Está en la página 1de 15

ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE

PROCESO CÓDIGO ASPD03


GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

ELABORÓ: REVISÓ: APROBÓ:


Profesional Oficina Asesora de Planeación Jefe Oficina Asesora de Planeación Jefe Oficina Asesora de Planeación
FECHA: FECHA: FECHA:
08/08/2014 14/08/2014 21/08/2014
Administrar los riesgos institucionales mediante la identificación, clasificación, evaluación, valoración y seguimiento de los
OBJETIVO
controles establecidos con el fin de prevenir y mitigar los eventos generados por su materialización.
Inicia con la identificación del contexto estratégico de la Institución, continúa con la clasificación, evaluación y valoración por tipo
ALCANCE de riesgo acorde a la metodología de cada subsistema; y finaliza con el seguimiento de los controles establecidos para la
mitigación del riesgo.
ÁMBITO DE
Este procedimiento aplica para todos los procesos y subsistemas del Sistema Integrado de Gestión.
APLICACIÓN
DEFINICIONES
Acciones: Mecanismos o estrategias a llevar a cabo para evitar, reducir, asumir o compartir el riesgo.
Análisis de Riesgos: Establecimiento de la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y
evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.
Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores se entienden
como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.
Consecuencias: Constituyen los efectos de la ocurrencia del riesgo sobre los objetivos de la entidad.
Contexto estratégico: Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan
negativamente el cumplimiento de la misión y objetivos de la institución. Las situaciones del entorno o externas pueden ser de carácter social,
cultural, económico, tecnológico, político y legal, bien sean internacionales, nacionales o regionales según sea el caso de análisis. Las situaciones
internas están relacionadas con la estructura, cultura organizacional, el modelo de operación, el cumplimiento de los planes y programas, los
sistemas de información, los procesos y procedimientos y los recursos humanos y económicos con los que cuenta una entidad. Se deben establecer
los objetivos, las estrategias, el alcance y los parámetros de las actividades de la entidad o de aquellos procesos donde se aplicará la metodología
para poder iniciar el análisis de contexto estratégico.
Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de ocurrencia del riesgo, el impacto de los riesgos y/o asegurar la
continuidad del servicio en caso de llegarse a materializar el riesgo.
Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.
Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o
los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de
información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Evaluación: Nivel en que se encuentra el riesgo, resultado de calificar el riesgo con base en la probabilidad y el impacto de éstos.
Pág. 1 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

Impacto: Grado en que las consecuencias pueden generar pérdidas a la entidad si se llega a materializar el riesgo.
Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el
fin de dar continuidad a los objetivos de la entidad.
Plan de Tratamiento: Conjunto de actividades asociadas, tales como las acciones preventivas, dirigidas a la mitigación del riesgo, donde se definen
tiempos y responsables.
Probabilidad: Frecuencia o factibilidad de ocurrencia del Riesgo.
Responsables: Dependencias, áreas o funcionarios encargados de asegurar la ejecución de las acciones para el tratamiento de los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar
el logro de sus objetivos.
Riesgos institucionales: De corrupción, de gestión, ambientales, de seguridad de la información y de seguridad y salud en el trabajo.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y,
en general, con su compromiso ante la comunidad.
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca en asuntos globales
relacionados con la misión, el cumplimiento de los objetivos estratégicos y la clara definición de políticas, diseño y conceptualización de la entidad
por parte de la alta gerencia.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los
estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.
Riesgo Inherentes: Riesgo calificado confrontando el estado de los controles.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la
definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias.
Riesgo Residual: Riesgo identificado sin tener en cuenta los controles.
Riesgos de Seguridad y Privacidad de la información: Relacionados con el tratamiento y preservación de la confidencialidad, integridad y
disponibilidad de la información.
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades, actuales y futuras, y el
cumplimiento de la misión.
Valoración: Resultado de confrontar el riesgo con la calidad de los controles existentes.

