativa.

- Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos.

- Investigaciones penales, fiscales o disciplinarias.

- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%.

- Pago de indemnizaciones a terceros por acciones legales que pueden

- afectar el presupuesto total de la entidad en un valor ≥5%

- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.

4 Mayor

Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad: - Interrupción de las operaciones de la

Entidad por más de dos (2) días. - Pérdida de información crítica que

puede ser recuperada de forma parcial o incompleta.

- Sanción por parte del ente de control u otro ente regulador.

- Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno.

- Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

- Impacto que afecte la ejecución presupuestal en un valor ≥20%.


- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥20%


5 Catastrófico

Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad: - Interrupción de las operaciones de la

Entidad por más de cinco (5) días. - Intervención por parte de un ente de

control u otro ente regulador. - Pérdida de Información crítica para la

entidad que no se puede recuperar.

- Impacto que afecte la ejecución presupuestal en un valor ≥50%


- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50%



CODIGO: G102PR06G01

Versión 02


Página 30 de 43



- Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal.

- Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.

Fuente: Guía para la Administración del Riesgo. Función Pública.2015

Para la calificación del impacto de los riesgos de corrupción se debe tener en cuenta que la esquela únicamente puede contemplar los niveles de riesgo moderado, mayor, catastrófico, pues tratándose de riesgos de corrupción el impacto siempre será negativo; en este orden de ideas, no aplica la descripción de riesgos insignificante o menores25. Una vez se tienen claros los factores de probabilidad e impacto es importante identificar los criterios aplicables al riesgo que está siendo evaluado, de esta manera se determina el grado de exposición de la Entidad y se distinguen las zonas de riesgo bajas, moderadas, altas y extremas. Este primer análisis, es llamado “Riesgo Inherente” y se define como aquél al que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para modificar su probabilidad o impacto (Price Water House Cooper, 2005). En GINA la visualización de la matriz de riesgo inherente se muestra a continuación:

Ilustración 10 Matriz de calificación y respuestas (riesgo inherente en GINA)

Fuente: Aplicativo GINA- Módulo de Gestión del Riesgo. OAP (2018)

25 FUNCIÓN PÚBLICA. Guía para la Gestión del Riesgos de Corrupción. Bogotá, 2015. Página. 20.


CODIGO: G102PR06G01

Versión 02


Página 31 de 43


9.3.2 Evaluación del Riesgos

La valoración del riesgo se realiza a través de la comparación del resultado del análisis de los riesgos y los controles implementados en la Entidad para gestionarlos, de esta manera es posible generar alertas para el establecimiento de prioridad y políticas de manejo. Importante, para surtir esta etapa identificar los puntos de control de los procesos institucionales. Análisis y valoración de controles

Se consideran controles aquellas políticas, lineamientos, mecanismos o acciones que son aplicadas en la institución para minimizar o mitigar las amenazas y vulnerabilidades o para potenciar aquellas oportunidades sobre las cueles se quiere aumentar los efectos deseables, de manera que se garantice el desarrollo de las actividades acorde con los requisitos institucionales. Para llevar a cabo el proceso de evaluación es importante surtir las siguientes actividades:

1. Determinar la naturaleza de los controles 2. Determinar si los controles están documentados 3. Establecer si el control que se implementa es automático o manual 4. Determinar si los controles se están aplicando en la actualidad 5. Determinar si los controles han sido efectivos para el tratamiento del riesgo:

Cada una de las actividades anteriormente descritas se describe a continuación:

Determinar la naturaleza de los controles: Se establece si se trata de un control preventivo o correctivo

Tabla 5. Naturaleza de los controles

Tipo de control

Descripción

Preventivos

Aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. Evitan que un evento suceda. Dentro de esta categoría pueden existir controles de tipo detectivo, los cuales permiten registrar un evento después de que ha sucedido, por ejemplo, registro de las entradas de todas las actividades llevadas a cabo en el sistema de información, traza de los registros realizados, de las personas que ingresaron, entre otros.

