1 1 Esta presentacin es propiedad intelectual controlada

  • Slides: 61
Download presentation
1 1 Esta presentación es propiedad intelectual controlada y producida por la Presidencia de

1 1 Esta presentación es propiedad intelectual controlada y producida por la Presidencia de la República.

Gestión del Riesgo (Articulado Riesgos de Corrupción y de seguridad digital) Marzo de 2019

Gestión del Riesgo (Articulado Riesgos de Corrupción y de seguridad digital) Marzo de 2019

Función Pública Contenido 01. Alineación con el MIPG y Plan Anticorrupción y de Atención

Función Pública Contenido 01. Alineación con el MIPG y Plan Anticorrupción y de Atención al Ciudadano 02. Metodología Propuesta (Riesgos Gestión, Corrupción y Seguridad Digital) 03. Rol de las líneas de defensa dentro de la gestión del riesgo

01. Alineación con el MIPG y Plan Anticorrupción y de Atención al Ciudadano

01. Alineación con el MIPG y Plan Anticorrupción y de Atención al Ciudadano

A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política

A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo, se definen los siguientes aspectos: ü Factores de Riesgo Principales (Análisis Interno y Externo) atendiendo el diagnóstico de capacidades y entornos. ü Planeación Estratégica de la entidad. ü Tabla de Impactos principales por cada uno de los 5 niveles (Acorde con la estrategia y los procesos críticos) ü Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción, estrategias para trámites, rendición de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información), - FUNCIÓN PÚBLICA - Articulación MIPG – Gestión del Riesgo

- FUNCIÓN PÚBLICA - Articulación MIPG – Gestión del Riesgo A partir de la

- FUNCIÓN PÚBLICA - Articulación MIPG – Gestión del Riesgo A partir de la dimensión de “Gestión con Valores para el Resultado” se definen los siguientes aspectos: ü Estructura de Procesos, Procedimientos, Políticas, entre otras herramientas. ü Instrumentos y herramientas relacionadas con las Tecnologías de la Información y las

Articulación MIPG – Gestión del Riesgo Esquema de las Líneas de Defensa Componentes: 1.

Articulación MIPG – Gestión del Riesgo Esquema de las Líneas de Defensa Componentes: 1. Ambiente de control 2. Evaluación del riesgo 3. Actividades de control 4. Información y comunicación 5. Actividades de monitoreo Línea Estratégica Segunda línea de defensa Tercera línea de defensa A partir de la dimensión de “Control Interno” se definen los siguientes aspectos: ü Esquema de las líneas de Defensa para la definición de los roles y responsabilidades de la gestión del riesgo y control. ü A través de los componentes del MECI evaluar la efectividad de la estructura de control (diseño y ejecución de los controles). - FUNCIÓN PÚBLICA - Primera línea de defensa

Articulación MIPG – Gestión del Riesgo - FUNCIÓN PÚBLICA - La gestión de riesgos

Articulación MIPG – Gestión del Riesgo - FUNCIÓN PÚBLICA - La gestión de riesgos no es estática. Se integra en el desarrollo de la estrategia, la formulación de los objetivos de la entidad y la implementación de esos objetivos a través de la toma de decisiones cotidiana. Proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.

Metodología (Riesgos Gestión, Corrupción y Seguridad Digital) 02.

Metodología (Riesgos Gestión, Corrupción y Seguridad Digital) 02.

- FUNCIÓN PÚBLICA -

- FUNCIÓN PÚBLICA -

Taller 1 Términos y Definiciones 16 20 13 9 19 11 7 10 4

Taller 1 Términos y Definiciones 16 20 13 9 19 11 7 10 4 1 8 6 17 14 2 3 18 21 5 - FUNCIÓN PÚBLICA - 12 15

Antes de Iniciar con la Metodología Aspectos Esenciales Habilitantes para la incorporación de la

Antes de Iniciar con la Metodología Aspectos Esenciales Habilitantes para la incorporación de la Metodología Insumos Dimensión Direccionamiento Estratégico y Planeación Análisis de Capacidades y Entornos. Caracterización de los grupos de valor y sus necesidades Priorización de esas necesidades y su despliegue en las características de los productos y servicios ü Planeación Estratégica y su despliegue hacia los procesos. ü Plan Anticorrupción y de Atención al ciudadano. ü Política de Administración del Riesgo Insumos Dimensión Gestión con Valores para el Resultado Estructura de Procesos, Procedimientos, Políticas, entre otras herramientas. Instrumentos y herramientas relacionadas con las Tecnologías de la Información y las Comunicaciones para la mejora de los procesos. Insumos Dimensión Control Interno ü Aprobación Política de Administración del Riesgo. ü Esquema Líneas de Defensa

Definiciones Básicas Relacionadas con la Gestión del Riesgo Activo: En el contexto de seguridad

Definiciones Básicas Relacionadas con la Gestión del Riesgo Activo: En el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, Hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital. Riesgo de Gestión: Posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los objetivos. Se expresa en términos de probabilidad y consecuencias. Riesgo de Corrupción: Posibilidad de que por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado. Riesgo de Seguridad Digital: Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos del ambiente físico, digital y las personas. Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto. Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento del riesgo. Probabilidad: se entiende la posibilidad de ocurrencia del riesgo, ésta puede ser medida con criterios de Frecuencia o Factibilidad. Impacto: se entienden las consecuencias que puede ocasionar a la organización la materialización del riesgo. Causa: Todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo Consecuencia: Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas. Plan Anticorrupción y de Atención al Ciudadano: Plan que contempla la estrategia de lucha contra la corrupción que debe ser implementada por todas las entidades del orden nacional, departamental y municipal. Mapa de Riesgos: Documento con la información resultante de la gestión del riesgo de corrupción.

Definiciones Básicas Relacionadas con la Gestión del Riesgo - FUNCIÓN PÚBLICA - Posibilidad de

Definiciones Básicas Relacionadas con la Gestión del Riesgo - FUNCIÓN PÚBLICA - Posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los objetivos. ü El riesgo se expresa en términos de probabilidad y consecuencias. Gestión del Riesgo Proceso efectuado por la Alta Dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.