Pág. 2 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

NORMAS
REQUISITO LEGAL DIRECTRIZ DE CUMPLIMIENTO
Artículo 73. Las entidades de la rama ejecutiva deben elabora un Plan
Anticorrupción y de Atención al Ciudadano. Reglamentado por el Decreto
Nacional 2641 de 2012. Cada entidad del orden nacional, departamental y
municipal deberá elaborar anualmente una estrategia de lucha contra la
corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre
otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las
medidas concretas para mitigar esos riesgos, las estrategias anti trámites
Ley 1474 de 2011 “por la cual se dictan normas orientadas a fortalecer y los mecanismos para mejorar la atención al ciudadano.
los mecanismos de prevención, investigación y sanción de actos de
corrupción y la efectividad del control de la gestión pública.” El Programa Presidencial de Modernización, Eficiencia, Transparencia y
Lucha contra la Corrupción señalará una metodología para diseñar y
hacerle seguimiento a la señalada estrategia.

Parágrafo. En aquellas entidades donde se tenga implementado un


sistema integral de administración de riesgos, se podrá validar la
metodología de este sistema con la definida por el Programa Presidencial
de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción.
Que mediante el numeral 2 del artículo 9 se establece que: “Cada Estado
Parte, de conformidad con los principios fundamentales de su
ordenamiento jurídico, adoptará las medidas necesarias para establecer
Ley 970 de 2005 “por medio de la cual se aprueba la "Convención de sistemas apropiados de contratación pública, basados en la transparencia,
las Naciones Unidas contra la Corrupción", adoptada por la Asamblea
la competencia y criterios objetivos de adopción de decisiones, que sean
General de las Naciones Unidas
eficaces, entre otras cosas, para prevenir la corrupción. Esos sistemas, en
cuya aplicación se podrán tener en cuenta valores mínimos apropiados,
deberán abordar, entre otras cosas:

d) Sistemas eficaces y eficientes de gestión de riesgos y control interno.”


Pág. 3 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

Las entidades de la rama ejecutiva deben, Identificar y diseñar, con la


participación de los servidores públicos que intervienen en cada uno de los
Ley 872 de 2003 "por la cual se crea el sistema de gestión de la calidad procesos y actividades, los puntos de control sobre los riesgos de mayor
en la Rama Ejecutiva del Poder Público y en otras entidades probabilidad de ocurrencia o que generen un impacto considerable en la
prestadoras de servicios". satisfacción de las necesidades y expectativas de calidad de los usuarios
o destinatarios, en las materias y funciones que le competen a cada
entidad.
Principios de la función administrativa. La función administrativa se
Ley 489 de 1998 “por la cual se dictan normas sobre la organización y desarrollará conforme a los principios constitucionales, en particular los
funcionamiento de las entidades del orden nacional, se expiden las atinentes a la buena fe, igualdad, moralidad, celeridad, economía,
disposiciones, principios y reglas generales para el ejercicio de las imparcialidad, eficacia, eficiencia, participación, publicidad,
atribuciones previstas en los numerales 15 y 16 del artículo 189 de la responsabilidad y transparencia. Los principios anteriores se aplicarán,
Constitución Política.” igualmente, en la prestación de servicios públicos, en cuanto fueren
compatibles con su naturaleza y régimen.
 Proteger los recursos de la organización buscando su adecuada
Ley 87 de 1993 “por la cual se establecen normas para el ejercicio del administración ante posibles riesgos que los afectan.
control interno en las entidades y organismos del Estado y se dictan  Definir y aplicar medidas para prevenir los riesgos, detectar y
otras disposiciones” corregir las desviaciones que se presenten en la organización y que
puedan afectar el logro de los objetivos
Decreto 943 de 2014 “por la cual se modifica el Decreto 1599 de 2005, El cual se elaboró teniendo como referente tendencias internacionales
por medio del cual se adoptó el Modelo Estándar de Control Interno - existentes sobre la materia entre las que se pueden destacar el COSO
MECI- para el Estado Colombiano” (Committee of Sponsoring Organizations of the Treadway Commission).
Las entidades de la rama ejecutiva deben, establecer controles sobre los
riesgos identificados y valorados que puedan afectar la satisfacción del
Decreto 4485 de 2009 “por medio la de la cual se adopta la cliente y el logro de los objetivos de la entidad.
actualización de la norma técnica de Calidad en la Gestión Pública.”
Las entidades de la rama ejecutiva deben, identificar los riesgos de mayor
probabilidad e impacto.
Artículo 34. Deberes. Son deberes de todo servidor público:
Ley 734 de 2002 “por la cual se expide el Código Disciplinario Único” 5. Custodiar y cuidar la documentación e información que por razón de
su empleo, cargo o función conserve bajo su cuidado o a la cual tenga
acceso, e impedir o evitar la sustracción, destrucción, ocultamiento o
Pág. 4 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

utilización indebidos.