Correctivos

Aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia. Éstos no prevén que un evento suceda, pero permiten enfrentar la situación una vez se ha presentado

Fuente: Guía para la Administración del Riesgo. 2014. Guía para la Gestión del Riesgo de Corrupción. 2015. Función Pública.


CODIGO: G102PR06G01

Versión 02


Página 32 de 43


La clasificación de los controles está asociada a: Controles de Gestión: Son aquellos orientados a garantizar el cumplimiento de las estrategias, políticas y objetivos

institucionales, dentro de los cuales se encuentran: los indicadores, evaluaciones, auditorías, informes, comités etc.

Controles Operativos: Son aquellos enfocados a garantizar la correcta ejecución de las actividades, mediante acciones de verificación, seguimiento o revisión, antes o durante el desarrollo de la operación. Se encuentran documentados en los manuales, procedimientos, guías o instructivos definidos para desarrollar dicha actividad; también hacen parte las funciones y responsabilidades asignadas al personal, la infraestructura y todos los recursos dispuestos para la realización de dichas actividades.

Controles Legales: Son aquellos en los cuales hacen parte la normatividad interna y externa aplicable a la Institución. Por ejemplo, Acuerdos, Resoluciones, Políticas, etc.

Los controles definidos pueden ser identificados a través de los siguientes factores:

Ilustración 11 Posibles Controles



CODIGO: G102PR06G01

Versión 02


Página 33 de 43


Estos controles deben estar registrados en el mapa de riesgos para identificarlos claramente y unificar acciones frente a su conocimiento y aplicación en la gestión del riesgo analizado. Finalmente, es necesario identificar en qué escala incide el control existente. Es decir, si su aplicación reduce la “Probabilidad”, el “Impacto” o “Todos” (probabilidad e impacto). De esta manera, determinar si es posible disminuir las casillas necesarias en la matriz de evaluación, calificación y respuesta.

Determinar si los controles están documentados: Esta actividad permite conocer cómo se lleva a cabo el control, quién es el responsable de su ejecución y cuál es la periodicidad para su ejecución, lo cual la evidencia de manera objetiva la forma a través de la cual se ejecuta el mismo.

Determinar si el control que se implementa es automático o manual: Un control se considera automático si utilizan herramientas tecnológicas como sistemas de información o software que permiten incluir contraseñas de acceso, o con controles de seguimiento a aprobaciones o ejecuciones que se realizan a través de éste, generación de reportes o indicadores, sistemas de seguridad con scanner, sistemas de grabación, entre otros. Este tipo de controles suelen ser más efectivos en algunos ámbitos dados su complejidad. Los controles manuales son políticas de operación aplicables, autorizaciones a través de firmas o confirmaciones vía correo electrónico, archivos físicos, consecutivos, listas de chequeo, controles de seguridad con personal especializado, entre otros.

Determinar si los controles se están aplicando en la actualidad: Se analiza la medida en que los controles no se quedan en el papel y son conocidos y ejecutados, por los responsables.

Determinar si los controles han sido efectivos para el tratamiento del riesgo: Un control se considera efectivo, cuando garantiza que el riesgo inherente puede disminuir en probabilidad de ocurrencia y/o severidad, minimizando el riesgo calificado como amenaza o vulnerabilidad. Para los riesgos calificados como oportunidades, el control se considera efectivo en la medida que su aplicación evidencia que se obtienen los efectos deseables esperados.

Para realizar la valoración de los controles se deben utilizar los siguientes criterios con el fin de orientar el análisis objetivo de los controles y de este modo poder determinar el desplazamiento de la probabilidad de ocurrencia y/o severidad en la Matriz de Evaluación de Riesgos. Las calificaciones planteadas para cada aspecto deben ser usadas tal como están expresadas, aplicar el valor asignado a cada aspecto si responde SI; cero (0) si responde NO. Es importante que no se asignen valores intermedios para evitar subjetividad en el análisis, motivo por el cual Colciencias cuenta con la escala parametrizada en el aplicativo GINA- Módulo de Gestión del Riesgo.


