POLITICA ADMINISTRACION DEL RIESGO DE GESTION, …

,

POLITICA ,

ADMINISTRACION DEL ,

RIESGO DE GESTION, ,

CORRUPCION Y SEGURIDAD DIGITAL

- --~ -- -- - - -

POLiTICA Código: POL-GPE-01

-~valsr ADMINISTRACIÓN Versión: 04

DE RIESGOS DE GESTIÓN,

1 CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

INTRODUCCIÓN

VALOR + S.A.S en coherencia con su mIsIon , vIsIon, objetivos estratégicos, políticas institucionales, Modelo Estándar de Control Interno - MECI, Modelo Integrado de Planeación y Gestión - MIPG V2 y teniendo en cuenta que la Administración del Riesgo es estratégica para el logro de los Objetivos Estratégicos de la Entidad, actualiza la POLÍTICA DE ADMINISTRACIÓN DE RIESGOS en los términos definidos por la "GUÍA PARA LA ADMINISTRACIÓN DEL RIESGO Y EL DISEÑO DE CONTROLES EN ENTIDADES PÚBLICAS ... RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL -- V4" y la herramienta "Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano" contemplado en el Decreto Nacional 2641 de 2012, articuladas con las normas aplicables a la Entidad, como mecanismo para administrar y tratar los riesgos institucionales. Herramienta ésta, que le permitirá a la Entidad tomar las decisiones relativas a la Administración de los Riesgos de Gestión , Corrupción y Seguridad Digital, la cual estará alineada con el Modelo de Operación por Procesos y el Modelo Integrado de Planeación y Gestión - MI PG 11.

La Política para la Administración del Riesgo de VALOR+, establece los principios básicos y el marco general de actuación para el control y la gestión de los riesgos a los que se enfrenta la Entidad, identifica los responsables dentro de cada proceso y establece la metodología para la elaboración de los mapas, la identificación de los riesgos, los niveles para calificar el impacto y el tratamiento para cada uno de los riesgos identificados, así, como las acciones de contingencia en caso de la materialización del riesgo y los niveles de aceptación del mismo para la Entidad.

Código: POL-GPE-01 Nersión: 04 /Fecha actualización: 2018/09/ 19

POLÍTICA Código: POL-GPE-01

---:._valer - ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,

CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

1. OBJETIVOS

1.1 . Objetivo General

Establecer los lineamientos para la gestión del riesgo a través de la identificación , análisis, evaluación y tratamiento de los riesgos de Gestión, Corrupción y Seguridad Digital, inherentes a las actividades de los procesos institucionales de la Entidad.

1.2. Objetivos Específicos

❖ Aplicar la presente Política a todos los procesos de la Entidad.

❖ Realizar participativamente la "POLÍTICA DE ADMINISTRACIÓN DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL", socializarla y hacer seguimiento a los riesgos que pudieran afectar la misión y el cumplimiento de los Objetivos Estratégicos y/o de Procesos de la Entidad.

❖ Prevenir la materialización de los riesgos a través del fortalecimiento de los controles, garantizando siempre el logro de los Objetivos Estratégicos y/o de Procesos.

❖ Orientar la toma de decisiones respecto al manejo de los riesgos y sus efectos al interior de la Entidad .

❖ Generar un ambiente de control que involucre y comprometa al Equipo Directivo de la Entidad, a los demás Servidores Públicos y Contratistas de Prestación de Servicios a monitorear, prevenir y administrar los riesgos, de manera alineada con los principios básicos del Modelo Integrado de Planeación y Gestión - MIPG V2, el Código de Integridad y el Direccionamiento Estratégico de la Entidad.

❖ Visibilizar la importancia del manejo de los riesgos asociados a la corrupción , con el fin de mitigar o eliminar las condiciones o situaciones que pueden favorecer su materialización.

❖ Salvaguardar los activos de Información de VALOR+.

2. ALCANCE

Código: POL-GPE-01 Nersión: 04 /Fech• actua/lzaclón: 2018/09/19

1


-~vale r ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


La política de operac1on de riesgos es aplicable a todos los objetivos estratégicos, procesos y planes de la Entidad y a las acciones ejecutadas por los servidores durante el ejercicio de sus funciones.

3. MARCO NORMATIVO

La Normatividad que regula el tema de los Riesgos es la siguiente:

NORMA

Constitución Política de 1991

Ley 87 de 1993

Ley 489 de 1998

Ley 1474 de 2011 o Estatuto Anticorrupción

Ley 1712 de 2014

1 DESCRIPCIÓN

Artículo 209: "la función administrativa está al servicio de los intereses generales y se desarrolla con fundamento en los principios de igualdad, moralidad, eficacia, economía, celeridad, imparcialidad y publicidad, mediante la descentralización, la delegación y la desconcentración de funciones". Igualmente, señala que "las autoridades administrativas deben coordinar sus actuaciones para el adecuado cumplimiento de los f ines del Estado". La administración pública, en todos sus órdenes, tendrá un control interno que se ejercerá en los términos que señale la Ley."

Articulo 1°. "Se entiende por control interno el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos."

Crea el Sistema de Desarrollo Administrativo con el propósito de articular la planeación estratégica de las entidades con el su quehacer administrativo, a través de las polít icas y los planes sectoriales de desarrollo administrat ivo. Así mismo, se fortalece el Control Interno, con la creación del Sistema Nacional de Control Interno, a fin de darle una connotación más estratégica.

"Por la cual se dictan normas orientadas a forta lecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública." .. . Artículo 73. "( ... ) Cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias anti trámites y los mecanismos para mejorar la atención al ciudadano.

"Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones". Artículo 3º.

Código: POL-GPE-01 N ersión: 04 /Fecha actualización: 2018/09/19


--~valer ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,

CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018109119

Principios (. .. ) Principio transparencia. Principio conforme al cual toda la información en poder de los sujetos obligados definidos en esta ley se presume pública, en consecuencia de lo cual dichos sujetos están en el deber de proporcionar y facilitar el acceso a la misma en los términos más amplios posibles y a través de los medios /' - y procedimientos que al efecto establezca la ley, excluyendo solo aquello que esté sujeto a las excepciones constitucionales y legales y bajo el cumplimiento de los requisitos establecidos en esta ley".

Decreto 019 de 2012 "Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Pública." Se busca dar alcance al desarrollo de los postulados del Buen Gobierno, propendiendo por instituciones eficientes y transparentes y a partir de esa simplificación facilitar las relaciones de los ciudadanos con la Administración Pública y fomentar la transparencia del Estado.

Decreto 1081 de 2015 Recopila, actualiza y complementa el Decreto 2641 de 2012 y posteriormente es modificado mediante el Decreto 124 de 2016, definiendo como metodología para diseñar y hacer seguimiento a la Estrategia de lucha contra la corrupción y de atención al ciudadano el documento "Estrategias para la Construcción del Plan Anticorrupción y de Atención al Ciudadano - Versión 2" y como metodología para diseñar y hacer seguimiento al Mapa de Riesgos de Corrupción la establecida en el documento "Guía para la gestión del Riesgo de Corrupción", documentos que serán usados como base para la elaboración de la Política de Administración de Riesgos de la Entidad.

Decreto 1083 de 2015 "Por medio del cual se expide el Decreto Unico Reglamentario del Sector de Función Pública" ... Articulo 2.2.21.1.6 Adicionado por el art. 4, Decreto Nacional 648 de 2017. Funciones del Comité Institucional de Coordinación de Control lnterno ... g). Someter a aprobación del representante legal la política de administración del riesgo y hacer seguimiento, en especial a la prevención y detección de fraude y mala conducta;

Decreto 1499 de 2017 El cual hace necesario adoptar para la Entidad el MODELO INTEGRADO DE PLANEACION Y GESTION - Mipg V2, como el nuevo marco de referencia para el diseño e implementación del Sistema Integrado de Gestión y Desempeño -SIGO, con el fin de fortalecer los mecanismos, métodos y procedimientos de gestión y control al interior de la Entidad.