Artículo 48. Faltas gravísimas. Son faltas gravísimas las siguientes:


43. Causar daño a los equipos estatales de informática, alterar, falsificar,
introducir, borrar, ocultar o desaparecer información en cualquiera de los
sistemas de información oficial contenida en ellos o en los que se
almacene o guarde la misma, o permitir el acceso a ella a personas no
autorizadas.

Artículo 2.2.9.1.1.2. Ámbito de Aplicación: Serán sujetos obligados de


Decreto 1078 2015: Titulo 9 Políticas y Lineamientos de Tecnologías
las disposiciones contenidas en el presente capítulo las entidades que
de la Información – Capítulo 1 Estrategia de Gobierno en
conforman la Administración Pública en los términos del artículo 39 de la
Línea – Sección 1 Objeto, Ámbito de Aplicación,
Ley 489 de 1998 y los particulares que cumplen funciones administrativas.
Definiciones, Principios y Fundamentos
Por la cual se dictan disposiciones generales para la protección de datos.
Esta ley busca proteger los datos personales registrados en cualquier base
de datos que permite realizar operaciones, tales como recolección,
Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para
almacenamiento, uso, circulación o supresión por parte de entidades de
la protección de datos personales”
naturaleza pública y privada, sin embargo, a los datos financieros se les
continúa aplicando la Ley 1266 de 2008, excepto los principios.

Regula el derecho de acceso a la información pública, los procedimientos


para el ejercicio y garantías del derecho y las excepciones a la publicidad
Ley 1712 de 2014 “Por medio de la cual se crea la Ley de de la información. Toda persona puede conocer sobre la existencia y
Transparencia y del Derecho de Acceso a la Información Pública acceder a la información pública en posesión o bajo control de los sujetos
Nacional y se dictan otras disposiciones” obligados. El acceso a la información solamente podrá ser restringido
excepcionalmente.

Pág. 5 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

POLÍTICAS DE OPERACIÓN
1. La consolidación del mapa de riesgos institucionales debe ser un trabajo participativo de las diferentes dependencias de la Entidad que integran
los procesos.
2. La Oficina Asesora de Planeación es el líder metodológico en la administración de riesgos, sin embargo, cada jefe de dependencia es el
responsable de la administración de los mismos en su área.
3. Se deben integrar en el mismo instrumento los riesgos institucionales (de corrupción, de gestión, ambientales, de seguridad de la información
y de seguridad y salud en el trabajo) los cuales serán diferenciados en matrices independientes en el mismo documento.
4. La revisión de las Matrices de Riesgos se realizará cuando los cambios institucionales y/o normativos lo exijan o al menos una vez en el año,
así mismo deberá tenerse en cuenta, lo establecido en el acto administrativo que ordena el desarrollo de las reuniones de autoevaluación.
5. Los riesgos institucionales de corrupción y de gestión, seguirán los lineamientos establecidos en las Guías para la administración del riesgo
expedidas por el Departamento Administrativo de la Función Pública en su última versión.
6. Para el establecimiento de los riesgos de corrupción se tomará como referente la Guía de Estrategias para la construcción del Plan
Anticorrupción y de Atención al Ciudadano expedida por Secretaria de Transparencia del Departamento Administrativo de la Presidencia de la
Republica.
7. Este procedimiento se centrará en establecer las actividades para la identificación y administración de los riesgos institucionales por proceso
de acuerdo con el lineamiento establecido en la Norma Técnica de la Calidad para la Gestión Pública.
8. Para el establecimiento de los riesgos de seguridad y privacidad de la información, se tomará como referente la Guía Metodológica para el
Análisis de Riesgos de Seguridad y Privacidad de la información formulada para el Subsistema de Seguridad de la Información.
9. Para la identificación de peligros, evaluación del riesgo y determinación de controles de seguridad y salud en el trabajo, se tomará como
referente la GTC 45 en su última versión.
10. Para la identificación de los riesgos ambientales, se tomará como referente la Guía de identificación y seguimiento de Aspectos e Impactos
Ambientales.
11. En desarrollo del principio de Transparencia de la NTC-GP 1000:2009 y en aplicación de los preceptos establecidos en las obligaciones de
cumplimiento de los estándares y normas que enmarcan el Sistema Integrado de Gestión, los funcionarios y contratistas de la Entidad deberán
seguir los lineamientos del Manual de Ética y Buen Gobierno (ASMN03), creando conciencia del control ético y vivenciando la ética;
diligenciando el formato Acta de Compromiso Ético Código ASFT19.
12. El responsable de administrar y gestionar los riesgos por subsistema corresponde a cada líder operativo:

a) Subsistema de Gestión de la Calidad (SGC) - Oficina Asesora de Planeación;

b) Subsistema de Seguridad en la Información (SSI) - Oficina de Tecnologías de la Información

