METODOLOGÍA DE ADMINISTRACIÓN DEL RIESGO · gestión de los riesgos de toda naturaleza a los que...

1

METODOLOGÍA DE ADMINISTRACIÓN DEL RIESGO

2019

2

TABLA DE CONTENIDO

INTRODUCCIÓN ........................................................................................................ 3

1. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS DE LA COMISIÓN DE

REGULACIÓN DE ENERGÍA Y GAS – CREG ........................................................... 4

OBJETIVO ............................................................................................................... 5

ALCANCE ................................................................................................................ 5

GLOSARIO DE TÉRMINOS ........................................................................................ 6

2. IDENTIFICACIÓN DE RIESGOS ............................................................................ 8

2.1 CONTEXTO ESTRATÉGICO ................................................................................ 8

2.2 IDENTIFICACIÓN DE LOS RIESGOS ................................................................ 10

3. VALORACIÓN DEL RIESGO ................................................................................ 11

3.1 ANÁLISIS DE LOS RIESGOS ............................................................................. 11

MAPA DE CALOR, EVALUACIÓN Y RESPUESTA A LOS RIESGOS ..................... 17

3.2 EVALUACION DE RIESGOS .............................................................................. 19

ANÁLISIS Y EVALUACIÓN DE LOS CONTROLES PARA LA MITIGACIÓN DE LOS

RIESGOS .................................................................................................................. 22

ELABORACIÓN DEL MAPA DE RIESGO ................................................................ 25

3.3 MONITOREO Y REVISIÓN ................................................................................. 26

3.4 SEGUIMIENTO A LOS MAPAS DE RIESGO ..................................................... 28

PLANES DE CONTINGENCIA .................................................................................. 28

3

INTRODUCCIÓN

El presente documento comprende la definición de la política y lineamientos

institucionales a emprender, lo que sin duda permitirá dirigir el accionar de la CREG

hacia el uso eficiente de los recursos y la continuidad en la prestación de los servicios

con calidad, los cuales se encuentran alineados con la guía para la administración del

riesgo y el diseño de controles en entidades públicas, versión 4.

La metodología para la administración de riesgos debe contener:

4

1. POLÍTICA DE ADMINISTRACIÓN DE RIESGOS DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS – CREG

La Comisión de Regulación de Energía y Gas - CREG, define su Política de

Administración de Riesgos, con el fin de garantizar una gestión pública eficiente y

transparente, capaz de atender las necesidades y expectativas de los usuarios y

partes interesadas; para esto, declara su compromiso frente a la administración y

gestión del riesgo, partiendo de la identificación, análisis, valoración y el

establecimiento de las acciones de contingencia de aquellos eventos que puedan

afectar los objetivos estratégicos y la adecuada prestación de nuestros servicios,

mediante la definición del procedimiento de administración del riesgo, que afecten o

puedan afectar el cumplimiento de su misión institucional. Los niveles para calificar el

impacto de los riesgos, el nivel de aceptación, tratamiento, seguimiento y evaluación

de los mismos.

La Comisión de Regulación de Energía y Gas CREG, debe elaborar un diagnóstico de

los factores, internos y externos, que afectan o pueden afectar el avance en los

programas, proyectos y planes; así mismo, construir el Mapa de, Riesgos de gestión,

corrupción, de activos de información y el Mapa de Riesgos Institucional, para

establecer las acciones de control preventivas y la actuación correctiva y oportuna

ante la materialización de los riesgos identificados.

Una vez valorados los riesgos de gestión y de seguridad de la información, la CREG

asume aquellos que se ubiquen en zonas de riesgo baja. Lo anterior implica que para

los mismos no es necesario establecer acciones preventivas, sin embargo, el líder de

proceso como primera línea de defensa y la segunda línea de defensa definirán el

establecimiento de las mismas, cuando se considere necesario, con el fin de mitigar el

efecto sobre cada una de sus actividades.

Para los riesgos de corrupción no se adopta ninguna medida que afecte la

probabilidad o el impacto del riesgo. (Ningún riesgo de corrupción podrá ser

aceptado).

Con el fin de determinar el riesgo en la seguridad de la información de la Entidad, los

responsables de cada proceso, identificarán los activos de información y los valorarán

en términos de garantizar la confidencialidad, integridad y disponibilidad de la

información, teniendo en cuenta los siguientes aspectos:

El valor estratégico del proceso de información para la Entidad.

La criticidad de los activos de información involucrados en el proceso.

5

Los requisitos legales y reglamentarios, así como las obligaciones

contractuales.

Las expectativas y percepciones de las partes interesadas y las consecuencias

negativas para el buen nombre y la reputación de la Entidad.

Así mismo, los riesgos asociados al Sistema de Gestión de Seguridad y Salud en el

Trabajo serán identificados, valorados y controlados a fin de prevenir y mitigar la

ocurrencia de accidentes y enfermedades laborales. Los responsables de cada

proceso junto con sus equipos de trabajo, serán quienes adelanten la ejecución de los

controles y las acciones preventivas y realicen el seguimiento a su cumplimiento como

parte del autocontrol y, de manera independiente el Grupo de Trabajo de Control

Interno de Gestión efectuará la evaluación de su competencia.

OBJETIVO

Establecer los principios básicos y el marco general de actuación para el control y la

gestión de los riesgos de toda naturaleza a los que se enfrenta la entidad.

ALCANCE

La política de administración del riesgo es un elemento que contribuye al control

interno de la entidad, fomentando la cultura del autocontrol, aplica para los riesgos de

gestión y corrupción en los procesos y para los sistemas de gestión con que cuenta la

entidad.

6

GLOSARIO DE TÉRMINOS

• Aceptación del riesgo: Decisión informada de aceptar las consecuencias y

probabilidad de un riesgo en particular.

• Activo: En el contexto de seguridad digital son elementos tales como aplicaciones

de la organización, servicios web, redes, hardware, información física o digital,

recurso humano, entre otros, que utiliza la organización para funcionar en el

entorno digital.

• Administración de riesgos: Conjunto de elementos de control que, al

interrelacionarse, permiten a la entidad evaluar aquellos eventos negativos, tanto

internos como externos, que puedan afectar o impedir el logro de sus objetivos

institucionales o los eventos positivos que permitan identificar oportunidades para

un mejor cumplimiento de su función

• Amenazas: situación potencial de un incidente no deseado, el cual puede

ocasionar daño a un sistema o a una organización.

• Análisis de riesgo: Elemento de control que permite establecer la probabilidad de

ocurrencia de los eventos positivos o negativos y el impacto de sus

consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de

la entidad para su aceptación y manejo. Se debe llevar a cabo un uso sistemático

de la información disponible para determinar qué tan frecuentemente pueden

ocurrir eventos especificados y la magnitud de sus consecuencias.