Directiva Presidencial 09 "Lineamientos para la implementación de la política de lucha contra la de 1999 corrupción."

Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano

Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación

Manual Operativo del Modelo Integrado de Planeación y Gestión - MIPG 11

Código: POL-GPE-01 Nerslón: 04 /Fecha actualización: 2018/09/19


-~valer ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


Guía para la administración del riesgo y el diseño de controles en entidades públicas ... Riesgos de Gestión, Corrupción y Seguridad Digital - V4 (2018) y sus Anexos.

Guía para la identificación de los peligros y la valoración de los riesgos en seguridad y salud ocupacional

Guía para la Gestión de Riesgo de Corrupción" y "Estrategias para Construcción del Plan Anticorrupción y Atención al Ciudadano.

4. GLOSARIO (TERMINOLOGÍA Y DEFINICIONES)

Planeación Estratégica: Es un proceso sistemático de desarrollo e implementación de planes para alcanzar propósitos u objetivos estratégicos.

Objetivos Estratégicos: Identifican la finalidad hacia la cual deben dirigirse los recursos y esfuerzos para dar cumplimiento al mandato legal aplicable a cada Entidad. Estos Objetivos Estratégicos se materializan a través de la ejecución de la planeación anual de cada Entidad.

Modelo de Operación por Procesos: El modelo de operación por procesos es el estándar organizacional que soporta la operación de la Entidad Pública, integrando las competencias constitucionales y legales que la rigen con el conjunto de planes y programas necesarios para el cumplimiento de su misión , visión y objetivos estratégicos. Pretende determinar la mejor y más eficiente forma de ejecutar las operaciones de la Entidad.

Mapa de Procesos: Es la representación gráfica de los procesos de la Entidad, estratégicos, misionales, de apoyo, de evaluación y sus interacciones.

Caracterización de los Procesos: Estructura que permite identificar los rasgos distintivos de los procesos. Establece su objetivo, la relación con los demás procesos, los insumos, los activos, su transformación a través de las actividades que desarrolla y las salidas del proceso, se identifican los proveedores y clientes o usuarios, que pueden ser internos o externos.

Gestión del Riesgo: proceso efectuado por la alta dirección de la Entidad y por todo el personal para proporcionar un aseguramiento razonable respecto al logro de los Objetivos Estratégicos y/o de Procesos.

Código: POL-GPE-01 Nersión: 04 /Fecha actualización: 2018/09/19


-~valrnr ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


Política de Administración del Riesgo: Estándar de Control que permite estructurar criterios orientadores para la toma de decisiones y definición de la estrategia respecto al tratamiento de los riesgos y de sus efectos al interior de una Entidad Pública.

Administración del Riesgo: Conjunto de actividades encaminadas a la intervención de los riesgos de la Entidad, a través de la identificación, valoración, evaluación, manejo y monitoreo de los mismos, de forma que se apoye el cumplimiento del logro de los Objetivos Estratégicos y/o de Procesos.

Identificación del Riesgo: Elemento de control, que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. se puede entender como el proceso que permite determinar qué podría suceder, por qué sucedería y de qué manera se llevaría a cabo.

Contexto Interno del Riesgo: Se refiere a las condiciones dentro de la propia organización, abordadas en el análisis de los siguientes aspectos: Capacidad Directiva, Capacidad Competitiva, Capacidad Financiera, Capacidad Tecnológica y Capacidad del Talento Humano.

Contexto Externo del Riesgo: Se refiere a las condiciones del entorno de la organización, abordadas en el análisis de los siguientes aspectos: Ámbito Económico, Ámbito Cultural, Ámbito Socio-Cultural, Productos y/o Servicios y Ámbito Legal.

Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación del riesgo.

Causa: Todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo.

Consecuencia: Efectos o situaciones resultantes de la materialización del riesgo que impactan el proceso, la Entidad, sus grupos de valor y demás partes interesadas.

Evaluación del Riesgo: Proceso utilizado para determinar las prioridades de la administración del riesgo, comparando el nivel de un determinado riesgo con respecto a un estándar determinado.

Evitar el Riesgo: Tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación , resultado de unos adecuados controles y acciones emprendidas.

Código: POL-GPE-01 Nersión: 04 /Fecha actua/lzación: 2018/09/19




Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo determinado.

Impacto: Consecuencias que puede ocasionar a la Entidad la materialización del riesgo.

Mapa de Riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos de forma ordenada y sistemática, definiéndolos, haciendo la descripción de cada uno de éstos, las posibles consecuencias y sus acciones preventivas.

Monitoriar: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una actividad con el fin de identificar posibles cambios.

Plan de Manejo del Riesgo: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los Objetivos Estratégicos y/o de Procesos de la Entidad .

Probabilidad: Grado en el cual es probable que ocurra un evento, que se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.

Riesgo Inherente: Es aquel al que se enfrenta una Entidad en ausencia de acciones de la Alta Dirección para modificar su probabilidad o impacto.

Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento del riesgo.

5. CONOCIMIENTO DE LA ENTIDAD

Con el fin de establecer el contexto estratégico para la identificación de los riesgos, se presenta el marco estratégico de VALOR+, a partir de la planeación estratégica de la Entidad, Plan Estratégico Institucional, Misión, Visión y Objetivos Estratégicos; así como el Modelo de Operación por Procesos.

a) Misión

Generar valor agregado en el diseño, implementación y operación de soluciones que integren servicios e infraestructura tecnológica.

b) Visión

En el año 2021 seremos reconocidos como la empresa líder en la modernización

Código: POL·GPE-01 Nersión: 04 /Fecha actualización: 2018/09/19


-~valer ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

tecnológica de los procesos del estado, mediante soluciones que le faciliten el cumplimiento de su misión.

c) Objetivos Estratégicos

No. OBJETIVOS ESTRATÉGICOS

1 2 3 4 5 6 7 8 9

3.

Crecimiento sostenible y responsable Rentabilidad Patrimonial Marqen operacional Ser aliado estratégico líder, modernizando tecnolóQicamente te los procesos del estado Contribuir a la inversión eficiente de los recursos del estado Implementar provectos aue impacten el desarrollo social de la reqión Atraer, desarrollar y retener personas competentes Desarrollar cultura basada en la Gestión por Procesos Contar con tecnología especializada para la operación del negocio

d) Planeación Institucional

En el tema de la Planeación Institucional de acuerdo a los Decretos No(s) 1499 de 2017 y 612 de 2018, la Entidad debe cumplir con los siguientes Planes:

PLANES Integración de los 1. Plan Institucional de Archivos de la Entidad -PINAR planes 2. Plan Anual de Adquisiciones institucionales y 3. Plan Anual de Vacantes estratégicos al Plan 4. Plan de Previsión de Recursos Humanos de Acción. 5. Plan Estratégico de Talento Humano

6. Plan Institucional de Capacitación 7. Plan de Incentivos Institucionales 8. Plan de Trabajo Anual en Seguridad y Salud en el

Trabajo 9. Plan Anticorrupción y de Atención al Ciudadano 10. Plan Estratégico de Tecnologías de la Información y

las Comunicaciones PETI 11 . Plan de Tratamiento de Riesgos de Seguridad

Privacidad de la Información

12. Plan de Seguridad y Privacidad de la Información

5.1 MODELO DE OPERACIÓN POR PROCESOS

VALOR+ S.A.S, adoptó el Modelo De Operación Por Procesos Y El Mapa De Procesos, el pasado 25 de mayo de 2017, mediante la Instrucción Administrativa No. 23, el cual está integrado por: Cuatro (4) Macroprocesos y

y


POLITICA Código: POL-GPE-01

-~valsr ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


Dieciséis (16) procesos y el pasado 17 de mayo de 2019, mediante la Instrucción Administrativa No. 30 modificó el Mapa de Procesos, pasando de 16 procesos a 15, lo cual da lugar a la modificación del Modelo de Operación por Procesos.