Paso 1: Política Institucional de Riesgos ¿Quién la establece? La debe establecer la Alta

Paso 1: Política Institucional de Riesgos ¿Quién la establece? La debe establecer la Alta Dirección en cabeza del Representante Legal en el marco del Comité Institucional de Coordinación de Control Interno ¿Qué debe contener? Objetivo: Alineada con los objetivos institucionales Alcance: Aplicable a todos los procesos Niveles de aceptación del Riesgo: Decisión informada de tomar un riesgo particular. Periodicidad para el seguimiento y sus responsables. Los riesgos aceptados están sujetos a monitoreo. Tabla Impacto, Factores de Riesgo, entre otros. Frente a los Riesgos de Seguridad Digital Incorporar Anexo 4 “Lineamientos para la gestión del riesgo de seguridad digital. Frente a los Riesgos de Los riesgos Corrupción de corrupción no admiten aceptación del riesgo. Definir procesos susceptibles de posibles actos de corrupción. - FUNCIÓN PÚBLICA - Declaración de la Dirección y las intenciones generales de una organización con respecto a la gestión del riesgo, (NTC ISO 31000 Numeral 2. 4). La gestión o Administración del riesgo establece lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.

Paso 2: Identificación del Riesgo En esta etapa se deben establecer las fuentes o

Paso 2: Identificación del Riesgo En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis teóricos, opiniones informadas y expertas y las necesidades de las partes involucradas. (NTC ISO 31000, Numeral 2. 15). ESTABLECIMIENTO DEL CONTEXTO Definición de los parámetros internos y externos que se han de tomar en consideración para la administración del riesgo. (NTC ISO 31000, Numeral 2. 9). Contexto Externo Se determinan las características o aspectos esenciales del entorno en el cual opera la entidad. Se pueden considerar factores como: Legales, Políticos, Sociales, Tecnológicos, Financieros, Sectoriales. Contexto Interno Se determinan las características o aspectos esenciales del ambiente en el cual la organización busca alcanzar sus objetivos. Se pueden considerar factores como: Talento Humano, Infraestructura, Planeación, Contexto del Proceso Se determinan las características o aspectos esenciales del proceso y sus interrelaciones. Se pueden considerar factores como: Objetivo, alcance, interrelación con otros procesos, procedimientos, responsables.

Paso 2: Identificación del Riesgo - FUNCIÓN PÚBLICA - Tabla ilustrativa 1 - Factores

Paso 2: Identificación del Riesgo - FUNCIÓN PÚBLICA - Tabla ilustrativa 1 - Factores para cada categoría del contexto

Paso 2: Identificación del Riesgo 1 Qué puede suceder? Identificar la cumplimiento afectación del

Paso 2: Identificación del Riesgo 1 Qué puede suceder? Identificar la cumplimiento afectación del objetivo Identificación Riesgo de Corrupción estratégico o del proceso según sea 2 3 4 Cómo puede Suceder? Cuándo puede suceder? Qué consecuenci as tendría su materializaci ón? el caso. Establecer las causas a partir de los factores determinados en el contexto Determinar de acuerdo al desarrollo del proceso Determinar los posibles efectos por la materialización del riesgo Evitar iniciar con palabras negativas como: “No…” “Que no…”, o con palabras que denoten un factor de riesgo (causa) tales como: “ausencia de”, “falta de”, “Poco(a)”, “ Escaso(a)”, “Insuficiente”, “Deficiente”, “Debilidades en Los riesgos de corrupción se establecen sobre procesos. El riesgo debe estar descrito de manera clara y precisa. Su redacción no debe dar lugar a ambigüedades o confusiones con la causa generadora de los mismos. Con el fin de facilitar la identificación de riesgos de corrupción y de evitar que se presenten confusiones entre un riesgo de gestión y uno de corrupción, se sugiere la utilización de la Matriz de definición de riesgo de corrupción, que incorpora cada uno de los componentes de su definición. Si en la descripción del riesgo, las casillas son contestadas todas afirmativamente, se trata de un riesgo de corrupción. Pregúntese si el riesgo identificado esta relacionado directamente con las características del objetivo. Si la respuesta es “no” este puede ser la causa o la consecuencia.

CAUSA RIESGO CONSECUENCIA RIESGO CAUSA - FUNCIÓN PÚBLICA - Taller 2 Causas y Riesgos

CAUSA RIESGO CONSECUENCIA RIESGO CAUSA - FUNCIÓN PÚBLICA - Taller 2 Causas y Riesgos

Paso 2: Identificación del Riesgo Identificación Riesgos de Seguridad Digital Todo lo que no

Paso 2: Identificación del Riesgo Identificación Riesgos de Seguridad Digital Todo lo que no esta plenamente identificado, no está debidamente asegurado. IDENTIFICACIÓN DE ACTIVOS Elementos tales como: Aplicaciones de la organización, Servicios Web, Redes, Hardware, Información física o digital, Recurso Humano, entre otros, que utiliza la organización para funcionar en el entorno digital. Se podrán identificar los siguientes tres (3) riesgos inherentes de seguridad digital: 1 Pérdida de la confidencialidad 2 Pérdida de la integridad 3 Pérdida de la disponibilidad Anexo 4 “Lineamientos para la gestión del riesgo de seguridad digital en entidades públicas” encontrarán: ü Tabla 5. Tabla de amenazas comunes ü Tabla 6. Tabla de amenazas dirigida por el hombre ü Tabla 7. Tabla de Vulnerabilidades

Paso 2: Identificación de Riesgo de Corrupción Direccionamiento de contratación a favor de un

Paso 2: Identificación de Riesgo de Corrupción Direccionamiento de contratación a favor de un tercero RIESGO Ejemplo Proceso Contratación: “Adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su continua operación” DESCRIPCIÓN TIPO Adendas que cambian condiciones Corrupción generales del proceso de contratación para favorecer a un proponente CAUSAS Intereses personales Presiones indebidas CONSECUENCIAS 1. 2. 3. 4. 5. Injerencia de externos sobre la entidad para favorecer intereses particulares 6. Carencia de controles en el procedimiento de contratación Importante En la descripción de los riesgos de corrupción deben concurrir TODOS los componentes de su definición: Acción u omisión + uso del poder + desviación de la gestión de lo público + el beneficio privado. Demandas contra el estado Perdida de confianza en lo público Investigaciones disciplinarias Detrimento patrimonial Declaración de nulidad del proceso - inoportunidad en la entrega de los bienes Enriquecimiento ilícito de contratistas y/o servidores públicos

Paso 2: Identificación del Riesgo Análisis de Causas Los objetivos estratégicos y de proceso

