Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PLANEACIÓN ESTRATÉGICA FACTIBILIDAD DE PROYECTOS GESTIÓN CONTRACTUAL GESTIÓN DEL TALENTO HUMANO EVALUACIÓN Y CONTROL
Riesgos de Gestión Riesgos de Gestión Riesgos de Gestión Riesgos de Gestión Riesgos de Gestión
Riesgos de Corrupción Riesgos de Corrupción Riesgos de Corrupción Riesgos de Corrupción Riesgos de Corrupción
Y CONTROL
Riesgos de Gestión
Riesgos de Corrupción
NTO CONTINUO
Riesgos de Gestión
Riesgos de Corrupción
MAPA DE RIESGO DE CORRUPCIÓN
IMPACTO
5 10 20
25 50 100
5 Casi Seguro MODERADA ALTA EXTREMO
20 40 80
4 Probable MODERADA ALTA EXTREMO
PROBABILIDAD
15 30 60
3 Posible MDOERADA ALTA EXTREMO
10 20 40
2 Improbable BAJA MODERADA ALTA
5 10 20
1 Rara vez BAJA BAJA MODERADA
MAPA DE RIESGO DE GESTIÓN
IMPACTO
1 2 3
5 10 15
5 Casi segura
MODERADO ALTO ALTO
4 8 12
4 Alta
MODERADO MODERADO ALTO
PROBABILIDAD
3 6 9
3 Posible
INFERIOR MODERADO MODERADO
2 4 6
2 Baja
INFERIOR INFERIOR MODERADO
1 2 3
1 Remota
INFERIOR INFERIOR INFERIOR
GESTIÓN
MPACTO
4 5
Mayor Catastrófico
20 25
EXTREMO EXTREMO
16 20
EXTREMO EXTREMO
12 15
ALTO ALTO
8 10
MODERADO ALTO
4 5
MODERADO MODERADO
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: FACTIBILIDAD DE PROYECTOS
CÓDIGO PROCESO VERSIÓN
2019 FO-PE-06 Planeación Estratégica 5
12/7/2018 ÁREAS:SGDU-DTP
DTP
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL
RIESGO RIESGO
EFECTO
VALOR
Procedimento / TIPOS FÓRMULA DEL
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL INDICADOR
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN
Producto (De alertas y/o riesgos)
PDD OBJ SI P/S P I Ri P I Rr
MODERADO
2. Reprocesos que implican 2. Plan anual de inversión 3) Formato de presupuesto
Moderado
Cambios de directrices en proyecto. (OAP). 2. Conocimiento y aval por parte del Director(a) No. De modificaciones
G.FP.01
mayor recurso de especialistas. 3. Priorización proyectos Plan de Desarrollo. 4) Guías alcance y requerimientos técnicos de los
Posible
Ambos
Menor
ALTO
Estructuración de los proyectos en las etapas 2. Cambios en las priorizaciones de proyectos por Técnico(a) de Proyectos contractuales por errores en
DTP
DTP
Alta
3. Desgaste administrativo. X 2 4. Lista de chequeo de entregables de estudios en las etapas de productos de los estudios en las etapas de pre 72
12
6
proyectos de pre factibilidad y parte de la administración distrital.(DG). 3. Reuniones con especialistas en la DTP componentes técnicos de
4. Los proyectos no generan el pre factibilidad y factibilidad. factibilidad y factibilidad.
factibilidad. informando las nuevas directrices. los pliegos de condiciones
impacto esperado. 5. Reuniones internas e interinstitucionales para revisar y tratar los 5) Actas de reunión o mesas técnicas, lista de
4. Definir acciones o estrategias para alinearse con
5.Falta de credibilidad hacia el temas técnicos asistencia.
los cambios.
exterior de la entidad. 6) Procedimiento Formulación, Evaluación y
5. Implemenar las acciones definidas
Seguimiento de Proyectos
MODERADO
productos de los estudios en las etapas de pre factibilidad presentados/ N°
INFERIOR
Moderado
de servicios públicos y/o entidades involucradas en el 1. Retrasos en las entregas de 1) Seguimiento y control de los cronogramas de presentación de establecidos)
G.FP.02
Presentación inoportuna de factibilidad y factibilidad.
Posible
Ambos
Menor
Estructuración de proyecto. los productos a cargo de la DTP. los estudios. 2. Definir acciones o estrategias para determinar la de estudios de
DTP
DTP
Baja
los Estudios en las etapas de X 2 2) Actas de reunión y/o mesas de trabajo, listas de 72
4
proyectos 2. Incumplimiento metas Plan de 2) Reuniones y/o mesas de trabajo internas e interinstitucionales. forma de agilizar la entrega de productos, una opcion prefactibilidad y factibilidad
pre factibilidad y factibilidad. asistencia. programados en el periodo)
3. Modificación del alcance e insumos por parte de Desarrollo. puede ser intensificar esfuerzos de trabajo por parte
3) Comunicaciones ORFEO
otras entidades
4) Cronograma de presentación de los estudios.
de especialistas para agilizar la entrega de * 100%
productos.
4. Falta de asignación de recursos físicos,
tecnológicos, humanos y presupuestales.
MODERADO
desarrollo de los proyectos. 1) Revisión y actualización periodica de las guías, manuales, productos de los estudios en las etapas de pre
INFERIOR
Moderado
Lineamientos técnicos para desarrollar alternativas y tomar acciones al No. De modificaciones
G.FP.03
2. Deficiencia en los productos cartillas, entre otros. factibilidad y factibilidad.
Posible
Ambos
Menor
Estructuración de desactualizados a las 2. Modificación de las normas técnicas, legales y/o respecto. contractuales por
DTP
DTP
Baja
entregados en la siguiente etapa. X 2 2) Socializaciones sobre los nuevos lineamientos técnicos y 2) Actas de reunión y/o mesas de trabajo, listas de 72
4
proyectos necesidades de los urbanisticas. 2. Solicitar concepto a la DTGC, para emitir posibles lineamientos técnicos
3. Sobrecostos en el desarrollo normativos vigentes. asistencia.
proyectos. adendas o realizar ajustes a los pliegos antes de su desactualizados.
del contrato. 3) Comunicaciones ORFEO
3. Falta de asignación de recursos físicos, emisión definitiva.
4. Inviabilidad del proyecto.
tecnológicos, humanos y presupuestales.
MODERADO
administración distrital y las areas competentes del desarrollo de los proyectos. 1. Reunión de contigencia entre los especialistas,
INFERIOR
Moderado
1) Socialización oportuna de los cambios de directrices. No. De modificaciones
G.FP.04
Desarticulación de los IDU. 2. Deficiencia en los productos 1) Actas de reunión y/o mesas de trabajo, listas de contratsitas e interventoria para desarrollar
Posible
Ambos
Menor
Estructuración de 2) Mesas de trabajo contractuales por errores en
Baja
DTP
DTP
componentes durante el ciclo entregados en la siguiente etapa. X 2 asistencia. 72 alternativas y tomar acciones al respecto.
4
proyectos 3) Fortalecer el desarrollo y seguimiento del cronograma del componentes técnicos de
de vida del proyecto. 2. Falta de comunicación y limitación en los tiempos 3. Sobrecostos en el desarrollo 2) Comunicaciones ORFEO y/o correo eléctronico. 2. Solicitar concepto a la DTGC y a la SGJ, para
proyecto. los pliegos de condiciones
de entrega. del contrato. emitir posibles modificatorios a los contratos.
4. Inviabilidad del proyecto.
MODERADO
establecida por el IDU para la
EXTREMO
Moderado
Que se termine el plazo de 7. Aplicación de los procedimientos de control establecidos en el 9. Acta de seguimiento al contrato. 1. No realizar el pago al consultor sobre los declaratoria de
G.FP.05
Posible
Ambos
Mayor
Ejecución de ejecución contractual sin que Manual de Interventoría y/o supervisión de contratos. 10. MG-GC-006 Manual de gestión contractual. productos faltantes. cumplimiento de todos sus
DTP
DTP
Alta
posteriores. x 1y2 x 64
16
9
factibilidad la factibilidad sea aprobada Demora en la revisión, conceptos y aprobación por 8.Aplicación del instructivo de adopción de medidas frente al 11. Instructivo IN-GC-03 Adopción de medidas 2. Aplicar lo dispuesto en el procedimiento de productos por parte de
2. Apertura de presuntos
por la Interventoría parte de la interventoría. incumplimiento de los contratos frente al incumplimiento de los contratos declaratoria de incumplimiento. interventoria / Total
procesos de incumplimiento al
9. Se controla con la forma de pago por productos, la cual queda contratos terminados en el
contratista e interventoría.
establecida en el contrato. periodo) X100%
10. Realización de reuniones de seguimiento.
11. Aplicación del Manual de Interventoría y/o supervisión de
contratos.
12. Realización de reuniones de seguimiento.
13. Charlas de inducción a profesionales de apoyo
RIESGO RIESGO
EFECTO
VALOR
Procedimento / TIPOS FÓRMULA DEL
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL INDICADOR
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN
Producto (De alertas y/o riesgos)
PDD OBJ SI P/S P I Ri P I Rr
4 INFERIOR
4 INFERIOR
1. Resolución 34217 de 2015 de Políticas de (N° Actividades de
Acceso a los sistemas de las personas para obtener información) (Confidencialidad) contraseñas por parte de la STRT. el inicio de procesos legales y demandas en contra
MENOR
Actividades seguridad de la información. seguimiento registradas en
I.FP.01
Ambos
Menor
STRT
BAJA
información o a los de los consultores implicados.
DTP
Baja
administrativas en X 2. Boletines informativos vía correo electrónico. 33 medios tecnologicos / Total
documentos por personas no Divulgación de información a
oficina 3. DU-TI-06 Politicas operacionales de tecnologias de actividades divulgadas) x
autorizadas terceras partes o a personal no 3. Identificado el riesgo en la etapa de ejecución, se
de informaión y comunicación para el IDU 100
Inadecuada aplicación del etiquetado de activos de autorizado Aplicar políticas contenidas en el Manual de Seguridad de la debe seguir el procedimiento de Cambios de
información. (Confidencialidad) Información factibilidad.
Disposición de documentos de oficina en sitios no Almacenamiento de información según los lineamientos vigentes, 2. Una vez recibido, al identificarse el riesgo se
adecuados para su almacenamiento y control. por instrucción de la STRT solicita el acompañamiento a la DTGC y DTGJ para
1. Resolución 34217 de 2015 de Políticas de N° Actividades de
2 INFERIOR
2 INFERIOR
Lectura, copia, modificación el inicio de procesos legales y demandas en contra
Remota
Remota
Actividades Fuga de información y/o uso seguridad de la información seguimiento registradas en
I.FP.02
Ambos
Menor
Menor
STRT
o sustracción no autorizada de los consultores implicados.
DTP
administrativas en indebido de datos institucionales X 2. Boletines informativos vía correo electrónico. 32 medios tecnologicos / Total
de documentos archivados o
oficina (Confidencialidad) 3. DU-TI-06 Politicas operacionales de tecnologias de actividades divulgadas) x
datos institucionales. Capacitación y sensibilización a los usuarios del proceso sobre 3. Identificado el riesgo en la etapa de ejecución, se
Acceso a los sistemas operativos o a las aplicaciones de informaión y comunicación para el IDU 100
verificación del estado actual de los computadores asignados por debe seguir el procedimiento de Cambios de
por "puertas traseras" no controladas. factibilidad.
parte de la STRT.
4. Informar a la OCD para el inicio de las
investigaciones disciplinarias pertinentes.
Capacitación y sensibilización a los usuarios del proceso sobre
Uso de software ilegal o malicioso.
instalación de software por parte de la STRT.
Manejo inadecuado de los datos o información por Sensibilización sobre la adecuada aplicación de la documentación
parte de los usuarios responsables. del proceso de seguridad de la información por parte de la STRT
Manipulación por parte de terceros de equipos o de Capacitación y sensibilización a los usuarios del proceso sobre
programas de cómputo o datos (físico o lógicos). bloqueo de sesión por parte de la STRT.
6 MODERADO
6 MODERADO
los requerimientos de otras
1. Resolución 34217 de 2015 de Políticas de 1. Si no se ha recibido a satisfacción, se aplica la (No. De Actividades de
dependencias de la entidad, de
Actividades seguridad de la información. póliza de calidad. seguimiento registradas en
Posible
Posible
Ambos
I.FP.03
Menor
Capacitación y sensibilización a los usuarios del proceso sobre
STRT
Menor
Pérdida o alteración de la ciudadanía y/o de los entes de
DTP
administrativas en Espionaje dirigido a personal directivo o técnico. X 2. Boletines informativos vía correo electrónico. 22 medios tecnologicos / Total
información control manejo de la información verbal por parte de la STRT.
oficina 3. DU-TI-06 Politicas operacionales de tecnologias 2. Informar a la OCD para el inicio de las de actividades divulgadas) x
de informaión y comunicación para el IDU investigaciones disciplinarias pertinentes. 100
Reprocesos en la gestión de la
Dirección Técnica.
Insuficiente capacidad de procesamiento de Hardware Actualización de los equipos por parte de la STRT
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las
observaciones que considere necearias):
Revisión y aprobación del líder del proceso y líderes operativos:
ÁREA NOMBRE CARGO FIRMA
Se crean 3 riesgos nuevos de gestión: G-FP-03, G-FP-04 Y G-FP-05, por lo tanto solo se realizó la valoración de estos tres.
SGDU WILLIAM ORLANDO LUZARDO TRIANA SUBDIRECTOR GENERAL DESARROLLO URBANO
EFECTO
VALOR
Procedimento / INHERENTE ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN
La DTAV contrata estudio socio económico para estimar la capacidad Contrato de prestación de
de pago de los contribuyentes de la zona de influencia que será objeto servicio o consultoría.
de cobro por concepto de valorización. Manual de Interventoría.
Oficios Orfeo
MODERADO
INFERIOR
en la planificación de las Que no exista coordinación entre las diferentes áreas 2. Afecta el normal desarrollo del
G.VF.01
Remota
Estructuración de
Ambos
Menor
Mayor
obras que conformarán los del proceso. proceso. La DTAV coordina la entrega de la información con las entidades Emitir alarmas sobre tiempo de ejecución del Controles realizados /Controles a
Baja
Acuerdos de X 1 X 84
2
acuerdos de valorización que 3. Desgaste para la gestión de distritales que tienen relación con la contribución de valorización, como Oficios Orfeo, actas de reunión inicio de obra. realizar
Valorización son la UAECD, SDP, SDH. SDM
impidan el cumplimiento del Debilidad en la Coordinación interinstitucional e cobro.
tiempo para el inicio de obra intersectorial. 4. Afecta la credibilidad de la
entidad Verificacion de obras contenidas en el PDD o POT y los insumos Acuerdo Distrital
Proyectos que no estén incluidos en el PDD o el POT. entregados por las áreas técnicas
Director DTAV
MODERADO
Insignificante
1. Coordinación con la OAC y OTC , plan comunicaciones Acuerdo de *Solicitar a la OAC ajuste al plan de
INFERIOR
Estrategia de Que se presenten fallas en la Debilidad en la articulación de la estrategia de Estructuración de Acuerdos de Actividades de coordinacion con
G.VF.02
Remota
Remota
Valorizacion comunicaciones
Ambos
Mayor
Comunicación del comunicación e insuficiente comunicaciones del Acuerdo de valorización 2. Afecta el normal desarrollo del Valorización. OAC y OTC para la definición y
OTC
4 x 76
1
Acuerdos de divulgación del Acuerdo de proceso. socialización del Plan de
2. Socialización de los avances del plan de comunicaciones del *Retroalimentacion con la OTC sobre la
Valorización Valorización Actas de reunión y/o listado comunicaciones
Acuerdo de Valorización socialización del Acuerdo de Valorización
3. Desgaste para la gestión de de asistencia
cobro.
Insignificante
Realizar conceptos técnicos mediante actuación
INFERIOR
Que los predios incluidos en Memoría Técnica del Acuerdo
G.VF.04
Remota
oficiosa donde se modifica y ajusta la
Posible
Ambos
Mayor
ALTO
el proceso de asignación y 4. Realizar el control de calidad a la completitud de los datos que se correspondiente Revisiones aleatorias a los predios
Liquidación X 1 X X 76 contribución de valorización
12
1
liquidación tengan utilizan en el proceso de liquidación y se realiza control de calidad por asignados
inconsistencias catastrales muestreo aleatorio simple o estratificado, teniendo en cuenta el modelo Solicitudes de reportes de
de validación o modelo control que se realiza fuera del sistema. información contenida en el
sistema valorice para control de
5. Verificar la información predial y del propietario frente a la calidad
información que reporta el VUR y UAECD (Catastro) para los casos
especiales Aplicativo VUR, oficio por parte
del contribuyente, aplicativo
valoricemos. Oficios Orfeo,
aplicativos SIIC
MODERADO
Insignificante
Las reclamaciones allegadas no cuentan con la 5. Incremento en los costos a 4. Garantizar por parte de la STRT el correcto funcionamiento de los Correo Electrónico, actas,
INFERIOR
Asignación contribución de valorización, Adelantar las acciones pertinentes descritas en
Moderado
G.VF.08
Remota
Posible
Ambos
Notificación y actos de notificación, suficiente claridad para dar respuesta de fondo a la nivel operativo. aplicativos de ORFEO y VALORICEMOS y registrar en la plataforma memorandos, Casos Aranda el procedimiento establecido por incumplimiento Controles realizados /Controles a
X 1 X 84
9
1
Envío de Cuentas resoluciones o cuentas de solicitud por parte del contribuyente. ARANDA los incidentes. de obligaciones realizar
de Cobro cobro no lleguen con calidad 6. Silencio administrativo que Memorandos y oficios y
y oportunidad al genere demandas ante la 5. Analizar de manera minuciosa por parte del abogado sustanciador reportes del sistema Generar respuesta al contribuyente en el menor
contribuyente. Jurisdicción Contencioso de las reclamaciones efectuadas por el contribuyente, en caso de ser Valoricemos. tiempo posible.
Administrativa, con decisiones necesario abre periodo probatorio y solicita lo que requiere, el cual Acta de seguimiento y prueba
desfavorables que implican queda registrado en VALORICEMOS. de enrtega Física y virtual
devoluciones en el pago de la (guias)
Contribución de Valorización. 6, Realizar seguimiento y control que garantice el cumplimiento de las
obligaciones contractuales de la empresa de mensajería
EFECTO
VALOR
Procedimento / INHERENTE ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN
1, Que la información requerida de otras áreas y/o 1. Inicio de investigaciones 1.Se realiza seguimiento oportuno en ORFEO y en valoricemos a los Reportes por generación de
entidades no sea entregada a tiempo requerimientos de información. actividades en Valoricemos y
Orfeo
2, No contar con el personal requerido para atender 2. Interposición de demandas 2.Revisar el recurso humano necesario para atender oportunamente
un alto volumen de reclamaciones, (por periodos ante la jurisdicción contencioso los requerimientos y reclamaciones incluyendo en el anteproyecto del Formato anteproyecto de
específicos en el año) administrativa. presupuesto (Plan de Contratación PSP) presupuesto.