5.1.1 Mapa de Procesos

G. Planeaciónl Estr.dgica

ESTRATtGICOS

G. Riesgos G. Información ] Comunicadón

MISIONALES

.__ __ GestiónConwcial ::=J ¡----

G . de Servicios

DE APOYO

CONTROL Y EVALUACIÓN

__,,,,.~.........._ ,,/ G . --......._,

1 Seguim~oy 1 Evaluación

5.1.2 Objetivos de los Procesos

PROCESOS DE LA ENTIDAD

G. Talenlo Humano

CARACTERIZACIÓN OBJETIVOS

1. G. Planeación Estratégica Determinar las orientaciones estratégicas en la Entidad, mediante procesos de planeación y mejoramiento continuo, para el cumplimiento de los Objetivos Estratégicos.

2. G. Riesgo Identificar los riesgos de los procesos de la Entidad, incluidos en la Matriz y/o Mapa de Riesgos y realizarle el control y seguimiento adecuado para mitigarlos y/o eliminarlos.

3. G. Información y Comunicación Gestionar la comunicación interna y externa de la Entidad mediante la definición de las políticas de información v comunicación



---~Val0r ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


corporativas, con el fin de informar la gestión empresarial de manera clara y oportuna a todos los grupos de interés.

4. G. Talento Humano Administrar el recurso humano en forma efectiva y oportuna de acuerdo con las necesidades de la empresa, atendiendo los requerimientos derivados de selección, permanencia y retiro de los empleados, a través de las actividades de administración de salarios, formulación y actualización del manual de funciones y la implementación del Plan de Desarrollo del Talento Humano.

5. G. Comercial Cumplir con las ventas acordadas en el plan de estratégico de la compañía.

6. G. Servicios Operar los servicios ofrecidos a nuestros clientes cumpliendo con nuestros compromisos contractuales y garantizando los resultados esperados en calidad, oportunidad y costo.

7. G. Financiera y Contable Direccionar el Proceso de Gestión Financiera y Contable, abarcando los procedimientos de Tesorería, Contabilidad, Presupuesto y Finanzas Corporativas.

8. G. Administrativa Mantener y responder por el funcionamiento administrativo de la empresa a través de la gestión y control de los recursos físicos y logísticos.

9. G. Documental Apoyar a todos los procesos en la adecuada identificación, seguimiento, almacenamiento, organización, conservación, tiempos de retención y disposición final de los registros, garantizando la custodia de los archivos y la construcción de la memoria histórica de la empresa.

10. G. Contractual Adquirir los bienes y servicios requeridos por la empresa durante cada vigencia, para atender las necesidades previstas en el Plan Anual de Adquisiciones (PAA) mediante el desarrollo de los procesos contractuales.

11. G. Jurídica Garantizar el cumplimiento de las normas constitucionales y legales vigentes de todas las actuaciones jurídicas y de representación judicial de VALOR + S.A.S, además del acompañamiento efectivo a los procesos, velando por los intereses de la sociedad.

12. G. Calidad Asegurar el mantenimiento y sostenimiento del Sistema de Gestión de Calidad, mediante el uso de mecanismos que contribuyan a la mejora continua de los procesos.

13. G. Tecnología Definir e implementar la Estrategia de Tecnología de Información Corporativa para soportar la operación del negocio de forma segura, efectiva y eficiente, asegurando además que los objetivos de transformación, crecimiento y exoansión de las unidades de



ADMINISTRACIÓN -~valor Versión: 04 DE RIESGOS DE GESTIÓN,


negocio se logren a través del uso de la Tecnología y de la Información, posicionándola como una palanca de valor y un activo estratégico para el negocio.

14. G. Seguimiento y Evaluación a Realizar el seguimiento y evaluación a la gestión empresarial, la Gestión mediante métodos y herramientas de control, medición y análisis

de información para el cumplimiento de las metas.

15. Evaluación Independiente Realizar evaluación independiente y monitoreo permanente a la empresa, con el fin de medir eficiencia, eficacia y economía en las actuaciones y medir los controles existentes en los diferentes procesos y la calidad y la efectividad o no de los mismos, de acuerdo con las normas constitucionales y legales vigentes.

5.1.3 Macroprocesos:

❖ Macroproceso Estratégico, está conformado por cuatro (4) procesos: 1) Gestión Planeación Estratégica, 2) Gestión del Riesgo, 3) Gestión Información y Comunicación y 4) Gestión del Talento Humano.

❖ Macroproceso Misional, está conformado por dos (2) procesos: 1) Gestión Comercial y 2) Gestión de Servicios.

❖ Macroproceso de Apoyo, está conformado por siete (7) procesos: 1) Gestión Financiera y Contable, 2) Gestión Administrativa, 3) Gestión Documental, 4) Gestión Contractual, 5) Gestión Jurídica, 6), Gestión de Calidad y 7) Gestión Tecnología.

❖ Macroproceso de Seguimiento y Evaluación, está conformado por dos (2) procesos: 1) Seguimiento y Evaluación a la Gestión y 2) Evaluación Independiente.

6. METODOLOGÍA PARA LA ADMINISTRACIÓN DE LOS RIESGOS

VALOR + S.A.S, institucionaliza la Metodología contenida en la "Guía para la administración del riesgo y el diseño de controles en entidades públicas", para la formulación de la Política de Administración de los Riesgos de Gestión, Corrupción y Seguridad Digital.

Código: POL·GPE-01 Nersi ón: 04 /Fecha actuafizaclón: 2018/09/19


-~valor ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

Esquema 2.:. Metodología para la administración del riesgo

' > ANTES DE

INUIAR CDN LA METODOLOGÍA

>

PASO POLÍTICA DE ADMINJSTRACIÓN

DE RIESGOS >

CONOCIUIENTO Ot LA ENTIDAD

MODELO DE OPERACIÓN POR PROCESOS

Lineamientos de la política

~isíón Visión > Objetivos estrotégicos 'laneaá6n institucional

Caracterizaciones de los

> procesos Objetivos de los pr ocesos Planes, programas o orovectos asociados

-< u m

•::> n. z

·O ,-2-.1.-l -C-o-nt-e-xt_o_i-nt_e_rn_o __ ---, ~

leTQlQ.OGÍA PARA LA

ADNNISTRACIÓN DE RIESGOS

IDENTlFICAClÓN DE RIESGOS

VM.IJIACIÓN DE RIESGOS

COlfJNICACI y CONSULTA (ASPECTO

TRANSVERSAL)

'> 2 . 1 Establecimiento del contexto

de riesgos

3.1 Análisis de riesgos

3.2 Evaluación de riesgos

3.3 Monitoreo y revisión

2.1.2 Contexto externo > 2.1.3 Cont exto del proceso

2.1.4 Jdentificac,ón d e a ctivo s

2.2.l Técnicas para la redacci ón d > r iesgos

.2.2 T i po logía de r iesgos

> Fnálisis de impacto

.21 Análisispreliminar (riesgo > inherente)

.22 Valoración de los controles

>f.eportes periódicos

Fuente: Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. octubre de 2018. Página 13

7. POLÍTICA DE ADMINISTRACIÓN DEL RIESGO

Es compromiso de VALOR+, la implementación de la POLÍTICA PARA LA ADMINISTRACIÓN DEL RIESGO, basada en los principios de oportunidad y eficiencia a fin de dar cumplimiento a sus Objetivos Estratégicos y/o de Procesos.