• Causa: Todos aquellos factores internos y externos que solos o en combinación

con otros, pueden producir la materialización de un riesgo.

• Compartir el riesgo: Se asocia con la forma de protección para disminuir las

pérdidas que ocurran luego de la materialización de un riesgo, es posible

realizarlo mediante contratos, seguros, cláusulas contractuales u otros medios

que puedan aplicarse.

• Confidencialidad: Propiedad de la información que la hace no disponible, es decir,

divulgada a individuos, entidades o procesos no autorizados.

• Consecuencia: Son los efectos o situaciones resultantes de la materialización del

riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes

interesadas.

• Control: Medida que modifica el riesgo (procesos, políticas, dispositivos, prácticas

u otras acciones).

• Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una

entidad.

• Factores de riesgo: Manifestaciones o características medibles u observables de

un proceso que indican la presencia de riesgos o tienden a aumentar la

exposición, pueden ser internos o externos de la entidad.

• Gestión del riesgo: Proceso efectuado por la alta dirección de la entidad y por

todo el personal para proporcionar a la administración un aseguramiento

razonable con respecto al logro de los objetivos.

7

• Identificación del riesgo: Elemento de control, que posibilita conocer los eventos

potenciales, estén o no bajo el control de la entidad pública, que ponen en riesgo

el logro de su misión, estableciendo los agentes generadores, las causas y los

efectos de su ocurrencia. Se puede entender como el proceso que permite

determinar qué podría suceder, por qué sucedería y de qué manera se llevaría a

cabo.

• Impacto: Se entiende como las consecuencias que puede ocasionar a la

organización la materialización del riesgo.

• Integridad: Propiedad de exactitud y completitud.

• Mapa de riesgos: Documento con la información resultante de la gestión del

riesgo.

• Nivel de aceptación del riesgo: Son los criterios de aceptación de riesgos

establecidos que se emplean durante la etapa de evaluación de riesgos.

• Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo. Esta

puede ser medida con criterios de frecuencia o factibilidad.

• Riesgo: Es la posibilidad de que suceda algún evento que tendrá un impacto sobre

los objetivos institucionales o del proceso. Se expresa en términos de probabilidad

y consecuencias.

• Riesgo de corrupción: Posibilidad de que, por acción u omisión, se use el poder

para desviar la gestión de lo público hacia un beneficio privado.

• Riesgo de gestión: Posibilidad de que suceda algún evento que tendrá un

impacto sobre el cumplimiento de los objetivos. Se expresa en términos de

probabilidad y consecuencias.

Riesgo de proceso: El riesgo está vinculado con todo el quehacer de la entidad, aquellos riesgos asociados al logro de los objetivos de los procesos institucionales.

• Riesgo de seguridad digital: Combinación de amenazas y vulnerabilidades en el

entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así

como afectar la soberanía nacional, la integridad territorial, el orden constitucional

y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico,

digital y las personas.

• Riesgo residual: Nivel de riesgo que permanece luego de tomar sus

correspondientes medidas de tratamiento.

• Tratamiento del riesgo: Consiste en seleccionar y aplicar las medidas más

adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los

daños intrínsecos al factor de riesgo, o bien aprovechar las ventajas que pueda

reportarnos.

• Valoración del riesgo: Busca identificar y analizar los riesgos que enfrenta la

entidad, tanto de fuentes internas como externas relevantes para la consecución de

los objetivos, para administrarlos.

8

2. IDENTIFICACIÓN DE RIESGOS

2.1 CONTEXTO ESTRATÉGICO

Para la formulación y ejecución de la política de administración del riesgo, es

fundamental tener claridad de la misión institucional, sus objetivos, y tener una visión

sistemática de la gestión, de manera que no se perciba esta herramienta gerencial

como algo aislado del mismo accionar administrativo. Por ende, el diseño se

establece a partir de la identificación de los factores internos y externos que pueden

generar riesgos que afecten el cumplimiento de los objetivos así:

Clasificación

Factores

Contexto Externo

Económicos: Disminución del presupuesto por prioridades del Gobierno, Austeridad en el gasto

Políticos: Cambio de gobierno con nuevos planes y proyectos de Desarrollo, Falta de continuidad en los programas establecidos, Desconocimiento de la Entidad por parte de otros órganos de gobierno

Sociales: Ubicación de la Entidad que dificulta el acceso al personal y al público, constantes marchas y paros en el centro de la ciudad

Tecnológicos: Falta de interoperabilidad con otros sistemas, Fallas en la infraestructura tecnológica, falta de recursos para el fortalecimiento tecnológico

Comunicación Externa: Múltiples canales e interlocutores de la Entidad con los usuarios, Servicio telefónico insuficiente, falta de coordinación de canales y medios.

Legal: Cambios legales y normativos aplicables a la Entidad y a los procesos

Contexto Interno

Financieros: Bajo presupuesto de funcionamiento que impide el desarrollo de proyectos, demoras en apropiación y ejecución de recursos, dificultades para la definición de proyectos

Personal: Desmotivación de los servidores, falta de incentivos, carrera administrativa sin posibilidades de ascenso, falta de capacitación para desarrollar proyectos, alta rotación

Procesos: incoherencia entre procesos establecidos y ejecutados, Desconocimiento de los procesos y procedimientos por parte de los servidores, desactualización de documentos, falta interacción

Tecnología: sistemas de gestión ineficientes, falta de optimización de sistemas de gestión, falta de coordinación de necesidades de tecnología

Medio Ambientales: Contaminación por sustancias perjudiciales para la salud, Mala práctica de clasificación de residuos

9

comunicación interna: Falta de control sobre los canales establecidos, Falta de registros de resultados de reuniones, demoras en bajar la información, poca efectividad en los canales internos

Contexto del Proceso

Diseño del proceso: Claridad en la descripción del alcance y objetivo del proceso.

Interacciones con otros procesos: Relación precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios o clientes.

Transversalidad: Procesos que determinan lineamientos necesarios para el desarrollo de otros procesos de la entidad.

Procedimientos asociados: Pertinencia en los procedimientos que desarrollan los procesos.

Responsables del proceso: Grado de autoridad y responsabilidad de los funcionarios frente al proceso.

Comunicación entre los procesos: Efectividad en los flujos de información determinados en la interacción de los procesos.