Plan de contratación PSP
3, Proyección errada de un concepto técnico. 3. Declaratorias de nulidad por 3.Validar la información para la elaboración del concepto técnico. Planillas, de ser necesario
Subdirector STJEF-SGJ
para resolver los recursos. 4. Alto volumen de derechos de inconvenientes que se presenten a través de la plataforma ARANDA. A_RECLAMACIONES_POR_V
petición ALORIZACION
MODERADO
Insignificante
Que no se elabore la
Probabilidad
INFERIOR
Moderado
5.Las reclamaciones allegadas no cuentan con la 5.Análisis minucioso por parte del abogado sustanciador de las
G.VF.09
Remota
Tramitar las respuesta oportuna de
Generar respuesta al requerimiento y envió Respuestas generadas/ Solicitudes
Baja
solicitudes y requerimientos y /o suficiente claridad para dar respuesta de fondo a la 1 X reclamaciones efectuadas por el contribuyente, en caso de ser 87
1
solicitud por parte del contribuyente. 5. Mayores costos a nivel necesario abre periodo probatorio y solicita lo que requiere, el cual Correo Electrónico, actas, correspondiente. radicadas
reclamaciones reclamaciones en el tiempo
establecido por ley operativo. queda registrado en VALORICEMOS. memorandos, Casos Aranda
1.Desactualización de la base de datos que 1. Realizar la verificación en las plataformas de apoyo de otras Formatos asignación usuario y
proporciona la UEACD. claves de para las plataformas
entidades, SIIC (Sistema Integrado de información Catastral) y VUR SIIC, VUC y VUR, Aplicativo
2.Información de predios que cuenten con más de un (Ventanilla Única de Registro), VUC (Ventanilla única de la Valoricemos
ID (CHIP IDU, CHIP CASTASTRAL)
construcción) con el fin de actualizar del registro asignando un CHIP Planillas de asistencia, actas y
Subdirector STOP
4.No se analice el estado de cuenta del predio consulta Valora, utilizando el CHIP IDU o el CHIP CATASTRAL
MODERADO
Insignificante
Que se expidan Certificados correctamente para la expedicón del Certificado de 1. Reclamaciones en contra de la Reportar salida no conforme Certificados de Estado de cuenta
INFERIOR
Moderado
G.VF.11
Remota
de estado de cuenta para Estado de Cuenta para Trámite Notarial (Paz y Salvo) Entidad. para Trámite notarial (Paz y Salvo)
Ambos
Atención al 3. Retroalimentar y socializar al equipo responsable de la expedición
Baja
trámite notarial (paz y salvo) 2. Reprocesos 1 X X 87 Reportar por caso aranda las inconsistencias y con deuda /Certificados de Estado
1
contribuyente del Certificado de Estado de Cuenta ( Paz y Salvo) sobre los
con deuda. 3. Sanciones disciplinarias a los ajustes del sistema valoricemos en caso de de cuenta para Tramite notarial
funcionarios responsables. procedimientos, soporte técnico y protocolos de atención. presentarse (Paz y Salvo) emitidos
1.No realizar ninguna de las actuaciones procesales 1.Seguimiento por parte de los revisores de cada uno de los grupos de
Director DTAV,Subdirector
dentro del proceso ejecutivo de cobro coactivo. abogados sustanciadores.
Memorandos Orfeo y /o correo
Subdirector STJEF
2.No realizar el seguimiento oportuno de los terminos 1.No recaudo de la contribución 2.Personal destinado para realizar seguimiento y control a la gestón de electrónico institucional
MODERADO
Probabilidad
INFERIOR
Moderado
Moderado
procesales. los expedientes a cargo de la STJEF.
G.VF.15
Remota
Prescripción de la acción de valorización.
Posible
STJEF
Se realiza tramite pertinente ante el comité de Procesos coactivos prescritos sin
Cobro y Recaudo de cobro, por falta de 1 X 87
3
3.Personal insuficiente para la cantidad de procesos 3.Plan de contratación de Personal de Prestación de Servicios. Plan de Contratación PSP. cartera gestión / procesos coactivos activos
gestión coactiva 2. Investigación de los entes de
en cobro coactivo. control.
1. No bloquear la sesión de usuario cuando se 1. Sensibilización a los usuarios del proceso sobre bloqueo de sesión.
abandona la estación de trabajo.
2. Sensibilización a los usuarios del proceso sobre uso de las
2. Mal uso de las contraseñas. contraseñas.
3. Por aplicación de ingeniería social. (manipulación 3. Sensibilización a los usuarios del proceso sobre ingeniería social.
de las personas para obtener información)
4. Inadecuada aplicación del etiquetado de activos de Fuga de información y/o uso 4. Revisión y aplicación de la marcación de información.
Todas las información. indebido de datos institucionales
MODERADO
Insignificante
actividades
Probabilidad
5.Sensibilización a los usuarios del proceso sobre devolución de
INFERIOR
(Confidencialidad)
Moderado
Remota
relacionadas con Manipulación indebida o no 5. Recuperación información a partir de medios de equipos. Manual de politicas de
I.VF.01
STRT
STRT
Baja
el proceso de autorizada de datos en el almacenamiento o procesamiento reciclados o 5 X X informacion Resolución 34217/ 47
1
Divulgación de información a
Gestión de sistema valoricemos desechados. 6. Sensibilización a los usuarios del proceso sobre cuidado de la 2015
terceras partes o a personal no
Valorizacion y información.
autorizado
financiación 6. Acceso no autorizado a los sistemas de información (Confidencialidad)
o a los documentos por parte de personal de 7. Sensibilización a los usuarios del proceso sobre atención de
mantenimiento locativo, aseo o vigilancia. visitantes.
7 .Visitantes desatendidos en las instalaciones de la 8,. Crear log de Auditoria para el sistema valoricemos
entidad.
Insignificante
actividades Afectación en la prestación de
Probabilidad
INFERIOR
2. Pérdida o desabastecimiento de energía eléctrica
Remota
relacionadas con Fallas en el sistema de los servicios a los usuarios 2. Alternativas de trabajo sin usar equipos de cómputo. Plan de Continuidad del
Posible
I.VF.04
Mayor
STRT
ALTO
STRT
regulada.
el proceso de información y aplicaciones internos y a la ciudadanía. 5 X X Negocio 55
12
1
3. Por destrucción de equipos, dispositivos, medios o
Gestión de institucionales (Disponibilidad) 3. Defiinción de planes de contingencia para los riesgos de mayor (en estructuracion )
instalaciones.
Valorizacion y Pérdidas de datos incidencia determinados en el plan de continuidad del negocio.
4. Daños accidentales en el edificio o áreas críticas
financiación 4. Back ups periodicos del sistema valoricemos.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las Revisión y aprobación del líder del proceso y líderes operativos:
observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
Riesgo 1: Se modificó la descripción del Riesgo
Riesgo 2: Se cambio redaccion riesgo Se unificó control 1 y 2 y se enumero como 2 el 3
Riesgo 4: Se ajustan causas de vulnerabilidad y descrición del control 3 SUBDIRECTOR GENERAL DE GESTION
SGGC SALVADOR MENDOZA SUAREZ
Riesgo 5: Se elimina riesgo, contar con controles necesarios en el proceso CORPORATIVA (e)
Riesgo 6: Se ajustó la redacción del riesgo. Se incluyó una causa, orientada a la falta de recurso humano para apoyar la actividad.
Riesgo 7: Se unifica y se deja como causa del riesgo 4
Riesgo 9: Se modifica descripción del riesgo
Riesgo 10: Se unifica con el riesgo 9 y se incluyeron las causas en este mismo riesgo.
Riesgo 11: Se modificó descripción del riesgo y se incluyó una causa posible (vulnerabilidad) DIRECTOR TECNICO DE APOYO A LA
DTAV HERNANDO ARENAS CASTRO
Riesgo 12: Se elimina riesgo, porque los indicadores de Tiempo y Atención siempre cumplen los parámetros establecidos VALORIZACION
por la Alcaldía Mayor.
Riesgo 13 Se elimina riesgo debido al cumplimiento de términos para las solicitudes de devolución del Ac. 523 de 2013
Riesgo 14: Se elimina el riesgo porque es una función asignada al Dir. DTAV
Riesgo 15: Se ajustó la descripción del riesgo
R.I.1: Se incluyó dentro de la matriz de riesgos de gestión y se incluyeron dos causas de posibles de vulnerabilidad SUBDIRECTOR TECNICO JURIDICA Y
STJEF SANDRA LILIANA SAAVEDRA QUEVEDO
R.I.2 Se eliminó, porque existen controles necesarios dentro de las dependencias EJECUCIONES FISCALES (e)
R.I.3 Se eliminó, porque existen controles necesarios dentro de las dependencias
R.I.4: Se incluyó dentro de la matriz de riesgos de gestión y se realizó ajuste a la descripción del riesgo
R.I.5: Se eliminó, porque existen controles necesarios dentro de las dependencias de las causas que originaria la ocurrencia del riesgo
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr
MODERADO
1. Sobrediseñar productos que impactan con los recursos requeridos. diseños, por parte de la Interventoría y de la supervisión a dicha soluciones. entre presupuesto determinado en
Casi Seguro
Supervisión de presupuesto contratado para
Moderado
4. FO-DP-11 Lista de chequeo y recibo de
G.DP.02
significativamente el presupuesto de obra 3. Reducción de metas fisicas interventoría por parte del IDU. 2. Tramitar con el apoyo de la SGJ, solicitudes de EyD Vs presupuesto establecido en
Ambos
Menor
ALTO
estudios y ejecución de la obra productos en la etapa de diseño
DTP
DTP
Alta
programadas. x 1y2 72 suspensión del contrato para buscar los recursos los pliegos superó el 30% / No.
15
8
diseños en fase comparado con el 4. MG-GC-01 Manual de Interventoría y/o
2. Los presupuestos de factibilidad tienen un alto nivel 4. Liquidación del contrato sin el 2. Seguimiento y aplicación de los controles y margen definidos para continuar el proyecto ó Tomar la decisión de Contratos de esta modalidad con
III, en contratos presupuesto para la obra supervisión de contratos.
de incertidumbre cumplimiento del objeto en la matriz de riesgos del contrato Liquidar el contrato en la etapa en que se encuentre. cambio de etapa en la vigencia) X
de Estudios y producto de los Estudios y 5. Guía GUDP017 Elaboración de
contratado. 100
Diseños con Diseños Presupuesto para contratos de obra,
construcción consultoría, interventoría y apoyo a la
gestión.
6. Actas de seguimiento y/o reunión.
MODERADO
Terminar el plazo de establecida por el IDU para la los productos. transporte. (No. De contratos con declaratoria
INFERIOR
Inerventoría o
Moderado
1. No realizar el pago al consultor sobre los
G.DP.04
ejecución contractual de los 3. Demora en la revisión, conceptos y aprobación por Licitación de la Obra y etapas 4. Cumplimiento de actividades y convenios firmados con las ESP. 5. Comunicaciones a través de ORFEO. de cumplimiento de todos sus
Posible
Ambos
Menor
Supervisión de productos faltantes.
Baja
DTP
DTP
estudios y diseños sin recibir parte de la interventoría. posteriores. x 1y2 x 5. Elaborar solicitud de concepto a las ESP y demás Entidades. 6. Convenios existentes. 64 productos por parte de interventoria
4
estudios y 2. Aplicar lo dispuesto en el procedimiento de
los productos aprobados por 2. Apertura de presuntos 6. Aplicación de los procedimientos de control establecidos en el 7. Contrato y sus documentos dentro del plazo del contrato / Total
diseños en fase III declaratoria de incumplimiento.
la Interventoría procesos de incumplimiento al Manual de Interventoría y/o supervisión de contratos. modificatorios. contratos terminados en el periodo)
contratista e interventoría. 7. Aplicación del instructivo de Adopción de medidas frente al 8. Actas de pago. X100
incumplimiento de los contratos 9. Actas de reunión y listas de asistencia
8. Se controla con la forma de pago por productos, la cual queda 10. MG-GC-006 Manual de gestión
establecida en el contrato. contractual.
9. Seguimiento y control del cronograma del proyecto 11. Instructivo IN-GC-03 Adopción de
4. Demora del consultor en los plazos establecidos en
10. Charlas de inducción a profesionales de apoyo. medidas frente al incumplimiento de los
el cronograma aprobado por la interventoría.
contratos
MODERADO
1. Problemas contractuales 1. Contar con equipo multidisciplinario para la estructuración de (No. De modificaciones
Casi Seguro
Moderado
2. MG-GC-006 Manual de gestión
G.DP.05
Estructuración de Presentar errores en los durante la ejecución del los procesos. 1. Directriz por parte del Director de Proyectos sobre contractuales por errores en
Ambos
Menor
ALTO
2. Cambios en el alcance del objeto de diseño con contractual
DTP
DTP
Alta
los estudios y componentes técnicos de los proyecto. x 1 64 el alcance de las modificaciones a realizar. componentes tecnico de los pliegos
15
8
respecto al alcance definido en la factibilidad. 3. Pliegos
diseños. pliegos de condiciones. 2. Variación en el alcance del 2. Aplicación del procedimiento de estructuración de procesos 2. Ajuste del pliego en su proceso de elaboración. de condiciones/ No. De contratos
4. Comunicaciones a través de ORFEO.
proyecto. selectivos. estructurados en el periodo)
3. Cambios en el alcance del objeto de obra con 5. PRDP01 Estructuración de Procesos
respecto al alcance definido en el diseño. Selectivos
MODERADO
Supervisión de 2. Demora del consultor en los plazos establecidos en 3. Liquidación del contrato sin 3. Aplicación de los procedimientos de control establecidos en el soluciones. (No. De contratos liquidados
Consumir los recursos de
Moderado
4. Comunicaciones a través de ORFEO.
G.DP.06
estudios y el cronograma aprobado por la interventoría. cumplimiento del objeto. Manual de Interventoría y/o supervisión de contratos. 2. Tramitar con el apoyo de la SGJ, solicitudes de anticipadamente por mala gestión
Posible
Ambos
Menor
ALTO
tiempo de la etapa de 5. Contrato y sus documentos
DTP
DTP
Alta
diseños en fase 3. Demora en conceptos de no objeción de los 4. Afectación de la programación x 1y2 64
12
4. Aplicación del instructivo de Adopción de medidas frente al suspensión del contrato para buscar los recursos en la etapa de facibilidad / No.
6
Estudios y Diseños, durante modificatorios.
III, en contratos productos por parte del IDU establecida por el IDU para la incumplimiento de los contratos para continuar el proyecto ó Tomar la decisión de Contratos con fase de factibilidad)
la etapa de factilidad 6. Actas de pago.
de Estudios y 4. Limitantes ambientales, legales o prediales no Licitación de la Obra y etapas 5. Se controla con la forma de pago por productos, la cual queda Liquidar el contrato en la etapa en que se encuentre. X 100
7. MG-GC-006 Manual de gestión
Diseños etapa de dentificadas en la prefactibilidad o presentadas posteriores. establecida en el contrato.
contractual.
factibilidad porteriores a esta. 5. Apertura de presuntos 6. Seguimiento y control del cronograma del proyecto
8. Instructivo IN-GC-03 Adopción de
procesos de incumplimiento al 7. Incluir en el contrato y en el cronograma en cada etapa el
medidas frente al incumplimiento de los
contratista e interventoría. tiempo para verificacion y aprobaciones.
contratos
INFERIOR
Acceso a los sistemas de 2. Implementar bloqueo automático por parte, por parte de la equipo y protección de la información exietente, para (No. De Actividades de seguimiento
Moderado
I.DP. 01
Remota
Actividades terceras partes o a personal no
Ambos
Menor
STRT
información o a los información. STRT. 2. Boletines informativos vía correo evitar otros accesos. registradas en medios
Baja
2
documentos por personas no 3. Aplicar políticas contenidas en el Manual de Seguridad de la electrónico. 3. Realizar mesas de trabajo con las areas afecadas tecnologicos / Total de actividades
oficina (Confidencialidad)
autorizadas Información . 3. DU-TI-06 Políticas operacionales de para realizar cambios o ajustes correspondientes con divulgadas) x 100
4. Revisión y aplicación de la marcación de información por parte tecnologías de información y el fin de salvaguardar futuros procesos judiciales al
5. Enlaces de comunicaciones que permanecen Acceso a información privilegiada
de la STRT comunicación para el IDU respecto.
activos al completar las transmisiones a través de las que pone en ventaja a un
4. Reportar a los encargados de DTGC y STRH para
redes. proponente sobre otro en un
tomar acciones pertinentes.
proceso de contratación.
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr
INFERIOR
INFERIOR
Lectura, copia, modificación
Moderado
vigentes, por instrucción de la STRT. equipo y protección de la información exietente, para (No. Actividades de seguimiento
Remota
Remota
Actividades Fuga de información y/o uso 2. Boletines informativos vía correo
I.DP.02
Ambos
Menor
STRT
o sustracción no autorizada 3. Acceso a los sistemas operativos o a las indebido de datos institucionales 3. Divulgación o sensibilización a los usuarios del proceso sobre evitar otros accesos. registradas en medios
administrativas en DTP X electrónico. 58
2
de documentos archivados o aplicaciones por "puertas traseras" no controladas. verificación del estado actual de los computadores asignados por 3. Realizar mesas de trabajo con las areas afecadas tecnologicos / Total de actividades
oficina (Confidencialidad) 3. DU-TI-06 Políticas operacionales de
datos institucionales. parte de la STRT. para realizar cambios o ajustes correspondientes con divulgadas) x 100
tecnologías de información y
4. Divulgación y sensibilización a los usuarios del proceso sobre el fin de salvaguardar futuros procesos judiciales al
comunicación para el IDU
instalación de software por parte de la STRT. respecto.
4. Reportar a los encargados de DTGC y STRH para
tomar acciones pertinentes.
4. Acceso a los sistemas operativos o a las
aplicaciones por "puertas traseras" no controladas.
MODERADO
parte de la STRT. de seguridad de la información
INFERIOR
otras dependencias de la
Moderado
(No. Actividades de seguimiento
Remota
Actividades 2. Divulgación o sensibilización a los usuarios del proceso sobre 2. Boletines informativos vía correo
I.DP.03
Ambos
Menor
STRT
Pérdida o alteración de entidad, de la ciudadanía y/o de registradas en medios
Baja
administrativas en DTP X bloqueo de sesión por parte de la STRT. electrónico. 58
2
información los entes de control tecnologicos / Total de actividades
oficina 3. Espionaje dirigido a personal directivo o técnico. 3. Divulgación o sensibilización a los usuarios del proceso sobre 3. DU-TI-06 Políticas operacionales de
divulgadas) x 100
manejo de la información verbal por parte de la STRT. tecnologías de información y
2. Reprocesos en la gestión de la
4. Validación de entrega de los mensajes enviados. comunicación para el IDU
Dirección Técnica.
5. Actualización de los equipos por parte de la STRT
4. Interceptación total o parcial de datos (físicos o
lógicos).
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las Revisión y aprobación del líder del proceso y líderes operativos:
observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
Se incluye nuevo riesgo G.DP.06
SGDU William Orlando Luzardo Triana Subdirector General de Desarrollo Urbano
EFECTO
VALOR
Procedimento / RIESGO DUEÑO CAUSAS TIPOS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
Actividad / Producto (Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
PDD OBJ SI P/S P I Ri P I Rr
T
O
S
1. No disponibilidad inmediata de los recursos 1. Incumplimiento del En caso de la no asignación de recursos, se revisará
(Solicitudes de recursos realizadas)
COMPONENTE
D
MODERADO
Elaborar insumos destinados para la adquisición predial cronograma de adquisición el impacto en la gestión de la DTDP
FINANCIERO
Probabilidad
INFERIOR
No asignación oportuna de 1. Solicitud de recursos desde el anteproyecto de presupuesto, donde se tienen previstas / (Solicitudes de recursos
Moderado
Moderado
G.GP.01
Remota
técnicos, jurídicos y 2. Apropiación de recursos presupuestales con predial 1. Comunicación Oficial E
DTDP
DTDP
recursos para la adquisición todas las necesidades de la DTDP. requeridas) * 100%.
Baja
sociales. fuentes de financiación sujetos a la venta de activos o 2. Afectación de las metas de X 1 2. Formato 87 En caso de asignación tardía de recursos, se
3
predial de los proyectos 2. En el transcurso de la vigencia se realiza la solicitud de recursos faltantes formalmente o
Realizar la a partidas presupuestales suspendidas ejecución programadas en la FO-PE-09 realizará el ajuste en la ejecución de la adquisición
programados en la vigencia de acuerdo con la demanda de los proyectos de Gestión Predial (Seguimientos realizados / R
adquisición predial 3. Asignación presupuestal parcial y/o tardía vigencia predial de la DTDP.