7 .1. LINEAMIENTOS DE LA POLÍTICA

¿PARA QUÉ LE SIRVE A VALOR+, LA GESTIÓN DEL RIESGO?

Los impactos que tiene para la Entidad el análisis, gestión y tratamiento del riesgo en los diferentes procesos son :

Código: POL-GPE-01 Nersión: 04 /Fecha actualización: 2018/09119


-~valor ADMINISTRACIÓN Versión: 04

DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

❖ Aporta información para la toma de decisiones estratégicas y operacionales.

❖ Facilita el logro de los objetivos estratégicos y de procesos

❖ Fortalece la mejora continua de los procesos.

❖ Permite una planificación estratégica más efectiva.

❖ Mejora el desempeño de la organización , generando valor agregado para la comunidad.

❖ Optimiza la eficiencia operacional y la sostenibilidad.

❖ Protege los activos de información.

❖ Fortalece la imagen lnstitucionalidad.

❖ Mejora la prevención de pérdidas y la gestión de los incidentes.

❖ Identifica los riesgos para minimizarlos.

❖ Mejora los controles para prevenir el riesgo.

❖ Establece acciones de contingencia que permiten hacer frente inmediato a un riesgo que se materialice.

7.2. ESTRATEGIA Y ACCIONES PARA EL DESARROLLO DE LA POLÍTICA

Para el desarrollo de la Política de Administración de Riesgos de Gestión, Corrupción y Seguridad Digital, VALOR+ define las siguientes estrategias:

7.2.1 Estrategia Operativa

La Política de Administración del Riesgo de VALOR+, se operativizará a través de las responsabilidades asignadas a cada una de las Líneas de Defensa, dispuestas en el numeral "9.3.2 Matriz de Responsabilidades", bajo la Coordinación de la Dirección de Planeación.



-~valer ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

7.2.2 Estrategia de Información y Comunicación

Esta estrategia busca crear conciencia en todos los Servidores Públicos y Contratistas de Prestación de Servicios de la Entidad, sobre la importancia de la gestión del riesgo así:

❖ A nivel institucional: Comprende la divulgación y socialización de la Política de Administración del Riesgo de Gestión, Corrupción y Seguridad Digital, la Metodología aplicada y el Mapa de Riesgos Integrado por Procesos, la cual estará a cargo de la Dirección de Planeación. Esta estrategia incluye la publicación en la página web de la Entidad, del Mapa de Riesgos Integrado, el resultado del monitoreo por parte de la primera línea de defensa, el seguimiento por parte de la segunda línea de defensa y la evaluación por parte de la tercera línea de defensa.

❖ A nivel de procesos: Estará a cargo de los líderes de los Procesos y consiste en realizar la divulgación de los Mapas de Riesgos por Proceso al interior de sus respectivos equipos de trabajo.

7.2.3 Estrategia de Mejora Continua

La Estrategia de Mejora Continua es una actividad sistemática que se adelantará en dos niveles:

❖ Los responsables de los procesos identificarán acciones tendientes a prevenir los riesgos, mejorarán la documentación para estandarizar los controles e implementarán acciones de mejoramiento resultantes del monitoreo.

❖ La Dirección de Planeación revisará la Política de Administración del Riesgo y la actualizará y socializará cuando hayan cambios en las normativas asociadas o cuando se requiera, a través de la Página Web de la Entidad a la ciudadanía en general para que hagan las observaciones que consideren pertinentes. Así mismo, la socializará a los miembros del Comité de Gestión y Desempeño a través del aplicativo BITRIX y al resto del Grupo de Colaboradores para que todos tengan la posibilidad de realizar las observaciones que consideren pertinentes. Observaciones éstas, que deben estar enmarcadas en las disposiciones de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas .. . Riesgos de Gestión, Corrupción y Seguridad Digital - V4, expedida por el Departamento Administrativo de la Función Pública -

Código: POL-GPE-01 N erslón: 04 /Fecha actualización: 2018/09/19




DAFP, previo a la respectiva presentación de la Alta Dirección al Comité Institucional de Coordinación de Control Interno para su aprobación .

7.3. RIESGOS DE CORRUPCIÓN

En VALOR +, declaramos "cero tolerancia a prácticas de corrupción" , en cualquiera de sus modalidades (fraude, estafa, soborno, lavado de activos, financiación del terrorismo, entre otros) y es así, como hemos adoptado y publicado en la Pág. Web de la Entidad, las siguientes políticas:

❖ Política: Administración del Riesgo de Corrupción ❖ Política: Administración de Riesgos Institucionales ❖ Política: Lavado de Activos y Financiación del Terrorismo ❖ Política: Antifraude

Así mismo, en VALOR+, nos comprometemos a:

❖ Todos los servidores y/o empleados públicos y contratistas de VALOR+, se comprometen a cumplir, apropiarse y actuar en el marco de la Ética Institucional, de acuerdo al CÓDIGO DE INTEGRIDAD.

❖ Todos los servidores y/o empleados públicos y contratistas de VALOR+, se comprometen a cumplir con el marco legal contra cualquier práctica de corrupción en la Entidad.

❖ Todos los servidores y/o empleados públicos y contratistas de VALOR+, se comprometen a evitar siempre cualquier conducta que pueda afectar el desarrollo transparente y eficiente de sus funciones o el cumplimiento de las obligaciones a su cargo.

❖ Todos los servidores y/o empleados públicos y contratistas de VALOR+, se comprometen a cumplir con los lineamientos, códigos, procedimientos y acuerdos institucionales relacionados con la prevención de prácticas anticorrupción y sus modalidades.

❖ Todos los servidores y/o empleados públicos y contratistas de VALOR+, se comprometen a apoyar las iniciativas y participar en las actividades propuestas por la Entidad, relacionadas con El Código de Integridad, la Cultura de Integridad y la no tolerancia y lucha contra cualquier práctica de corrupción .


1


---~valer ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

❖ Todos los servidores y/o empleados públicos y contratistas de VALOR+, se comprometen a que los Riesgos de Corrupción identificados por los líderes de los procesos, sean sometidos a aprobación por parte del Comité Institucional de Control Interno, en el marco de la aprobación del Plan anticorrupción y de Atención al Ciudadano.

8. IDENTIFICACIÓN DE RIESGOS

La identificación de riesgos se lleva a cabo determinando las causas o causa con base en el contexto interno, externo y del proceso que pueden afectar el logro de los Objetivos Estratégicos y/o de Procesos, a partir de los contextos interno y externo aunado a diferentes fuentes de información como por ejemplo hallazgos de los entes de control interno y externos, la información de PQRS, el análisis de riesgos de gestión que se hayan materializado en los últimos años y la memoria institucional del equipo de trabajo entre otros. Se identifica el riesgo, el cual estará asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los Objetivos Estratégicos y/o de Procesos.

RIESGO DE CORRUPCIÓN

Identificación de riesgos

8.1 ESTABLECIMIENTO DEL CONTEXTO

R ESGO O~ 1 ~o

Identificación de activos

• Amenazas y Vulnerabilidades

Se debe establecer cuáles son los factores que pueden incidir en la Gestión del Riesgo Institucional. Para poder lograr este análisis se debe establecer el contexto en el que opera el proceso incluyendo el contexto interno, externo y de proceso. Se debe hacer una lista nombrando y describiendo de qué forma las


1


-~vale r ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


normas, políticas, proyectos y funciones, entre otros, podrían incidir como causas, controles externos, o en la materialización de los riesgos.