Paso 2: Identificación del Riesgo Análisis de Causas Los objetivos estratégicos y de proceso se desarrollan a través de actividades, pero no todas tienen la misma importancia, por tanto se debe establecer cuáles de ellas contribuyen mayormente al logro de los objetivos y estas son las actividades críticas o factores claves de éxito; estos factores se deben tener en cuenta al identificar las causas que originan la materialización de los riesgos. Priorización de Causas CRITERIOS DE PRIORIZACIÓN • En esta matriz se deben incluir todas las debilidades y amenazas identificadas en el establecimiento del contexto • Cada integrante priorizará en orden de importancia de menor a mayor las causas utilizando una escala donde 1 es la de menor importancia y «N» la de mayor importancia dependiendo del número de causas. • Un integrante del grupo debe organizar en la tabla las calificaciones y calcular el promedio aritmético de cada causa, siendo las de mayor promedio las causas raíz. Nro CAUSAS (amenazas y P 1 P 2 P 3 P 4 P 5 P 6 Tot Prom 8 9 7 10 9 53 8, 8 debilidades) 1 Insuficiente capacitación 10 del personal de contratos. 2 Fallas en la radicación de propuestas 1 6 2 6 5 6 26 4, 3 3 Mala atención a los proveedores 5 3 1 5 4 3 21 3, 5 4 Inadecuadas políticas de 7 operación 9 7 8 7 10 48 8, 0 5 Desconocimiento de la normatividad contractual 6 4 3 1 2 1 17 2, 8 6 Débil gestión de adquisiciones 2 1 5 2 13 2, 2 7 Desconocimiento de los 8 cambios en la regulación contractual 7 10 9 8 7 49 8, 2 8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3, 8 9 Carencia de controles en el procedimiento de contratación 9 10 8 10 9 8 54 9, 0

Paso 2: Identificación del Riesgo Ejemplo Proceso Contratación: Objetivo “Adquirir con oportunidad y calidad

Paso 2: Identificación del Riesgo Ejemplo Proceso Contratación: Objetivo “Adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su continua operación” “Inoportunidad en la adquisición de los bienes y servicios requeridos por la entidad RIESGO DESCRIPCIÓN TIPO La combinación de factores como, Operativo insuficientes capacitación del personal de contratos, cambios en la regulación contractual, inadecuadas políticas de operación y Carencia de controles en el procedimiento de contratación pueden ocasionar la Inoportunidad en la adquisición de los bienes y servicios requeridos por la entidad, repercutiendo en la continuidad de la operación de la entidad. CAUSAS CONSECUENCIAS Carencia de controles en el 1. procedimiento de contratación 2. Insuficiente capacitación del 3. personal de contratos. Desconocimiento cambios en la contractual Inadecuadas operación de los 4. regulación políticas 5. de Demoras en los procesos incumplimiento en la entrega de bienes y servicios a los grupos de valor Demandas y demás acciones jurídicas Detrimento de la imagen de la entidad ante sus grupos de valor Investigaciones disciplinarias

Paso 3: valoración del riesgo Permite establecer la probabilidad de ocurrencia del riesgo y

Paso 3: valoración del riesgo Permite establecer la probabilidad de ocurrencia del riesgo y el nivel de consecuencias o impacto, con el fin de estimar la zona de riesgo inicial (RIESGO INHERENTE). Criterios parar calificar la probabilidad Análisis de la Probabilidad Nivel Se analiza qué tan posible es que ocurra el riesgo, se expresa en términos de frecuencia o factibilidad, donde frecuencia implica analizar el número de eventos en un periodo determinado, se trata de hechos que se han materializado o se cuenta con un historial de situaciones o eventos asociados al riesgo, y factibilidad implica analizar la presencia de factores internos y externos que pueden propiciar el riesgo, se trata en este caso de un Descript or Descripción Frecuencia 5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias Mas de 1 vez al año. 4 Probable Es viable que el evento ocurra en la mayoría de las circunstancias Al menos 1 vez en el último año. 3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los últimos 2 años. 2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los últimos 5 años. 1 Rara vez El evento puede ocurrir solo en circunstancias excepcionales (poco comunes o anormales) No se ha presentado en los últimos 5 años. hecho que no se ha presentado pero es posible que suceda. Importante El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de no contar con datos históricos, se trabajará de acuerdo con la experiencia de los funcionarios que desarrollan el proceso y de sus factores internos y externos. (Revisar matriz de análisis de priorización de probabilidad).

Paso 3: valoración del riesgo Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo CATASTRÓFICO - Impacto

Paso 3: valoración del riesgo Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo CATASTRÓFICO - Impacto que afecte la ejecución presupuestal en un valor ≥ 50% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 50%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 50% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 50% del presupuesto general de la entidad. - Interrupción de las operaciones de la Entidad por más de cinco (5) días. - Intervención por parte de un ente de control u otro ente regulador. - Pérdida de Información crítica para la entidad que no se puede recuperar. - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal. - Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados. - Impacto que afecte la ejecución presupuestal en un valor ≥ 20% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 20%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 20% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 20% del presupuesto general de la entidad. - Interrupción de las operaciones de la Entidad por más de dos (2) días. - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta. - Sanción por parte del ente de control u otro ente regulador. - Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno. - Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos. - Impacto que afecte la ejecución presupuestal en un valor ≥ 5% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 10%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 5% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 5% del presupuesto general de la entidad. - Interrupción de las operaciones de la Entidad por un (1) día. - Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad. - Inoportunidad en la información ocasionando retrasos en la atención a los usuarios. - Reproceso de actividades y aumento de carga operativa. - Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos. - Investigaciones penales, fiscales o disciplinarias. MENOR - Impacto que afecte la ejecución presupuestal en un valor ≥ 1% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 5%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 1% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 1%del presupuesto general de la entidad. - Interrupción de las operaciones de la Entidad por algunas horas. - Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias. - Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos. - Impacto que afecte la ejecución presupuestal en un valor ≥ 0, 5% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 1%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 0, 5% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 0, 5%del presupuesto general de la entidad. - No hay interrupción de las operaciones de la entidad. - No se generan sanciones económicas o administrativas. - No se afecta la imagen institucional de forma significativa. MODERADO MAYOR Nivel INSIGNIFICANTE Criterios para calificar el Impacto – Riesgos de Gestión FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.