Activos de Seguridad del Proceso: Información, aplicaciones, hardware, servicios web, redes entre otros, que se deben proteger para garantizar el funcionamiento interno de cada proceso, como de cara al ciudadano

“Este contexto estratégico es la base para la identificación de los riesgos en los

procesos y actividades. El análisis se realiza a partir del conocimiento de situaciones

del entorno de la entidad, tanto de carácter social, económico, cultural, de orden

público, político, legal y/o cambios tecnológicos, entre otros; se alimenta también con

el análisis de la situación actual de la entidad, basado en los resultados de los

componentes de ambiente de control, estructura organizacional, modelo de operación,

cumplimiento de los planes y programas, sistemas de información, procesos,

procedimientos y los recursos económicos, entre otros.1”

Basada tanto en el resultado del análisis del Contexto Estratégico de la entidad como

del contexto propio de los sistemas de gestión que lo complementan, apoyado en el

proceso de planeación y debe partir de la claridad de los objetivos estratégicos para la

obtención de resultados. La identificación de los riesgos se realiza a nivel del

Componente de Direccionamiento Estratégico y de gestión de la operación. Este

contexto deberá ser utilizado como elemento de entrada en la identificación de riesgos

por proceso, de los sistemas de gestión que la organización implementa y los riesgos

de corrupción.

1 Guía de Administración del Riesgo. Contexto Estratégico, pág. 27. Cuarta Edición.

10

2.2 IDENTIFICACIÓN DE LOS RIESGOS

La identificación del riesgo se realiza determinando las causas, con base en los

factores internos y/o externos analizados para la entidad, y que pueden afectar el

logro de los objetivos.

Una manera para que todos los servidores de la entidad conozcan y visualicen los

riesgos es a través de la utilización del formato de identificación de riesgos el cual

permite hacer un inventario de los mismos, definiendo en primera instancia las causas

con base en los factores de riesgo internos y externos (contexto estratégico),

presentando una descripción de cada uno de estos y finalmente definiendo los

posibles efectos (consecuencias).

Es importante centrarse en los riesgos más significativos para la entidad relacionados

con los objetivos de los procesos y los objetivos institucionales. Es allí donde, al igual

que todos los servidores, la alta dirección, adopta un papel proactivo en el sentido de

visualizar en sus contextos estratégicos y misionales los factores o causas que

pueden afectar el curso institucional, dada la especialidad de la Entidad.

Entender la importancia del manejo del riesgo implica conocer con más detalle los

siguientes conceptos:

• Proceso: Nombre del proceso.

• Objetivo del proceso: Se debe transcribir el objetivo que se ha definido para

el proceso al cual se le están identificando los riesgos.

• Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda

entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro

de sus objetivos.

• Causas (factores internos o externos): Son los medios, las circunstancias y

agentes generadores de riesgo. Los agentes generadores se entienden como

todos los sujetos u objetos que tienen la capacidad de originar un riesgo.

• Descripción: Se refiere a las características generales o las formas en que se

observa o manifiesta el riesgo identificado.

• Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los

objetivos de la entidad; generalmente se dan sobre las personas o los bienes

materiales o inmateriales con incidencias importantes tales como daños físicos y

fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de

imagen, de credibilidad y de confianza, interrupción del servicio y daño

ambiental.

11

Preguntas claves para la identificación del riesgo:

¿Qué puede suceder?

¿Cómo puede suceder?

Es importante observar que el proceso de identificación del riesgo es posible realizarlo

a partir de varias causas que pueden estar relacionadas.

Para la redacción de riesgos, se debe evitar iniciar con palabras negativas como

“No... “Que no…”, o con palabras que denoten un factor de riesgo (causa) tales como

“ausencia de”, “Falta de “, “poco (a)”, “escaso (a)”, “insuficiente”, “deficiente”,

“debilidades en”.

Se debe generar en el lector o escucha la imagen del evento como si ya estuviera

sucediendo.

En la descripción de los riesgos de corrupción, deben concurrir todos los

componentes de su definición. Acción u omisión + uso del poder + desviación de

la gestión de lo público + el beneficio privado.

Los riesgos de seguridad digital, se basan en la afectación de tres criterios en un

activo o grupo de activos dentro del proceso “Integridad, confidencialidad o

disponibilidad”.

Para el riesgo identificado se debe asociar el grupo de activos o activos específicos

del proceso y conjuntamente analizar las posibles amenazas y vulnerabilidades que

podría causar su materialización.

Con base en la información anterior, el líder de cada proceso, institucional y/o de cada

sistema de gestión, deberá consolidar la información requerida en el formato

“Identificación de los Riesgos” (Ver Anexo 1) contando con la participación activa de

los funcionarios involucrados.

3. VALORACIÓN DEL RIESGO

3.1 ANÁLISIS DE LOS RIESGOS

¿Cómo se analiza el riesgo?

El análisis del riesgo busca establecer la probabilidad de ocurrencia del mismo y sus

consecuencias o impacto, este último aspecto puede orientar la clasificación del

riesgo, con el fin de obtener información para establecer el nivel de riesgo y las

acciones que se van a implementar.

12

El análisis del riesgo depende de la información obtenida en la fase de identificación

de riesgos.

Pasos claves en el análisis de riesgos:

- Determinar probabilidad

- Determinar consecuencias

- Clasificación del riesgo

- Estimar el nivel del riesgo

Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos

identificados: Probabilidad e Impacto.

Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:

Calificación del riesgo y evaluación del riesgo.

• Calificación del riesgo: Se logra a través de la estimación de la probabilidad de

su ocurrencia y el impacto que puede causar la materialización del riesgo.

• Bajo el criterio de Probabilidad: El riesgo se debe medir a partir de las siguientes

especificaciones:

Los líderes de los procesos deben determinar la probabilidad y el impacto de cada

uno de los riesgos, teniendo en cuenta los criterios establecidos en las diferentes

guías de tipo legal, tanto para la administración pública como para los sistemas de

gestión.

Para determinar de manera objetiva la probabilidad, de ocurrencia de los riesgos de

proceso, de sistemas de gestión y de corrupción, se debe utilizar la siguiente tabla:

CRITERIOS PARA CALIFICAR LA PROBABILIDAD.

NIVEL CONCEPTO DESCRIPCIÓN FRECUENCIA

5 Casi seguro Se espera que el evento ocurra en

la mayoría de las circunstancias

Más de una vez al año

4 Probable El evento probablemente ocurrirá en

la mayoría de las circunstancias

Al menos una vez en el

último año

3 Posible El evento podría ocurrir en algún

momento.

Al menos una vez en

los últimos 2 años

2 Improbable El evento puede ocurrir en algún

momento

Al menos 1 vez en los

últimos 5 años

1 Rara vez El evento puede ocurrir sólo en

circunstancias excepcionales.