CODIGO: G102PR06G01

Versión 02


Página 34 de 43


Ilustración 12. Criterios de valoración del riesgo

Fuente: Guía para la Administración del Riesgo y caja de herramientas. Función Pública.2017 Análisis del Riesgo Residual: Esta etapa busca establecer tanto la probabilidad de ocurrencia del riesgo como la consecuencia o impacto, final, teniendo en cuenta la calificación realizada a los controles existentes para gestionarlos. El propósito de estimar la zona de riesgo después de la identificación de los controles, los cual nos permite conocer el riesgo residual. Dependiendo si el control identificado y calificado afecta probabilidad o el impacto se desplaza la zona del riesgo inicial, en la matriz de evaluación del riesgo así:


CODIGO: G102PR06G01

Versión 02


Página 35 de 43


Ilustración 13. Criterios para disminuir cuadrantes de acuerdo a calificación de los controles

Fuente: Guía de gestión del riesgo de corrupción. Función Pública.2015

Con la calificación obtenida se realiza un desplazamiento en la matriz, así: si el control afecta la probabilidad se avanza hacia abajo. Si afecta el impacto se avanza a la izquierda.

Fuente: Guía de gestión del riesgo de corrupción. Función Pública.2015


CODIGO: G102PR06G01

Versión 02


Página 36 de 43


En resumen, la evaluación del riesgo debe generar de los siguientes resultados:

Fuente: OAP (2018)

9.4 Tratamiento del riesgo (medidas de respuesta)

El tratamiento de los riesgos involucra identificar las opciones para tratar los riesgos residuales priorizados. Con el fin de

optimizar los recursos disponibles y enfocar los esfuerzos institucionales, Colciencias establece como prioridad el tratamiento

de los riesgos ubicados en las zonas de riesgo altas y extremas.

La selección de los controles implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto, se deberá considerar aspectos como:

Viabilidad jurídica: Velar por que los controles que se van a implantar no vayan en contra de la normatividad vigente.

Viabilidad técnica e institucional: Establecer claramente si la entidad está en capacidad de implantar y sostener a largo plazo nuevas tecnologías u otros mecanismos necesarios para ejecutar el control.

Análisis de costo-beneficio: Prácticamente todas las respuestas a los riesgos implican algún tipo de costo directo o indirecto que se debe sopesar en relación con el beneficio que genera. Se ha de considerar el costo inicial del diseño e implementación de una respuesta (procesos, personal, tecnología), así como el costo de mantener la respuesta de forma continua.

Este caso se puede dar específicamente para aquellos controles nuevos que requieren contrataciones adicionales a los funcionarios que desarrollan los proceso o bien cuando se requiere diseñar e implementar sistemas de información o tecnologías específicas para ejecutar el control.


CODIGO: G102PR06G01

Versión 02


Página 37 de 43


9.4.1 Opciones de Manejo

El resultado obtenido a través de la valoración del riesgo es denominado también “Opciones de manejo” y este involucra la selección de una o más acciones para modificar los riesgos y la implementación de las mismas, en el marco del desplazamiento dentro de la matriz de calificación y permite determinar la selección de las opciones de manejo del riesgo correspondiente, a continuación, se describe cada una de ellas:

Evitar el riesgo: refiere a las medidas orientadas a prevenir la materialización del riesgo; dicha opción se toma cuando es posible generar al interior de los procesos cambios importantes asociados a mejoramiento de actividades, controles adecuados, rediseño de procedimientos, entre otros. Ejemplo de ello: mantenimiento preventivo de máquinas, identificación y documentación de acciones de mejora, control de calidad, revisión continua de procesos.

Reducir el riesgo: asocia medidas para disminución la probabilidad (medidas preventivas) y el impacto (medidas de protección), que implican menores esfuerzos en términos operativos y de costos. A manera de ejemplo se tiene: optimización de procedimientos, implementación de nuevos indicadores, etc.