Criterios para calificar el Impacto – Riesgos de Seguridad Digital NIVEL VALOR DEL IMPACTO

Criterios para calificar el Impacto – Riesgos de Seguridad Digital NIVEL VALOR DEL IMPACTO INSIGNIFICANTE 1 MENOR 2 CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL Impacto (consecuencias) Cuantitativo Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad No hay Afectación medioambiental Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación leve del Medio Ambiente requiere de ≥X días de recuperación Impacto (consecuencias) Cualitativo Sin afectación de la integridad Sin afectación de la disponibilidad Sin afectación de la confidencialidad Afectación leve de la integridad Afectación leve de la disponibilidad Afectación leve de la confidencialidad Afectación moderada de la integridad de la información debido al interés particular de los Afectación ≥X% de la población empleados y terceros Afectación ≥X% del presupuesto anual de la Afectación moderada de la disponibilidad de la entidad información debido al interés particular de los MODERADO 3 Afectación leve del Medio Ambiente requiere de empleados y terceros ≥X semanas de recuperación Afectación moderada de la confidencialidad de la información debido al interés particular de los empleados y terceros Afectación grave de la integridad de la información debido al interés particular de los Afectación ≥X% de la población empleados y terceros Afectación ≥X% del presupuesto anual de la Afectación grave de la disponibilidad de la entidad información debido al interés particular de los MAYOR 4 Afectación importante del Medio Ambiente que empleados y terceros requiere de ≥X meses de recuperación Afectación grave de la confidencialidad de la información debido al interés particular de los empleados y terceros Afectación muy grave de la integridad de la información debido al interés particular de los empleados y terceros Afectación ≥X% de la población Afectación muy grave de la disponibilidad de la FUENTE: Ministerio de Tecnologías de la Información y las Comunicaciones Afectación ≥X% del presupuesto anual de la información debido al interés particular de los CATASTRÓFICO 5

Paso 3: valoración del riesgo Análisis del Impacto El impacto se debe analizar y

Paso 3: valoración del riesgo Análisis del Impacto El impacto se debe analizar y calificar a partir de las consecuencias identificadas en la fase de descripción del riesgo. Para el ejemplo que venimos explicando, el impacto fue identificado como mayor por cuanto genera interrupción de las operaciones. Mapa de Calor Se toma la calificación de probabilidad (resultante de la tabla Matriz de priorización de probabilidad), en el ejemplo: probable y la calificación de impacto, para nuestro ejemplo: mayor; ubique la calificación de probabilidad en la fila y la de impacto en la columnas correspondientes, establezca el punto de cruce de las dos y este punto corresponderá al R 1 nivel de riesgo, que para el ejemplo es nivel extremo – color rojo determinando así el riesgo inherente. . Mapa de calor (Riesgo inherente)

Paso 3: valoración del riesgo Análisis del Impacto en riesgos de corrupción Mapa de

Paso 3: valoración del riesgo Análisis del Impacto en riesgos de corrupción Mapa de calor (Riesgo inherente) Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en cuenta solamente los niveles moderado, mayor y catastrófico, dado que estos riesgos siempre serán significativos; en este orden de ideas, no aplican los niveles de impacto insignificante y menor, que si aplican para los demás riesgos. De acuerdo a la tabla de criterios para calificar el impacto de la página anterior, nuestro ejemplo tiene en nivel de impacto MAYOR. La probabilidad de los riesgos de corrupción se califica con los mismos cinco niveles de los demás riesgos. Por ultimo ubique en el mapa de calor el punto de cruce resultante de la probabilidad y el impacto para establecer el nivel del riego inherente, para el ejemplo corresponde a: EXTREMO R 1 Importante Aunque se utilice el mismo mapa de calor , para los riesgos de gestión y de corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado, Mayor y Catastrófico. Aplica para los riesgos de corrupción

Importante Se debe diligenciar una tabla de estas por cada riesgo de corrupción identificado.

Importante Se debe diligenciar una tabla de estas por cada riesgo de corrupción identificado. Los niveles de impacto Insignificante y Menor no aplica para riesgos de corrupción. Nro PREGUNTA: Si el riesgo de corrupción se materializa podría. . . Respuest a SI NO 1 ¿Afectar al grupo de funcionarios del proceso? X 2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? X 3 ¿Afectar el cumplimiento de misión de la Entidad? X 4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? 5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? X 6 ¿Generar pérdida de recursos económicos? X 7 ¿Afectar la generación de los productos o la prestación de servicios? X 8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien o servicios o los recursos públicos? X 9 ¿Generar pérdida de información de la Entidad? X 10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X 11 ¿Dar lugar a procesos sancionatorios? X 12 ¿Dar lugar a procesos disciplinarios? X 13 ¿Dar lugar a procesos fiscales? X 14 ¿Dar lugar a procesos penales? 15 ¿Generar pérdida de credibilidad del sector? 16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? 17 ¿Afectar la imagen regional? X 18 ¿Afectar la imagen nacional? X 19 ¿Genera daño ambiental X Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado. Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor. Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico. MODERADO Genera medianas consecuencias sobre la entidad MAYOR Genera altas consecuencias sobre la entidad. CATASTROFICO Genera consecuencias desastrosas para la entidad X Nivel de Impacto MAYOR X X X 10 - FUNCIÓN PÚBLICA - Criterios para calificar el Impacto – Riesgos de Corrupció Valoración del riesgo – Análisis de Riesgo

Tratamiento del riesgo Reducir el Riesgo Aceptar el Riesgo No se adopta ninguna medida

Tratamiento del riesgo Reducir el Riesgo Aceptar el Riesgo No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo. OPCIONES DE TRATAMIENTO Evitar el Riesgo Se abandonan las actividades que dan lugar al riesgo, decidiendo no iniciar o no continuar con la actividad que causa el riesgo. Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos; por lo general conlleva a la implementación de controles. Compartir el Riesgo Se reduce la probabilidad o el impacto del riesgo, transfiriendo o compartiendo una parte del riesgo. - FUNCIÓN PÚBLICA - Es la respuestablecida por la Primer Línea de Defensa para la mitigación de los diferentes riesgos. Ningún riesgo de corrupción podrá ser aceptado.

Aceptar el Riesgo Si el nivel de riesgo cumple con los criterios de aceptación

Aceptar el Riesgo Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede RIESGO ANTES DE MEDIDAS DE TRATAMIEN TO MEDIDA DE TRATAMIENTO ACEPTAR RIESGO DESPUES DE MEDIDA DE TRATAMIEN TO No se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo. La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el riesgo. En ambos escenarios debe existir un - FUNCIÓN PÚBLICA - ser aceptado. Esto debería aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.

Evitar el Riesgo Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se

Evitar el Riesgo Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la cancelación de una actividad o conjunto de actividades. RIESGO ANTES DE MEDIDA DE TRATAMIEN TO - FUNCIÓN PÚBLICA - MEDIDA DE TRATAMIENTO EVITAR Se abandonan las actividades que dan lugar al riesgo, decidiendo no iniciar o no continuar con la actividad que causa el riesgo. NO HAY RIESGOS DESPUES DE MEDIDA DE TRATAMIENT O Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo tanto hay situaciones donde no es una opción.