8.1.1 Contexto Interno de la Entidad

El Contexto Interno se refiere a las condiciones que se relacionan con la estructura, cultura organizacional, el cumplimiento de planes, programas/proyectos, procesos/procedimientos, sistemas de información, modelo de operación y los recursos humanos, económicos y físicos con que cuenta la Entidad.

Con el fin de establecer el Contexto Interno es necesario conocer y entender la Entidad y sus Objetivos Estratégicos y/o de Procesos, teniendo en cuenta que la materialización de los Riesgos de Gestión, Corrupción y de Seguridad Digital tienen un impacto negativo en diversos aspectos de la Entidad. El análisis se debe aplicar a los procesos estratégicos, misionales, de apoyo y de evaluación; es decir, a todos los procesos de la Entidad; además, el Modelo Integrado de Planeación y Gestión - Mipg 11, incluye el Autodiagnóstico de Gestión Plan Anticorrupción .

FACTORES PROPUESTOS PARA ESTE CONTEXTO FINANCIEROS: Presupuesto de funcionamiento, recursos de inversión, infraestructura, capacidad instalada.

PERSONAL: Competencia del personal, disponibilidad del personal, seguridad y salud ocupacional.

PROCESOS: Capacidad, diseño, ejecución, proveedores, entradas, salidas, gestión del conocimiento.

TECNOLOGIA: Integridad de datos, disponibil idad de datos y sistemas, desarrollo, producción, mantenimiento de sistemas de información.

ESTRATEGICOS: Direccionamiento estratégico, planeación institucional, liderazgo, trabajo en equipo.

COMUNICACION INTERNA: Canales utilizados y su efectividad, flujo de la información necesaria para el desarrollo de las operaciones.

Fuente: Guia para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. octubre de 2018. Página 19

8.1.2 Contexto Externo de la Entidad

Código: POL·GPE-01 Nerslón: 04 /Fecha actuallzaci ón: 2018/09/19


--~valor ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


Se entiende por contexto externo, las condiciones econom1cas, sociales, culturales, políticas, legales, ambientales o tecnológicas. Para establecer el contexto externo es necesario determinar la relación existente entre la Entidad y el ambiente en el que opera ; estableciendo las fortalezas, debilidades, oportunidades y amenazas; en especial, la información referente a los riesgos de corrupción de la entidad . Se sugiere analizar e identificar el entorno normativo -regulatorio y las partes externas interesadas.

FACTORES PROPUESTOS PARA ESTE CONTEXTO POLITICOS: Cambios de gobierno, legislación, políticas públicas, regulación.

ECONOMICOS Y FINANCIEROS: Disponibilidad de capital, liquidez, mercados financieros, desempleo, competencia.

SOCIALES Y CULTURALES: Demografía, responsabilidad social, orden público.

TECNOLOGICOS: Avances en tecnología, acceso a sistemas de información externos, gobierno en línea.

AMBIENTALES: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

LEGALES Y REGLAMENTARIOS: Normatividad externa (leyes, decretos, ordenanzas y acuerdos).

Fuente: Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4 . octubre de 2018. Página 19

8.1.3 Contexto del Proceso

En el caso del Contexto del Proceso se empleará como herramienta la caracterización y el Objetivo de cada uno de los Procesos.

Dentro del contexto del Proceso se determinan las características o aspectos esenciales del proceso y sus interrelaciones. Según la "Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción y Seguridad Digital", se pueden considerar factores como:

FACTORES PROPUESTOS PARA ESTE CONTEXTO DISENO DEL PROCESO: Claridad en la descripción del alcance y objetivo del proceso.

INTERACCIONES CON OTROS PROCESOS: Relación precisa con otros procesos en cuanto a insumos, proveedores, productos, usuarios o clientes.




1 CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

TRANSVERSALIDAD: Procesos que determinan lineamientos necesarios para el desarrollo de todos los procesos de la entidad.

PROCEDIMIENTOS ASOCIADOS: Pertinencia en los procedimientos que desarrollan los procesos.

RESPONSABLES DEL PROCESO: Grado de autoridad y responsabilidad de los Servidores Públicos frente al proceso.

Fuente: Gula para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión, Corrupción y Seguridad Digital. Versión 4. octubre de 2018. Página 19

8.1.4 Identificación de Activos

Se empleará el Anexo Nº 4 "Lineamientos para la gestión del riesgo de seguridad digital en entidades públicas de la "Guía para la administración del riesgo y el diseño de controles en entidades públicas - Riesgos de gestión, corrupción y seguridad digitaf' .

En el caso de Riesgo en seguridad digital será necesario que la Primera Línea de Defensa, identifique los activos en cada proceso, tales como: aplicaciones de la organización, servicios web, redes, información física o digital, tecnologías de información -TI , tecnologías de operación -TO. Para los cual, empleará el Anexo Nº 4 "Lineamientos para la gestión del riesgo de seguridad digital en entidades públicas de la "Guía para la administración del riesgo y el diseño de controles en entidades públicas - Riesgos de gestión, corrupción y seguridad digitaf' .

Los riesgos de seguridad digital se basan en la afectación de tres criterios en un activo o un grupo de activos dentro del proceso: "Integridad, confidencialidad o disponibilidad". Por ello, para cada riesgo identificado se deberá asociar el grupo de activos o activos específicos del proceso y conjuntamente, analizar las posibles amenazas y vulnerabilidades que podrían causar su materialización.

8.2. Técnicas para la redacción de riesgos

En la descripción del riesgo se deben tener en cuenta las respuestas a las preguntas descritas en el párrafo cuarto de este numeral. En su redacción se debe evitar iniciar con palabras negativas como: "No .. . ", "Que no ... ", o con palabras que denoten un factor de riesgo (causa) tales como: "ausencia de", "falta de", "poco(a)", "escaso(a)", "insuficiente", "deficiente", "debilidades en ... " y redactar con leguaje que indique la posibilidad de que algo ocurra.

Código: POL·GPE-01 Nerslón: 04 /Fecha actualización: 2018/09/19

1


--~valer ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

Los riesgos deberán estar descritos de manera clara y precisa y su redacción no deberá dar lugar a ambigüedades o confusiones con la causa generadora de los mismos, por ello para identificar y describir los riesgos se tendrá en cuenta las respuestas a las siguientes preguntas:

¿QUÉ PUEDE SUCEDER? ... ldentificar la afectación del cumplimiento del objetivo estratégico o del proceso según sea el caso.

¿CÓMO PUEDE SUCEDER? ... Establecer las causas a partir de los factores determinados en el contexto.

¿CUÁNDO PUEDE SUCEDER? ... Determinar de acuerdo con el desarrollo del proceso.

¿QUÉ CONSECUENCIAS TENDRÍA SU MATERIALIZACIÓN? Determinar los posibles efectos por la materialización del riesgo.

8.2.1 Tipología de riesgos

Es necesario clasificar el tipo de riesgo dependiendo de los conceptos que brinda la Guía de Administración del Riesgo del Departamento Administrativo de la Función Pública - DAFP, es esencial determinar si es un riesgo de Corrupción o de Gestión para decidir cuál de los formatos de Mapa se debe usar para el registro de la información relacionada con el riesgo, para esto, se recomienda revisar en primera instancia la definición de corrupción y si no corresponde a este tipo de riesgo revisar las demás definiciones para tal fin .

A partir del contexto se identificará el riesgo, el cual estará asociado a aquellos eventos o situaciones que pueden entorpecer el normal desarrollo de los Objetivos Estratégicos y/o de Procesos, clasificándolo en las siguientes tipologías:

RIESGOS DEFINICION

Estratégicos Posibilidad de ocurrencia de eventos que afecten los objetivos estratégicos de la organización pública y por tanto impactan toda la Entidad.