Compartir o transferir el riesgo: Reduce el efecto del riesgo su efecto a través el traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido DAFP (2011).

Asumir el riesgo: Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el gerente del proceso simplemente acepta la perdida residual probable y elabora planes de contingencia para su manejo.

En el momento de explorar las opciones de manejo del riesgo, es necesario realizar un análisis detallado de las acciones que se deben desarrollar con miras a establecer que estas sean factibles y efectivas. Algunos posibles controles que se pueden considerar son: ejecución de las actividades planificadas en iniciativas estratégicas que dan respuesta a la necesidad de tratamiento del riesgo, implementación de políticas de operación en los procesos, optimización de procesos y procedimientos, estandarización de actividades, generación sistemática de acciones preventivas. Para el caso de los riesgos de corrupción, las acciones de tratamiento que serán tenidas en cuenta son: “Reducir” y “Evitar”.

9.4.2 Plan de manejo y/o acciones asociadas

Los planes de manejo son el conjunto de actividades (acciones) encaminadas a realizar el tratamiento del riesgo, en ellos se identifica los responsables, las fechas de cumplimiento y los indicadores para medir la eficacia de las acciones implementadas. Adicionalmente, si al valorar los riesgos estos resultan en zona de riesgo “Alta” o “Extrema”, se puede formular opcionalmente un Plan de Contingencia cuyo contenido proyecta aquellas acciones inmediatas a ejecutar en caso de la materialización del riesgo. Esto evita que se presente inconvenientes en el cumplimiento de los objetivos de la Entidad. En GINA el Plan de Manejo de Riesgo podrá formularse a través del módulo de Planes o a través del módulo de mejoras.

Para el caso las acciones de mejora formuladas para el tratamiento del riesgo deberán contener: nombre del riesgo


CODIGO: G102PR06G01

Versión 02


Página 38 de 43


asociado, la tarea y descripción, la fecha de inicio y fecha finalización, responsable de su ejecución. Para algunos casos se registran entregables que dan cuenta de la evidencia necesaria para considerar como cumplido el compromiso.

Los responsables de las tareas deberán realizar sus reportes periódicos respecto al avance de las mismas, de manera tal que la Oficina de Control Interno pueda realizar seguimiento a la efectividad de las medidas para mitigar el riesgo.

Para los riesgos institucionales y del Modelo de Seguridad y Privacidad de la Información, Las frecuencias de seguimiento y reporte de avances en el plan de tratamiento, por parte de los líderes y responsables de proceso no deben superar los tres meses, de forma que permitan que el autocontrol realizado sea la base para la toma de decisiones, y que se logren introducir correctivos en el momento adecuado.

Para el caso de los riesgos de corrupción, la periodicidad de su establecimiento, revisión, actualización y seguimiento, se ejecutará de conformidad con las fechas establecidas por la guía denominada “Estrategias para la construcción del plan anticorrupción y de atención al ciudadano”.

9.5 Monitoreo y revisión

Una vez se han implementado el plan de manejo del riesgo para la vigencia, se debe realizar un monitoreo a través de seguimientos programados (abril, agosto y diciembre), evaluaciones o auditorías con el fin de evaluar la eficacia de las acciones tomadas para abordar los riesgos y si estás han impactado (efectividad), en términos de:

La disminución de la valoración del riesgo (calificación del riesgo residual).

Logro de los objetivos institucionales concertados en el Plan Estratégico Institucional (PEI) y Plan de Acción Institucional (PAI)

Logro de los objetivos de los procesos

Cumplimiento en las características de calidad definidas para los bienes y servicios que la Entidad suministra. (Las características de calidad se encuentran definidas en los documentos del proceso, así como en las regulaciones normativas aplicables)

Para el caso de la Entidad, el monitoreo y revisión de los riesgos está en cabeza de la Oficina de Control Interno, quien partir de los avances reportados por los responsables de la gestión de los riesgos, generará un informe que identificará las necesidades de revisión, actualización o mejora en el mapa de riesgos, teniendo en cuenta los siguientes aspectos:

La incidencia de los riesgos en el logro de los objetivos

La apropiada valoración del riesgo

Necesidades de creación, eliminación o modificaciones a los mismos para mejorar su eficacia

Alertas tempranas que permiten prevenir la materialización de los riesgos

Posibles riesgos emergentes o nuevos riesgos, que se identifican en los seguimientos realizados o como resultados de auditorías.