Pág. 6 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

c) Subsistema de Seguridad y Salud en el Trabajo (S&ST) - Secretaría General / Grupo de Talento Humano

c) Subsistema de Gestión Ambiental (SGA) - Secretaría General - Grupo de Recursos Físicos

DESCRIPCIÓN DEL PROCEDIMIENTO


ACTIVIDAD / ÁREA
DESCRIPCIÓN ÁREA
TAREA
id CARGO PARTICIPANT REGISTRO
¿CÓMO? RESPONSABLE
¿QUÉ? E
Cada líder operativo de cada subsistema
acorde a la matriz de roles y
responsabilidades código ASFT14 y a la
Política de operación No. 12, dependiente de
la naturaleza del riesgo y la metodología
Oficina Asesora
definida, debe conformar grupos de trabajo,
de Planeación
que pueden ser establecidos por procesos o
por dependencias. Es importante tener en
Oficina de Todas las
Conformar grupos cuenta que en los grupos deben participar
1 Tecnologías de la Profesional dependencias
de trabajo. los líderes de proceso, los jefes de área y los
Información de la entidad
profesionales que tengan incidencia directa
en la ejecución de los procesos.
Secretaría
General
Para llevar a cabo las reuniones se debe
definir la logística requerida en aspectos
Líder de
tales como lugar de la reunión, formatos a
subsistema
utilizar, ayudas audiovisuales y plan de
trabajo.
Realizar reunión
Cada líder de subsistema acorde al plan Oficina Asesora Todas las
para la Lista de asistencia
2 gerencial de la política, realizará las de Planeación Profesional áreas de la
identificación de (Código ASFT04)
reuniones pertinentes y solicitará de manera Entidad
los riesgos.
Pág. 7 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

activa la participación del líder de los Secretaría


procesos y de los funcionarios asistentes. General

Cada líder se guiará para la identificación del Oficina de


riesgo en las metodologías establecidas por Tecnologías de la
cada subsistema: Información

Subsistema de la calidad, Guía práctica para


la consolidación del componente de
Administración del Riesgo, identificada con
el código ASGU03 en su última versión.

Subsistema de seguridad y salud en el


trabajo, guía técnica colombiana GTC 45 en
su última versión.

Subsistema de gestión ambiental, Guía de


identificación y seguimiento de Aspectos e
Impactos Ambientales identificada con el
código ASGU04.

Subsistema de seguridad de la información,


Guía metodológica de análisis de riesgos de
seguridad de la información con el código
ASGU05.

El líder del subsistema identifica los factores


internos y externos a la Entidad que pueden
Identificar el
generar riesgos que afecten el cumplimiento Líder de Contexto de cada
3 contexto para
de sus objetivos. El análisis se realiza a partir subsistema Profesional subsistema
cada subsistema.
del conocimiento de situaciones del entorno
de la Entidad, tanto de carácter social,
Pág. 8 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

económico, cultural, de orden público,


político, legal y/o cambios tecnológicos,
ambientales, seguridad y salud en el trabajo,
entre otros; y las particularidades internas de
la entidad como la asignación presupuestal,
las competencias del personal, los procesos
internos, seguridad y salud en el trabajo
entre otros. Ver Guías metodológicas
correspondientes a cada subsistema de
gestión.
Una vez han sido definidos los insumos
necesarios a partir del análisis del contexto
estratégico, el líder del subsistema Identifica,
evalúa y valora los riesgos acordes a la
metodología definida por cada subsistema
de gestión, relacionadas a continuación:

Subsistema de la calidad, Guía práctica para


la consolidación del componente de Riesgos
Identificar, evaluar Administración del Riesgo, identificada con identificados,
Líder de
4 y valorar los el código ASGU03 en su última versión. Profesional evaluados y
subsistema
riesgos. valorados de cada
Subsistema de seguridad y salud en el subsistema
trabajo, guía técnica colombiana GTC 45 en
su última versión.