Riesgos gerenciales Posibilidad de ocurrencia de eventos que afecten los procesos gerenciales y/o la alta dirección.

Código: POL-GPE-01 Ners/6n: 04 /Fecha actuallzaci6n: 2018/09/19


-~valor ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


Riesgos operativos Posibilidad de ocurrencia de eventos que afecten los procesos misionales de la entidad.

Riesgos financieros Posibilidad de ocurrencia de eventos que afecten los estados financieros y todas aquellas áreas involucradas con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de cuentas, costos, etc.

Riesgos tecnológicos Posibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura tecnológica (hardware, software, redes, etc.) de una entidad.

Riesgos de cumplimiento Posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la organización debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.

Riesgo de imagen o Posibilidad de ocurrencia de un evento que afecte la imagen, buen nombre reputacional o reputación de una organización ante sus clientes y partes interesadas.

Riesgos de corrupción Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.

Riesgos de seguridad digital Posibilidad de combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente fís ico, digital y las personas.


9. VALORACIÓN DE RIESGOS

Consiste en establecer la probabilidad de ocurrencia del riesgo y el nivel de consecuencia o impacto, con el fin de estimar la zona de riesgo inicial (RIESGO INHERENTE).

9.1 ANÁLISIS DE RIESGOS

En este punto se busca establecer la probabilidad de ocurrencia del riesgo y sus consecuencias o impacto, con el fin de estimar la zona de riesgo inicial (Riesgo Inherente).

Código: POL·GPE-01 Nerslón: 04 /Fecha actualización: 2018/09/19


--~valmr ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actuallzaclón: 2018/09/19

9.1.1 Análisis del Impacto

Por impacto se entiende las consecuencias que puede ocasionar a la Entidad la materialización del riesgo. VALOR +, adoptará los siguientes criterios para calificar el impacto, según la clasificación del riesgo:

❖ Criterios para calificar el Impacto - Riesgos de Corrupción

NIVEL IMPACTO RIESGOS DE CORRUPCION

3 Moderado 4 Mayor 5 Catastrófico

❖ Criterios para calificar el Impacto - Riesgos de Gestión y Seguridad Digital.

NIVEL IMPACTO RIESGOS DE GESTION Y SEGURIDAD DIGITAL

1 Insignificante 2 Menor 3 Moderado 4 Mayor 5 Catastrófico

9.1.2 Análisis de la Probabilidad

"Se analiza qué tan posible es que ocurra el riesgo, se expresa en términos de frecuencia o factibilidad, donde frecuencia implica analizar el número de eventos en un periodo determinado, se trata de hechos que se han materializado o se cuenta con un historial de situaciones o eventos asociados al riesgo; factibilidad implica analizar la presencia de factores internos y externos que pueden propiciare/ riesgo, se trata en este caso de un hecho que no se ha presentado pero es posible que suceda."

Por probabilidad se entiende la posibilidad de ocurrencia del riesgo, esta puede ser medida con criterios de frecuencia o factibilidad . VALOR +, realizará el análisis del riesgo considerando los siguientes niveles de probabilidad :

Código: POL· GPE-01 Nersfón: 04 /Fecha actualización: 2018/09/19


-~vale r ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

❖ Criterios parar calificar la probabilidad

NIVEL DESCRIPTOR DESC, IPCION FRECUENCIA

5 Casi seguro Se espera que el evento ocurra en la mayoría de Más de 1 vez al año. las circunstancias.

4 Probable Es viable que el evento ocurra en la mayoría de Al menos 1 vez en e las circunstancias. último año.

3 Posible El evento podrá ocurrir en algún momento. Al menos 1 vez en los últimos 2 años.

2 Improbable El evento puede ocurrir en algún Momento. Al menos 1 vez en los últimos 5 años

1 Rara vez El evento puede ocurrir solo en circunstancia No se ha presentado en los s excepcionales poco comunes o anormales) últimos 5 años.


9.2 EVALUACIÓN DE RIESGOS

La calificación de los riesgos se realiza con base en el tipo de riesgo, es decir, si éste es de gestión, seguridad digital o de corrupción y en los resultados del análisis y valoración del Impacto y la Probabilidad .

9.2.1 Análisis Preliminar (Riesgo Inherente)

Para determinar el riesgo inherente se tomará la calificación de probabilidad y la calificación de impacto; ubicando la calificación de probabilidad en la fila y la de impacto en la columna correspondiente y el punto donde se establezca intercepción corresponderá al nivel de riesgo.

❖ Mapa de Calor

El mapa de calor será de 5x5, es decir que para ubicar el nivel de riesgo se cuenta con 5 niveles en probabilidad y 5 niveles en impacto, tal y como se aprecia a continuación:



---~valor ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

INSIGNIFICANTE MENOR MODERADO MAYOR CATASTRÓFICO

2 3 4 5

IMPACTO

9.2.2. Valoración de los controles

Diseño de controles: La Primera Línea de Defensa, al definir las actividades de control se asegurará que:

❖ Para cada causa exista un control

❖ Los controles estén bien diseñados, de tal forma que mitiguen de manera efectiva las causas que hacen que el riesgo se materialice. Es decir, que incluya un responsable, periodicidad, propósito (verificar, validar, cotejar, comparar, revisar, etc.), cómo se realiza, qué pasa con las desviaciones y evidencia del control; y estos mismos criterios se emplearán para evaluar el diseño de los controles determinando si el conjunto de controles es fuerte , moderado o débil (en los dos últimos rangos se deberá establecer un plan de acción que permita tener un control o controles bien diseñados).

❖ El análisis y evaluación del diseño del control se realizará teniendo en cuenta el siguiente formato: https://www.valormas.qov.co/index.php/leyde-tra nspa rencia-va lormas/cal idad/item/2021-f-g r-07-matriz-tecn ica-anal isis-y-eva luacion-del-d iseno-del-control-v 1

9.2.3. Nivel de aceptación y tratamiento de los riesgos



--~val□r ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,

ZONA DE RIESGO

ALTA

MEDIA


VALOR+, ha definido las siguientes posiciones frente al tratamiento del riesgo , así:

NIVEL DE

ACEPTACIÓN

NO ACEPTABLE

ACEPTABLE

TRATAMIENTO DEL RIESGO

❖ Evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó, definiendo acciones para mejorar los controles o acciones complementarias que contribuyan a la no materialización del riesgo.

♦:♦

•!•

•!•

•:•

•:•

♦:♦

Si la causa es atribuible a un tercero, transferir el riesgo y eventualmente efectuar mejoras en el control o en el proceso.

Reducir el riesgo mediante acciones asociadas a mejorar el control o acciones adicionales tendientes a automatizar los controles.

Si la causa es atribuible a un tercero, transferir el riesgo.

Reducir el riesgo mediante acciones asociadas a mejorar el control.

Si la causa es atribuible a un tercero, transferir o compartir el riesgo.

Asumir el riesgo para lo cual se debe mantener el control, en caso de existir y gestionarlo.

Los riesgos de corrupción son inaceptables y su tratamiento corresponde al de zona extrema.

9.3. MONITOREO Y REVISIÓN

El monitoreo y revisión de la gestión de riesgos está alineado con la dimensión del Mipg II de "Control interno", que se desarrolla con el MECI a través de un esquema de asignación de responsabilidades y roles que define el Departamento Administrativo para la Función Pública - DAFP, en la Guía para la Administración del Riesgo y el diseño de controles en entidades públicas. Riesgos de Gestión , Corrupción y Seguridad Digital.