Compartir el Riesgo RIESGO ANTES DE MEDIDA DE TRATAMIEN TO MEDIDA DE TRATAMIENTO COMPARTIR

Compartir el Riesgo RIESGO ANTES DE MEDIDA DE TRATAMIEN TO MEDIDA DE TRATAMIENTO COMPARTIR Se reduce la probabilidad o el impacto del riesgo, transfiriendo o compartiendo una parte del riesgo. RIESGO DESPUES DE MEDIDA DE TRATAMIEN TO Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un acuerdo contractual. - FUNCIÓN PÚBLICA - Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del riesgo.

Reducir el Riesgo El nivel de riesgo debería ser administrado mediante el establecimiento de

Reducir el Riesgo El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se impacto del riesgo. RIESGO ANTES DE MEDIDA DE TRATAMIEN TO MEDIDA DE TRATAMIENTO REDUCIR Se adoptan medidas para reducir la probabilidad o el impacto del riesgo, o ambos; esto conlleva a la implementación de controles. RIESGO DESPUES DE MEDIDA DE TRATAMIEN TO Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo. - FUNCIÓN PÚBLICA - pueda reevaluar como algo aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el

- FUNCIÓN PÚBLICA - Taller 3 Valoración del Riesgo – Evaluación Controles

- FUNCIÓN PÚBLICA - Taller 3 Valoración del Riesgo – Evaluación Controles

¿Qué son las Actividades de Control? ACTIVIDADES DE CONTROL DOCUMENTADAS EN Son las acciones

¿Qué son las Actividades de Control? ACTIVIDADES DE CONTROL DOCUMENTADAS EN Son las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos que inciden en el cumplimiento de los objetivos. Políticas Una política por si sola no es un control. Procedimientos Los controles se despliegan a través de los procedimientos documentados. La actividad de control debe por si sola mitigar o tratar la causa del riesgo y ejecutarse como parte del día a día de las operaciones. - FUNCIÓN PÚBLICA - Paso 3: Valoración del riesgo – Tratamiento del Riesgo

CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROLES DETECTIVOS CONTROLES PREVENTIVOS Controles que están diseñados para

CLASIFICACIÓN DE LAS ACTIVIDADES DE CONTROLES DETECTIVOS CONTROLES PREVENTIVOS Controles que están diseñados para identificar un evento o resultado no previsto después de que se haya producido. Buscan detectar la situación no deseada para que se corrija y se tomen las acciones correspondientes. Este tipo de controles intentan evitar la ocurrencia de los riesgos que puedan afectar el cumplimiento de los objetivos. Revisión al cumplimiento de los requisitos contractuales, en el proceso de selección del contratista o proveedor. - FUNCIÓN PÚBLICA - Tratamiento del riesgo – Rol 1ª Línea de Defensa EJEMPLO Realizar una conciliación bancaria, para verificar que los saldos en libros corresponden con los saldos en Bancos.

PAS Debe tener definido el responsable de realizar la O actividad de control. 1

PAS Debe tener definido el responsable de realizar la O actividad de control. 1 PAS Debe tener una periodicidad definida para su O ejecución. 2 VARIABLES A EVALUAR PARA EL ADECUADO DISEÑO DE CONTROLES PAS O Debe indicar cuál es el propósito del control. 3 PAS Debe establecer el cómo se realiza la actividad de O control. 4 PAS Debe indicar qué pasa con las observaciones o O desviaciones resultantes de ejecutar el control. 5 PAS O Debe dejar evidencia de la ejecución del control. 6 - FUNCIÓN PÚBLICA - Diseño de Controles

Cuando un control se hace de manera manual Cuando el control lo hace un

Cuando un control se hace de manera manual Cuando el control lo hace un sistema o una aplicación de (ejecutado por personas) es importante establecer el manera automática a través de un sistema programado, es cargo responsable de su realización. importante establecer como responsable de ejecutar el control, el sistema o aplicación. ü ü El Profesional de Contratación El Auxiliar de Cartera. El Coordinador de Operaciones. La Coordinadora de Nomina. EJEMPLO ü El aplicativo de nomina. ü El aplicativo de contratación. ü El aplicativo de activos fijos - FUNCIÓN PÚBLICA - PAS Debe tener definido el responsable de realizar la O actividad de control. 1

El control debe tener una periodicidad especifica para su ejecución (diario, mensual, trimestral, anual).

El control debe tener una periodicidad especifica para su ejecución (diario, mensual, trimestral, anual). Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo ü El Profesional de Contratación cada vez que se va a realizar un contrato con un proveedor de servicios. ü El Auxiliar de Cartera mensualmente. ü El Coordinador de Operaciones diariamente ü La Coordinadora de Nomina quincenalmente EJEMPLO - FUNCIÓN PÚBLICA - PAS Debe tener una periodicidad definida para su O ejecución. 2

PAS O Debe indicar cuál es el propósito del control. 3 ü El profesional

PAS O Debe indicar cuál es el propósito del control. 3 ü El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación. PAS Debe establecer el cómo se realiza la actividad de O control. 4 Cómo se realiza el control? permite evaluar si la fuente u origen de la información que sirve para ejecutar el control, es confiable para la mitigación del riesgo. ü El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. - FUNCIÓN PÚBLICA - Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar, detectar)

Si como resultado de un control preventivo se observan diferencias o aspectos que no

Si como resultado de un control preventivo se observan diferencias o aspectos que no se cumplen, la actividad no debería continuarse hasta que se subsane la situación. Si es un control que detecta una posible materialización de un riesgo, debería gestionarse de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u observaciones. ü El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la información y poder continuar con el proceso de contratación. Si el responsable de ejecutar el control no realiza ninguna actividad de seguimiento a las observaciones o desviaciones, o la actividad continúa a pesar de indicar esas observaciones o desviaciones, el control tendría problemas de diseño. - FUNCIÓN PÚBLICA - PAS Debe indicar qué pasa con las observaciones o O desviaciones resultantes de ejecutar el control. 5

PAS O Debe dejar evidencia de la ejecución del control. 6 Se pueda evaluar

PAS O Debe dejar evidencia de la ejecución del control. 6 Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros establecidos en el diseño. ü El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique. - FUNCIÓN PÚBLICA - Esta evidencia ayuda a que se pueda revisar la misma información por parte de un tercero y llegue a la misma conclusión de quien ejecutó el control.