Seguimientos programados) * 100%
I
E
S
1. Difícil accesibilidad a los predios, debido a que los G
propietarios no permiten el acceso, para cumplir con
el debido levantamiento de insumos prediales. O
2. Diferencias de áreas (Cabidas y Linderos) que no S
son certificadas oportunamente por la UAECD para el
levantamiento definitivo de los Registros
Topográficos, corrección de avalúos y elaboración de
ofertas de compra. 1.Comunicaciones Oficiales
COMPONENTE ECONÓMICO
COMPONENTE DE AVALÚOS
3. Demora en la entrega de documentos soporte para 1. Incumplimiento en los tiempos 2. Actas de visita.
Elaborar insumos 1. Acercamiento con los propietarios, a partir del acompañamiento social y técnico.
COMPONENTE TÉCNICO
el cálculo de las Indemnizaciones (Daño Emergente y previstos para elaboración de 3. Actas de Seguimiento del
COMPONENTE SOCIAL
técnicos, jurídicos y 2. Levantamiento fotográfico como referencia. Efectuar reuniones periodicas con la UAECD, donde
Lucro Cesante) Registros Topográficos, solicitud convenio con UAECD
sociales. 3. Levantamiento Planimétrico, VUR, VUC, folio matrícula. se realice el seguimiento y control de terminos a los (Reuniones realizadas / Reuniones
No contar oportunamente 4. Incumplimiento de los tiempos previstos por la Ley de avalúos y ofertas de compra. 3. Carpeta con soportes y solicitud
MODERADO
Insignificante
Realizar la 4. Precálculo de indemnizaciones con los conceptos básicos que se encuentran en el entregables y se establezcan acciones correctivas de programadas) * 100%.
INFERIOR
con los insumos técnicos para la emisión de los avalúos por parte de la UAECD 2. Demoras en la adquisición de tasación enviada a la UAECD.
Moderado
G.GP.03
Remota
adquisición predial. Procedimiento de Adquisición Predial cumplimiento inmediato, y escalar los temas criticos
Posible
Ambos
DTDP
(RT y Avalúo), jurídicos y y reproceso en la corrección, y validación de avalúos predial. 4. Oficios enviados a la UAECD
Realizar el X 1 X 5. Elaboración y envío de oficios a los propietarios solicitando los documentos requeridos. 87 al nivel jerarquico superior.
1
sociales necesarios para la 5. Soportes y justificaciones insuficientes de los 3. Retrasos en la posible entrega 5. Actas levantadas por el área
reasentamiento 6. Programar y adelantar reuniones con los propietarios. (Avaluos con entrega oportuna por
realización de la oferta avalúos comerciales de los predios al proceso de social.
integral de la 7. Seguimiento periódico a la ejecución del convenio interadministrativo con la UAECD Realizar Jornadas de Contingencia de los equipos parte de la UAECD / Avaluos
predial 6. Entregas masivas de avalúos por parte de la Ejecución de Obras. 6. Actas de visita sociales
población. 8. Validación y confrontación de la información por el equipo de avalúos de la DTDP. técnicos de la DTDP y la UAECD para aclarar in situ solicitados a la UAECD) *100%
UAECD que generan represamientos en la 4. Retrasos en la expedición de 7. Estudio de Títulos
Realizar viabilidad 9. Análisis jurídico del predio con el fin de establecer el propietario real de Dominio. las diferencias y mitigar el factor tiempo.
aprobación de los mismos. ofertas de compra 8. Carpeta y documentos soportes
predial.
enviados a la UAECD
1. Estudios sociales desactualizados al momento de 1. Dar cumplimiento a las condiciones establecidas para la expedición de la viabilidad
COMPONENTE DE SEGUIMIENTO
iniciar el proceso de Adquisición Predial. predial.
COMPONENTE DE AVALÚOS
Elaborar insumos 2. Titulación irregular de la tierra en Bogotá 2. Caracterización de la unidad social.
COMPONENTE JURÍDICO
COMPONENTE SOCIAL
técnicos, jurídicos y 3. Modificación y/o ajustes a los diseños iniciales que 3. Elaboración del Estudio de títulos, con el fin de establecer el propietario real de Efectuar reuniones periódicas con la UAECD, donde
1. Retraso en el inicio de la obra 1. Manual de Gestión Predial
sociales. afecten la expedición del certificado de viabilidad Dominio. se realice el seguimiento y control de términos a los
2. Sobrecostos 2. Memorandos
Realizar la 4. Cambios en la modalidad de adquisición, pasando 4. Reprogramación y reasignación de recursos entregables y se establezcan acciones correctivas de
INFERIOR
3. Investigaciones por parte de 3. Censo Social.
G.GP.04
Remota
adquisición predial. No expedir el Certificado de de procesos de enajenación voluntaria a expropiación 5. Seguimiento semanal de avance a las etapas jurídica y social, para determinar el avance cumplimiento inmediato y escalar los temas críticos
Posible
Ambos
Menor
Mayor
DTDP
ALTO
los Entes de Control 4. Formatos y/o documentos (Seguimientos realizados/
Realizar el Viabilidad Predial administrativa o judicial. X 1 X de cada proyecto y reforzar si es necesario el acompañamiento y asesoría a las Unidades 87 al nivel jerárquico superior.
12
2
4. Problemas con las sociales Seguimientos programados) * 100%
reasentamiento oportunamente 5. Demoras en los procesos de expropiación judicial Sociales en el proceso de gestión predial.
comunidades 5. Comunicaciones Oficiales
integral de la 6. Demoras en la asignación de fechas de diligencias 6. Seguimiento y actualización de los procesos judiciales en el sistema SIPROJ. Realizar Jornadas de Contingencia de los equipos
5. Reproceso en la gestión 6. Sistema SIPROJ
población. policivas y entrega de predios por parte de los 7. Gestión con la Secretaria de Gobierno y las inspecciones de policía, en los casos en técnicos de la DTDP y la UAECD para aclarar in situ
predial
Realizar viabilidad inspectores de policía que se requiera las diferencias y mitigar el factor tiempo.
predial. 7. Demora en la entrega de los avalúos por parte de la 8. Seguimiento periódico a la ejecución del convenio interadministrativo con la UAECD en
UAECD relación con certificaciones de cabidas y linderos y expedición de avalúos
1. Focos de inseguridad.
COMPONENTE DE
ADMINISTRACION
2. Apertura de procesos jurídicos (Informes de seguimientos
COMPONENTE
1. No disponer de recursos presupuestales suficientes 1. Incorporar en el Anteproyecto de Presupuesto los recursos requeridos para financiar los
FINANCIERO
de restitución.
MODERADO
Informar al contratistas responsables de la vigilancia realizados / Informes de
Probabilidad
para los contratos de vigilancia. contratos de vigilancia de predios; así mismo hacer la gestión correspondiente con el fin 1. Comunicaciones
PREDIAL
G.GP.05
3. Reclamos de la comunidad.
Remota
Administrar y vender Invasión de los predios en y administración de predios para coordinar acciones Seguimientos programados) * 100%
Posible
Mayor
Mayor
DTDP
ALTO
2. No disponer de contratos de vigilancia para la 4. Mala imagen de la Entidad. que dichos recursos se incorporen en el presupuesto de cada anualidad. Oficiales
predios sobrantes de administración a cargo de la X 1 X 87 conjuntas inmediatas para subsanar situaciones de
12
4
administración de los predios 2. Registrar oportunamente los procesos contractuales en el PAA. 2. Formato FO-PE-09
obra DTDP invasión que se presenten. (Acciones de invasión subsanadas /
3. Incumplimiento de las obligaciones del contratista 3. Entrega del predio al Contratista encargado de realizar la vigilancia y realizar el 3. Minutas de vigilancia
Acciones de invasión presentadas)
de vigilancia. seguimiento a las obligaciones contractuales.
* 100%
4. Mala
imagen de La Entidad
1. Ejecución de los programas del Plan de Gestión Social - PGS para las Unidades
Sociales que ocupan o residen en inmuebles objeto de afectación por el proceso de
1. Retraso en los traslados y adquisición predial.
Elaborar insumos reubicación de las Unidades 2. Atención personalizada intermediación y acompañamiento de los gestores sociales y 1. Formato de verificación de
COMPONENTE SOCIAL
técnicos, jurídicos y Sociales económicos. traslado de la unidad social.
sociales. 1. Dificultades en la consecución de inmuebles de 2. Vencimiento de Términos que 3. Acompañamiento social e inmobiliario con el fin de dar varias opciones de vivienda a las 2. Actas de atención y seguimiento
INFERIOR
Realizar la reposición con características similares a las iniciales. ocasionan procesos de unidades sociales a trasladar. 3. Acta de visita
G.GP.07
Remota
Imposibilidad de
Posible
Ambos
Menor
Mayor
DTDP
ALTO
adquisición predial. 2. Desvinculación de las Unidades Sociales a los Expropiación. 4. Construcción y estructuración de un portafolio Inmobiliario y coordinación con las 4. Ficha Atención Inmobiliaria. Escalar al nivel Jerárquico superior la situación (Actividades planteadas /
restablecimiento de las X 1 X 87
12
2
Realizar el programas del Distrito en Salud, Educación, integridad 3. Demoras en el unidades sociales de visitas a diferentes inmuebles para verificar condiciones de los 5. Plan de Gestión Social presentada. actividades realizadas) *100%
Unidades Sociales .
acompañamiento social entre otros. Reasentamiento de las unidades nuevos predios. 6. Formatos sociales
social de la población. 3. Presencia de asentamientos informales. sociales 5. Seguimiento de la atención realizada a las Unidades Sociales identificadas en el 7. Actas de Asesoría Económica,
Realizar viabilidad 4. Demora en la entrega del CENSO, destacadas en el Diagnóstico y el Estudio de impacto. Social, Jurídica e Inmobiliaria.
predial. predio 6. Censo, Diagnostico Socio- Económico, Estudio de Impactos, Plan de Gestión Social.
5. Demandas para la Entidad 7. Seguimiento a las necesidades identificadas en el Censo, según las características
determinadas y las necesidades de la unidad social.
8. Identificación y priorización de Unidades Vulnerables
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: PROCESO DE GESTION PREDIAL D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
Diciembre 13 de 2018 ÁREAS:
SGDU - DTP
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGU
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / RIESGO DUEÑO CAUSAS TIPOS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
COMPONENTE ADMINISTRATIVO
1. Se pueden presentar D
suplantaciones E
Elaborar insumos
2. Pérdida de información y
técnicos, jurídicos y 1.Expediente.
recuperación de expedientes R
sociales. 1. Implementación de la Carpeta Única Consulta DTDP y digitalización de la información y 2. Aplicativos de la entidad
MODERADO
1. Manejo inadecuado del expediente 3. No contestar en tiempo los Reconstrucción de Expedientes o Documentos -
Probabilidad
INFERIOR
Realizar la cargue de la misma en los aplicativos y sistemas de la entidad. 3. Formato de Trasferencia de (Jornadas de sensibilización I
Moderado
Moderado
G.GP.08
Remota
Pérdida de los expedientes 2. Capacidad insuficiente de almacenamiento para requerimientos a los Entes de Procedimiento Reconstrucción de Archivos PR-DO-
Posible
adquisición predial. DTDP 2. Trasferencia de expedientes inactivos al archivo central. Archivos ejecutadas/Jornadas de
de los procesos de Gestión expedientes Control por no contar con el X 5 X X 87 07 E
3
Realizar el 3. Implementación de planillas para el control de préstamos de Expedientes. 4. Orden de pedido de elementos sensibilización programadas)
acompañamiento
Predial a cargo de la DTDP 3. Debilidades en el control y seguimiento a los expediente original
4. Adecuación de las instalaciones para brindar una mayor seguridad al archivo y acceso de consumo *100% S
Expedientes 4. Demoras en la entrega del
social de la población.
predio por posibles pérdidas de
restringido al área de archivo. 5. Registro de entrega de G
Realizar viabilidad expedientes O
la documentación al estar al
predial.
alcance del público S
COMPONENTE ADMINISTRATIVO
COMPONENTE SISTEMAS DE
1. No aplicación de los procedimientos de la Gestión
1. Socializar, revisar e identificar oportunidades de mejora en los procedimientos de la
Predial.
Gestión Predial.
2. No recolección de los documentos que se han 1. Fuga de información y/o uso
2. Sensibilización en los protocolos de impresión de documentos en la DTDP por parte de la
INFORMACIÓN
enviado a impresión. indebido de datos institucionales 1. Solicitudes a las dependencias
MODERADO
STRT.
Probabilidad
Acceso o sustracción de 3. Enlaces de comunicaciones que permanecen (Confidencialidad) respectivas. Iniciar la investigación sobre el mecanismo de (Jornadas de sensibilización
Remota
3. Sensibilización a los usuarios del proceso sobre bloqueo de sesión, uso de telefonía, uso
I.GP.01
Posible
Mayor
Mayor
DTDP
ALTO
información y documentos activos al completar las transmisiones a través de las acceso o sustracción de información con la finalidad ejecutadas/Jornadas de
Gestión Predial 5 X X de mensajería electrónica, establecido por la dependencia por parte de la STRT. 84
12
4
con datos institucionales por redes. 2. Divulgación de información a 2. Actas y listas de asistencia a de determinar las acciones de mejora a los controles sensibilización programadas)
4. Sensibilización por parte de la Coordinación de Archivo de la entidad a los usuarios del
personas no autorizadas 4. Acceso a información y documentos por parte de terceras partes o a personal no socializaciones y sensibilizaciones implementados. *100%
proceso sobre cuidado de la información y protocolo para el almacenamiento de
terceros. autorizado realizadas.
información, cumpliendo la normatividad vigente y los procedimientos existentes en la
5. Disposición de documentos de oficina en sitios no (Confidencialidad)
Entidad.
adecuados para su almacenamiento y control
1. Manejo inadecuado de los datos o información por 1. Reconstrucción de información 1. Optimización en el protocolo de archivo y gestión de la información resultado de la
parte de los usuarios responsables. y de los expedientes. Gestión Predial. En caso de que la pérdida o alteración sea digital, se
MODERADO
Probabilidad
2. Manipulación por parte de terceros de equipos o de 2. Entrenamiento y sensibilización a los usuarios del proceso sobre bloqueo de sesión. 1. Actas y listados de asistencia de escalará la situación a la STRT para que se solicite (Jornadas de sensibilización
Remota
I.GP.02
Posible
Mayor
Mayor
DTDP
DTDP
ALTO
Pérdida o alteración de programas de cómputo o datos (físico o electrónico). 2. No se puedan atender a 3. Entrenamiento y sensibilización a los usuarios del proceso en el uso de protocolos para sensibilizaciones realizadas el último backup y se tomen las medidas necesarias ejecutadas/Jornadas de
Gestión Predial 5 X X 84
12
4
información 3. Espionaje dirigido a personal directivo o técnico. tiempo los requerimientos, aumentar la seguridad de la información por parte de la STRT. para identificar la vulnerabilidad y tomar las acciones sensibilización programadas )
4. Interceptación total o parcial de datos (físicos o trámites y/o servicios de la 4. Implementación de la Carpeta Única Consulta DTDP y digitalización de la información y 2. Aplicativos de la entidad pertinentes. *100%
electrónico). ciudadanía o de los entes de cargue de la misma en los aplicativos y sistemas de la entidad.
control
COMPONENTE SISTEMAS
DE INFORMACIÓN
1. Por eventos naturales como temblor, tifón,
1. Participación en el análisis y formulación del plan de continuidad de negocio para el
MODERADO
vendaval, o fenómeno meteorológico.
Probabilidad
Imposibilidad de uso de los Afectación en la prestación de proceso de Gestión Predial.
Remota
2. Pérdida o desabastecimiento de energía eléctrica (Reuniones con STRT
I.GP.03
Posible
Mayor
DTDP
Mayor
DTDP
ALTO
equipos de cómputo, los servicios a los usuarios 2. Mesa de trabajo conjunta entre la DTDP y la STRT para la valoración de alternativas de 1. Actas y listas de asistencia a Activar el Plan de Continuidad de Negocio de la
Gestión Predial regulada, o daños accidentales en áreas críticas 6 X X 84 ejecutadas/Reuniones con STRT
12
4
sistemas de información y/o internos y a la ciudadanía. trabajo remoto y seguridad de información. mesas de trabajo entidad
3. Por destrucción de equipos, dispositivos, medios o Programadas ) * 100%
aplicativos institucionales. (Disponibilidad) 3. Mesa de trabajo conjunta entre la DTDP y la STRT para el análisis y actualización de los
instalaciones
protocolos de backup de información para la dependencia.
4. Por ataque cibernético
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional Revisión y aprobación del líder del proceso y líderes operativos:
registre las observaciones que considere necesarias): ÁREA NOMBRE CARGO FIRMA
1-Se elimina el riesgo R. GP.02, toda vez que es una causa del riesgo R. GP.01.
2- Se incluye nuevamente el R.GP.03 que por error se repetía con el R. GP.05. DTDP MARIA DEL PILAR GRAJALES RESTREPO DIRECTORA TÉCNICA DE PREDIOS
3- Se crea un nuevo riesgo, generado por las continuas observaciones de los Entes de Control.
4- Se modifica la redacción del R.GP.07,
5- Se modifica la redacción del R.GP.08.
SGDU WILLIAM ORLANDO LUZARDO TRIANA SUBDIRECTOR GENERAL DE DESARROLLO URBANO
6- Se modifica la actividad asociada al R.GP.05
7- Se modifica la redacción de los riesgos R.GP.01, R.GP.03, R.GP.04 y R.GP.05.
8- Se elimina el riesgo R.GP.06 en razón a que los riesgos asociados a la gestión y utilización de predios sobrantes se analizan en el R.GP.05.
9- Se incluyen y actualizan los riesgos de Seguridad de la Información I.GP.01, I.GP.02 y I.GP.03
10. Se modifica la redacción del riesgo R.GP.01
11. Se elimina la afectación de producto o servicio para el riesgo R.GP.01
12. Se modifican las causas y consecuencias del riesgo R.GP.07.
EFECTO
VALOR
Procedimiento TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
D
E
1. Aplicación de la lista de chequeo Verificación de requisitos para inicio de la fase de
1. Posibles ejecución de obra, en la que se verifican los documentos requeridos para iniciar la etapa de
R
Insignificante
Construcci populares. 6. Aplicación del manual de Interventoría, durante la etapa de estudios y Diseños o la fase de actividades en otros sectores y realizadas en el periodo /
MODERADO
a la CONSERVACION
INFERIOR
G.EO.01
Posible
Ambos
ón sin el 3. Inicio de reprogramar las actividades Número de contratos
Menor
3. Manual de Interventoría y Supervisión de
Baja
Ejecución de términos establecidos X X 7. Realización de Comités semanales seguimiento a compromisos del contratista, Interventor, 72
2
cumplimien contractualmente. investigaciones delegados de las ESP, demás entidades e IDU.
Contratos. o si es del caso Suspender el iniciados sin el cumplimiento
Proyectos de 5. Actas de Comité de obra.
to de los administrativas y 8. Comité interinstitucional, para escalar los temas que no se pueden resolver con los contrato de obra y de de los requisitos establecidos
Construcción delegados de las ESP y demás Entidades que se realiza mensualmente.
6. Formato FOEO17 ACTA DE CAMBIO DE
requisitos disciplinarias por ETAPA Interventoría en el periodo x 100%
9. Aplicación del Apéndice social en los cuales se establecen las obligaciones del contratista,
previos parte de los entes de relacionados con las reuniones periódicas inicial, durante (semanal) y final, con la participación
7. Guía GUDP01 ALCANCES ENTREGABLES
control. DISENO.
de la comunidad, Contratista, Interventoría y el IDU.
8. Formato FOIN03 ACTA DE CRUCE DE
4. Retraso en plazos 10. verificación previo del inicio de la obra, de la Aplicación del apéndice Social en los
CUENTAS ENTRE EL IDU Y LAS ESP.
del contrato. relacionado con la creación e instalación del punto IDU, en donde explica y atiende a la
comunidad en temas relacionados con el proyecto.
5. Mayores costos de 11. Verificación en el SIAC de las dedicaciones de los profesionales y que no estén al mismo
obra. (Reajuste en tiempo en el contrato de obra y de Interventoría.
precios). 12. Aplicación del Manual de Gestión Predial en lo concerniente a la expedición del concepto de
viabilidad predial, previo al inicio de la ejecución de la obra.