No se ha presentado

en los últimos 5 años

13

Bajo el criterio de impacto, el riesgo por proceso y de sistemas de gestión se debe

medir a partir de las siguientes especificaciones:

CRITERIOS PARA CALIFICAR EL IMPACTO – RIESGO DE GESTIÓN

NIVEL IMPACTO IMPACTO

(CONSECUENCIAS)

CUANTITATIVO

IMPACTO

(CONSECUENCIAS)

CUALITATIVO

1

Insignificante

Impacto que afecte la ejecución

presupuestal en un valor ≥0,5%

• Pérdida de cobertura en la

prestación de los servicios de

la entidad ≥1%. • Pago de

indemnizaciones a terceros por

acciones legales que pueden

afectar el presupuesto total de

la entidad en un valor ≥0,5% •

Pago de sanciones económicas

por incumplimiento en la

normatividad aplicable ante un

ente regulador, las cuales

afectan en un valor ≥0,5% del

presupuesto general de la

entidad

• No hay interrupción de las

operaciones de la entidad. •

No se generan sanciones

económicas o

administrativas. • No se

afecta la imagen institucional

de forma significativa

2

Menor

• Impacto que afecte la

ejecución presupuestal en un

valor ≥1%



la entidad ≥5%.

• Pago de indemnizaciones a

terceros por acciones legales

que pueden afectar el

presupuesto total de la entidad

en un valor ≥1%

• Pago de sanciones

económicas por incumplimiento

en la normatividad aplicable

ante un ente regulador, las

cuales afectan en un valor ≥1%

del presupuesto general de la

entidad.

• Interrupción de las

operaciones de la Entidad

por algunas horas.

• Reclamaciones o quejas

de los usuarios que implican

investigaciones internas

disciplinarias.

• Imagen institucional

afectada localmente por

retrasos en la prestación del

servicio a los usuarios o

ciudadanos.



valor ≥5%



la entidad ≥10%.




por un día.

• Reclamaciones o quejas de

los usuarios que podrían

implicar una denuncia ante

los entes reguladores o una

14

3

Moderado




en un valor ≥5%





cuales afectan en un valor ≥5%

del presupuesto general de la

entidad

demanda de largo alcance

para la entidad.

• Inoportunidad en la

información ocasionando

retrasos en la atención a los

usuarios.

• Reproceso de actividades y

aumento de carga operativa.


afectada en el orden nacional

o regional por retrasos en la

prestación del servicio a los

usuarios o ciudadanos.

• Investigaciones penales,

fiscales o disciplinarias

4

Mayor



valor ≥20%



la entidad ≥20%.





en un valor ≥20%





cuales afectan en un valor

≥20% del presupuesto general

de la Comisión



por más de dos (2) días.

• Pérdida de información

crítica que puede ser

recuperada de forma parcial

o incompleta.

• Sanción por parte del ente

de control u otro ente

regulador.

• Incumplimiento en las

metas y objetivos

institucionales afectando el

cumplimiento en las metas

de gobierno.


afectada en el orden nacional

o regional por

incumplimientos en la

prestación del servicio a los

usuarios o ciudadanos.

5

Catastrófico



valor ≥50%



la entidad ≥50%.





en un valor ≥50%






por más de cinco (5) días.

• Intervención por parte de

un ente de control u otro ente

regulador.

• Pérdida de Información

crítica para la entidad que no

se puede recuperar.

• Incumplimiento en las

metas y objetivos

institucionales afectando de

forma grave la ejecución

presupuestal. • Imagen

15

CRITERIOS PARA CALIFICAR EL IMPACTO PARA RIESGOS DE SEGURIDAD

DIGITAL


cuales afectan en un valor

≥50% del presupuesto general

de la Entidad

institucional afectada en el

orden nacional o regional por

actos o hechos de corrupción

comprobados.

NIVEL IMPACTO IMPACTO

(CONSECUENCIAS)

CUANTITATIVO

IMPACTO

(CONSECUENCIAS)

CUALITATIVO

1

Insignificante

• Afectación ≥1% de la

población.

• Afectación ≥0,5% del

presupuesto anual de la

entidad.

• Sin afectación de la integridad.

• Sin afectación de la

disponibilidad. • Sin afectación

de la confidencialidad.

2

Menor


población.

• Afectación ≥1% del


entidad.

• Afectación leve de la

integridad.


disponibilidad.


confidencialidad.

3

Moderado


población. • Afectación ≥5% del


entidad.

• Afectación moderada de la

integridad de la información

debido al interés particular de

los empleados y terceros.


disponibilidad de la información




confidencialidad de la

información debido al interés

particular de los empleados y

terceros.

4

Mayor


población.

• Afectación ≥20% del

presupuesto anual de la entidad

• Afectación grave de la









confidencialidad de la

información debido al interés

particular de los empleados y

terceros.

16

Es importante anotar que en los riesgos de seguridad digital se determinan con base

en la amenaza, no en las vulnerabilidades.

CRITERIOS PARA CALIFICAR EL IMPACTO EN LOS RIESGOS DE CORRUPCIÓN PREGUNTA. SI EL RIESGO DE CORRUPCIÓN SE MATERIALIZA, PODRÍA… SI NO

1 ¿Afectar al grupo de funcionarios del proceso?

2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia?

3 ¿Afectar el cumplimiento de misión de la entidad?

4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la entidad?

5 ¿Generar pérdida de confianza de la entidad, afectando su reputación?

6 ¿Generar pérdida de recursos económicos?

7 ¿Afectar la generación de los productos o la prestación de servicios?

8. ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del

bien, servicios o recursos públicos?

9 ¿Generar pérdida de información de la entidad?

10 ¿Generar intervención de los órganos de control, de la Fiscalía u otro ente?

11 ¿Dar lugar a procesos sancionatorios?

12 ¿Dar lugar a procesos disciplinarios?

13 ¿Dar lugar a procesos fiscales?

14 ¿Dar lugar a procesos penales?

15 ¿Generar pérdida de credibilidad

16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?

17 ¿Afectar la imagen regional?

18 ¿Afectar la imagen nacional?

19 ¿Generar daño ambiental?

La calificación de impacto de riesgos de corrupción no tiene los niveles de

insignificante y menor, y se califica de la siguiente manera:

5

Catastrófico


población. • Afectación ≥50%

del presupuesto anual de la

entidad.

• Afectación muy grave de la


debido al interés particular de los

empleados y terceros. •

Afectación muy grave de la



empleados y terceros. •

Afectación muy grave de la

confidencialidad de la información


empleados y terceros.

NIVEL CALIFICACIÓN CONSECUENCIA

Moderado Responder afirmativamente de

UNA a CINCO preguntas genera

Afectación parcial al proceso y a la

dependencia Genera medianas

17

Los resultados de la valoración deben quedar registrados en el formato de

“Calificación y evaluación de riesgos” (Ver Anexo 2) y de ser el caso, determinar con

los funcionarios involucrados en los procesos, las acciones de control que deberán

implementarse.

Aunque se utilice el mismo mapa de calor, para los riesgos de gestión y de

corrupción, a estos últimos solo les aplican las columnas de impacto, Moderado,

Mayor y Catastrófico.