El análisis se realiza sobre el cumplimiento de las acciones propuestas para abordar los riesgos, las cuales deberán estar sustentadas a través de evidencia objetiva (cumplimiento de actividades planificadas en las iniciativas estratégicas, actas, listados, correos, documentos, indicadores, imágenes, etc.), cargada por los Líderes y Responsables de proceso como sustento para dar cuenta de los avances efectivos en la mitigación del riesgo.


CODIGO: G102PR06G01

Versión 02


Página 39 de 43


Los responsables de proceso podrán revisar los informes realizados y generar las observaciones pertinentes, asegurando que se implementan las acciones correctivas a que haya lugar. (Ver procedimiento de “Acciones de Mejora” G102PR02 y de “Control del Producto o Servicio No Conforme” G101PR07).

9.6 Lineamientos para el manejo de Riesgos Materializados

Si dentro del seguimiento realizado, bien sea por parte de la Oficina de Control Interno o por los líderes de los procesos, se establece que se ha materializado uno o más riesgos, las acciones requeridas son las siguientes:



CODIGO: G102PR06G01

Versión 02


Página 40 de 43


9.7 Actualización del mapa de riesgos

El mapa de riesgos debe ser actualizado cuando el proceso evaluado presente cambios organizacionales, como objetivo, alcance y/o actividades, o cuando el contexto estratégico presente un cambio significativo que requiere la revisión completa de los riesgos gestionados, teniendo como mínimo una revisión y/o actualización anual a partir de última fecha de revisión. Los riesgos identificados podrán ser actualizados de forma individual, cuando así se requiere, tomando como insumos las necesidades de ajuste identificadas en auditorías internas, revisión por la dirección, auditorías externas o resultado de las acciones de seguimiento y autocontrol ejecutadas por los líderes y responsables de proceso. La actualización o ajuste estará a cargo de los líderes y responsables de procesos, quienes con el acompañamiento de la Oficina Asesora de Planeación y basados en las acciones de seguimiento o autocontrol al proceso, las recomendaciones de seguimiento generadas por la Oficina de Control Interno, auditorías internas, revisión por la dirección o auditorías externas procederán a realizar los ajustes de los riesgos a su cargo. Para el caso de los riesgos de corrupción, la periodicidad de su establecimiento, revisión, actualización y seguimiento, se ejecutará de conformidad con las fechas establecidas por la guía denominada “Estrategias para la construcción del plan anticorrupción y de atención al ciudadano”.

10. METODOLOGÍA PARA LA GESTIÓN DE LAS OPORTUNIDADES EN COLCIENCIAS

Con el fin de realizar la gestión de las oportunidades, una vez realizada su identificación en la definición del Contexto Estratégico (ver numeral 9.1), se realiza su análisis a fin de proponer iniciativas que permitan abordar las oportunidades y propender por el logro de los objetivos estratégicos de la Entidad. Los líderes y responsables de proceso son los responsables de proponer las iniciativas estratégicas que desde sus programas permiten maximizar las oportunidades identificadas y de este modo asegurar el cumplimiento de los resultados planificados. Así mismo, los líderes y responsables de proceso deben realizar el reporte de los avances en el desarrollo de la iniciativa estratégica propuesta, de conformidad con los plazos establecidos y los lineamientos para el reporte definidos en la “Guía para la Planeación y Seguimiento Estratégico” G101PR01G01 y la “Guía de reporte y seguimiento a la gestión” G101PR01G02. La Oficina Asesora de Planeación es la instancia responsable de brindar asesoría técnica para la definición y articulación de oportunidad priorizada con la iniciativa propuesta por el Líder o Responsable del proceso, garantizando su coherencia con los objetivos y metas definidos en el Plan Estratégico Institucional y Plan de Acción Institucional. Trimestralmente la Oficina Asesora de Planeación, consolida el avance en las iniciativas propuestas a través del seguimiento al Plan de Acción Institucional, socializando los resultados en el Comité de Dirección y/o Comité de Gestión y desempeño Institucional, a fin de facilitar la toma de decisiones frente a los avances obtenidos. La evaluación de la eficacia de las acciones tomadas para abordar las oportunidades, se realiza teniendo en cuenta el resultado obtenido en las metas programáticas y estratégicas a las cuales aporta la iniciativa propuesta.