DG - INTERVENTORÍA
1. Comités mensuales de seguimiento a los pendientes realizados por la Dirección General y/o Contratos. sancionatorios internos
Iniciar el procedimiento interno
Subdirección General de Infraestructura y/o Dirección Técnica de Construcciones. 2.Manual de Gestión Contractual iniciados en el periodo /
2. Realizar Recorridos de obras y reuniones de comité semanal de obra. 3. Procedimiento PRGC06 DECLARATORIA para enviar a la DTGC, el informe
Inadecuado seguimiento 1. Mala imagen para el Número de contratos con
3. Aplicación del procedimiento de declaratoria de incumplimiento al interventor por parte de la DE INCUMPLIMIENTO PARA LA IMPOSICION de incumplimiento
por parte de la IDU. Actas de Recibo parcial y/o
interventoría.
Supervisión del contrato, cuando se configuren incumplimientos de las obligaciones. DE MULTA CLAUSULA PENAL CADUCIDAD Y FOGC06_INFORME TECNICO
2. Afecta la durabilidad de 4. Verificar por parte de la supervisión IDU lo indicado en la Bitácora de Obra, de manera O AFECTACION DE LA GARANTIA UNICA DE final de Obras suscritas sin el
la obra por deficiencia en PRESUNTO INCUMPLIMIENTO
mensual CUMPLIMIENTO cumplimiento de las
calidad de materiales y en 5. Revisión mensual y contraste los informes mensuales de interventoría. 4. Formato FOEO03 RECORRIDO DE OBRA. CONTRACTUAL
condiciones técnicas en el
DTC - STEST - STESV - SGI
MODERADO
Moderado
Moderado
a la Obras sin
G.EO.03
transporte de la ciudad.
Ambos
Baja
Baja
Ejecución de el 4. Posibles Demandas de X X 10
6
6
Proyectos de cumplimien la comunidad, acciones
INTERVENTORÍA
Contratos
6. Posible Inicio de 2. Comités mensuales de seguimiento a los pendientes realizados por la Dirección General y/o Para el caso de las actas de
investigaciones Subdirección General de Infraestructura y/o Dirección Técnica de Construcciones..
2. Procedimiento PRGC06 DECLARATORIA Solicitudes de cambio de
Personal no competente DE INCUMPLIMIENTO PARA LA IMPOSICION recibo parcial, solicitar el cambio
administrativas y 3. Elaborar comunicaciones oficiales entre áreas y/o Interventoría, reportando las situaciones, profesionales en el periodo /
por parte del contratista e disciplinarias por parte de DE MULTA CLAUSULA PENAL CADUCIDAD Y de los profesionales y reajustar
interventoría
para hacer cumplir los requisitos mínimos establecidos o inicio del proceso sancionatorios a
O AFECTACION DE LA GARANTIA UNICA DE Número de solitudes
los entes de control. que haya lugar, cuando sea necesario las actividades ya canceladas en
CUMPLIMIENTO. requeridas x 100%
4. Aprobación por parte de la Interventoría y aval del IDU de Hojas vida del contratista, una vez
3. Pliego de condiciones, Anexo técnico o las actas futuras
cumplan los requisitos establecidos
estudios previos del proyecto.
5. Revisión y aprobación de hojas de vida del interventor, Aprobación de Hojas vida, una vez
cumplan los requisitos establecidos.
EFECTO
VALOR
Procedimiento TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
DTP - INTERVENTORÍA
No contar con los Subdirección General de Infraestructura y/o Dirección Técnica de Construcciones. 2. Apéndices de los contratos de obra Verificar si es posible continuar la E
requisitos y aprobaciones 2. Elaborar comunicaciones oficiales entre áreas y/o Interventoría, reportando las situaciones, (Ambiental, Redes húmedas, redes Secas y ejecución de las actividades en Número de Verificaciones
por parte de ESP, para hacer cumplir los requisitos mínimos establecidos o inicio del proceso sancionatorios a Transito) otros sectores y reprogramar las realizadas en el periodo /
entidades distritales y que haya lugar, cuando sea necesario 3. Actas de Seguimiento R
nacionales necesarios 3. Reuniones mensuales interinstitucionales, con el fin de agilizar los tramites entres las partes 4. Convenios con las E.S.P actividades Número de contratos con I
para la etapa de 4. Aplicación cuando sea necesario de la Guía de Coordinación IDU, ESP Y TIC en Proyectos 5. Guía GUIN02 Coordinación IDU, ESP Y TIC O si es del caso Suspender el demora en la ejecución de la E
ejecución de Obra. de Infraestructura en Proyectos de Infraestructura. contrato de obra y de obra x 100% S
5. Aplicación cuando sea necesario de la Ley de Infraestructura 1682 de 2013. 6. Ley de Infraestructura 1682 de 2013. Interventoría
6. Aplicación cuando sea necesario de lo establecido en los convenios con las ESP. 7. Formato FOIN03 ACTA DE CRUCE DE G
CUENTAS ENTRE EL IDU Y LAS ESP O
S
INTERVENTORÍA
Contratos
ejecución de las actividades en Número de Verificaciones
SGI - DTDP -
1. Aplicación de la lista de chequeo Verificación de requisitos para inicio de la fase de 2.4. Formato FOEO12 LISTA CHEQUEO
No disponer de la otros sectores y reprogramar las realizadas en el periodo /
ejecución de obra, en la que se verifican los documentos requeridos para iniciar la etapa de VERIF REQUISITO INICIO FASE EJECUCION
totalidad de los predios
requeridos para la
obra, previo al inicio de la obra DE OBRA. actividades Número de contratos con
2. Aplicación del Manual de Gestión Predial en lo concerniente a la expedición del concepto de 3. Manual de Gestión Predial. O si es del caso Suspender el demora en la ejecución de la
ejecución de la obra.
viabilidad predial y verificar que se cuente previo al inicio de la obra. 4. Tira Predial
5. Comunicaciones oficiales - Orfeo - viabilidad contrato de obra y de obra x 100%
predial Interventoría
DTP - INTERVENTORÍA
STEST - STESV - DTC -
SGI - DTDP - DTGC -
Número de reuniones
1. Comités mensuales de seguimiento a los pendientes realizados por la Dirección General y/o
DTC - STEST - STESV - SGI - DTP - DTDP
MODERADO
1. Reuniones informativas a lo largo del proyecto en los puntos IDU con la participación de la
Moderado
Número de solicitudes
Posible
Ambos
Menor
comunidad, Contratista, Interventoría y el IDU, durante la ejecución de la obra (semanal) y al
ALTO
Alta
X X 67 realizadas en el periodo /
12
6
finalizar la obra. 1. Procedimiento PRAC064 "Atención al Solicitar el acompañamiento de la
Inconvenientes con la Número de contratos que
2. Cierre de acciones interpuestas por la comunidad, máximo a la terminación del contrato. ciudadano en Proyectos de Infraestructura
comunidad y/o sectores Oficina de Atención a la
interesados
3. Realizar Comunicaciones oficiales, dando respuesta a los requerimientos ciudadanos un vez Urbana" requieren acompañamiento
sean requeridos. 2. Apéndice Social del contrato. ciudadano
4. Verificar que se realice la divulgación del proyecto de acuerdo con lo establecido en el
de la OAC en el periodo x
apéndice Social. 100%
EFECTO
VALOR
Procedimiento TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
INTERVENTORÍA
2. Control y seguimiento diario por parte de la Interventoría a las labores que ejecuta el ESTUDIOS Y DISEÑOS APROBADOS EN
deficientes y/o
contratista de obra. ETAPA DE CONSTRUCCION Y/O recursos necesarios para la
desactualizados, que ejecución de las actividades y
3. Aplicación del manual de Interventoría y/o supervisión de contratos, con el fin de que se CONSERVACION
inciden en hacer nuevos
diseños y nuevos
revisen y se valide si es necesario una vez se presente 3. Manual de interventoría y/o supervisión de adicionar el contrato
4. Aplicación del procedimiento de Cambio de Estudios y Diseños, con el fin de que se revisen y contratos. O si es del caso disminuir la meta
presupuestos y 1. Perjuicios ocasionados se valide si es necesario una vez se presente. 4. Formato FOEO24 ACTA DE FIJACION DE
generación de nuevos física o terminar el contrato
DTP - DTC - STEST - STESV - SGI
por desequilibro 5. Revisión de los precios no previstos por parte del grupo de APUS, en caso de presentarse PRECIOS NO PREVISTOS.
APUS económico del contratista 6. Verificación de los soportes relacionados en el acta de cambio de Etapa y/o lista de Chequeo 5. FOGI08 LISTA DE CHEQUEO OBJECION anticipadamente Número de contratos con
y/o del Interventor. al finalizar los estudios y Diseños. APU NO PREVISTOS EN CONTRATO DE apropiación de recursos en el
2. Des financiación de OBRA. periodo o disminución de la
Seguimiento otros proyectos.
Insignificante
meta física o terminación
MODERADO
INFERIOR
G.EO.05
Posible
Ambos
anticipada del contrato en el
Menor
de obra al investigaciones
Alta
Ejecución de
3
presupuestado administrativas y periodo / Número de
Proyectos de inicialmente disciplinarias por parte de
1. Manual de Gestión Contractual contratos que requieren
Construcción los entes de control.
4. Desgaste operativo para 1. Comités mensuales de seguimiento a los pendientes realizados por la Dirección General y/o
2. Manual de Interventoría y Supervisión de mayor valor de obra al
conseguir recursos. Contratos. Realizar la apropiación de presupuestado inicialmente x
Subdirección General de Infraestructura y/o Dirección Técnica de Construcciones.
INTERVENTORÍA
5. Finalización del 3. FOGI08 LISTA DE CHEQUEO OBJECION
2. Aplicación del Manual de Gestión contractual se establecen los lineamientos en cuanto a
APU NO PREVISTOS EN CONTRATO DE recursos necesarios para la 100%
Contrato sin la entrega Mayores cantidades de obra e ítems no previstos, cuando se presenten.
Mayores cantidades de total de la obra. OBRA ejecución de las actividades y
3. Verificación y revisión por parte de la Interventoría de los ítems no previstos y/o las mayores
obra, cantidades no
cantidades de obra presentados por el contratista, cuando se presenten.
4. Formato FOEO47 ACTA DE MAYORES adicionar el contrato
previstas y/o adicionales CANTIDADES DE OBRA O si es del caso disminuir la meta
4. La Interventoría presenta la solicitud ante el IDU para gestionar la validación de los ítems no
5. Formato FOEO23 ACTA DE RECIBO
previstos
PARCIAL DE OBRA física o terminar el contrato
5. Revisión de los Ítems No previstos por parte del equipo de los APUS, cuando se presenten. anticipadamente
6. Actas de reunión.
6. Suscripción mensual de actas de recibo parcial de obra en donde se soportan las cantidades.
7. Formato FOEO24 ACTA DE FIJACION DE
PRECIOS NO PREVISTOS.
EFECTO
VALOR
Procedimiento TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
INTERVENTORÍA
1. Comités mensuales de seguimiento a los pendientes realizados por la Dirección General y/o
Número de reuniones
Subdirección General de Infraestructura y/o Dirección Técnica de Construcciones. D
SGI - OTC -
Falta de coordinación 1. Contrato, pliego de condiciones y anexos. realizadas en el periodo /
2. Aplicar el procedimiento de gestión social en la etapa de construcción, definido y aplicado por
interna para atender los 2. Manual de Interventoría y Supervisión de Gestionar reunión con las áreas E
la OTC, cuando aplique Número de reuniones
tramites ambientales SST
3. Realizar cargues semanales al Aplicativo ZIPA para el registro del estado de los contratos,
Contratos. involucradas
y sociales. 3. Actas de Seguimiento requeridas en el periodo x
asignación de tareas y novedades entre dependencias. R
100%
I
E
S
STRH
integral de los técnicas con el personal Ambiental y Social. vehículos con anticipación a la STRF, una vez sean requeridos Recursos Físicos
al S/T con el fin de que se realice Número de reasignación de
Insignificante
MODERADO
componentes necesario para realizar el 2. Demoras en el recibo y 2. Identificación en el anteproyecto de presupuesto la cantidad de profesionales requeridos para 2. Formato FORF05 SOLICITUD Y
Componente
INFERIOR
G.EO.08
Posible
Ambos
Menor
técnico, seguimiento al contrato. Liquidación. la vigencia por parte de las áreas PRESTACION DE SERVICIOS
Baja
s Ambiental. X X 67
puntuales a otro personal periodo x 100%
2
Ambiental, 3.Demora en los pagos a
SST y Social SST y Social interventorías y
durante la contratistas.
ejecución de 4. Posibles demoras en la
- INTERVENTORÍA
1. Comunicaciones oficiales - Orfeo Número de contratos en la
es del caso el Inicio el
Entrega inoportuna y/o la 1. Requerir cuando se presente atrasos en al entrega de los informes, al interventor para que
2. Manual de gestión contractual. que se realizan visitas de
3. Procedimiento PRGC06 DECLARATORIA procedimiento interno para enviar
falta de cumplimiento de cumpla con los plazos contractuales establecidos para la entrega de los mismos. obra y asistencia a los
DE INCUMPLIMIENTO PARA LA IMPOSICION a la DTGC, el informe de
requisitos en los informes 2. Iniciar el proceso sancionatorio al interventor por la entrega o entrega inoportuna de los
DE MULTA CLAUSULA PENAL CADUCIDAD Y comités de obra / Número de
por parte la interventoría. informes mensuales y semanales, cuando sea necesario. incumplimiento
O AFECTACION DE LA GARANTIA UNICA DE contratos en ejecución en el
CUMPLIMIENTO. FOGC06_INFORME TECNICO
periodo x 100%
PRESUNTO INCUMPLIMIENTO
CONTRACTUAL
EFECTO
VALOR
Procedimiento TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
INTERVENTORÍA
Negligencia de parte del de las obras (hace las veces de acta de recibo). cuando sea necesario toma de posesión de las obras. I
contratista y/o de la 4. Requerimientos formales cuando sea necesarios al contratista y/o interventor , en caso que 3. Comunicaciones oficiales - Orfeo Elaborar y enviar a archivo la E
Interventoría para no los atienda se aplica el procedimiento de Imposición Multa clausula penal , caducidad y/o 4. Procedimiento PRGC06 Imposición Multa
suscribir el acta de recibo Afectación de garantía Única de Cumplimiento, en caso tal del que el contratista autorice se clausula penal , caducidad y/o Afectación de constancia de archivo o cierre del S
final de obra y entregas efectúan los descuentos de los saldos a su favor si el convenio Interadministrativo lo permite. garantía Única de Cumplimiento contrato o convenio G
documentales requeridas 5. actualización mensual de cronograma y pendientes por cada uno de los contratos y las 5. Cronograma y pendientes consolidado de los O
fechas de perdida de competencia de los contratos en los que se indican las aletas. contratos, con fecha de perdida de competencia S
6. Seguimiento mensual al cumplimiento del cronograma por parte del grupo de liquidaciones y pendientes
de la STEST, STESV, DTC y la SGI.
7. Reunión con el área financiera y jurídica, 10 meses antes de que el contrato pierda la
competencia en donde se evalúa la posibilidad de realizar la liquidación vía judicial o Unilateral
INTERVENTORÍA
DTC - STEST - STESV - SGI
Que las ESP, la SDM y 2. Futuras demandas por garantía Única de Cumplimiento. garantía Única de Cumplimiento.
otras entidades no parte de los contratistas e 2. Gestión cuando sea necesario de mesas de trabajo con las ESP para suscribir el acta de 3. Convenios Interadministrativos con las ESP. Número de contratos con
Elaborar y enviar a archivo la
Que no se suscriban el acta de interventores por la recibo de las obras. 4. Formato FOEO01 ACTA DE LIQUIDACION informes enviados de
constancia de archivo o cierre del
Insignificante
Recibo y
cumpla el recibo de activos en los demora en el saldo que se 3. Reuniones semanales con las ESP, entidades e interventoría. DE CONTRATO DE OBRA DE constancia de archivo o cierre
contrato o convenio
INFERIOR
INFERIOR
G.EO.09
Remota
Remota
término tiempos pactados para la debe cancelar contra acta 4. Aplicación de los convenios vigentes cuando sean necesarios. CONSTRUCCION
Ambos
del contrato / Número de
Menor
Liquidación de
establecido en liquidación. de liquidación. X X 5. Notas o glosas en el acta de liquidación del contrato, cuando no se pueda cerrar algún 5. Formato FOEO06 ACTA RECIBO Y 79
2
1
Proyectos de
el contrato y/o 3. Investigaciones por tramite con alguna ESP. 6. Verificar que existan las Actas de competencia suscritas con las LIQUIDACION INTERVENTORIA OBRA. contratos que no cumplieron
Construcción
la Ley, para parte de los organismos ESP, previo al inicio de la etapa de Construcción. 6. GUIN02 COORDINACION IDU ESP TIC el término establecido en el
liquidar. de control por la demora PROYECTOS INFRAESTRUCTURA contrato y/o la Ley para
en la liquidación de los TRANSPORTE
contratos.
liquidar x 100%
4. Perdida de potestad
para Liquidar el contrato.
5. Perdida de la
-INTERVENTORÍA
Por No aplicar desde la dificultando su liquidación. 2. Asistir cuando se presenten las capacitaciones talleres programados en el marco del
1. Actas de Reuniones de seguimiento
coordinación del contrato procedimiento de CAPACITACION Y ENTRENAMIENTO.
2. Procedimiento PRTH120 CAPACITACION Y Elaborar y enviar a archivo la
los mecanismos 3. Actualización del cronograma de pendientes por cada uno de los contratos y las fechas de
ENTRENAMIENTO.
contractuales para hacer perdida de competencia de los contratos en los que se indican las aletas.
3. Cronograma y pendientes consolidado de los constancia de archivo o cierre del
exigible los productos 4. Seguimiento mensual al cumplimiento del cronograma por parte del grupo de liquidaciones contrato o convenio
contratos, con fecha de perdida de competencia
pendientes para la de la STEST, STESV, DTC y la SGI.
y pendientes.
liquidación del mismo 5. Reunión con el área financiera y jurídica, 10 meses antes de que el contrato pierda la
competencia en donde se evalúa realizar la liquidación vía judicial o Unilateral.
EFECTO
VALOR
Procedimiento TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
INTERVENTORÍA
Que queden pasivos 1. Dar aplicación a los tiempos establecidos del manual de Interventoría y demás normatividad
1. Manual de Interventoría y/o Supervisión de
ambientales, que no se vigente que rige la parte ambiental con la atención de los pendientes y trámites, cuando se D
SGI - OTC -
contratos Elaborar y enviar a archivo la
cierren los permisos con presenten ( al finalizar el contrato).
el ICHAN y/o que 2. Dar aplicación al Procedimiento de gestión social en la etapa de construcción, definido y
2. Código de recursos Naturales.
constancia de archivo o cierre del E
3. Ley 99 de 1993
queden pendientes con la aplicado por la OTC, al finalizar el contrato. contrato o convenio
4. Código contencioso Administrativo.
comunidad requeridos 3. Seguimiento por parte de los profesionales de los componentes Ambiental, Social, SST,
5. Decreto 2041 de 2014.
R
para el cierre social. Forestal y a los contratos cada vez que sea necesario. I
E
S
G
O
S
EFECTO
VALOR
Procedimiento TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
STRT
Mal uso de las seguridad en la información, cada vez que sea necesario 1. Resolución 34217 de 2015 de Políticas de
contraseñas. 2. Política de Escritorio limpio y pantalla despejada que reglamenta, y el directorio activo que seguridad de la información.
aplica el control.
R
I
E
S
G
O
Por aplicación de S
ingeniería social.