MAPA DE CALOR, EVALUACIÓN Y RESPUESTA A LOS RIESGOS

1 2 3 4 5

Insignificante Menor Moderado Mayor Catastrófico

1 B B M A A

2 B B M A E

3 B M A E E

4 M A A E E

5 A A E E E

PROBABILIDADIMPACTO / CONSECUENCIAS

Raro

Improbable

Posible

Probable

Casi seguro

Una vez se ha realizado la valoración del riesgo, se considera que este es inherente

al cual se enfrenta el proceso en ausencia de controles para la mitigación del mismo.

Niveles de tratamiento de los riesgos

El tratamiento o respuesta dada al riesgo, se enmarca en las siguientes categorías:

Aceptar el riesgo: significa que no se adopta ninguna medida que afecte la

probabilidad o el impacto del riesgo. Ningún riesgo de corrupción puede tener como

tratamiento, el aceptar el riesgo.

Reducir el riesgo: se adoptan medidas para reducir la probabilidad o el impacto del

riesgo, o ambos. Por lo general conlleva a la implementación de controles.

un impacto moderado. consecuencias para la entidad.

Mayor Responder afirmativamente de

SEIS a ONCE preguntas genera

un impacto mayor.

Impacto negativo de la Entidad Genera

altas consecuencias para la entidad.

Catastrófico Responder afirmativamente de

DOCE a DIECINUEVE preguntas

genera un impacto catastrófico.

Consecuencias desastrosas sobre el sector

Genera consecuencias desastrosas para la

entidad.

18

Evitar el riesgo: se abandonan las actividades que dan lugar al riesgo, decidiendo no

iniciar o no continuar con la actividad que lo provoca.

Compartir el riesgo: se reduce la probabilidad o el impacto del riesgo, transfiriendo o

compartiendo una parte del riesgo. Para el caso de los riesgos de corrupción, se

puede compartir, pero no se puede transferir su responsabilidad.

De acuerdo con lo anterior, se establecen a continuación los niveles de tratamiento a

los riesgos:

Nivel BAJO: Se ACEPTARÁ el riesgo y administrará por medio de las actividades

propias del proceso asociado y su control y registro de avance se realizará

semestralmente por medio del informe de desempeño.

Nivel MEDIO O MODERADO: Se deberá incluir este riesgo en el Mapa de riesgos

Institucional, se establecerán acciones de control preventivas que permitan REDUCIR

la probabilidad de ocurrencia del riesgo, se administrarán mediante seguimiento

bimestral y se registrarán sus avances en los informes de desempeño.

Nivel ALTO: Se deberá incluir el riesgo en el Mapa de riesgos Institucional y se

establecerán acciones de control preventivas que permitan EVITAR o COMPARTIR la

materialización del riesgo. La administración de estos riesgos será con periodicidad

bimestral y su adecuado control se registrará en los informes de desempeño.

Nivel EXTREMO o CATASTRÓFICO: Si bien el primer llamado es a abandonar la

actividad que genera el riesgo, por lo que no considera prudente, por ahora eliminar

actividades dado que las mismas pueden generar el no cumplimiento de su misión,

por lo que se incluirá el riesgo en el Mapa de riesgos institucional, se establecerán

acciones de control preventivas y correctivas que permitan EVITAR o COMPARTIR la

materialización del riesgo. La administración de estos riesgos será con periodicidad

mensual y su adecuado control se registrará en informes presentados a la Dirección.

Adicionalmente, se deberán documentar al interior de los procesos planes preventivos

(antes de que ocurra el evento) y contingencia (después de que ocurra el evento) para

tratar el riesgo materializado, con criterios de oportunidad, evitando el menor daño en

la prestación de los servicios; estos planes estarán documentados para cada proceso

y podrán ser consultados en el mapa de riesgos consolidado de la entidad.

En resumen:

ZONA NIVEL RESPUESTA SEGUIMIENTO B BAJA Asumir el riesgo Semestral M MODERADA Reducir el riesgo Bimestral

19

A ALTA Evitar, compartir o transferir el riesgo Bimestral E EXTREMA Evitar, compartir o transferir el riesgo Mensual

3.2 EVALUACION DE RIESGOS

Cómo se valoran los controles

La valoración del riesgo requiere de una evaluación de los controles existentes, lo

cual implica:

a. Determinar su naturaleza: Si se trata de un control preventivo o correctivo, para

este análisis tenga en cuenta:

- Controles Preventivos: Evitan que un evento suceda. Por ejemplo, el

requerimiento de un login y password en un sistema de información es un

control preventivo. Éste previene (teóricamente) que personas no autorizadas

puedan ingresar al sistema.

- Controles Correctivos: Éstos no prevén que un evento suceda, pero

permiten enfrentar la situación una vez se ha presentado. Por ejemplo, en caso

de un desastre natural u otra emergencia mediante las pólizas de seguro y

otros mecanismos de recuperación de negocio o respaldo, es posible volver a

recuperar las operaciones.

b. Establecer si el control que se implementa es automático o manual.

- Controles Automáticos: Utilizan herramientas tecnológicas como sistemas

de información o Software que permiten incluir contraseñas de acceso, o con

controles de seguimiento a aprobaciones o ejecuciones que se realizan a

través de éste, generación de reportes o indicadores, sistemas de seguridad

con scanner, sistemas de grabación, entre otros.

- Controles Manuales: Políticas de operación aplicables, autorizaciones a

través de firmas o confirmaciones vía correo electrónico, archivos físicos,

consecutivos, listas de chequeo, controles de seguridad con personal

especializado, entre otros.

c. Determinar si los controles se están aplicando en la actualidad y si han sido

efectivos para minimizar el riesgo.

Valoración de los controles – diseño de controles

20

Al momento de definir si un control o los controles mitigan de manera adecuada el

riesgo, se deben considerar desde la redacción del mismo, para lo cual se deben

considerar los siguientes aspectos:

1. Debe tener definido el responsable de llevar a cabo la actividad de control.

2. Debe tener una periodicidad definida para su ejecución.

3. Debe indicar cuál es el propósito del control.

4. Debe establecer el cómo se realiza la actividad de control.

5. Debe indicar que pasa con las observaciones o desviaciones resultantes de

ejecutar el control.

6. debe dejar evidencia de la ejecución del control.

Las acciones de tratamiento se agrupan en:

Disminuir la probabilidad: Acciones encaminadas a gestionar las causas del

riesgo.

Disminuir el impacto: Acciones encaminadas a disminuir las consecuencias del

riesgo.

Para el análisis y evaluación del diseño del control de acuerdo con las seis (6)

variables establecidas para la mitigación del riesgo, se realiza a partir de la siguiente

tabla.

CRITERIO DE

EVALUACIÓN

ASPECTOS A EVALUAR EN EL

DISEÑO DEL CONTROL

OPCIONES DE

RESPUESTA

1. Responsable

¿Existe un responsable asignado a la

ejecución del control?