Evaluación de los controles para la mitigación de los riesgos. EJECUCIÓN DISEÑO Que cumpla

Evaluación de los controles para la mitigación de los riesgos. EJECUCIÓN DISEÑO Que cumpla con los 6 aspectos explicados El control se ejecuta como fue diseñado y de manera consistente. Para la adecuada mitigación de los riesgos, no basta con que un control este bien diseñado, el control debe ejecutarse por parte de los responsables tal como se diseño. Por que un control que no se ejecute, o un control que se ejecute y este mal diseñado, no va a contribuir a la mitigación del riesgo - FUNCIÓN PÚBLICA - Paso 3: Valoración del riesgo – Diseño de Controles

Análisis y Evaluación de los Controles para la Mitigación de los Riesgos Aspecto a

Análisis y Evaluación de los Controles para la Mitigación de los Riesgos Aspecto a Evaluar en el Diseño del Control Opción de Respuesta ¿Existe un responsable asignado a la ejecución del control ? Asignado No asignado ¿El responsable tiene la autoridad y adecuada segregación de funciones en la ejecución del control? Adecuado Inadecuado 2. Periodicidad ¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación del riesgo o a detectar la materialización del riesgo de manera oportuna? Oportuna Inoportuna 3. Propósito ¿Las actividades que se desarrollan en el control realmente buscan por si sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo Verificar, Validar Cotejar, Comparar, Revisar (…)? Prevenir Detectar No es un control 4. Cómo se realiza la actividad ¿La fuente de información que se utiliza en el desarrollo del de control es información confiable que permita mitigar el riesgo. Confiable No confiable 1. Responsable 5. Qué pasa con las observaciones o desviaciones ¿Las observaciones , desviaciones o diferencias identificadas como resultados de la ejecución del control son investigadas y resueltas de manera oportuna? Se investigan y resuelven oportunamente No se investigan ni se resuelven oportunamente 6. Evidencia de Ejecución del ¿Se deja evidencia o rastro de la ejecución del control, que permita a cualquier tercero con la evidencia, llegar a la misma Completa Incompleta - FUNCIÓN PÚBLICA - Criterio de Evaluación

Tabla de Valoración Controles (Diseño y Ejecución) 1. Asignación del Responsable 2. Segregación y

Tabla de Valoración Controles (Diseño y Ejecución) 1. Asignación del Responsable 2. Segregación y autoridad del responsable 2. Periodicidad 3. Propósito 4. Cómo se realiza la actividad de control 5. Qué pasa con las observaciones o desviaciones 6. Evidencia de Ejecución del Control Opción de Respuesta al Criterio de Evaluación Peso en la Evaluación del Diseño del control Asignado 15 No asignado Diseño 0 Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación Adecuado 15 Fuerte Calificación entre 96 y 100 Inadecuado 0 Moderado Calificación entre 86 y 95 Oportuna 15 Inoportuna 0 Prevenir 15 Detectar 10 No es un control 0 Confiable 15 No Confiable 0 Se investigan y resuelven oportunamente 15 No se investigan ni resuelven oportunamente 0 Completa 10 Incompleta 5 No Existe 0 Débil Calificación entre 0 y 85 Ejecución Rango Calificación de la Ejecución Opción de Respuesta al Criterio de Evaluación Fuerte El control se ejecuta de manera consistente por parte del responsable Moderado El control se ejecuta algunas veces por parte del responsable Débil El control no se ejecuta por parte del responsable - FUNCIÓN PÚBLICA - Criterio de Evaluación

Criterio de Evaluación 1. Asignación del Responsable El profesional de Contratación cada vez que

Criterio de Evaluación 1. Asignación del Responsable El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique. Tipo Control: Preventivo Directamente ataca probabilidad de ocurrencia del riesgo e indirectamente ataca el impacto 2. Segregación y autoridad del responsable 2. Periodicidad 3. Propósito Opción de Respuesta al Criterio de Evaluación Asignado (Califica 15) No asignado (Califica 0) Adecuado (Califica 15) Peso en la Evaluación del Diseño del control 15 15 Inadecuado (Califica 0) Oportuna (Califica 15) Inoportuna (Califica 0) Prevenir (Califica 15) Detectar (Califica 10) No es un control (Califica 0) 4. Cómo se realiza la actividad de control 5. Qué pasa con las observaciones o desviaciones Confiable (Califica 15) No Confiable (Califica 0) Se investigan y resuelven oportunamente (Califica 15) No se investigan ni resuelven oportunamente (Califica 0) Completa (Califica 10) 6. Evidencia de Ejecución del Incompleta (Califica 5) Control No Existe (Califica 0) TOTAL Evaluación Final del Control 15 15 10 100 Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación Fuerte Calificación entre 96 y 100 Moderado Calificación entre 86 y 95 Débil Calificación entre 0 y 85 - FUNCIÓN PÚBLICA - EJEMPLO Diseño

EJEMPLO Ejecución Rango Calificación de la Ejecución Opción de Respuesta al Criterio de Evaluación

EJEMPLO Ejecución Rango Calificación de la Ejecución Opción de Respuesta al Criterio de Evaluación Fuerte El control se ejecuta de manera consistente por parte del responsable Moderado El control se ejecuta algunas veces por parte del responsable Débil El control no se ejecuta por parte del responsable - FUNCIÓN PÚBLICA - El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique.

Peso del diseño individual o promedio de los Controles. (DISEÑO) Fuerte Calificación Entre 96

Peso del diseño individual o promedio de los Controles. (DISEÑO) Fuerte Calificación Entre 96 y 100 Moderado Calificación Entre 86 y 95 Débil Entre 0 y 85 El Control se ejecuta de manera Solidez individual de cada consistente por los control Fuerte: 100 Moderado: 50 responsables. (EJECUCION) Debil: 0 Aplica acciones para fortalecer el Control Si / NO Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte NO Moderado ( Algunas veces) Fuerte + Moderado = Moderado SI Débil (No se ejecuta) Fuerte + Débil = Débil SI Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado SI Moderado (Algunas veces) Moderado + Moderado = Moderado SI Débil (No se ejecuta) Moderado + Débil = Débil SI Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil SI Moderado (Algunas veces) Débil + Moderado = Débil SI Débil (No se ejecuta) Débil + Débil = Débil SI - FUNCIÓN PÚBLICA - Solidez del Control Integralmente (Diseño y Ejecución)

EJEMPLO Solidez del Control Integralmente (Diseño y Ejecución) Fuerte Calificación Entre 96 y 100