STRT
1. Que se realicen comunicaciones e instrucciones, relacionadas políticas relacionadas con la 1. Resolución 34217 de 2015 de Políticas de
(manipulación de las
seguridad en la información, cada vez que sea necesario seguridad de la información.
personas para obtener
información)
DTC - STEST - STESV - STRF - STRH - STRT
Insignificante
Insignificante
Transmisión de institucionales
Probabilidad
físicos o recuperar dicha información así
INFERIOR
INFERIOR
Actividades información a través de (Confidencialidad)
I.EO.01
STRT
digitales que 1. Que se realicen comunicaciones e instrucciones, relacionadas políticas relacionadas con la 1. Resolución 34217 de 2015 de Políticas de
Baja
Administrativas canales de 2. Divulgación de 54 como solicitar a la STRT una
2
en oficina
generen
comunicaciones que información a terceras
seguridad en la información, cada vez que sea necesario seguridad de la información. presentados
lectura, copia, socialización para evitar que se
quedan abiertos partes o a personal no
modificación o
autorizado de accesos de personas ajenas
sustracción al proceso y verificar la
(Confidencialidad)
por personas
no pertinencia de iniciar las acciones
autorizadas. legales correspondientes
STESV
seguridad en la información, cada vez que sea necesario.
información o a los 2. Guía GUDO01 GUIA PARA LA GESTION
2. Archivar las actas y demás documentos de acuerdo a la guía para la gestión Documental de
documentos por parte de DOCUMENTAL
acuerdo a las tablas de retención vigentes, cada vez que sea generado un documento.
Visitantes 3. Tablas de retención documental
STESV
seguridad en la información, cada vez que sea necesario.
sitios no adecuados para 2. Guía GUDO01 GUIA PARA LA GESTION
2. Archivar las actas y demás documentos de acuerdo a la guía para la gestión Documental de
su almacenamiento y DOCUMENTAL
acuerdo a las tablas de retención vigentes, cada vez que sea generado un documento.
control. 3. Tablas de retención documental
DTC - STEST - STESV - STRF - STRH - STRT
Insignificante
1. Resolución 34217 de 2015 de Políticas de
Probabilidad
Manejo inadecuado de entes de control 1. Que se realicen comunicaciones e instrucciones, relacionadas políticas relacionadas con la recuperar dicha información así
INFERIOR
INFERIOR
Remota
Actividades Pérdida o seguridad de la información.
I.EO.02
los datos o información 2.Imposibilidad para seguridad en la información, cada vez que sea necesario. Número de casos
Baja
Administrativas alteración de 2. Guía GUDO01 GUIA PARA LA GESTION 54 como solicitar a la STRT una
2
1
en oficina información
por parte de los usuarios atender los trámites y/o 2. Archivar las actas y demás documentos de acuerdo a la guía para la gestión Documental de
DOCUMENTAL presentados
responsables. servicios ofrecidos a los acuerdo a las tablas de retención vigentes, cada vez que sea generado un documento. socialización para evitar que se
3. Tablas de retención documental
ciudadanos. de accesos de personas ajenas
(Disponibilidad + al proceso y verificar la
Integridad)
pertinencia de iniciar las acciones
legales correspondientes
EFECTO
VALOR
Procedimiento TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
STRT
los procedimientos de 1. Que se realicen comunicaciones e instrucciones, relacionadas políticas relacionadas con la
Resolución 34217 de 2015 de Políticas de Número de solicitudes
manejo de la información seguridad en la información, cada vez que sea necesario de accesos de personas ajenas E
DTC - STEST - STESV - STRF - STRH - STRT
Insignificante
Insignificante
inadecuado de
Probabilidad
Circular N. 16 de 2013, G
titulares de los datos socialización para evitar que se
STRT
INFERIOR
INFERIOR
parte de las personas 1. Que se realicen comunicaciones e instrucciones, relacionadas políticas relacionadas con la
Remota
Remota
Actividades la información
I.EO.03
1
información. nombre de la entidad realizadas a la STRT en el
en oficina los
4. Pérdida de al proceso S
ciudadanos o periodo x 100%
confidencialidad de la
de terceros.
información.
5. Pérdida de la integridad
STESV
Inadecuada gestión de seguridad en la información, cada vez que sea necesario. socialización para evitar que se
2. Guía GUDO01 GUIA PARA LA GESTION Número de solicitudes
los archivos físicos. 2. Archivar las actas y demás documentos de acuerdo a la guía para la gestión Documental de
DOCUMENTAL de accesos de personas ajenas
acuerdo a las tablas de retención vigentes, cada vez que sea generado un documento. realizadas a la STRT en el
3. Tablas de retención documental al proceso
periodo x 100%
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por
qué de los riesgos eliminados. (Adicional registre las observaciones que considere necearías): ÁREA NOMBRE CARGO FIRMA
Se actualiza el formato y se adicionan las columnas "Acciones de respuesta y/o
contingencia en caso de materialización" y la "formula del Indicador".
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O FÓRMULA DEL
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL CONTINGENCIA INDICADOR
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos) T
O
S
D
1. Contractualmente se encuentran establecidas las obligaciones en los aspectos técnico,
ambiental, social, SST, forestal, de maquinaria, vehículos y equipo, financiero, administrativo y
E
legal, tanto de contratista como de la interventoría, así mismo, los apremios y sanciones ante
eventuales incumplimientos. R
2. Cada contrato de obra cuenta con interventoría quien ejerce el control y seguimiento en cada I
uno de los aspectos mencionados.
3. En los comités de seguimiento al contrato que se realizan periódicamente, se hace control y
E
seguimiento a los temas de índole técnico, ambiental, forestal, SST, de maquinaria, vehículos y S
equipos, financiero, administrativo y legal. G
4. Mensualmente se cuenta con informe de la interventoría sobre el cumplimiento del contratista en O
la gestión de todos los componentes mencionados
5. A través de un informe de cierre ambiental se consolida la información en tal aspecto, se
S
determina el grado de cumplimiento y se define la existencia o no de pasivos ambientales.
6. Se adelantan mesas de trabajo con interventoría y/o contratista de obra, con el fin de
1. Que el contratista y la interventoría retroalimentar su gestión y sobre la adecuada elaboración de sus entregables.
incumplan la obligación de llevar a cabo las 7. El componente social - el control es a cargo de la OTC bajo el Procedimiento Gestión Social en
labores y gestión necesarias, adecuadas y etapa de Mantenimiento PRSC 10 y Guía de gestión social. Igualmente a través de informe y
suficientes para cada uno de los evaluación del mismo, aprobado éste se genera el respectivo cierre social.
componentes de los contratos durante el 8. Contractualmente se realizan comités de seguimiento al contrato de obra, que incluye recorridos
desarrollo de los mismos. a las obras objeto del mismo, con la participación del contratista, la interventoría y el IDU, lo que
permite detectar las debilidades o fallas que se puedan presentar y adoptar correctivos
oportunamente.
9. La DTM asigna a cada proyecto de conservación un equipo de apoyo a la supervisión
conformado por profesional por cada componente, quienes deben cumplir con lo establecido en el
Manual de Interventoría y Supervisión del IDU y demás documentos que le apliquen.
10. La interventoría debe apremiar e iniciar sanciones al contratista ante eventuales
incumplimientos.
11. El supervisor está facultado para apremiar e iniciar procesos sancionatorios a los contratistas
(Obra e Interventoría) cuando se detectan incumplimientos.
12. Con el aplicativo Zipa se da a conocer el estado del contrato lo que aporta para un mayor
control y gestión por todas las instancias que les compete conocer de dicho estado.
13. Los pliegos de condiciones y el contrato contemplan las obligaciones del contratista en materia
de recursos que debe disponer para la ejecución del contrato.
14. Contractualmente se contemplan apremios y multas al contratista ante incumplimiento a Pliego de condiciones y
cualquiera de las obligaciones contraídas incluidas las referentes a disponibilidad de recursos. contratos de obra e interventoría
15. El control directo lo ejerce la interventoría quien en cumplimiento de sus obligaciones
continuamente verifica el cumplimiento de las obligaciones del contratista en tal sentido.
16. Contractualmente se tienen establecidos los comités de seguimiento a las obras en los cuales Manual de interventoría y
participa el supervisor IDU, a través de los cuales se aborda el aspecto del cumplimiento del Supervisión del IDU
contrato en cuanto a la disponibilidad de recursos del contratista en obra.
17. En los informes semanales y mensuales de interventoría se exige la presentación de la Actas de Comités de
verificación por parte de la interventoría con respecto al cumplimiento del contrato. seguimiento al contrato y
2. Falta de recursos del contratista (en 18. Se cuenta con el Aplicativo para seguimiento de los proyectos Zipa en el que se dan alertas demás comités, mesas de
cuanto a personal, materiales, maquinaria y ante debilidades o desviaciones en el cumplimiento del contratista. trabajo y/o reuniones que se
equipo y financieros) para dar cumplimiento *Alta probabilidad de realicen
al contrato. reclamaciones a la Entidad por
parte de contratistas e Diseños elaborados y/o
interventores derivadas de las actualizados a través de los
inconsistencias, ambigüedades contratos de conservación
y demás problemas que
contengan los pliegos. Informes mensuales y
semanales de interventoría
*Inconvenientes durante el
desarrollo del contrato a causa Procedimiento PRGC06 -
de inconsistencias entre el Declaratoria de Incumplimiento
componente técnico de los para la Imposición de multa,
pliegos y los documentos cláusula penal., caducidad y /o
internos aplicables, lo que a su afectación de la garantía única 1. No. de contratos de
vez puede generar retrasos en de cumplimiento conservación (obra e
Que se genere la facturación o avance de interventoría) bajo control y
Director Técnico de Mantenimiento
La interventoría
Insignificante
MODERADO
INFERIOR
ambiental, durante la ejecución del Memorandos y/o correos por presunto
Remota
cumplimiento, adelantando las
G.CI.07
Ambos
Mayor
1
social y de culminación. retroalimentación entre áreas periodo evaluado / No. de
particularmente en el los casos que la
maquinaria, y/o profesionales de apoyo contratos de conservación
sentencia o resolución de sanción
vehículos y *Desgaste administrativo por el (obra e interventoría) bajo
contemple saldos a favor de la
equipos en el incremento de quejas y Guía de Gestión Social DU control y seguimiento a
entidad se verifica que se haga
desarrollo de los reclamos provenientes de la cargo de DTM para los
efectivo el respectivo cobro por el
contratos de comunidad. Normograma IDU, cuales se generaron
área competente.
conservación. específicamente el apremios por presunto
Formato: FO-AC-07 Versión: 3 *Ejecución de actividades Página 22 correspondiente al proceso de incumplimiento durante el
incompletas o no atendidas al infraestructura periodo evaluado*100
finalizar el contrato.
Manual único de control y
*Procesos administrativos seguimiento ambiental y SST
contra el IDU por parte de las del IDU
autoridades competentes.
Convenios con las ESP y Ley de
*Deterioro de la imagen Infraestructura
reclamaciones a la Entidad por
parte de contratistas e Diseños elaborados y/o
interventores derivadas de las actualizados a través de los
inconsistencias, ambigüedades contratos de conservación
y demás problemas que
contengan los pliegos. Informes mensuales y
semanales de interventoría
*Inconvenientes durante el
desarrollo del contrato a causa Procedimiento PRGC06 -
de inconsistencias entre el Declaratoria de Incumplimiento
componente técnico de los 19. Los pliegos de condiciones y el contrato de obra contemplan las obligaciones del contratista en para la Imposición de multa,
pliegos y los documentos lo relacionado con la calidad de las obras; de igual manera, el pliego de condiciones y el contrato cláusula penal., caducidad y /o
internos aplicables, lo que a su de interventoría establecen las obligaciones de ésta, relacionadas con la verificación del afectación de la garantía única 1. No. de contratos de
vez puede generar retrasos en cumplimiento de las especificaciones técnicas y de calidad, así como la adopción de procesos de cumplimiento conservación (obra e
Que se genere la facturación o avance de constructivos adecuados por parte del contratista de obra. interventoría) bajo control y
La interventoría
MODERADO
Insignificante
22. El Informe mensual de interventoría contiene lo referente a los ensayos de laboratorio afectación de la garantía única de
INFERIOR
ambiental, 3. Calidad deficiente de las obras de durante la ejecución del Memorandos y/o correos por presunto
Remota
G.CI.07
cumplimiento, adelantando las
Ambos
realizados con objeto de verificación de la calidad de las obras.
Mayor
forestal, SST, conservación lo que genera reprocesos y contrato y posterior a su electrónicos de incumplimiento durante el
Baja
Ejecución X 1 X 23. Es obligatorio presentar Planes de calidad de interventoría y contratista los que deben 76 acciones de competencia de la DTM,
1
social y de con ello posibles retrasos en el cronograma. culminación. retroalimentación entre áreas periodo evaluado / No. de
implementar en desarrollo del contrato y cuyo control está a cargo del interventor y supervisor particularmente en el los casos que la
maquinaria, y/o profesionales de apoyo contratos de conservación
según corresponda. sentencia o resolución de sanción
vehículos y *Desgaste administrativo por el (obra e interventoría) bajo
contemple saldos a favor de la
equipos en el incremento de quejas y Guía de Gestión Social DU control y seguimiento a
entidad se verifica que se haga
desarrollo de los reclamos provenientes de la cargo de DTM para los
efectivo el respectivo cobro por el
contratos de comunidad. Normograma IDU, cuales se generaron
área competente.
conservación. específicamente el apremios por presunto
*Ejecución de actividades correspondiente al proceso de incumplimiento durante el
incompletas o no atendidas al infraestructura periodo evaluado*100
finalizar el contrato.
Manual único de control y
*Procesos administrativos seguimiento ambiental y SST
contra el IDU por parte de las del IDU
4. Pliegos de condiciones con falencias o autoridades competentes. 24, La DTM retroalimenta en todos los componentes la versión preliminar del anexo técnico
deficiencias, particularmente relacionadas separable de los pliegos de condiciones y remite por correo electrónico los aportes a la DTP área Convenios con las ESP y Ley de
con contradicciones e inconsistencias entre *Deterioro de la imagen estructuradora de los proyectos de conservación. Infraestructura
los pliegos y demás documentos institucional. 25. Entre los coordinadores o profesionales de apoyo (DTM, STMSV, STMST) se retroalimentan
contractuales que se aplican en desarrollo conocimientos, experiencias y lecciones aprendidas con el fin de aplicarlas y para efectos de la Guía Coordinación IDU, ESP y
de los contratos (guías, manuales, otros). *Mayores tiempos y mayores retroalimentación a DTP. TIC en proyectos de
costos en los contratos. Infraestructura
Actas de Coordinación
Comunicaciones, oficios y
5. Diagnósticos, Estudios y diseños con 26. En la mayoría de los contratos de conservación se están realizando los diseños como parte del
correos electrónicos -
falencias o incompletos. objeto del contrato, los cuales cuentan con aprobación de la interventoría de conservación.
Memorandos ORFEO"
27. Entre los coordinadores o profesionales de apoyo (DTM, STMSV, STMST) se retroalimentan
6. El profesional de apoyo a la supervisión conocimientos, experiencias y lecciones aprendidas, entre otros, en los temas de normativa.
de contratos que ingresa a la DTM 28. La SGJ lidera en el IDU la actualización del normograma institucional por procesos, mínimo
desconoce el rol que debe ejercer, los dos (2) veces al año, con el fin de que todas la áreas revisen, actualicen y depuren lo propio en los
procedimientos del IDU o la normativa que casos que aplique. La DTM convoca los profesionales de cada Subdirección y por componente
aplique al momento de la ejecución del para aportar a este proceso.
contrato, esto debido a la falta de inducción 29. La DTM en conjunto con las subdirecciones realiza comités y reuniones de seguimiento a
en el puesto de trabajo. temas específicos, espacios en los que se retroalimenta la gestión del personal de apoyo a la
supervisión
30. Se tiene establecido como mecanismo, mesas de trabajo entre el IDU y la SDA, las ESP, el
Jardín Botánico y demás que se requiera, orientadas a coordinar y agilizar los trámites
relacionados con los temas de competencia de tales entidades.
31. Mediante oficios, cuando resulta necesario, se solicita a estas entidades agilizar la emisión de
los actos administrativos requeridos.
32. Durante la ejecución del contrato de obra se realizan comités interinstitucionales con las ESP
7. Que no se realice una adecuada en los que se llevan los temas a resolver.
coordinación interinstitucional con la 33. Se da aplicación a los convenios suscritos con ESP.
Autoridad ambiental, las ESP, la SDM , la 34. Se da aplicación a la Guía Coordinación IDU, ESP, TIC en proyectos de infraestructura.
CAR, el Jardín Botánico y demás entidades 35. En Comités de seguimiento entre IDU, interventor, contratista y con cada delegado designado
distritales y nacionales. por las ESP, se tratan los temas que surgen y que deben ser resueltos, lo cual se documenta
mediante actas y oficios.
Y/o 36. Mediante el seguimiento a las solicitudes efectuadas a estas empresas por el contratista, la
interventoría y el IDU a través del supervisor, cuando se detecta la necesidad de reiterar las
Que frente a la gestión realizada ante mismas o adelantar alguna gestión adicional para obtener los productos requeridos, se adelantan
éstas, por el IDU, contratista e interventoría, las acciones pertinentes.
se obtengan inadecuadas e inoportunas 37. En lo relacionado con temas de naturaleza ambiental, se tienen establecidas mesas de trabajo
respuestas, o demoras significativas en la periódicas y cuando se requiere, entre el IDU y la SDA, orientadas a coordinar y agilizar los
emisión de actos administrativos que se trámites de los temas ambientales para los contratos a cargo del área.
requieran por parte de tales empresas.
8. Falta de coordinación al interior del 28. Se realizan reuniones o mesas de trabajo por parte de la DTM, STMSV y STMST, donde se
equipo de apoyo y supervisor en el IDU y/o fortalecen los mecanismos de comunicación entre todos los coordinadores, lo que permite a unos y
desestimación por parte de los integrantes otros conocer y estar al tanto de la información relacionada con las obras y las directrices y
del mismo, respecto a la gestión relacionada lineamientos recibidos.
con alguno o algunos de los componentes 39. La DTM emite comunicaciones dando lineamientos respecto a la supervisión que ejerce sobre
que conforman la supervisión. los contratos a su cargo.
La interventoría
Insignificante
MODERADO
Frentes de obra ejecución de las obras que apruebe la interventoría; así mismo, esta establecido los apremios y Informes semanales de
INFERIOR
Moderado
desarrollo del mismo, e incluso durante el *Dar inicio al respectivo proceso por el contratista, con
Remota
abandonados por * Procesos sancionatorios o sanciones que se aplican por el interventor y en su defecto por la supervisión ante eventuales interventoría con reporte de
G.CI.08
Ambos
Ejecución y proceso de recibo de las obras por la sancionatorio ante la DTGC. solución de tal situación /
Baja
el contratista de aplicación de pólizas X 1 X incumplimientos al respecto. avance de ejecución. 84
1
Recibo interventoría, no se refleja la real capacidad *Una vez iniciado el proceso Frentes de obra
manera temporal 2. Seguimiento al cronograma de obra que hace la interventoría durante su desarrollo.
financiera y operativa del contratista sancionatorio y hasta la culminación abandonados o sin entrega
o definitiva. * Reclamaciones de la 3. El supervisor IDU hace seguimiento al cronograma de obra a través de los comités y con base Formato PRGC06 - Declaratoria
presentada en la propuesta. o cierre del mismo, atender las definitiva a la interventoría
comunidad. en los informes de interventoría, efectuando verificaciones mediante los recorridos de obra. de Incumplimiento para la
solicitudes de la DTGC en cuanto por parte del
Imposición de multa, cláusula
aporte de información y contratista*100
*No cumplimiento de metas penal., caducidad y /o afectación
documentación que requiera dicha
físicas previstas para de la garantía única de
área.
conservación. cumplimiento.
1. Obligación del contratista de responder por los daños que con objeto del contrato se causen a la
infraestructura de las ESP, los que deben estar cancelados para la expedición de los paz y salvos.
1. Que las ESP no expidan los paz y salvos. 2. Requerir al contratista e interventor para dirimir situaciones con las ESP, e igualmente a éstas
con el mismo fin.
3. A través del Comité interinstitucional de infraestructura de ESP se hace gestión al respecto
Pliego de condiciones.