Asignado No asignado

¿El responsable tiene la autoridad y

adecuada segregación de funciones

en la ejecución del control?

Adecuado

Inadecuado

2. Periodicidad

¿La oportunidad en que se ejecuta el

control ayuda a prevenir la mitigación

del riesgo o a detectar la

materialización del riesgo de manera

oportuna?

Oportuno

Inoportuno

3. Propósito

¿Las actividades que se desarrollan

en el control realmente buscan por si

solas prevenir o detectar las causas

que pueden dar origen al riesgo, Ej.:

Verificar, validad, cotejar, comparar,

revisar etc.?

Prevenir o

detectar

No es un

control

4. Como se realiza la

actividad de control

¿La fuente de información que se

utiliza en el desarrollo del control es

información confiable que permita

mitigar el riesgo?

Confiable

No confiable

21

5. Que pasa con las

observaciones o

desviaciones

¿Las observaciones, desviaciones o

diferencias identificadas como

resultado de la ejecución del control

son investigadas y resueltas de

manera oportuna?

Se investigan

y se resuelven

oportunamente

No se

investigan y se

resuelven

oportunamente

6. Evidencia de la

ejecución del control

¿Se deja evidencia o rastro de la

ejecución del control que permita a

cualquier tercero con la evidencia

llegar a la misma conclusión?

Completa

Incompleta /

no existe

De lo anterior el peso o participación de cada variable en el diseño del control para la

mitigación del riesgo se calcula con base en la siguiente tabla

Criterio de evaluación Opción de respuesta al

criterio de evaluación

Peso en la evaluación del

diseño del control

1.1 Asignación del responsable Asignado 15

No Asignado 0

1.2 Segregación y autoridad del

responsable

Adecuado 15

Inadecuado 0

2. Periodicidad Oportuna 15

Inoportuna 0

3. Propósito

Prevenir 15

Detectar 10

No es un control 0

4. Como se realiza la actividad

de control

Confiable 15

No confiable 0

5. Que pasa con las

observaciones o desviaciones

Se investigan y se resuelven

oportunamente

15

No se investigan y resuelven

oportunamente

0

6. Evidencias de la ejecución

del control

Completa 10

Incompleta 5

No existe 0

A continuación, se muestran los cuadros orientadores para ponderar de manera

objetiva los controles y poder determinar el desplazamiento dentro de la matriz de

calificación, evaluación y respuesta a los riesgos.

Para el sistema de gestión de seguridad de la información, deberán tenerse en cuenta

los “Objetivos de control y controles de referencia” de la NTC-ISO-IS27001 en su

última versión (Pueden ser incluidos controles adicionales de acuerdo con las

necesidades de la entidad), con el objetivo de establecer prioridades para su manejo y

fijación de políticas.

Resultados de la evaluación del diseño de control.

22

El resultado de cada variable de diseño, a excepción de la evidencia, va a afectar la

calificación del diseño del control, ya que deben cumplirse todas las variables para

que un control se evalúe como bien diseñado.

El resultado de la evaluación será:

RANGO DE CALIFICACIÓN

DEL DISEÑO

RESULTADO – PESO EN LA EVALUACIÓN DEL

DISEÑO DEL CONTROL

Fuerte Calificación entre 96 y 100

Moderado Calificación entre 86 y 95

Débil Calificación entre 0y 85

Si el resultado de las calificaciones de control, o el promedio - en el diseño de los

controles, está por debajo de 96%, se debe establecer un plan de acción que permita

tener un control o controles bien diseñados. Aunque un control esté bien diseñado,

este debe ejecutarse de manera consistente, de tal forma que se pueda mitigar el

riesgo, debe asegurarse por parte de la primera línea de defensa que el control se

ejecute. Al momento de determinar si el control se ejecuta, inicialmente el responsable

del proceso debe llevar a cabo una confirmación, posteriormente confirma con las

actividades de evaluación realizadas por auditoría interna o control interno.

RANGO DE CALIFICACIÓN

DE LA EJECUCIÓN

RESULTADO – PESO DE LA EJECUCIÓN DEL

CONTROL

Fuerte

El control se ejecuta de manera consistente por parte del

responsable

Moderado El control de ejecuta algunas veces por parte del responsable

Débil El control no se ejecuta por parte del responsable

ANÁLISIS Y EVALUACIÓN DE LOS CONTROLES PARA LA MITIGACIÓN DE LOS RIESGOS

Dado que la calificación de riesgos inherentes y residuales se efectúa al riesgo y no a

cada causa, hay que consolidar el conjunto de los controles asociados a las causas,

para evaluar si estos de manera individual y en conjunto si ayudan al tratamiento de

los riesgos, considerando tanto el diseño, ejecución y promedio de los controles.

En la evaluación del diseño y ejecución de los controles las dos variables son

importantes y significativas en el tratamiento de los riesgos y sus causas, por lo que

siempre la calificación de la solidez de cada control asumirá la calificación del diseño

23

o ejecución con menor calificación entre fuerte, moderado y débil, tal como se detalla

en la siguiente tabla:

Solidez del conjunto de controles para la adecuada mitigación del riesgo

Dado que un riesgo puede tener varias causas, a su vez varios controles y la

calificación se realiza al riesgo, es importante evaluar el conjunto de controles

asociados al riesgo.

PESO DEL DISEÑO DE

CADA CONTROL

PESO DE LA EJECUCIÓN DE CADA

CONTROL

SOLIDEZ INDIVIDUAL DE

CADA CONTROL FUERTE: 100

MODERADO: 50 DÉBIL:

DEBE ESTABLECER

ACCIONES PARA

FORTALECER EL CONTROL

SÍ / NO

Fuerte: Calificación entre 96 y 100

Fuerte ( siempre se ejecuta) fuerte + fuerte = fuerte No

Moderado ( algunas veces) fuerte + moderado= moderado Sí

Débil (no se ejecuta) fuerte + débil = débil Sí

Moderado: Calificación entre 86 y 95

Fuerte ( siempre se ejecuta) moderado + fuerte = moderado Sí

Moderado ( algunas veces) moderado + moderado= moderado

Sí

Débil (no se ejecuta) moderado + débil = débil Sí

Débil: Calificación entre 0 y 85

Fuerte ( siempre se ejecuta) débil + fuerte = débil Sí

Moderado ( algunas veces) débil + moderado= débil Sí

Débil (no se ejecuta) débil + débil = débil Sí

24

CALIFICACIÓN DE LA SOLIDEZ DEL CONJUNTO DE CONTROLES

FUERTE

El promedio de la solidez individual de cada control al sumarlos y ponderarlos es igual a 100

MODERADO

El promedio de la solidez individual de cada control al sumarlos y ponderarlos esta entre 50 y 99.

DÉBIL

El promedio de la solidez individual de cada control al sumarlos y ponderarlos es menor a 50.