Subsistema de gestión ambiental, Guía de


identificación y seguimiento de Aspectos e
Impactos Ambientales identificada con el
código ASGU04.

Pág. 9 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

Subsistema de seguridad de la información,


Guía metodológica de análisis de riesgos de
seguridad de la información con el código
ASGU05.
El líder del subsistema junto con el líder del
proceso debe confrontar los resultados del
análisis y evaluación del riesgo para definir
los controles.

Es necesario considerar que, al establecer


los puntos de control, estos nos deben
Establecer Todas las
permitir obtener información precisa y Líder del Mapa de riesgos
5 controles a los Profesional áreas de la
oportuna para efectos de tomar decisiones subsistema institucional
riesgos. Entidad
sobre la forma de administrar los riesgos.

Para la identificación del método establecido


para la creación de controles y la aplicación
del tratamiento del riesgo, ver guía
metodológica por subsistema.

De acuerdo a las metodologías definidas Mapa de Riesgos


para tal fin, se construyen las Matrices de institucional (matriz
riesgos exigidas para cada subsistema. de riesgos de
gestión ASFT12,
Es importante destacar que este documento
Estructurar el Todas las
integrará los diferentes tipos de riesgos Líder del matriz de aspectos
6 mapa de riesgos Profesional áreas de la
institucionales: de corrupción, de gestión y subsistema e impactos
institucionales. Entidad
los de cada uno de los subsistemas del ambientales,
Sistema Integrado de Gestión: Subsistema ASFT17,
de Seguridad de la Información, Subsistema
Ambiental y Subsistema de Seguridad y matriz de
Salud en el Trabajo. Estos últimos se identificación de
Pág. 10 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

integrarán en la medida en que se formulen peligros,


y se homologuen o articulen con los riesgos evaluación y
institucionales. valoración de
riesgos, STFT01,
Para soportar su estructuración se debe
tomar como referentes la Guía Básica de matriz de
Administración del Riesgo expedida por el valoración de
Departamento Administrativo de la Función activos y análisis
Público identificado con el código ASDE01, de riesgos de
y el documento denominado “Estrategias seguridad de la
para la construcción del Plan Anticorrupción información
y de Atención al Ciudadano” identificado con ASFT22
el código PIDE04, según sea el caso.
Componentes Plan
Anticorrupción y
Atención al
Ciudadano:
Componente Mapa
de Riesgos de
Corrupción
PIFL01)
Cada líder de subsistema, una vez
consolidado el mapa de riesgos
institucionales, procede a la revisión y
actualización de la Política de
Política de
Ajustar política de Administración de Riesgos, si es pertinente, Todas las
Líder de Administración del
7 administración de la cual establece los lineamientos para la Profesional áreas de la
subsistema Riesgo (código
riesgo. identificación y tratamiento de los riesgos Entidad
ASPO07)
con el fin de tomar las decisiones más
apropiadas para mitigar el efecto de estos
riesgos sobre el cumplimiento de los
objetivos institucionales. De igual forma, en
Pág. 11 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

esta política se establecen las guías de


acción frente a este asunto a todos los
servidores de la Entidad.

En el ajuste de la política, se debe tener en


cuenta los siguientes aspectos: directrices
que se esperan lograr, los objetivos para el
cumplimiento de las mismas, plan gerencial
para la ejecución de las directrices.

La Oficina Asesora de Planeación deberá Oficina Asesora


liderar la socialización de la Política de de Planeación
Administración de Riesgos, para lo cual se
Listas de
Socializar y soportará en la Oficina Asesora de Oficina Asesora
asistencia
comunicar la Comunicaciones Estratégicas e Imagen de Todas las
Jefes de (Código ASFT04) o
8 Política de Institucional y con el grupo Gestión de Comunicaciones áreas de la
Áreas Correo interno o
administración del Talento Humano, en tal sentido, y de manera Estratégicas e Entidad
Memorando o
Riesgo. conjunta, se definirán las respectivas Imagen
Profesional Carteleras
estrategias. El profesional asignado deberá Institucional
registrar en los medios destinados para tal
fin, dicha socialización. Grupo Gestión de
Talento Humano
El monitoreo es esencial para asegurar que
Oficina de Control
las acciones se están llevando a cabo y
Interno
evaluar la eficiencia en su implementación Delegados,
adelantando revisiones sobre la marcha Jefes de
Oficina Asesora Todas las Informe de
Evaluar y realizar para evidenciar todas aquellas situaciones o oficina,
9 de Planeación áreas de la Auditoría (código
seguimiento. factores que pueden estar influyendo en la Secretario
Entidad COFL02)
aplicación de las acciones preventivas. General.
Todas las áreas
Profesional
de la Entidad
El monitoreo debe estar a cargo del líder del
proceso y la Oficina de Control Interno. Su
Pág. 12 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