4. Los pliegos de condiciones y los contratos de obra e interventoría, así como el Manual de
2. Que la SDM, JBB, SDA y demás Interventoría contienen las obligaciones del contratista e interventor que deben cumplir frente a las Contratos de obra e
entidades distritales que aplique no reciban obras que se ejecuten para las ESP y entidades distritales, a lo cual se hace seguimiento. interventoría.
Director Técnico de Mantenimiento
La interventoría
Insignificante
MODERADO
Que no se realice * Pasivos exigibles que pueden extinguió. dentro de términos
Probabilidad
INFERIOR
Remota
la liquidación en conllevar al castigo Manual de interventoría y/o *Consultar a DTGJ si procede algún establecidos en el contrato
G.CI.09
Posible
Menor
Recibo de obra y
el plazo presupuestal de la siguiente X 1 supervisión de contratos. 76 tipo de acción judicial frente al estado y/o la ley / No. contratos
1
liquidación
establecido en el vigencia. 6. Contractualmente en los contratos está establecido el procedimiento para atender controversias en el cual quedo el contrato. con vencimiento de
3. Que exista discrepancia entre las partes
contrato y/o la ley. y reclamaciones el cual se aplica cuando se requiere. Correos electrónicos y actas de *Elaborar Informe de archivo y cierre términos para liquidación
del contrato y se generen reclamaciones o
*Desgaste administrativo por 7. Existen comités técnicos para tratar de resolver las controversias que se generen, esto en forma reunión. del contrato y remitir el mismo a la en el periodo evaluado
controversias por eventos que durante la
eventuales demandas previa a la aplicación del procedimiento; de no solucionarse en esas instancias el IDU aplica dicho OCD, contratista, interventoría,
ejecución no se solucionaron o no fueron
Investigaciones. procedimiento. Procedimiento PRSC10 y aseguradora, SGI y DTGC.
expuestos por el contratista en dicha etapa
8. Reunión periódica de seguimiento a liquidaciones lideradas por la DTM y participación de Guía Social.
de ejecución.
STMSV-STMST a través de las cuales se abordan estos temas.
Guía Coordinación IDU, ESP y
TIC en proyectos de
Infraestructura
4. Diferencia en la interpretación jurídica de 9. Reunión periódica de seguimiento a liquidaciones liderada por la DTM y participación de STMSV-
las diferentes cláusulas de liquidación de los STMST en la que se tratan los asuntos de tal naturaleza que se presenten y puedan afectar el
contratos. avance en las liquidaciones.
1. La administración del patio actualmente se lleva a cabo por parte de personal de la DTM a través
de la cual se verifica que el manejo del material en el sitio de acopio sea acorde o lo requerido por
la autoridad ambiental; igualmente los contratistas e interventores deben de dar un manejo
1. No cumplir con los requerimientos *Informar a contratistas quienes
adecuado al material.
exigidos por entidades como la Secretaría Para la supervisión control producen material de fresado y a
2. El mantenimiento de las instalaciones del patio se realiza a través de la Subdirección Técnica
Distrital de Ambiente- SDA y la Secretaría manejo y operación de los sitios quienes requieren de dicho material.
de Recursos Físicos, área que a través de contratistas externos realiza actividades de recuperación
Distrital de Planeación- SDP. de almacenamiento transitorio *Dar instrucción a contratistas e
del cerramiento, limpieza de cunetas perimetrales, rocería, mantenimiento de baño portátil, e 1. No. de requerimientos
instalaciones eléctricas existentes. de pavimento asfáltico fresado interventores sobre suspensión de
de la autoridad ambiental
SATPAF. traslado del material de fresado al
Director Técnico de Mantenimiento
Insignificante
en el periodo evaluado
INFERIOR
INFERIOR
quien lo requiera directamente en el
Remota
El cierre definitivo *100
G.CI.10
Ambos
2. Proyecto de construir la Avenida ALO de *Multas pecuniarias al IDU por Comunicaciones dirigidas a la sitio que se produce.
Baja
Fresado-ejecución del patio de Occidente, teniendo en cuenta que el patio parte de la SDA. 5 4. El área realiza gestión ante las instancias competentes en el IDU con el fin de lograr una solución 76
2
1
SDA *Dar instrucción a contratistas e
fresado. está localizado en la zona de reserva vial definitiva a la ubicación del patio. interventores para que se acopie el
prevista para esa vía. 2. No. de PQRS atendidos
* Desaprovechamiento del Oficio de solicitud ante la material de fresado en el sitio que se
por el IDU en el período
material de fresado. alcaldía suscrito por la DTM. genere por el tiempo que permite la
evaluado / No. de PQRS
autoridad ambiental.
recibidas en el periodo
Memorandos, correos, actas u *Gestionar la devolución a la
evaluado*100
otros documentos que UAERMV del material dado en
Formato: FO-AC-07 Versión: 3 Página 24 evidencian la gestión realizada préstamo al IDU con objeto del
por la DTM contrato interadministrativo 944/2017,
mientras el mismo esté vigente.
Respuesta de atención a PQRS *Gestionar para obtener la reapertura
del patio.
patio de acopio.
período evaluado / No. de
Insignificante
Insignificante
en el periodo evaluado
INFERIOR
INFERIOR
quien lo requiera directamente en el
Remota
G.CI.10
El cierre definitivo *100
Ambos
*Multas pecuniarias al IDU por Comunicaciones dirigidas a la sitio que se produce.
Baja
Fresado-ejecución del patio de 5 76
1
parte de la SDA. SDA *Dar instrucción a contratistas e
fresado.
interventores para que se acopie el
2. No. de PQRS atendidos
* Desaprovechamiento del Oficio de solicitud ante la material de fresado en el sitio que se
por el IDU en el período
material de fresado. alcaldía suscrito por la DTM. genere por el tiempo que permite la
evaluado / No. de PQRS
autoridad ambiental.
recibidas en el periodo
Memorandos, correos, actas u *Gestionar la devolución a la
evaluado*100
3. El acopio temporal de material fresado es otros documentos que UAERMV del material dado en
5. Cada año, la DTM presenta ante la Alcaldía Local de Engativá solicitud de permiso para evidencian la gestión realizada préstamo al IDU con objeto del
una actividad restringida para adelantarse en
funcionar en horario restringido, esto con el fin de generar el mínimo impacto en el sector. por la DTM contrato interadministrativo 944/2017,
la zona en que está ubicado el patio.
mientras el mismo esté vigente.
Respuesta de atención a PQRS *Gestionar para obtener la reapertura
del patio.
4. Quejas y reclamos que presente la
ciudadanía porque el patio continúa en
6. Se atienden oportunamente los requerimientos que presenta la ciudadanía.
mismo sitio contrariando el deseo de la
comunidad que vive alrededor.
La interventoría
Insignificante
Incapacidad en la *Informar a IDIGER sobre la 1. No, de emergencias a
INFERIOR
INFERIOR
* Actas de comité, reunión,
Remota
G.CI.11
atención de una *Impacto negativo y deterioro incapacidad administrativa y/o nivel distrital atendidas por
Ambos
Menor
Atención de mesas de trabajo.
Baja
emergencia a de la imagen de la Entidad por X 1 X 72 operativa del IDU para atender a IDU / No. de emergencias
1
Emergencias 2. Documento PIRE que establece los lineamientos para atención de emergencias a nivel distrital.
nivel distrital por la no atención de la plenitud la emergencia presentada a nivel distrital requeridas
2. Que se presente una emergencia y la * Comunicaciones escritas.
parte del IDU. infraestructura a cargo del 3. Procedimiento operativo normalizado de respuesta a emergencias a nivel distrital según la naturaleza de esta. para atención del IDU*100
Documento PIRE que da los
DTM no cuente con contratos en ejecución, Instituto. *Procedimiento operativo
en consecuencia no disponga de recursos lineamientos para atención de
4. Ante una eventual emergencia que afecte el estado de las obras de infraestructura aseguradas, normalizado de respuesta a
para su atención. emergencias
*Pérdidas económicas. se aplicara por parte de la Entidad el procedimiento regular para atención de siniestros con cargo a emergencias a nivel distrital
la respectiva Póliza de seguros.
1. A cada contrato se asigna un supervisor, sin embargo no siempre éste permanece hasta la
liquidación del mismo, caso en el cual se suscribe el Acta de Cambio de Supervisor la que se
1. Gestión documental inadecuada por parte
debe acompañar de un informe del supervisor saliente con destino al supervisor entrante, en el que
del equipo de la supervisión y cambios de
se describa el estado del contrato. (Contratos en ejecución y contratos en liquidación).
supervisión sin la debida entrega de la * Atrasos en la liquidación del
2. El contratista e interventor tienen la obligación de salvaguardar la información de los contratos,
documentación del contrato. contrato. Manual de Interventoría y
según lo contenido en el componente adminisitrativo del Manual de Interventoría y supervisión de *Al momento de detectar el extravío o
* Investigaciones por parte de contratos. supervisión de contratos.
alteración del documento o
los entes de control.
Director Técnico de Mantenimiento
La interventoría
(físico o lógicos). 3. Capacitación y sensibilización a los usuarios del proceso sobre bloqueo de sesión y otros
Insignificante
altere la Fiscalía General de la Nación, esto seguimiento de la DTM 4
Probabilidad
INFERIOR
INFERIOR
que se traduce en cuidados y medidas orientadas evitar la pérdida de información. de supervisor.
Remota
Ejecución Recibo documentación e bajo los procedimientos establecidos que no han registrado
I.CI.01
Menor
Baja
de obra y información del 3. Espionaje dirigido a personal directivo o 5 X X 67 en la Entidad. alteración o extravío de la
1
técnico. imposibilidad para atender a Resolución 34217 de 2015 de
liquidación contrato (gestión *A quien se le extravió el documento información / No. de
tiempo los requerimientos de la políticas de seguridad de la
documental del o expediente o detectó la alteración contratos de conservación
4. Interpretación total o parcial de datos ciudadanía o los entes de información.
contrato) 4. Validación de entrega de los mensajes enviados. de la información, informa a su bajo control y seguimiento
(físicos o lógicos control.
superior inmediato. de DTM *100
Políticas y acciones
*Área supervisora informa a STRF
*Imposibilidad para atender los implementadas por la STRT
con el fin que ésta efectúe el
trámites y/o servicios ofrecidos 5. La STRT realiza anualmente un plan orientado a brindar un adecuado soporte de los sistemas que se reciben a través del
diagnóstico y demás acciones de su
a los ciudadanos y herramientas tecnológicas a ser utilizadas. correo interno
competencia.
5. Que las información de los contratos no (disponibilidad + integridad) 6. La documentación de los actuales contratos se digitaliza e incorpora en el respectivo expediente
sea incluida en las herramientas en el aplicativo Orfeo.
tecnológicas y aplicativos definidos por la 7. Con base en la información procedente de las interventorías, la DTM actualiza la información de
entidad. los contratos en el aplicativo SIAC y Zipa.
8. El contratista y la interventoría tienen la obligación de conservar y salvaguardar la información
del contrato.
Insignificante
de los datos presentadas por
Probabilidad
INFERIOR
INFERIOR
documental del inadecuado de la al respecto.
Remota
Remota
ciudadanos o terceros,
I.CI.02
proceso información
Afectación al buen nombre de x 5 x x Ley 1581 de 2012 76 debido a un manejo
1
1
Conservación de personal de los *Dependiendo del tipo de situación, si
la entidad inadecuado de la
infraestructura - ciudadanos o de ello amerita, se interpone la
información personal en la
DTM terceros. 2. Sensibilización a los usuarios del proceso sobre manejo de la información que se encuentra en correspondiente denuncia ante la
Inadecuada gestión de los archivos físicos. Pérdida de confidencialidad de DTM
archivos físicos. autoridad competente acorde a los
la información.
procedimientos y/o directrices que
tenga la entidad.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. Revisión y aprobación del líder del proceso y líderes operativos:
(Adicional registre las observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
Procedimiento / RIESGO
RIESGO DUEÑO CAUSAS TIPOS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO
Cód.
Una vez detectados daños en las 1- Vencimiento o disminución de la 1- El procedimiento PR-CI-03, establece la gestión que se
obras, no requerir al contratista por Líder grupo Seguimiento a pólizas vigencia de las garantías, sin que se actúe debe adelantar con los daños imputables al contratista,
los daños de su presunta Prof. Especializado 222-06 frente a los daños detectados. indicando la obligatoriedad del "requerimiento" y los
imputabilidad en contratos con póliza 2- Deterioro de la infraestructura vial y plazos para realizarlo.
Seguimiento a la de estabilidad vigente, incumpliendo espacio público por falta de 2- Las visitas de seguimiento son revisadas y firmadas por
Que se omita requerir al contratistas por los daños
INFERIOR
Moderado
estabilidad y el Art. 4 numeral 4 de la Ley recuperaciones oportunas. el líder del grupo quien, al evidenciar daños imputables al
R.CI.01
Remota
de su presunta imputabilidad, por falta de claridad
calidad de las 80/1993: "...verificar que ellos 3- Agravación del riesgo (aumento de X X contratista, controla que se realicé el respectivo
3
en la gestión, desconocimiento de los plazos y/u
obras con póliza cumplan con las condiciones de severidad del daño) por parte de la requerimiento y registra el radicado de ORFEO en una
olvido.
vigente calidad ofrecidas por los contratistas, entidad, argumentado por las base de seguimiento.
y promoverán las acciones de aseguradoras. 3- Se adoptó como indicador de gestión del área el número
responsabilidad contra éstos y sus 4- Mayor inversión de la entidad en la de requerimientos realizados a contratistas para los
garantes cuando dichas condiciones recuperación de los daños no tratados en contratos con daños imputables al contratista, lo que
no se cumplan." la vigencia de las pólizas. permite un mayor control.
Líder grupo Espacio Público
Prof. Universitario 219-03
INFERIOR
Falta de control de los titulares 2- Se realizan visitas aleatorias de inspección al espacio
R.CI.02
Remota
del espacio Ocupación indebida del espacio público y falta de 2- Generación de acciones policivas para
Menor
autorizados, para el uso del espacio X X público objeto del permiso de acuerdo con los plazos
2
público a cargo supervisión por parte del titular autorizado. la recuperación del espacio público.
público. autorizados.
de la entidad 3- Deterioro del espacio público.
3- Requerimientos por parte del IDU hacia el autorizado
4- Quejas por parte de la comunidad.
de usar el espacio público.
Líder grupo Licencias de Excavación
MODERADO
Expedición y parte de las ESP o particulares para 2- Pérdida de control de las 2- Revisión técnica de los documentos aportados por el
Moderado
R.CI.03
Posible
recibo de intervención de redes de servicios Documentos con información errada y/o no intervenciones. X X
solicitante (Solicitud de Licencia de Excavación, validez
9
Licencias de públicos, sin contar con la licencia de correspondientes a la solicitud efectuada. 3- Falta de recuperación o mala de documentos y firmas autorizadas)
Excavación excavación o el incumplimiento de la recuperación del espacio público. 3- Reporte a la Alcaldía Local correspondiente, como
misma. 4- Deterioro del espacio público y autoridad competente para la sanción por infracción
consecuente afectación de la movilidad. urbanística.
Líder grupo Monitoreo de Puentes
inspección a un paso elevado Que no se encuentre en el inventario de la Entidad oportunamente el mantenimiento de los
R.CI.04
Remota
Remota
Procedimiento / RIESGO
RIESGO DUEÑO CAUSAS TIPOS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO
Cód.
Aceptar productos que no cumplan desconocimiento del alcance del proyecto, falta de cumplimento de las especificaciones requisitos definidos para cada producto, en la Guía de
con los requisitos técnicos y experiencia u olvido, se omita exigir al técnicas y normatividad técnica vigente. Intervención de Urbanizadores vigente.
MODERADO
normativos definidos en la Guía de urbanizador, el cumplimiento de los requisitos 2- Expedir la constancia de recibo a 2- De manera aleatoria se realizan visitas a terreno para
R.CI.06
Posible
Intervención de
Menor
Intervención de Urbanizadores técnicos y normativos establecidos en la Guía de proyectos que no cumplen requisitos X X verificar el avance en la ejecución de los proyectos y
6
Urbanizadores
vigente y que son el soporte para la Intervención de Urbanizadores y/o terceros, para la técnicos, legales y normativos. cumplimiento de normatividad técnica vigente.
expedición de la constancia de aceptación de los productos correspondientes a las 3- Proyectos que ingresan al inventario 3- Llevar la trazabilidad de los conceptos de aceptación o
entrega y recibo de las áreas de cesión etapas de: estudios y diseños, ejecución de obras de espacio público, con problemas que devolución con observaciones de los productos de cada
y/o recibo de las obras. deben ser asumidos por el Distrito. proyecto, para lo cual se ha dispuesto de un link en la
página web del IDU en donde puede descargar el informe
respectivo.
Director Técnico de Administración de Infraestructura
Insignificante
Dirección de datos institucionales
INFERIOR
Acceso a los sistemas de información 4- Recuperación información a partir de medios de 3- Sensibilización sobre bloqueo de sesión, uso de
I.CI.01
Técnica de (Confidencialidad)
Baja
o a los documentos por personas no almacenamiento o procesamiento reciclados o X telefonía, uso de mensajería electrónica.
2
Administración 2- Divulgación de información a terceras
autorizadas desechados. 4- Sensibilización sobre devolución de equipos y
de Infraestructura partes o a personal no autorizado
5- Acceso no autorizado a los sistemas de realización de copias de seguridad.
(Confidencialidad)
información o a los documentos por parte de 5- Sensibilización sobre la importancia del cuidado de la
personal de mantenimiento locativo, aseo o información.
vigilancia. 6- Sensibilización sobre la importancia de atención
6- Visitantes desatendidos en las instalaciones de la oportuna de visitantes.
entidad.
Director Técnico de Administración de
INFERIOR
disposición.
I.CI.02
Técnica de sustracción no autorizada de 2- Disposición de documentos de oficina en sitios Fuga de información y/o uso indebido de
Menor
Baja
X 2- Almacenamiento de información según los lineamientos
4
Administración documentos archivados o datos no adecuados para su almacenamiento y control. datos institucionales (Confidencialidad)
vigentes.
de Infraestructura institucionales. 3- Acceso a los sistemas operativos o a las
3- Sensibilización sobre la necesidad de verificación del
aplicaciones por "puertas traseras" no controladas.
estado general de los computadores asignados.
Director Técnico de Administración de
de programas de cómputo o datos (físico o sesión, siempre que no se este utilizando el equipo.
I.CI.03
Imposibilidad de uso de los recursos 2- Pérdida o desabastecimiento de energía eléctrica 1- Valoración de posibles afectaciones por eventos
I.CI.04
Remota
Administración ciudadanía.
con sus objetivos. 3- Por destrucción de equipos, dispositivos, medios 2- Alternativas de trabajo sin usar equipos de cómputo.
de Infraestructura (Disponibilidad)
o instalaciones.
4- Daños accidentales en el edificio o áreas críticas.
EVALUACIÓN
IDENTIFICACIÓN ACCIONES ASOCIADAS AL CONTROL MONITOREO Y SEGUIMIENTO
RIESGO
EFECTO
VALOR
DESCRIPCIÓN
RIESGO
DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Insignificante
las obras con póliza (# de revisiones periódicas con
INFERIOR
elellíder
Art. del
4 numeral
grupo quien,
4 de laalLey
evidenciar daños imputables al
R.CI.01
Remota
vigente".
Ambos
muestra aleatoria realizadas / # de
contratista,
80/1993: "...verificar
controla que que
se ellos
realicé el respectivo 2- Oficios ORFEO de 87 3- Continuar con el procedimiento PR-CI-03.
1
requerimiento. revisiones periódicas con muestra
requerimiento
cumplan con las y registra
condiciones
el radicado
de de ORFEO en una 4- En caso de haberse cumplido el término de
3- Base de control y aleatoria programadas)
base
calidad
de seguimiento.
ofrecidas por los contratistas, prescripción, solicitar a DTP la priorización de los
seguimiento para visitas. daños con el fin de conservar la infraestructura
3-y promoverán
Se adoptó como las acciones
indicadorde de gestión del área el número 4- Reporte trimestral de
afectada.
de
responsabilidad
requerimientoscontra
realizados
éstosa ycontratistas
sus para los indicadores de la DTAI.