Código: POL·GPE-01 Nersión: 04 /Fecha actuallzación: 2018/09/19

11


--~valer ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,


Anualmente los líderes de los Procesos con sus equipos de trabajo identificarán y validarán los Riesgos de Gestión, Corrupción y Seguridad Digital asociados al logro de los objetivos Estratégicos y/o de Procesos. Para ello deberán documentarlo en los formatos que para el efecto diseñe la Dirección de Planeación.

9.3.1 Esquema General del Monitoreo y Revisión

NIVEL DEL RIESGO

Todos los Riesgos

LIDER DEL PROCESO

(Responsable del Monltoreo y de la operación de los controles y su resultado)

Se realiza monitoreo permanente y se deja registro mensual del mismo.

DIRECCION DE RESPONSABLE PLANEACIÓN DE LA EVALUACIÓN

(Responsable de la (Responsable de la Evaluación) consolidación y el

Seguimiento)

La Dirección de La evaluación se realiza según lo Planeación consolida el establecido en el Plan Anual de Mapa de Riesgos Auditoría. Integrado por Procesos y realiza seguimiento La evaluación de la OCI a los riesgos cuatrimestral a las de corrupción, desde su rol auditor, se acciones y controles realizará cada cuatro meses. En él se realizados o verificará la efectividad de los implementados por los controles, su pertinencia y oportunidad líderes de proceso, previa a la evaluación de laOCI.

9.3.2 Matriz de Responsabilidades

MATRIZ DE RESPONSABILIDADES Y ROLES

LINEAS RESPONSABLES ACTIVIDADES DE DEFENSA

LINEA ALTA DIRECCION O •:• La Alta Dirección y el equipo directivo, a través del ESTRATÉGICA REPRESENTANTE Comité Institucional de Coordinación de Control Interno,

LEGAL deben evaluar y dar linea sobre la administración de los riesgos al Comité 1 nstitucional de Gestión y Desempeño.



-~va10r ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,

PRIMERA LINEA DE DEFENSA


COMITE INSTITUCIONAL DE GESTIÓN Y DESEMPEÑO

COMITÉ INSTITUCIONAL DE COORDINACIÓN DE CONTROL INTERNO

LIDERES DE LOS PROCESOS

(Los líderes de procesos deben

realizar el seguimiento del cumplimiento de los

objetivos institucionales y sus

procesos).

❖ Revisar los cambios en el "Contexto Estratégico" y cómo estos pueden generar nuevos riesgos o modificar los que ya se tienen identificados.

❖ Establecer los lineamientos, roles y responsables para la Gestión del Riesgo, con el fin de controlar y mitigar los riesgos identificados.

❖ Integrar y divulgar las buenas prácticas institucionales para la administración y gestión de los riesgos del VALOR +, con el fin de establecer una Cultura de Gestión de Riesgos al interior de la Entidad.

❖ Gestionar los recursos técnicos, financieros y de talento humano necesarios para llevar a cabo la implementación de la Política de Administración del Riesgo.

❖ Hacer seguimiento en el Comité Institucional de Coordinación de Control Interno a la implementación de cada una de las etapas de la gestión del riesgo y los resultados de las evaluaciones realizadas por Control Interno o Auditoría Interna.

❖ Dar a conocer a su equipo de trabajo los lineamientos determinados en la Política de Administración del Riesgo.

❖ Determinar y aprobar los contenidos de los mapas de riesgos de los procesos a su cargo.

❖ Realizar la divulgación de su mapa de riesgo por proceso al interior de sus respectivos equipos de trabajo.

❖ Revisar que las actividades de control de sus procesos se encuentren documentadas y actualizadas en el Sistema Integrado de Gestión - SIG.

❖ Monitorear mensualmente la operación de sus controles y el cumplimento de las acciones complementarias al control.

❖ Actualizar su mapa de riesgos por proceso (para incluir, reformular o eliminar riesgos), considerando la dinámica de la Entidad y de sus controles.

❖ Mantener comunicación directa con su equipo de trabajo para asegurar la oportunidad y la calidad en cuanto al suministro de información e insumos para la gestión del riesgo.



-~valor ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

Tecnologías de la Información y las Comunicaciones.

9.4. PERIODICIDAD DEL SEGUIMIENTO

Durante cada vigencia, los líderes de cada proceso con sus respectivos equipos de trabajo, realizarán el seguimiento al Mapa de Riesgos de Gestión , Corrupción y Seguridad Digital, identificando y/o validando el logro de los Objetivos Estratégicos y/o de Procesos. Asunto éste, que deberá documentarse y soportarse de manera escrita, evidenciando la implementación de los controles y la no presentación de materialización del riesgo, en el formato que para el efecto diseñará e incorporará la Dirección de Planeación al Proceso de G. Calidad.

9.4.1 Reportes Periódicos

RESPONSABLE FRECUENCIA REPORTE

LIDERES DE PROCESO Acorde al nivel de •:• Seguimiento a los riesgos. Riesgo Inherente:

•!• MODERADO: Trimestral

•!• ALTO: Bimensual

•!• EXTREMO: Mensual

DIRECTORA Cuatrimestral ♦:♦ Seguimiento a los Mapas de Riesgo, DE PLANEACIÓN con corte a 30 de abril, agosto y

diciembre

Cuatrimestral Seguimiento a la Matriz de Componentes del Plan Anticorrupción y de Atención al Ciudadano, con corte a 30 de abril, agosto y diciembre.

Cuatrimestral Informes sobre los eventos de riesgo que se han materializado en la Entidad, con corte a 30 de abril, agosto y diciembre

JEFE OFICINA Cuatrimestral •!• Seguimiento a la gestión de riesgos DE CONTROL INTERNO de corrupción

Código: POL-GPE-01 Nerslón: 04 /Fecha actuallzación: 2018/09/19

-~Vc31Gr POLÍTICA Código: POL-GPE-01

ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN, CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/19

1

1

1

1

1

1

De conformidad con el Plan Anual de Auditoria

l l

• Primer seguimiento: Con corte al 30 de abril. En esa medida, la publicación deberá surtirse dentro de los diez (1 O) primeros días hábiles del mes de mayo.

• Segundo seguimiento: Con corte al 31 de agosto. La publicación deberá surtirse dentro de los diez (1 O}, primeros días hábiles del mes de septiembre.

• Tercer seguimiento: Con corte al 31 de diciembre. La publicación deberá surtirse dentro de los diez (1 O) primeros días hábiles del mes de enero."

❖ Seguimiento a los riesgos consolidados en los mapas de riesgos

9.4.2 Reporte de Resultados del Monitoreo y Seguimiento

Cuando se determine que los mapas de riesgos deben ser modificados, como resultado del monitoreo que realicen los líderes de proceso o como resultado del seguimiento que realice el Jefe de Control Interno, se debe:

❖ Reportar a la Dirección de Planeación, con el fin de actualizar los mapas correspondientes, en cualquiera de sus componentes, ya sea a los riesgos, sus causas, consecuencias y controles.

❖ Si se identifican cambios internos o externos que puedan impactar positiva o negativamente a la Entidad o algún proceso, se reporta a la Dirección de Planeación, con el fin de apoyar la identificación , análisis y valoración de riesgos de gestión o corrupción del proceso.

❖ Los reportes que se hagan a la Dirección de Planeación, se deben realizar a través de la Plataforma BITRIX, soportado con el Formato Mapa de Riesgos y el acta de reunión resultado del monitoreo o el resultado del seguimiento de



-~valsr ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,

1.