finalidad principal es la de aplicar y sugerir Líder del


los correctivos y ajustes necesarios para subsistema
asegurar un efectivo manejo del riesgo.

La Oficina de Control Interno dentro de sus


funciones realizará el seguimiento y
evaluación de la administración de los
riesgos. El resultado de este seguimiento se
verá en el Informe de Auditoría
correspondiente.

PUNTOS DE CONTROL
ID NOMBRE DE LA ACTIVIDAD MÉTODO DE CONTROL FRECUENCIA RESPONSABLE REGISTRO
/ TAREA
El líder del subsistema establece los puntos
Una vez al año
de control, los cuales deben permitir Líder de
Establecer controles a los o por cambios Mapa de riesgos
5 obtener información precisa y oportuna para subsistema
riesgos. institucionales institucional
efectos de tomar decisiones sobre la forma
y/o normativos
de administrar los riesgos.
Revisión y actualización de la Política de
Administración de Riesgos, si es pertinente, Una vez al año Política de
Líder de
Ajustar política de la cual establece los lineamientos para la o por cambios Administración del
7 subsistema
administración de riesgo. identificación y tratamiento de los riesgos institucionales Riesgo (código
con el fin tomar las decisiones más y/o normativos ASPO07)
apropiadas
Aplicativo de
El líder de subsistema evalúa la eficiencia Una vez al año
Líder de planeación y gestión
Evaluar y realizar en su implementación adelantando o por cambios
9 subsistema
seguimiento. revisiones sobre la marcha para evidenciar institucionales
Informe de Auditoría
todas aquellas situaciones o factores que y/o normativos
(código COFL02)
Pág. 13 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

pueden estar influyendo en la aplicación de


las acciones preventivas.

Emisión de informes de auditorías por parte


de la oficina de control interno.

ANÁLISIS DE TIEMPO
Los tiempos determinados para este procedimiento son: para la elaboración del mapa de riesgos un (1) mes; y para la revisión anual un (1) mes.

Pág. 14 de 15
ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE
PROCESO CÓDIGO ASPD03
GESTIÓN

PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 4

DOCUMENTOS DE REFERENCIA
 Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP), septiembre de 2011, código
ASDE01.
 Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014.
 Informe COSO 2009 (Committee of Sponsoring Organizations of the Treadway Commission).
 NTC ISO-31000:2011 Gestión del Riesgo Principios y Directrices

CONTROL DE CAMBIOS
ASPECTOS QUE RESPONSABLE DE LA
DETALLES DE LOS CAMBIOS FECHA DEL CAMBIO
CAMBIARON EN EL SOLICITUD DEL VERSIÓN
EFECTUADOS DD/MM/AAAA
DOCUMENTO CAMBIO
Mediante el artículo 5 de la Resolución 1622 de
2014 se adoptan los procedimientos del Proceso
Jefe Oficina Asesora de
Adopción del documento Administración del Sistema Integrado de 21/08/2014 1
Planeación
Gestión, que fueron aprobados mediante Acta
No. 001 de 2014.
Mediante Resolución 4086 de 2014 se derogó la
Jefe Oficina Asesora de
Adopción del documento resolución 1622 de 2014 y se adoptó el Manual 1
Planeación 19/12/2014
de Procesos y Procedimientos.
Ajustes en la descripción de procedimiento,
Modificación de documento aprobados mediante Acta No. 1093 de 2015. Jefe Oficina Asesora de
2
Planeación 24/08/2015
Modificación de documento Ajustes en actividades y políticas de operación,
mediante requerimiento NURC 3-2015-023092. Jefe Oficina Asesora de
20/11/2015 3
Planeación
Ajustes en definiciones, normas, actividades y
Modificación de documento políticas de operación, mediante NURC 3- Jefe Oficina Asesora de
13/07/2016 4
2016-013301 Planeación

Pág. 15 de 15

También podría gustarte