Disminución de la probabilidad e impacto

La mayoría de los controles que se diseñan son para disminuir la probabilidad de que

ocurra una causa o un evento que pueda llevar a la materialización del riesgo y muy

pocos son dirigidos al impacto. Por tal razón y para efectos de la elaboración de la

matriz al momento de evaluar si los controles ayudan a disminuir el impacto o la

probabilidad, estos controles se calificarán teniendo en cuenta que de manera

indirecta disminuyen también el impacto.

Nivel de riesgo (riesgo residual)

Desplazamiento del riesgo inherente para calcular el riesgo residual

Dado que ningún riesgo con una medida de tratamiento se evita o elimina, el

desplazamiento de un riesgo inherente en su probabilidad o impacto para el cálculo

del riesgo residual se realizará de acuerdo con la siguiente tabla:

SOLIDEZ

DEL

CONJUNTO

DE LOS

CONTROLES

CONTROLES

AYUDAN A

DISMINUIR LA

PROBABILIDAD

CONTROLES

AYUDAN A

DISMINUIR

IMPACTO

# COLUMNAS

EN LA MATRIZ

DE RIESGO QUE

SE DESPLAZA

EN EL EJE DE

PROBABILIDAD

# COLUMNAS

EN LA MATRIZ

DE RIESGO QUE

SE DESPLAZA

EN EL EJE DE

IMPACTO

Fuerte Directamente Directamente 2 2

Fuerte Directamente Indirectamente 2 1

Fuerte Directamente No disminuye 2 0

Fuerte No disminuye Directamente 0 2

Moderado Directamente Directamente 1 1

Moderado Directamente Indirectamente 1 0

Moderado Directamente No disminuye 1 0

Moderado No disminuye Directamente 0 1

Si la solidez del conjunto de los controles es débil, este no disminuirá ningún

cuadrante de impacto o probabilidad asociada al riesgo.

25

Tratándose de riesgos de corrupción únicamente hay disminución de probabilidad, es

decir, para el impacto no opera el desplazamiento.

Nota: Para el caso de la evaluación de los controles de los activos de seguridad de la

información, se debe definir la métrica pertinente, acorde a la necesidad de mitigación

de riesgos en dicho sistema

El resultado obtenido a través de la valoración, es equivalente al tratamiento del

riesgo, ya que involucra la selección de una o más opciones para modificar los riesgos

y la implementación de las acciones; así el desplazamiento para la nueva valoración

del riesgo y su desplazamiento determinará finalmente la selección de la opción de

tratamiento del riesgo.

Para los activos de seguridad de la información, la nueva valoración, estará asociada

al nivel de eficacia del control en la métrica establecida la cual está alineada con los

criterios de ésta valoración.

ELABORACIÓN DEL MAPA DE RIESGO

Con la información anterior, los líderes de los procesos deberán diligenciar el formato

“Mapa de riesgos” y remitirlo a la oficina asesora de planeación para su consolidación

IMPACTO DESPLAZA CASILLAS HACIA LA IZQUIERDA

26

La oficina asesora de planeación coordinará la consolidación del mapa de riesgos

institucional, como insumo para la consolidación del mapa, tomará los mapas de

riesgos asociados a los objetivos estratégicos y por proceso, registrará en el formato

denominado “Mapa de riesgos institucional” la información relacionada con aquellos

riesgos cuya valoración se encuentra en “Zona de riesgo alta” y “Zona de riesgo

extrema”, los cuales pueden afectar el cumplimiento de la misión institucional y los

objetivos estratégicos de la entidad. En este mapa se deberán incluir los riesgos

identificados como de corrupción, en cumplimiento del artículo 73 de la Ley 1474 de

2011.

La anterior información deberá quedar registrada de manera ordenada en el formato,

consolidada la información, adicionalmente, se deben describir las acciones

necesarias que permitan asegurar la efectividad de los controles descritos, el

responsable de la ejecución de las acciones, definir el indicador que permita verificar

el cumplimiento de la ejecución de las acciones. “Mapa de Riesgo” (Ver Anexo 3)

3.3 MONITOREO Y REVISIÓN

La entidad debe asegurar el logro de sus objetivos anticipándose a los eventos

negativos relacionados con la gestión de la entidad. El modelo integrado de

planeación y gestión (MIPG) en la dimensión 7 “Control interno” desarrolla a través de

las líneas de defensa la responsabilidad de la gestión del riesgo y control.

El modelo de líneas de defensa establece los roles y responsabilidades de todos los

actores del riesgo y control de la entidad, este proporciona aseguramiento y previene

la materialización de los riesgos en todos sus ámbitos, como se muestra a

continuación.

27

Los líderes de proceso serán responsables del monitoreo a las acciones de control

determinadas en los mapas, conforme a las fechas establecidas. Como resultado de

las acciones de control o por otras fuentes de información, los líderes de proceso

deberán actualizar de manera inmediata en su mapa de riesgos, en cuanto a revisar

los riesgos existentes, la ejecución de las acciones para asegurar que el control sea

efectivo, los controles, acciones; o a registrar nuevos riesgos, controles o acciones; y

adelantar el trámite respectivo.

LÍNEA ESTRATÉGICA

Define el marco general para la gestión del riesgo y el control y supervisa su cumplimiento, está a cargo de

la alta dirección y el comité institucional

Diego Armando Chitiva/CREG@CREG, Hugo Enrique Pacheco/CREG@CREG, Ingrid Marcela Barrera/CREG@CREG, Luz Mary Vasquez Vargas/CREG@CREG, Raul Alberto Jurado/CREG@CREG, Ricardo Santamaria/CREG@CREG,

1ª LÍNEA DE DEFENSA 3

ª LÍNEA DE DEFENSA 2

ª LÍNEA DE DEFENSA

Desarrolla e implementa procesos de control y

gestión de riesgos a través de su identificación, análisis, valoración,

monitoreo y acciones de mejora.

Asegura que los controles y los procesos de gestión de riesgos implementados por la primera línea de defensa,

estén diseñados apropiadamente y funcionen

como se pretende.

Proporciona información sobre la efectividad del S.C.I., a través de un

enfoque basado en riesgos, incluida la operación de la

primera y segunda línea de defensa.

A cargo de los gerentes públicos y líderes de los procesos, programas y proyectos de la entidad. Rol principal: Diseñar,

implementar y monitorear los controles, además de

gestionar de manera directa en el día a día los

riesgos de la entidad. Así mismo, orientar el

desarrollo e implementación de

políticas y procedimientos internos y asegurar que

sean compatibles con las metas y objetivos de la entidad y emprender las

acciones de mejoramiento para su logro.

A cargo de los servidores que tienen

responsabilidades en el monitoreo y evaluación de

los controles y la gestión de riesgo: jefes de planeación, supervisores e interventores

de contratos o proyectos, coordinadores de otros

sistemas de gestión de la entidad, comités de riesgos (donde existan) comités de contratación, entre otros.