CODIGO: G102PR06G01

Versión 02


Página 41 de 43


11. COMUNICACIÓN Y CONSULTA

Teniendo en cuenta que la comunicación y consulta con las partes involucradas tanto internas como externas debe tener lugar durante todas las etapas del proceso para la gestión del riesgo y las oportunidades, Colciencias determina las siguientes actividades:

El mapa de Riesgos de Colciencias, deberá ser divulgado y estará cargado en la plataforma GINA / Módulo de Riesgos para consulta de la Comunidad Colciencias. A partir de esto, los funcionarios y colaboradores podrán revisar y retroalimentar en términos de aportar su conocimiento en la identificación, análisis y valoración del riesgo, así como en la ejecución de las acciones definidas para el tratamiento de los riesgos priorizados.

Los líderes y responsables de cada proceso (Directores Técnicos/ Jefes de Oficina / Responsables de Equipo o Grupo de Trabajo), deben divulgar y sensibilizar al interior de sus dependencias el mapa de riesgos junto con el plan de manejo y políticas de operación que se derivan.

La Oficina Asesora de Planeación y la Oficina de Control Interno, impulsarán a nivel institucional una cultura de gestión del riesgo, a través de capacitaciones, mesas de trabajo y asesorías, con el fin de mejorar el conocimiento y apropiación del enfoque basado en riesgos.

Las acciones de tratamiento de los riesgos priorizados que involucren partes interesadas o terceros, serán dadas a conocer, por parte de los líderes y responsables de cada proceso.

La consolidación del Mapa de Riesgos de Corrupción le corresponde realizarla al jefe de planeación o quien haga sus veces, quien servirá de facilitador en el proceso de Gestión de Riesgos de Corrupción con las dependencias.

La consulta y divulgación del Mapa de Riesgos de Corrupción a partes interesadas y comunidad en general se realizará a través de su publicación en la página web de la Entidad.

Para la gestión de las oportunidades se debe asegurar el reporte periódico del avance en la ejecución de las iniciativas estratégicas, por parte de los líderes y responsables de proceso (Directores Técnicos/ Jefes de Oficina / Responsables de Equipo o Grupo de Trabajo).

La Oficina Asesora de Planeación consolidará trimestralmente el avance en la ejecución de las iniciativas, socializando los resultados a través del Comité Directivo y/o de Gestión y Desempeño Institucional. La consulta y divulgación del avance de las iniciativas a las partes interesadas y comunidad en general se realizará a través de la publicación de los seguimientos al Plan de Acción Institucional (PAI), en la página web de la Entidad.

12. ALINEACIÓN CON LA POLÍTICA DE LUCHA CONTRA LA CORRUPCIÓN Y DE EFICIENCIA ADMINISTRATIVA

Teniendo en cuenta que el Gobierno Nacional viene impulsando y desarrollando diferentes políticas públicas con miras a disminuir los niveles de corrupción en todos los ámbitos. La Secretaría de Transparencia de la Presidencia de la República en cumplimiento del artículo 73 de la Ley 1474 de 2011 diseñó una metodología para que todas las entidades determinen su Plan Anticorrupción y de Atención al ciudadano, la cual contempla como uno de sus componentes el levantamiento de los mapas de riesgos asociados a posibles hechos de corrupción.