EJEMPLO Solidez del Control Integralmente (Diseño y Ejecución) Fuerte Calificación Entre 96 y 100 Moderado Calificación Entre 86 y 95 Débil Entre 0 y 85 El Control se ejecuta de manera consistente por los responsables. (EJECUCION) Fuerte (Siempre se ejecuta) Moderado ( Algunas veces) Solidez individual de cada control Fuerte: 100 Moderado: 50 Debil: 0 - FUNCIÓN PÚBLICA - El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique. Peso del diseño individual o promedio de los Controles. (DISEÑO) Fuerte + Fuerte = Fuerte + Moderado = Moderado Débil (No se ejecuta) Fuerte + Débil = Débil Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado (Algunas veces) Moderado + Moderado = Moderado Débil (No se ejecuta) Moderado + Débil = Débil Fuerte (Siempre se ejecuta) Moderado (Algunas veces) Débil + Moderado = Débil (No se ejecuta) Débil + Débil = Débil + Fuerte = Débil

Riesgos Control 1 Diseño del Control Fuerte Control 2 Fuerte Control 3 Débil Causas

Riesgos Control 1 Diseño del Control Fuerte Control 2 Fuerte Control 3 Débil Causas o Fallas Controles Causa 1 Riesgo 1 Causa 2 Solidez del Ejecución Individual del Conjunto de del Controles Control ¿Como Fuerte Control Fuerte evaluamos (100) Moderado Moderad la solidez del (50) o conjunto de los Débil (0) Fuerte controles? Calificación de la Solidez del Conjunto de Controles Fuerte El promedio de la solidez individual de cada control al sumarlos y ponderarlos es igual a 100. Moderado El promedio de la solidez individual de cada control al sumarlos y ponderarlos la calificación está entre 50 y 99 Débil El promedio de la solidez individual de cada control al sumarlos y ponderarlos la calificación es menor a 50. - FUNCIÓN PÚBLICA - Solidez del Control Integralmente (Diseño y Ejecución)

Solidez del conjunto de los controles. Controles ayudan a disminuir la probabilidad Controles ayudan

Solidez del conjunto de los controles. Controles ayudan a disminuir la probabilidad Controles ayudan a disminuir Impacto # Columnas en la matriz de riesgo que se desplaza en en el eje de la el eje de Impacto Probabilidad 2 2 Fuerte Directamente Indirectamente 2 1 Fuerte Directamente No Disminuye 2 0 Fuerte No disminuye Directamente 0 2 Moderado Directamente 1 1 Moderado Directamente Indirectamente 1 0 Moderado Directamente No Disminuye 1 0 Moderado No disminuye Directamente 0 1 Si la solidez del conjunto de los controles es Débil, este no disminuirá ningún cuadrante de impacto o probabilidad asociado al riesgo. - FUNCIÓN PÚBLICA - Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual

EJEMPLO Tipo Control: Preventivo Directamente ataca probabilidad de ocurrencia del riesgo e indirectamente ataca

EJEMPLO Tipo Control: Preventivo Directamente ataca probabilidad de ocurrencia del riesgo e indirectamente ataca el impacto Solidez del conjunto de los controles. Controles ayudan a disminuir la probabilidad Controles ayudan a disminuir Impacto # Columnas en la matriz de riesgo que se desplaza en en el eje de la el eje de Impacto Probabilidad 2 2 Fuerte Directamente Indirectamente 2 1 Fuerte Directamente No Disminuye 2 0 Fuerte No disminuye Directamente 0 2 Moderado Directamente 1 1 Moderado Directamente Indirectamente 1 0 Moderado Directamente No Disminuye 1 0 Moderado No disminuye Directamente 0 1 - FUNCIÓN PÚBLICA - Desplazamiento del Riesgo Inherente para calcular el Riesgo Residual

Resultados del Mapa de Riesgo Residual. Riesgo 1 – Inoportunidad en la adquisición de

Resultados del Mapa de Riesgo Residual. Riesgo 1 – Inoportunidad en la adquisición de los bienes y servicios requeridos por la entidad. Con una calificación de riesgo inherente de probabilidad e impacto como se muestra en la siguiente gráfica: Control - Fuerte (bien diseñados y que siempre se ejecutan), disminuyen de manera directa la probabilidad e indirectamente el Impacto. En nuestro ejemplo disminuiría dos cuadrantes de probabilidad, pasa de probable a improbable y un cuadrante de impacto, pasa de mayor a moderado. - FUNCIÓN PÚBLICA - Una vez realizado el análisis y evaluación de los controles para la mitigación de los riesgos, procedemos a la elaboración del mapa de riesgo residual (después de los controles ).

Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital) Clasific ación Probabilidad Impacto Riesgo Residual

Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital) Clasific ación Probabilidad Impacto Riesgo Residual Carencia de controles en el procedimiento de contratación Inadecuadas políticas de operación Opción Manejo Reducir Actividad de Control Soporte Responsable Tiempo Procedimiento e instrumentos de contratación (lista de chequeo) Lista de Chequeo diligenciada con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique Profesional de Contratación Siempre que se realice un contrato Para cada contrato, verifica que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo donde están los requisitos de información y la revisión con la información física suministrada por el proveedor Moderado Operativo 1 Inoportunidad en la adquisición de los bienes y servicios requeridos por la entidad Causas Moderado Riesgo Improbable Nro - FUNCIÓN PÚBLICA - Formato Mapa y Plan de Tratamiento de Riesgos.

Mapa de Riesgos (Gestión y Corrupción) Posibilidad de recibir o solicitar cualquier dadiva o

Mapa de Riesgos (Gestión y Corrupción) Posibilidad de recibir o solicitar cualquier dadiva o beneficio a nombre propio o de terceros con el fin celebrar un contrato. RIESGO DESCRIPCIÓN Situaciones como: debilidades en la etapa de la planeación del contrato, la excesiva discrecionalidad, las presiones indebidas, la carencia de controles, la falta de conocimiento y/o experiencia, sumados a la falta de integridad pueden generar un riesgo de corrupción en la contratación, como por ejemplo “Exigencias de condiciones en los procesos de selección que solo cumple un determinado proponente”. TIPO CAUSAS Corrupción Debilidades en la etapa de planeación, que faciliten la inclusión en los estudios previos, y/o en los pliegos de condiciones de requisitos orientados a favorecer a un 1. 2. 3. 4. proponente. 5. Presiones indebidas Carencia de 6. controles en el 7. procedimiento de contratación Falta de conocimiento y/o 8. experiencia del personal que maneja la contratación Excesiva discrecionalidad Adendas que modifican las condiciones generales del proceso de contratación para favorecer a un proponente CONSECUENCIAS Pérdida de la imagen institucional Demandas contra el estado Pérdida de confianza en lo público Investigaciones penales, disciplinarias y fiscales Detrimento patrimonial Obras inconclusas Mala calidad de las obras Enriquecimiento ilícito de contratistas y/o servidores públicos - FUNCIÓN PÚBLICA - Formato Mapa y Plan de Tratamiento de Riesgos.

Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital) Seguridad Digital Moderado Contraseña s sin

Mapa de Riesgos (Gestión, Corrupción y Seguridad Digital) Seguridad Digital Moderado Contraseña s sin protecció Modificac n ión no Ausencia de autorizad mecanismos de a identificación y autenticación de usuarios Ausencia de bloqueo de sesión Reducir Tercer Política creada y comunicada Oficina trimestr e de 2018 TI Procedimientos para la gestión y protección de Oficina TI Tercer contraseñas trimestre de 2018 Procedimient o para Cuarto Oficina ingreso trimestre de TI seguro 2018 Configuraciones para bloqueo Cuarto Oficina automático de Trimestre de TI sesión 2018 A 9. 4. 2 Procedimiento de ingreso seguro Reducir A. 9. 4. 3 Sistema de gestión de contraseñas Reducir Tiempo Responsable Soporte A. 9. 1. 1 Política de control de acceso Reducir Menor Actividad de Control Probable Base de Datos de Nómina Pérdida de la integridad 1 A. 11. 2. 8 Equipos de usuario desatendidos - FUNCIÓN PÚBLICA - Ausencia de políticas de control de acceso. Opción tratamiento Riesgo residual Impacto Tipo Amenaza Vulnerabilidades Riesgo Activo Nr. s Probabilidad Formato Mapa y Plan de Tratamiento de Riesgos.

03. Rol de las líneas de defensa dentro de la gestión del riesgo

03. Rol de las líneas de defensa dentro de la gestión del riesgo

Monitoreo y Revisión – Rol de las Líneas de Defensa. El monitoreo y revisión

Monitoreo y Revisión – Rol de las Líneas de Defensa. El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue: Define el marco general para la gestión del riesgo y el control A cargo de la Alta Dirección y Comité Institucional de Coordinación de Control Interno 2ª. Línea de Defensa 1ª. Línea de Defensa • Controles de Gerencia Operativa (Líderes de proceso y sus equipos). • La gestión operacional se encarga del mantenimiento efectivo de controles internos, ejecutar procedimientos de riesgo y el control sobre una base del día a día. La gestión operacional identifica, evalúa, controla y mitiga los riesgos. Autocontrol • Media y Alta Gerencia (Líderes de Proceso, Coordinadores, responsables de proyectos, entre otros). • Asegura que los controles y procesos de gestión del riesgo de la 1ª Línea de Defensa sean apropiados y funcionen correctamente. Autoevaluación 3ª. Línea de Defensa • A cargo de la Oficina de Control Interno, Auditoría Interna o quién haga sus veces • Proporciona Información sobre la efectividad del SCI. , la operación de la 1ª y 2ª Línea de defensa con un enfoque basado en riesgos • Evaluación Independiente - FUNCIÓN PÚBLICA - LÍNEA ESTRATÉGICA

Línea Estratégica Formular la Política de Administración del Riesgo y supervisar su cumplimiento, determinar

Línea Estratégica Formular la Política de Administración del Riesgo y supervisar su cumplimiento, determinar los niveles de la aceptación o tolerancia al Generar lineamientos y dar a conocer cambios en el entorno (interno y externo) que puedan afectar el logro de los objetivos. riesgo. Revisión del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos, que han servido de base para llevar a cabo la identificación de los riesgos. 1 a Línea de defensa Conforme a lo establecido en la política de administración del riesgo Identificar y dar tratamiento a los riesgos que afectan los objetivos operacionales de su proceso; definir y diseñar los controles a los riesgos; elaborar, hacer seguimiento y actualizar el mapa de riesgos de su proceso. Oficinas de Planeación o quienes hacen sus veces: Definir mecanismos que permitan dar a conocer y profundizar en los servidores la política de riesgos, su metodología y correcta aplicación. Asesorar a los líderes de los procesos y sus equipos en la identificación de riesgos a los procesos, acorde con la política de riesgos establecida. Trabajar de forma coordinada con la OCI de la entidad para la incorporación de mejoras a la gestión del riesgo en la entidad. 2 a Línea de defensa Oficinas de Planeación o quienes hacen sus veces: a los riesgos Monitorear el seguimiento institucionales y generar reportes que permitan incorporar mejoras, tanto a los riesgos identificados como a los controles aplicados. Elaborar informes consolidados acorde con los estándares de reporte definidos por la Alta Dirección en los temas clave establecidos, con especial énfasis la gestión del riesgo y su impacto frente al logro de los objetivos. Monitorear los riesgos definidos como aceptables en la Política de Riesgos Institucional y generar las alertas al Comité Institucional de Coordinación de Control Interno sobre posibles cambios en los factores de riesgo analizados. Líderes de Proceso Generar reportes a la Oficina Asesora de Planeación, así como a la OCI en relación con materializaciones de riesgo, a fin de tomar las acciones correspondientes. Informar oportunamente a la Oficina Asesora de Planeación sobre cambios en los factores internos o externos que afecten la identificación de riesgos del proceso. 3 a Línea de defensa Oficinas de CI o quienes hagan sus vecesindependiente al Realizar evaluación cumplimiento y efectividad de la Política de Administración del Riesgo, los mecanismos de evaluación del riesgo y la efectividad de los controles, en cumplimiento de su rol “Evaluación de la Gestión del Riesgo”. Alertar sobre la probabilidad de riesgo de fraude o corrupción en las áreas auditadas Evaluar la efectividad y la aplicación de controles, planes de contingencia y actividades de monitoreo vinculadas a los cambios que pueden afectar el Sistema de Control Interno para el cumplimiento de los objetivos.

¡Gracias! Carrera 6 No 12 -62, Bogotá D. C. , Colombia ( ( 8

¡Gracias! Carrera 6 No 12 -62, Bogotá D. C. , Colombia ( ( 8 * 7395656 Fax: 7395657 Línea gratuita de atención al usuario: 018000 917770 www. funcionpublica. gov. co eva@funcionpublica. gov. co