Responsables: Profesional de seguimiento, Líder de
contratos
garantescon cuando
dañosdichas
imputables
condiciones
al contratista, lo que grupo y Director Técnico.
permite
no se cumplan."
un mayor control.
Insignificante
(# de revisiones periódicas con
INFERIOR
2-Falta
Se realizan
de control
visitas
de los
aleatorias
titularesde inspección al espacio autoriza el uso del
R.CI.02
1- Formato FO-DO-25
Hoja de testigo y/o
Grupo de Licencia de excavación
referencia cruzada
1- Revisión calificada de la solicitud en la Oficina de 2- Formato FO-CI-02
Atención
Intervención
al Ciudadano.
del espacio público por V_5.0 Solicitud de 1- Realizar una nueva visita de verificación de
2-parte
Revisión
de lastécnica
ESP o particulares
de los documentos
para aportados por el Licencia de Excavación intervención.
(# de revisiones periódicas con
INFERIOR
R.CI.03
solicitante
intervención(Solicitud
de redesdedeLicencia
serviciosde Excavación, validez
Menor
de
públicos,
documentos
sin contar
y firmas
conautorizadas)
la licencia de obras autorizadas y urbanística
revisiones periódicas con muestra
3-excavación
Reporte a olaelAlcaldía
incumplimiento
Local correspondiente,
de la como contratadas por las ESP. aleatoria programadas)
Responsable: Profesional de seguimiento, Líder del
autoridad
misma. competente para la sanción por infracción 4- GUCI01 Anexo técnico grupo y Director Técnico.
urbanística. para la recuperación de
espacio público V_3.0.
5- Oficio a Alcaldías
Locales.
Grupo de Monitoreo de puentes
Remota
Ambos
06 V_1.0 Monitoreo de que tome las medidas que sean pertinentes. muestra aleatoria realizadas / # de
vehicular y/o peatonal que presente 60
2
2- Solicitar mediante memorando al área encargada del pasos elevados y a nivel 3- Informar de los daños a la DTE para que sea revisiones periódicas con muestra
un daño que pueda afectar la tanto vehiculares como incluido en el inventario de la entidad. aleatoria programadas)
inventario la actualización en la base de datos.
estabilidad de la estructura. peatonales. Responsable: Profesional de seguimiento, Líder del
grupo y Director Técnico.
información de ingreso de la base de datos del contratista 1- Realizar la evaluación de las causas por las cuales
1- Informe del contratista se reportó un menor valor.
versus las cifras reportadas por este.
Insignificante
2- Información de la base 2- Solicitar la diferencia de valor con los intereses (# de revisiones periódicas con
INFERIOR
2-NoVerificación
recibir el valor
de lareal
información
de reportada por el
R.CI.05
Remota
Supervisión de contratos 3- De ser necesario iniciar un proceso de aplicación revisiones periódicas con muestra
3-deRevisión
los parqueaderos.
y validación del informe presentado por el de multas y/o clausula pecuniaria. aleatoria programadas)
de concesión de
contratista. parqueaderos V_2.0 Responsable: Profesional de apoyo a la supervisión y
4- Solicitudes formales al contratista para aclaraciones de Director Técnico.
posibles desviaciones de las validaciones.
EVALUACIÓN
IDENTIFICACIÓN ACCIONES ASOCIADAS AL CONTROL MONITOREO Y SEGUIMIENTO
RIESGO
EFECTO
VALOR
DESCRIPCIÓN
RIESGO
DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Grupo de Urbanizadores
requisitos
Aceptar productos
definidos que
parano
cada
cumplan
producto, en la Guía de 2- Formato FO-CI-26 2- Informar al Urbanizador los requisitos técnicos,
Intervención
con los requisitos
de Urbanizadores
técnicos y vigente. Informe de visita de legales y normativos necesarios para poder emitir
Insignificante
(# de revisiones periódicas con
INFERIOR
2-normativos
De maneradefinidos
aleatoriaen
se la
realizan
Guía devisitas a terreno para inspección de obra
R.CI.06
Ambos
3- Formato FO-IDU-131 muestra aleatoria realizadas / # de
Baja
verificar
Intervención
el avance
de Urbanizadores
en la ejecución de los proyectos y 60 3- Solicitar al Urbanizador la realización de los
2
Acta de reunión revisiones periódicas con muestra
cumplimiento
vigente y que desonnormatividad
el soporte paratécnica
la vigente. 4- Oficio de aceptación ajustes o implementación de los correctivos,
aleatoria programadas)
3-expedición
Llevar la trazabilidad
de la constancia
de los
deconceptos de aceptación o y/o devolución con tendientes a cumplir con las especificaciones
devolución
entrega y recibo
con observaciones
de las áreas dedecesión
los productos de cada observaciones al técnicas, legales y normativas.
Urbanizador. Responsable: Profesional de seguimiento, Líder del
proyecto, para lo cual se ha dispuesto de un link en la 5- Formato FO-CI-58 grupo y Director Técnico.
página web del IDU en donde puede descargar el informe Estado actual del proyecto
respectivo.
Remota
Ambos
información. 2- Cambiar las claves de acceso a sistema y/o muestra aleatoria realizadas / # de
telefonía,
o a los documentos
uso de mensajería
por personas
electrónica.
no 74
1
Lectura, copia, modificación o 1- Cambiar las claves de acceso a sistema y/o (# de revisiones periódicas con
INFERIOR
Remota
Ambos
documentos archivados o datos seguridad de la 2- Informar al área competente del control. revisiones periódicas con muestra
vigentes. información. Responsable: Director Técnico. aleatoria programadas)
institucionales.
3- Sensibilización sobre la necesidad de verificación del
estado general de los computadores asignados.
Todos los servidores del área
Remota
Ambos
2015 de Políticas de 2- Cambiar las claves de acceso a sistema y/o muestra aleatoria realizadas / # de
3-Pérdida
Sensibilización
o alteración
sobre
de manejo
información
de la información verbal. 74
1
Insignificante
1-Imposibilidad
Valoración dedeposibles
uso de los
afectaciones
recursos por eventos
I.CI.04
Remota
Ambos
EFECTO
VALOR
Procedimento / TIPOS FÓRMULA DEL
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO Y/O CONTINGENCIA
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL INDICADOR N
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE
(De alertas y/o riesgos) T
MATERIALIZACIÓN O
S
PROFESIONAL OAP
lineamientos o ausencia de los mismos
el Procedimiento de Elaboración del anteproyecto de presupuesto.
* Manual Operativo de
modificaciones
% promedio ponderado de R
Programación y para orientar el gasto dentro de la Presupuesto Distrital. ejecución de metas plan I
MODERADO
Priorizacion deficiente 4. Socialización y aplicación de la Circular Conjunta SDP - SHD presupuestales.
Probabilidad
Seguimiento de programación presupuestal.. 1. Inadecuada planeación * Procedimiento de de desarrollo. (en relación
Moderado
Moderado
E
G.PE.01
Posible
ALTO
Inversión 3. Proyecciones no ajustadas al ciclo de presupuestal. Modificaciones a los recursos asignados a
OAP
Alta
incorporar en la X 1 X 5. Consulta del Estado de los proyectos misionales en el Sistema 75 de inversión es necesario la
12
S
9
vida del proyecto con estimaciones 2. Baja ejecución presupuestal presupuestales cada meta) / % promedio
programación de Gestion Integral de proyectos " ZIPA para determinar etapas aprobación de la SDH y SDP
Proyectos de
presupuestal
inexactas (plazo, alcance y/o de 3. Incumplimiento del Plan de
predecesoras.
* Formato de
3. La STPC ejecuta las
ponderado de programado G
Infraestructura. presupuesto), pretendiendo su Desarrollo. Programación de metas plan de O
6. Criterio de priorización determinado en el formato de modificaciones en el sistema
programación y ejecución dentro de la Presupuestal. desarrollo x 100
misma vigencia fiscal.
elaboracion del anteproyecto donde se definen los criterios para
* Formato de Ajuste en
STONE. S
dar prioridad al gasto.
4. Priorizar proyectos que no cuenten con centros de costo.
7. Aplicabilidad del procedimiento de Modificaciones
la culminación de etapas predecesoras * Listados de
Presupuestales para ajustes en la gestión.
dentro del ciclo de vida del proyecto. asistencia.
PROFESIONAL OAP
generando incumplimiento de
información necesaria seguimiento por parte de las personas encargadas de cada área, como mínimo una vez al año.
la circular de seguimiento.
MODERADO
MODERADO
para la programación involucradas (SEGPLAN). 2. Asignación de un par que funciona como back up para
Probabilidad
2. Retrasos en el proceso de * Listas de asistencia (# de cargues ejecutados) /
Moderado
Moderado
G.PE.06
Programación y y/o seguimiento del 2. Incumplimiento de plazos establecidos garantizar a ejecución de la actividad. Ajustar o completar la
Posible
programación y seguimiento de * ORFEO Gestión (# de cargues
OAP
Baja
Seguimiento de módulo de para el reporte por parte de las áreas. 3. Envío trimestral de memorando a las áreas responsables de 71 información requerida para el
6
la territorialización. Documental programados en
Inversión seguimiento de 3. Diferencias metodológicas de los reportar reporte en SEGPLAN.
3. No contar con informes de * Reportes del sistema SEGPLAN) x 100.
territorialización y/o software de información geográfica del 4. Verificación por parte del grupo de información geográfica de la
territorialización para brindar a
del módulo de Plan de IDU vs. SDP. base a la que acceden las áreas para construir el Shape, con el fin
la comunidad
Acción de SEGPLAN de ajustarlo desde su raíz a los requerimientos de la SDP.
Observaciones .
MODERADO
metodología sea insuficiente o no tenga la ocasionar sanciones Desempeño y/o al Comité
INFERIOR
3. Se realizan sensibilizaciones y capacitaciones cuando inicia un Estratégico dependencia programados
G.PE.10
Impacto
No definición de la competencia requerida. administrativas o disciplinarias. Directivo la alerta sobre la
Menor
Mayor
Plataforma ciclo para estructuración de la plataforma estratégica. Si el * Acto Administrativo para la vigencia / # total de
OAP
Baja
Baja
plataforma estratégica 3. Bajo compromiso de la alta dirección 2. Desorientación institucional. x 84 oportunidad en definir la
4
Estratégica proceso se apoya con un proveedor, éste realiza las de PE. planes de acción a
del Instituto para la ejecución del proceso de 3. Baja imagen institucional plataforma estratégica.
sensibilizaciones al equipo de la OAP que correspondan. * Registros de programar por vigencia *
estructuración de la planeación. 4. Impacto negativo en el 2. Si aplica se deberá
4. Los ejercicios de planeación estratégica se realizan Asistencia y 100
4. Cambios normativos que no sean desempeño institucional y informar a la OCD para
primeramente con el personal Directivo, El Comité Directivo y/o el senibilización.
coherentes y/o que su orientación desde misional investigación disciplinaria.
comité de GyD según corresponda realizan seguimiento a la * Plataforma
el nivel central distrtial no sea la adecuada
Planeación estratégica. estratégica
para su implementación.
5. frente a los cambios normativos continuos la OAP realiza la
actualización del normograma de forma peródica y realiza los
cambios que correspondan en el proceso de planeación
estratégica.
INFERIOR
Resolución 34217 de
Moderado
Posible
Ambos
Menor
PLANEACIÓN 2015 de Políticas de
OAP
Baja
relacionada con los Disposición de documentos de oficina en X Almacenamiento de información según los lineamientos vigentes. 70 para recuperar o reconstruir o alteración de la
9
4
ESTRATÉGICA sitios no adecuados para su Entrega de documentos a Archivo. seguridad de la
entregables del Imposibilidad para atender los la información. información del proceso de
almacenamiento y control. Política de Escritorios limpios. información.
proceso trámites y/o servicios ofrecidos planeación estrátégica
a los ciudadanos.
(Disponibilidad + Integridad)
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. Revisión y aprobación del líder del proceso y líderes operativos:
(Adicional registre las observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
Para la vigencia 2019 Se elimina el riesgo G.PE.02, G.PE.03, GPE.05, G.PE.09.
Se incluye el nuevo riesgo de G.PE.10 de Planeación estratégica.
Para los riesgos de seguridad de la información se realiza una consolidación en el riesgo IPE03. OAP ISAURO CABRERA VEGA JEFE DE OFICINA
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: INNOVACIÓN Y GESTIÓN DEL CONOCIMIENTO D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
Diciembre 13 de 2018 ÁREAS:
SGDU - DTE
E
V
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL
E MONITOREO Y SE
RIESGO RIESGO N
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR T
Cód.
MODERADO
oportuna toma de decisiones a nivel
Probabilidad
INFERIOR
Información 3. Si es por inconvenientes con la plataforma actualización de la base de datos de precios de
Remota
G.IC.01
institucional.
Posible
Menor
Menor
desactualizada de los 1.Diligenciar el formato FO-IC-01. reporte de elementos viales 1. FOIC01 Reporte de elementos viales objeto de la tecnológica, la DTE informará a las referencia programadas) x 100%
DTE 2. No entrega oportuna de la información x 5 x DTE contratación 87
2
sistemas asociados al relacionada con la infraestructura de la ciudad (vial, 3. Retraso tecnológico en el desarrollo objeto de la contratación y entregarlo a la DTE aprobado. dependencia encargadas, Oficina Asesora de
2. FOIC02 Reporte para la actualización de los
proceso 2. Recepción de los reportes mediante el formato FO-IC-02, en Comunicaciones - OAC y Subdirección 3. DIRECTORIO DE PROVEEDORES
espacio público y puentes), antes, durante y al de obras de infraestructura vial y forma periódica, para realizar el seguimiento a los proyectos de la
estudios diagnósticos diseños e intervenciones
finalizar los proyectos, por parte de las áreas espacio público 3. PRIC02 Actualización del Sistema de Información Técnica de Recursos Tecnológicos - STRT. (Número de actualizaciones realizadas del Directorio de
infraestructura y espacio publico de la ciudad que realiza el IDU y Geográfica 4. Si es por el no cumplimiento de funciones Proveedores) / (Numero de actualizaciones
ejecutoras y otras Entidades.
INNOVACIÓN Y GESTIÓN DEL CONOCIMIENTO
4.Inconvenientes en la etapa precontractual y 1. Aplicación de los directrices y lineamientos existentes para la 1. Documentación precontractual, lista de chequeo
preparación de la documentación precontractual y contractual para iniciar los procesos de selección y sus anexos.
contractual (Demoras en trámites, cambios
2. Aplicación de Manual de interventoría para los contratos 2. Plataforma ORFEO
documentales, cambios de directrices, asociados al proceso de Innovación y Gestión del Conocimiento. 3. Manual de Interventoría
incumplimientos contractuales) 3. Aplicación de Manual de gestión contractual 4. Manual de gestión contractual
Insignificante
Insignificante
escáner
Probabilidad
INFERIOR
INFERIOR
2. Divulgación de información a Publicaciones Oficina Asesora de 1. Si hay acceso de información por parte de
Remota
Remota
Acceso a los sistemas de
I.IC.01
1
3, Copia, modificación, sustracción o Directrices emitidas por la Subdirección Subdirección Técnica de Recursos
no autorizadas
eliminación documentos o información. Técnica de Recursos Tecnológicos. Tecnológicos STRT, elimine los permisos a los
3. Manejo inadecuado de los datos o información Sensibilización del uso adecuado de los datos o información
por parte de los usuarios responsables. por parte de los usuarios responsables. usuarios no autorizados. (Numero se socializaciones realizadas sobre manejo
2. Si no es posible el uso de los equipos de adecuado de software o hardware/Numero de
cómputo se realizará el reporte a las áreas socializaciones programadas) x 100%
responsables (Subdirección Técnica de
4. Manipulación por parte de terceros de equipos o Sensibilización a los usuarios del proceso sobre la utilización Recursos Tecnológicos STRT ó Subdirección
de programas de cómputo o datos. de equipos Técnica de Recursos Físicos STRF).
Probabilidad
INFERIOR
INFERIOR
Afectación al buen nombre de la
Remota
Remota
Procedimientos del proceso de Innovación y
I.IC.03
Menor
Menor
Manejo inadecuado de la Desconocimiento por parte de las personas, del entidad. Aplicación de los procedimientos del proceso de Innovación y
DTE x 5 x 2 DTE Gestión del conocimiento y documentos 87
2
información procedimiento del manejo de la información. Pérdida de confidencialidad e Gestión del conocimiento
asociados.
integridad de la información.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las
observaciones que considere necearías): Revisión y aprobación del líder del proceso y líderes operativos:
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
MATRIZ DE RIESGOS
DE ANÁLISIS: D
AÑO GESTION SOCIAL Y PARTICIPACION CIUDADANA PROCESO:
E
CÓDIGO PROCESO VERSIÓN FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/11/2018 ÁREAS:
OTC E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
E
RIESGO RIESGO
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O N
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL CONTINGENCIA
Producto
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo)
EN CASO DE MATERIALIZACIÓN
(De alertas y/o riesgos) T
PDD OBJ SI P/S P I Ri P I Rr O
S
Soportes de
Que el personal que atiende la queja por los canales Profesional
1. Capacitación permanente del personal de atención al Capactiación, listados
de atención dispuestos por la OTC no sea competente (coordinad D
ciudadano. de asistencia, actas de
para este fin or canales)
reunión E
R
Soportes de
Que no exista un adecuado análisis del requerimiento
Capacitación al personal de correspondencia y del área de
Profesional
Capacitación, listados
I
del ciudadano por parte del funcionario que recibe la (coordinad E
canales, en clasificación de los requerimientos ciudadanos de asistencia, actas de
queja inicialmente (Tipología de las solicitudes) or canales)
reunión S
G
Jefe de Oficina
MODERADO
MODERADO
Que se de una respuesta y/o Insatisfacción de la ciudadanía. Pro O
Moderado
Moderado
G.SC.01
ADMINISTRACIÓ Que el personal de atención al ciudadano no reciba Soportes de Acciones desde la figura del defensor del
Posible
atención deficiente, Investigación disciplinaria. Profesional bab No casos del Defensor del S
Baja
N Y POLÍTICAS actualización en los temas de interés de los X Revisiones periodicas del área de canales para actualizar la Capacitación, listados ciudadano para solucionar casos especificos
72
9
6
incompleta o no pertinente Pérdida de imagen del IDU. (coordinad ilida Ciudadano
DE CANALES ciudadanos referentes a los servicios que presta el información sobre tramites, servicios y avances de obra de asistencia, actas de solicitados por la ciudadanía
de acuerdo a la solicitud Reprocesos. or canales) d
IDU. reunión
Profesional
1. Encuestas de
1. Realización de encuestas de satisfacción a los ciudadanos (coordinad
satisfacción
Que el personal que atiende la solicitud no cuente con frente al servicio recibido por los encargados de responder a los or SyE)/
2. Informe de
la competencia, habilidad o actitud requerida requerimientos de la ciudadanía. Profesional
satisfacción
2. Entrenamiento a las personas que atienden a la ciudadanía. (coordinad
3.Capacitaciones
or canales)
Aplicativo para el
El sistema de gestión de PQR controla el termino de respuesta y Profesional
Que en el punto IDU no de trámite a un requerimiento seguimiento de
permite su seguimiento por parte de la interventoría y del (coordinad
del ciudadano. requerimiento
supervisor social del IDU para cada contrato. or canales)
ciudadanos
Jefe de Oficina
Insignificante
MODERADO
Correo electrónico,
INFERIOR
Correos desde la figura del Defensor del
Moderado
G.SC.02
Fallas en el proceso de comunicación interna entre las Insatisfacción de la ciudadanía. Solicitud de respuesta a las áreas competentes por diferentes Profesional
Remota
ADMINISTRACIÓ No responder en el tiempo
Posible
memorando, actas de Am Ciudadano al la dependencia responsable No. de correos con llamados de
N Y POLÍTICAS oportuno una queja o áreas del IDU. Investigación disciplinaria. X X medios /Técnico
87
9
1
reunión bos requiriendo responder el derecho de petición atención
DE CANALES reclamo Pérdida de imagen del IDU.
vencido
Informar al personal de Correspondencia y Recursos Tecnológicos Correo electrónico,
Que existan fallas en la plataforma Orfeo, afectando la Profesional
cada vez que hay una falla, con el procedimiento de soporte memorando, actas de
radicación y seguimiento de quejas. /Técnico
Técnico reunión
Desconocimiento de los espacios y derechos de la Espacios de formación, información y divulgación a los servidores
Profesional
ciudadania por parte de quienes representan a la de las áreas técnicas, contratistas e interventores sobre Actas de Reunión
(coordinad
entidad en los proyectos. (contratistas y áreas participación y servicio a la ciudadanía. Listados de asistencia
or canales)
ejecutoras) Asesoria permanente por parte de los profesionales sociales.