Rol principal: monitorear la gestión de riesgo y control ejecutado por la primera

línea de defensa, complementando su trabajo.

A cargo de la oficina de control interno, auditoria interna o quien haga sus

veces.

El rol principal: proporcionar un aseguramiento basado

en el más alto nivel de independencia y objetividad obre la efectividad del S.C.I.

El alcance de este

aseguramiento, a través de la auditoria interna cubre

todos los componentes de S.C.I.

28

El resultado de los monitoreos anteriores, serán reportados a la oficina de planeación

y a la de control interno para los fines pertinentes. Así mismo, con base en la

información anterior, la oficina asesora de planeación actualizará el mapa de riesgos

institucional.

3.4 SEGUIMIENTO A LOS MAPAS DE RIESGO

La oficina de control interno acorde con la normatividad vigente y sus competencias,

como tercera línea de defensa, efectuará el seguimiento a los mapas de riesgo

institucional, por proceso, de corrupción y de activos de información, el cual es

esencial para asegurar que las acciones se están llevando a cabo por parte de los

líderes de los procesos y evaluar la eficiencia en su implementación, adelantando

revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que

pueden estar influyendo en la aplicaciones de las acciones preventivas.

Es importante mencionar que se deben tener en cuenta las fechas establecidas por la

guía de la Secretaría de Transparencia denominada (Estrategias para la construcción

del plan anticorrupción y de atención al ciudadano) para el seguimiento a los riesgos

sobre posibles actos de corrupción. Así mismo en sus procesos de auditoría interna

debe analizar el diseño e idoneidad de los controles, determinando si son o no

adecuados para prevenir o mitigar los riesgos en los procesos.

La Oficina de Control Interno dentro de su función asesora, debe comunicar y

presentar luego del seguimiento y evaluación, los resultados y propuestas de

mejoramiento y tratamiento a las situaciones detectadas.

El monitoreo es esencial para garantizar que las acciones se están llevando a cabo y

evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha

para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en

la aplicación de las acciones preventivas.

La finalidad principal de la oficina de control interno será la de aplicar y sugerir los

correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.

PLANES DE CONTINGENCIA

Para los riesgos calificados en el mapa de riesgos institucional en las Zonas Extrema,

Alta y Moderada, los líderes de proceso deberán establecer planes de contingencia,

entendiéndose éstos como los planes que se realizan para minimizar o corregir un

riesgo que se materializa. Los planes de contingencia deberán ser remitidos a

29

planeación y control interno. Planeación los tramitará para revisión y aprobación de la

Alta Dirección.

Aprobados los planes de contingencia, éstos deben ser divulgados acorde con lo

establecido. Los líderes de proceso deberán actualizar los planes en el momento en

que sea necesario, siguiendo la metodología citada anteriormente.

Los lineamientos enunciados en este documento son de obligatorio cumplimiento por

parte de los responsables aquí señalados. De igual forma el cumplimiento de las

acciones deberá verse reflejado en los acuerdos de gestión. Finalmente, los

resultados de la gestión de la administración del riesgo deberán ser publicados en la

página web de la entidad.

Los planes de contingencia se consignarán en el formato “Plan de contingencia” (Ver

Anexo 4.)

30

ANEXOS

ANEXO 1 Identificación de Riesgos

1 2 4 6

EFECTOS

(consecuencias)

1 2 4

AMENAZA VULNERABILIDADPérdida (Confidencialidad,

Integridad,Disponibilidad)

Impacto ( Financiero,

Operativo, Imagen)

IDENTIFICACIÓN DE LOS RIESGOS DE GESTIÓN Y DE CORRUPCIÓN

3 5

PROCESO OBJETIVOCAUSAS

RIESGOS DESCRIPCIÓNFactores Internos y Externos. Incluye Agente Generador

IDENTIFICACIÓN DE LOS RIESGOS DE SEGURIDAD DIGITAL:

3 5 6

ACTIVOS DE

INFORMACIÓNDESCRIPCIÓN

CAUSA

RIESGOS DESCRIPCIÓN

EFECTOS

ANEXO 2 Calificación y evaluación de riesgos

Probabilidad Impacto

CALIFICACIÓN Y EVALUACIÓN DE RIESGOS

PROCESO RIESGOCALIFICACIÓN TIPO /

IMPACTO

Evaluación

Zona de

Riesgo

MEDIDAS DE

RESPUESTA

31

ANEXO 3 Mapa de riesgo

Para los riesgos de gestión y corrupción, se diligenciará en el siguiente formato:

Probabilidad Impacto Probabilidad Impacto

NUEVA

EVALUACIÓN

OPCIONES

MANEJORESPONSABLE INDICADORDESCRIPCIÓNPROCESO RIESGO

CLASIFICACIÓNEVALUACION

DEL RIEGOCONTROLES

NUEVA CLASIFICACIÓN

Nombre del Proceso

PLANEACIÓN ESTRATEGICA

Código: PE-FT-003

Versión: 1

Nombre del Formato

MAPA DE RIESGOS POR PROCESO

Fecha última revisión:

05/08/2016Páginas: 1 de 1

Para los riesgos de activos de información, se diligenciarán en el siguiente formato:

Fecha última revisión:

Páginas: 1 de 1

Nombre del Proceso

PLANEACIÓN ESTRATEGICA

Código: PE-FT-003

Versión: 1

Nombre del Formato

MAPA DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Probabilidad Impacto Probabilidad Impacto

NUEVA CLASIFICACIÓNNUEVA

EVALUACIÓN

OPCIONES

MANEJOSOPORTE RESPONSABLE INDICADORTIEMPON° RIESGO ACTIVO

CLASIFICACIÓN Evaluación

Riesgo

Inherente

AACIONES DE

CONTROLES

OPCIONES

MANEJOTIPO AMENAZAS

ANEXO 4 Plan de Contingencia

RIESGO DESCRIPCIÓN CAUSAPOSIBLES

CONSECUENCIAS

PLAN DE CONTINGENCIA PARA LOS RIESGOS INSTITUCIONALES DE LA CREG

RESPONSABLE (S)

EN EL PROCESO

ACCIÓN DESPUÉS

(Recuperación)

RESPONSABLE

(S) DEL

PROCESO

No. ZONA DE RIESGO TRATAMIENTO PLAN DE MITIGACIÓN ACCIÓN DURANTE (Contingencia)

METODOLOGÍA DE ADMINISTRACIÓN DEL RIESGO · gestión de los riesgos de toda naturaleza a los que...

Documents

Transcript of METODOLOGÍA DE ADMINISTRACIÓN DEL RIESGO · gestión de los riesgos de toda naturaleza a los que...