CODIGO: G102PR06G01

Versión 02


Página 42 de 43


Entendiendo que los riesgos de corrupción se convierten en una tipología de riesgos que debe ser controlada por la entidad, éstos deben incorporarse en primera instancia en el mapa de riesgos del proceso, sobre el cual se han identificado, de modo tal que el responsable o líder del mismo pueda realizar el seguimiento correspondiente, en conjunto con los riesgos de gestión propios del proceso, evitando que se generen mapas separados de gestión y de corrupción, lo que promueve que el responsable tenga una mirada integral de todos los riesgos que pueden llegar a afectar el desarrollo de su proceso. En este sentido, es importante precisar que el seguimiento a los riesgos de corrupción en primer lugar es responsabilidad de los líderes de los procesos en los cuales fueron identificados, así mismo de la Oficina de Asesora de Planeación quien realiza seguimiento y finalmente de la Oficina de Control Interno quien es la encargada de evaluar las efectividad de los controles y determinar si se han materializado o no este tipo de riesgos. En todos los casos se debe asegurar la gestión de riesgos de corrupción, a fin de evitar que se impacten los resultados del Plan Estratégico Institucional (PEI) y Plan de Acción Institucional (PAI). 13. PRODUCTO Y SERVICIO NO CONFORME

En Colciencias, la no conformidad que se presenta en un producto o servicio prestado, debido al no cumplimiento de la característica de calidad definida en los procedimientos, normas legales y demás documentos del proceso, se relaciona directamente con la materialización de un riesgo. De esta manera, es importante revisar la matriz “Matriz de identificación del producto o servicio no conforme” (G102PR07AN01), la cual establece que si se detecta la materialización del riesgo es necesario analizar su efecto y generar acción correctiva, de ser requerido. El tratamiento respectivo del Producto y Servicio No Conforme, se realiza de acuerdo con lo establecido en el procedimiento de “Control de Producto y Servicio No Conforme G102PR07”.


CODIGO: G102PR06G01

Versión 02


Página 43 de 43


BIBLIOGRAFÍA COSO, FLAI, PRICE WATERHOUSE COOPERS (2005). Administración de Riesgos Corporativos –Marco Integrado (Técnicas de aplicación). DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PÚBLICA -DAFP (2017). Guía para la administración del riesgo y caja de herramientas. Disponible en: http://www.funcionpublica.gov.co/guias DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PÚBLICA -DAFP (2014). Guía para la administración del riesgo. . Disponible en: http://www.funcionpublica.gov.co/guias DEPARTAMENTO ADMINISTRATIVO DE LA FUNCION PÚBLICA -DAFP (2011). Guía para la gestión del riesgo de corrupción. . Disponible en: http://www.funcionpublica.gov.co/guias DEPARTAMENTO NACIONAL DE PLANEACION -DNP (2015). Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano. . Disponible en: http://www.funcionpublica.gov.co/guias THE INTERNATIONAL ORGANIZATION OF SUPREME AUDIT INSTITUTIONS -INTOSAI (2000). Guía para las normas de control interno del sector público MINISTERIO DE TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES DE COLOMBIA. Guía de gestión de riesgos. 2016. Disponible en: http://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf BRITISH STANDARD. Information Technology – Security Techniques – Information Security Risk Management. ISO/IEC 27005. 2008

Elaboró Revisó Aprobó

Nombre: Diana Paola Yate Adriana Pereira Oviedo

Nombre: Adriana Pereira Oviedo

Nombre: Nicolás González Espinosa

Cargo: Contratista OAP

Cargo: Contratistas OAP – Líder Sistema de Gestión

Cargo: Jefe Oficina Asesora de Planeación

http://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf

GUIA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES · 2018-04-04 · GUIA PARA LA GESTIÓN DEL...

Documents

Transcript of GUIA PARA LA GESTIÓN DEL RIESGO Y LAS OPORTUNIDADES · 2018-04-04 · GUIA PARA LA GESTIÓN DEL...