SEGUNDA LINEA DE DEFENSA

TERCERA LINEA DE DEFENSA


DIRECTORA DE PLANEACIÓN

JEFE OFICINA DE CONTROL INTERNO

(Debe proveer la evaluación de manera

independiente y objetiva sobre la

efectividad del sistema de gestión de riesgos, validando que la línea estratégica, la primera

y segunda línea de defensa cumplan con

sus responsabilidades)

❖ Cumplir con las actividades y planes de mejoramiento suscritos con relación a la gestión de riesgos.

❖ Actualizar cada año en el mes de enero, la Política de Administración del Riesgo de Gestión, Corrupción y Seguridad Digital y la Metodología Integrada de Administración de Riesgo, en caso de cambios normativos.

❖ Actualizar cada año en el mes de enero, el Mapa de Riesgos de Gestión, Corrupción y Seguridad Jurídica.

❖ Divulgar y socializar la Política de Administración del Riesgo, la Metodología Integrada de Administración del Riesgo y el Mapa de Riesgos Integrado por Procesos, con el apoyo del Proceso de Gestión de Comunicaciones internas y externas.

❖ Asesorar técnicamente a los procesos, en los casos que se requiera, en la formulación de los mapas de riesgos. Esta asesoría debe ser entendida como la orientación en la aplicación de la metodología establecida.

❖ Hacer seguimiento a las actividades de control establecidas para la mitigación de los riesgos de los procesos, las cuales deberán estar documentadas y actualizadas en el SIG.

❖ Realizar seguimiento a las actividades y planes de mejoramiento suscritos por los líderes de proceso con relación a la gestión de riesgos.

❖ Apoyar, en coordinación con la Oficina Asesora de Planeación, en la difusión y la implementación de la Política de Administración del Riesgo en todo el Ministerio de Vivienda, Ciudad y Territorio, para el fomento de la cultura de prevención.

❖ Mantener un canal de comunicación abierto con los líderes de procesos facilitando la aclaración de términos o técnicas para el diligenciamiento de los mapas de riesgo en cada una de sus etapas, en cumplimiento del rol de enfoque hacia la prevención.

❖ Analizar, dentro de sus procesos de auditoría, el diseño, idoneidad y efectividad de los controles, determinando si son o no adecuados para prevenir o mitigar los riesgos de los procesos.

❖ Publicar los informes de evaluación de la Gestión del

Código: POL·GPE-01 Nerslón: 04 /Fecha actual/zac/ón: 2018/09/19



OTROS


SERVIDORES PÚBLICOS

Y CONTRATISTAS

RESPONSABLE RIESGOS

SEGURIDAD DIGITAL

(La Entidad designará un responsable, el cual debe pertenecer a un Área que haga parte de la Alta Dirección o

Línea Estratégica)

Riesgo en la página web.

❖ Evaluar la eficacia de los planes de mejoramiento como resultado de las auditorías efectuadas, además, que se lleven a cabo de manera oportuna, se establezcan las causas raíz del problema y se evite, en lo posible, la repetición de hallazgos y la materialización de los riesgos.

❖ Participar de manera directa y activa en la identificación, análisis y valoración de los riesgos asociados a su gestión.

❖ Implementar los controles requeridos para la gestión del riesgo asociados a los procesos en los que participa.

❖ Desarrollar las acciones de tratamiento para la mitigación de los riesgos identificados.

❖ Efectuar el seguimiento de los controles de acuerdo con las funciones que realiza, en los tiempos estipulados.

❖ Informar a su superior inmediato o líder de proceso sobre la posibilidad de generación de nuevos riesgos o la materialización de un riesgo identificado.

❖ Participar en los ejercicios de sensibilización sobre la Política de Administración de Riesgos y la Metodología Integrada de Administración del Riesgo que se programen en la entidad

❖ Definir el procedimiento para la identificación y valoración de activos.

❖ Adoptar o adecuar el procedimiento formal para la gestión de riesgos de seguridad digital (Identificación, análisis, evaluación y tratamiento).

❖ Apoyar en el seguimiento a los planes de tratamiento de riesgos definidos.

❖ Asesorar y acompañar a la primera línea de defensa en la realización de la gestión de riesgos de seguridad digital y en la recomendación de controles para mitigar los riesgos.

❖ Informar a la línea estratégica sobre cualquier variación importante en los niveles o valoraciones de los riesgos de seguridad digital.

❖ Adicionalmente se deberá tomar como referencia lo definido en la Guía Roles y Responsabilidades del MSPI de la Estrategia de Gobierno Digital de Ministerio de



--~va10r ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,

CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualizaclón: 2018/09/19

Control Interno.

❖ La Dirección de Planeación, será la encargada de consolidar el Mapa Integrado de Riesgos de Gestión, Corrupción y Seguridad Digital y presentarlo al Comité Coordinador de Control Interno. Asi mismo, el resultado del monitoreo y revisión que se realice a los mismos, con el fin de establecer la necesidad de definir si es necesario la revisión y ajuste de la Política de Administración de Riesgos de la Entidad o se deba tomar acciones sobre riesgos estratégicos o de corrupción que presenten una alta probabilidad de materializarse.

❖ Si se detecta la materialización de un riesgo ya sea de Gestión, Corrupción o Seguridad Digital, por cualquier Servidor Público de la Entidad , éste está en la obligación de reportarlo ante las instancias competentes.

❖ El responsable del riesgo en cada proceso analizará los resultados del seguimiento y establecerá acciones inmediatas ante cualquier desviación .

❖ El responsable del proceso comunicará las desviaciones según el nivel de aceptación del riesgo al interior de su Área y a la Dirección de Planeación y las acciones a seguir.

1 O. COMUNICACIÓN Y CONSULTA

La comunicación y consulta de la política y la metodología para la administración de los riesgos, será dada a conocer por la Dirección de Planeación , la cual se realizará a través de los diferentes medios de comunicación interna, con el fin de dar cubrimiento al mayor número de servidores públicos de la Entidad.

~ ~~ Proyectó: Ru&chiÍenas

Directora de Planeación

ESTEBAN TOBON URREA Gerente General

Código: POL-GPE-01 Nerslón: 04 /Fecha actualizac/6n: 2018/09/19


-~v a le r ADMINISTRACIÓN Versión: 04 DE RIESGOS DE GESTIÓN,

CORRUPCIÓN Y SEGURIDAD DIGITAL Fecha actualización: 2018/09/1 9

LISTA DE VERSIONES

COPIA CONTROLADA: (Los Formatos publlcados no podrán ser modificados por nadie, sin previa autorización del Representante de la Dirección)

VERSIÓN FECHA

JUSTIFICACIÓN DE LA ACTUALIZACIÓN NOMBRE DEL LÍDER DEL PROCESO AA/MM/DD

01 2018/05/28 Creación del documento Ruth Sánchez Arenas

Actualización del documento

. Incorporación del cuadro para la

02 2018/06/06 incursión de la normatividad

Ruth Sánchez Arenas . Incorporación del nombre y firma del Gerente General y de quien proyectó


03 2018/08/09 . Se cambia Proyectó por

Responsable Área: Ruth Sánchez Arenas

. Se incluye Revisó:


. Se cambia creación x 04 2018/09/19 actualización en el pie de página: Ruth Sánchez Arenas . Se corrige la fecha de la versión 3

2018/08/08

Elaboró Revisó Aprobó

Nombres y apell idos de quien Nombres y apellidos: Comité Institucional de Coordinación de elaboró: Miembros del Comité Institucional de Control Interno Ruth Sánchez Arenas Coordinación de Control Interno

Cargo: Cargo: Acta No. 02 de 2019 Directora Planeación N/A


POLITICA ADMINISTRACION DEL RIESGO DE GESTION, …

Documents

Transcript of POLITICA ADMINISTRACION DEL RIESGO DE GESTION, …