GUSC01_GESTION_S
Profesional
Que en los pliegos no esten definidos los requisitos de La Guia de gestión social para el desarrollo urbano sostenible da OCIAL_PARA_EL_DE
la gestión social de acuerdo con la etapa y magnitud los parametros para la construcción de los pliegos realizados por SARROLLO_URBANO
del proyecto. 1. Falta de legitimidad del IDU parte de los profesionales sociales acordes a cada proyecto. _SUSTENTABLE_V_1
frente a las comunidades .0.pdf
2. Bajos niveles de participación
Jefe de Oficina
Profesional
MODERADO
INFERIOR
GESTIÓN o fortalezcan espacios o de los proyectos, lo que Pro Si el coordinador social identifica el evento,
Moderado
Moderado
G.SC.03
Que las organizaciones sociales de cada territorio no Permanentemente se actualizan los directorios locales de
SOCIAL Y mecanismos de gestion repercute en el bajo control Directorios sociales bab este deberá informar a la interventoría para No de eventos reportados a las
Baja
Alta
estén identificadas 4 organizaciones, lidereres y ciudadania en general.
84
9
1
PARTICIPACION social y participación social a contratistas e ilida que requiera al contratista el cumplimiento interventorias.
CIUDADANA ciudadana en los proyectos interventores. d de las obligaciones contractuales.
de Desarrollo Urbano. 3. Aumento de PQRS por falta de
información o mala calidad de la
misma a la comunidad, sobre los 1. Ayudas de Memoria
proyectos IDU. 2. Actas de Reunión
3.
Profesional
No establecer canales efectivos de diálogo continuo La OTC participa, acompaña y promueve espacios de FOSC228_FORMATO
con los ciudadanos del área de influencia de los participación ciudadana en cada una de las localidades, mesas de _ DE_ ASISTENCIA_
proyectos dialogo, capacitaciones, seguimiento comites de participación IDU A REUNIONES CON
POBLACIONES Y O
ORGANIZACIONES
V_2.0.xlsx
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
DE ANÁLISIS: D
AÑO MATRIZ DE RIESGOS GESTION SOCIAL Y PARTICIPACION CIUDADANA PROCESO:
E
CÓDIGO PROCESO VERSIÓN FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/11/2018 ÁREAS:
OTC E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
E
RIESGO RIESGO
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O N
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR
Cód.
STRT
No bloquear la sesión de usuario cuando se
sesión.
abandona la estación de trabajo.
D
E
STRT
Sensibilización a los usuarios del proceso sobre uso de las
Mal uso de las contraseñas. R
contraseñas.
I
E
S
STRT
Por aplicación de ingeniería social. (manipulación de
las personas para obtener información) Fuga de información y/o uso
Sensibilización a los usuarios del proceso sobre ingeniería social. G
O
Jefe de Oficina
Insignificante
S
INFERIOR
Acceso a los sistemas de (Confidencialidad) Pro
Remota
Gestión Social y Mo Listados Asistencia, Informar a STRT para que tome las acciones
I.GS.01
ALTO
información o a los Baj bab No de Casos Aranda con resportes
Participación X der Flash, Publicaciones 87 en cuanto a protección de los sistemas de
12
STRT
Inadecuada aplicación del etiquetado de activos de
1
documentos por personas no Divulgación de información a a Revisión y aplicación de la marcación de información ilida de materialización
Ciudadana información. ado de sensibilización información.
autorizadas terceras partes o a personal no d
autorizado
(Confidencialidad)
STRT
Enlaces de comunicaciones que permanecen activos sensibilización a los usuarios del proceso sobre bloqueo de
al completar las transmisiones a través de las redes. sesión, uso de telefonía, uso de mensajería electrónica.
STRT
Sensibilización a los usuarios del proceso sobre devolución de
almacenamiento o procesamiento reciclados o
equipos.
desechados.
PROFESIONA
Ausencia o deficiencia en los procedimientos de Inclumplimiento legal (ley de Aplicación del Manual para la protección de datos personales
L
manejo de la información personal. protección de datos)
MODERADO
Insignificante
INFERIOR
Afectación al buen nombre de la
STRT
Desconocimiento de parte de las personas que
Remota
I.GS.04
Gestión Social y Manejo inadecuado de la Mo Sensibilización manejo de datos personales Denuncias y/o llamados de atención
manejan la información. entidad Pos Manual Protección de Am
Participación información personal de los X der 84 respecto del servidor que dio un mal manejo No de memorandos
1
ible Datos personales bos
Ciudadana ciudadanos o de terceros. ado de la información de la ciudadanía.
Pérdida de confidencialidad de la
información.
Pérdida de la integridad de la
información.
STRT
Inadecuada gestión de los archivos físicos. Listados físicos archivados o destruidos
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las Revisión y aprobación del líder del proceso y líderes operativos:
observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
Se eliminan dos riesgos de de Información (I.GS.02, I.GS.03) por no ser procedentes con as actividades del Proceso de Gestión social y Participación
Ciudadana. OTC LUCY MOLANO RODRIGUEZ JEFE DE OFICINA
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: Gestión Interinstitucional D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
Diciembre 10 de 2018 ÁREAS:
SGDU - SGI
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MON
RIESGO RIESGO E
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
MODERADO
Empresas de Servicios documentos y procedimientos para la gestión 2. Costos adicionales de 2. Manual de Interventoría y/o Supervisión
INFERIOR
Estructuración 3. Revisión de los convenios marco, acuerdos o actas de 2. Adelantar las gestiones con las
Moderado
con ESP enviados a la DG en el I
G.IN.01
Públicos, Entidades interinstitucional con las ESP, Entidades Publicas del los proyectos IDU. de Contratos.
Posible
Ambos
Menor
Propuestas de SGDU compromiso como documentos de referencia. SGDU entidades distritales y/o terceros, según
Baja
Públicas del Orden Orden Nacional, Departamental, Municipal, Distrital 3. Posible afectación de X 1 3. Manual de Gestión Contractual 64 trimestre E
4
Convenios o SGI 4. Designación de funcionarios con conocimiento en el tema SGI corresponda.
Nacional, Departamental, y/o privados. meta física. 4. Convenios, acuerdos o actas de / Total convenios con ESP en
Acuerdos
Municipal, Distrital y/o 3. Participación de funcionarios del IDU en las mesas 4. Reclamaciones de
relacionado con la coordinación interinstitucional.
compromiso suscritos
3. Gestionar acciones de modificación y/o
ejecución en el trimestre) * 100%
S
5. Actividades de coordinación con Entidades Públicas del suspensión del convenio suscrito, cuando G
Privados, asumiendo de negociación, mesas de trabajo internas y externas, contratistas o terceros 5. Actas de reunión y/o listas de asistencia.
Orden Nacional, Departamental, Municipal, Distrital, Empresas aplique.
responsabilidades más sin la experticia requerida o sin el poder de decisión 5. Requerimientos Entes
de Servicios Públicos y privados (reuniones, correspondencia,
6. Correos electrónicos y/o
4. Presentar un informe a la Alta Dirección.
O
allá del marco misional para la definición de los convenios, acuerdos o actas de Control. comunicaciones de Orfeo. S
etc.)
institucional. de compromiso.
MODERADO
obligaciones urbanísticas y/o acciones de mitigación terceros. Vial y Espacio Público a cargo de
INFERIOR
aplique para el cargas urbanísticas y/o cargo de terceros, en cumplimiento de los requisitos exigidos entidades distritales y/o terceros, según (No. de convenios con
Moderado
G.IN.02
Posible
Ambos
Menor
acompañamiento a acciones de mitigación a SGDU por el IDU. SGDU corresponda. cumplimiento de las cargas
Baja
distritales) con los proyectos del PDD vigente, a de las obras a cargo de X 1 3. Convenios, acuerdos, actos 55
4
la ejecución de ejecutar por terceros, en SGI 3. Seguimiento y reporte de la información relacionada con las SGI 3. Gestionar acciones de modificación y/o urbanísticas / Total de convenios
cargo del IDU. terceros. administrativos suscritos y/o documento
Cargas Urbanísticas el marco de los requisitos intervenciones a cargo de terceros, Entidades Públicas del suspensión del convenio suscrito, cuando en ejecución) *100%.
2. Fallas en la comunicación interna con entidades 3. Requerimientos Entes que aplique.
y/o acciones de exigidos por el IDU. Orden Nacional, Departamental, Municipal, Distrital y aplique.
distritales involucradas y/o terceros. de Control. 4. Resolución o acto administrativo emitido
mitigación a Cargo Empresas de Servicios Públicos. 4. Aplicar las garantías contractuales
por la SDP, SDM y demás entidades
de Terceros 4. Actividades de coordinación con Entidades Públicas del cuando se requiera.
distritales.
Orden Nacional, Departamental, Municipal, Distrital, Empresas 5. Presentar un informe a la Alta Dirección.
5. Actas de reunión y/o listas de asistencia.
de Servicios Públicos y privados (reuniones, correspondencia,
6. Correos electrónicos y/o
etc.)
comunicaciones de Orfeo.
MODERADO
proyectos Incumplimiento de los de competencia del IDU. 1. Aplicación de los convenios y/o acuerdos.
empresas involucradas en los proyectos. en Proyectos de Infraestructura de entidades distritales y/o terceros, según con ESP enviados a la SGDU en
Moderado
G.IN.03
desarrollados en el convenios o acuerdos 2. Requerimientos Entes 2. Mesas de decisión técnica, mesas de trabajo y/o comités de
Posible
Ambos
Menor
ALTO
SGDU 2. Falta de apropiación presupuestal por parte de las SGDU Transporte. corresponda. el trimestre / Total de convenios
Alta
6
SGI entidades y/o empresas para la ejecución de los SGI 2. Actas de reunión y/o listas de asistencia. 3. Gestionar acciones de modificación y/o con ESP en ejecución
convenios, acuerdos Empresas de Servicios 3. Mala imagen de la 3. Seguimiento a los convenios y/o acuerdos.
proyectos acorde a su competencia. 3. Correos electrónicos y/o suspensión del convenio suscrito, cuando programados en el trimestre) *
y/o actos Públicos. entidad
3. Cambio de políticas o directrices de la comunicaciones de Orfeo. aplique. 100%
administrativos.
Administración Distrital. 4. Convenios o acuerdos suscritos. 4. Aplicar las garantías contractuales
cuando se requiera.
5. Presentar un informe a la Alta Dirección.
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
Cód. RIESGO DUEÑO CAUSAS INHERENTE DESCRIPCIÓN DEL CONTROL - TRATAMIENTO RESIDUAL FÓRMULA DEL INDICADOR N
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN T
O
S
D
E
1. Sensibilización por parte de la STRT a los usuarios del
1. No bloquear la sesión de usuario cuando se
proceso sobre bloqueo de sesión. R
abandona la estación de trabajo. I
Existe bloqueo automático
2. Falta de control en el manejo de las contraseñas.
3. Por aplicación de ingeniería social. (manipulación
2. Sensibilización por parte de la STRT a los usuarios del E
proceso sobre uso de las contraseñas. S
de las personas para obtener información)
Manual políticas de seguridad de la información.
4. Inadecuada aplicación del etiquetado de activos de
3. Sensibilización por parte de la STRT a los usuarios del G
información.
5. Enlaces de comunicaciones que permanecen
proceso sobre ingeniería social. O
activos al completar las transmisiones a través de las
4. Revisión y aplicación de la marcación de información por S
1. Fuga de información y/o parte de los usuarios del proceso. 1. Desarrollar reuniones con el equipo de
Acceso a los sistemas de redes. (Comunicaciones entre personas sin mirar
uso indebido de datos 5. Sensibilización por parte de la STRT a los usuarios del profesionales de la SGDU y la SGI para
información o a los entorno)
institucionales proceso sobre bloqueo de sesión, uso de telefonía, uso de 1. Flash Informativos dar una solución pronta y definitiva.
MODERADO
documentos por personas 6. Utilización o extracción de información a partir de Reporte de número de casos
(Confidencialidad) mensajería electrónica. 2. Correos Electrónicos emitidos por la 2. Adelantar gestiones de soporte técnico
Moderado
no autorizadas que medios de almacenamiento o procesamiento presentados por acceso a los
Posible
Ambos
I.IN.01
Mayor
ALTO
SGDU
SGDU
Gestión 6. Sensibilización por parte de la STRT a los usuarios del STRT con la STRT.
Baja
SGI
SGI
conlleva a lectura, copia, reciclados o desechados (hojas reciclaje). X 75 sistemas información por
12
6
Interinstitucional 2. Divulgación de proceso sobre devolución de equipos. 3. Correos Electrónicos emitidos por la 3. Solicitar a la STRT la realización de
modificación o sustracción 7. Acceso no autorizado a los sistemas de personas no autorizadas,
información a terceras 7. Sensibilización por parte de la STRT a los usuarios del SGDU y la SGI sobre la aplicación de las auditorias informáticas para detectar
no autorizada de información o a los documentos por parte de personal asociados al proceso.
partes o a personal no proceso sobre cuidado de la información. políticas de seguridad de la información. deficiencias en los sistemas de
documentos archivados o de mantenimiento locativo, aseo o vigilancia.
autorizado 8. Sensibilización por parte de la STRT a los usuarios del información.
datos institucionales. 8. Visitantes atendidos o no atendidos en las
(Confidencialidad) proceso sobre atención de visitantes.
instalaciones de la entidad.
9. Pistas o registros de auditoria (físico o lógico) por parte de
9. No recolección de los documentos que se han
los usuarios del proceso.
enviado a impresión o escaneado.
10. Almacenamiento de información según los lineamientos
10. Disposición de documentos de oficina en sitios no
vigentes por parte de los usuarios del proceso.
adecuados para su almacenamiento y control.
11. Capacitación y sensibilización por parte de la STRT a los
11. Acceso a los sistemas operativos o a las
usuarios del proceso sobre verificación del estado actual de
aplicaciones por "puertas traseras" no controladas
los computadores asignados.
(correos falsos y software mal intencionado).
12. Capacitación y sensibilización por parte de la STRT a los
12. Uso de software ilegal o malicioso.
usuarios del proceso sobre instalación de software.
MODERADO
MODERADO
parte de los usuarios responsables. 1. Uso inadecuado e
Probabilidad
2. Capacitación y sensibilización por parte de la STRT a los STRT 2. Adelantar gestiones de soporte técnico Reporte de número de casos
Moderado
Moderado
2. Manipulación por parte de terceros de equipos o de indebido de la información
Posible
I.IN.02
SGDU
SGDU
Gestión Pérdida o alteración de usuarios del proceso sobre bloqueo de sesión. 3. Correos Electrónicos emitidos por la con la STRT. presentados por pérdida o
Baja
SGI
SGI
programas de cómputo o datos (físico o lógicos). en favor de terceros, X 79
6
Interinstitucional información 3. Capacitación y sensibilización por parte de la STRT a los SGDU y la SGI sobre la aplicación de las 3. Solicitar a la STRT la realización de alteración de información,
3. Espionaje dirigido a personal directivo o técnico. afectando a la entidad o a
usuarios del proceso sobre manejo de la información verbal. políticas de seguridad de la información. auditorias informáticas para detectar asociados al proceso.
4. Interceptación total o parcial de datos (físicos o un tercero.
4. Validación de entrega de los mensajes enviados por parte 4. Acuerdo de Confidencialidad de los deficiencias en los sistemas de
lógicos). Sacamos información del IDU
de los usuarios del proceso. documentos con reserva como las APP información.
INFERIOR
Moderado
la información por parte de los servidores públicos. titulares de los datos terceros. 2. Correos Electrónicos emitidos por la 2. Adelantar gestiones de soporte técnico Reporte de número de casos
Remota
Ambos
I.IN.03
Menor
SGDU
SGDU
Gestión Manejo inadecuado de la 3. Omisión intencional de los controles para el 3. Afectación al buen 3. Sensibilización por parte de la STRT a los usuarios del STRT con la STRT. presentados de manejo
Baja
SGI
SGI
X 79
6
2
Interinstitucional información de terceros. manejo de la información. nombre de la entidad proceso sobre los controles asociados al manejo de la 3. Correos Electrónicos emitidos por la 3. Solicitar a la STRT la realización de inadecuado de la información de
4. Inadecuada gestión de los archivos físicos y 4. Pérdida de información. SGDU y la SGI sobre la aplicación de las auditorias informáticas para detectar terceros, asociados al proceso.
digitales. confidencialidad de la 4. Sensibilización por parte de la STRT a los usuarios del políticas de seguridad de la información. deficiencias en los sistemas de
5. Presión o coacción de terceras partes para información. proceso sobre el manejo y gestión de archivo físicos y información.
modificar o publicar datos o información de terceros. 5. Pérdida de la integridad digitales.
de la información. 5. Revisión y seguimiento a los controles por parte de los
usuarios del proceso.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional Revisión y aprobación del líder del proceso y líderes operativos:
registre las observaciones que considere necearías): ÁREA NOMBRE CARGO FIRMA
EFECTO
TIPOS
VALOR
Procedimento / INHERENTE RESIDUAL ACCIONES DE RESPUESTA Y/O FÓRMULA DEL
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO
Cód.
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA INDICADOR
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo)
Producto EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
PDD OBJ SI P/S P I Ri P I Rr
PROFESIONALES OAC
MODERADO
NO INFORMAR LA
Probabilidad
INFERIOR
DESACREDITACION DE LA Atender las quejas o requerimientos y (# de solicitude de
G.CO.01
GESTION Y/O
Posible
Menor
Menor
COMUNICACIÓN ENTIDAD ANTE remitir la información solicitada, por informacion tramitadas / (# de
OAC
Baja
PROYECTOS DE LA X X 79
4
EXTERNA LACIUDADANIA, POSIBLES parte del prefesional del area solicitudes de informacion
ENTIDAD A LA
SANCIONES DISCIPLINARIAS responsable de la comunicación externa recibidas)*100
COMUNIDAD
NO CONTAR CON LOS RECURSOS 1. Se aplica el procedimiento y formato de anteproyecto de Procedimiento y formato de
NECESARIOS PARA EL PROCESO DE presupuesto en donde se identifican las diferentes necesidades anteproyecto de
COMUNICACIONES. para el proceso de comunicaciones. presupuesto
QUE VOCEROS NO AUTORIZADOS POR 1. En el manual de comunicaciones se encuentra definido quienes Manual de Comunicaciones
PARTE DE LA ENTIDAD, SUMINISTREN son los voceros para cada de las situaciones que se presenten. DU-CO-01 _V3.0
INFORMACIÓN YA SEAN SERVIDORES 2. La oficina asesora de comunicaciones realiza seguimiento a Formato SOLICITUDES DE
PUBLICOS O PERSONAL DE LOS cada una de las publicaciones o entrevistas que se dan a los INFORMACIÓN Y
PROFESIONALES OAC
CONTRATISTAS medios de comunicación. ENTREVISTAS EXTERNAS
MODERADO
DAR INFORMACION (# de requerimientos
Probabilidad
INFERIOR
DESACREDITACION DE LA Atender las quejas o requerimientos y
G.CO.02
Posible
Menor
Menor
COMUNICACIÓN ENTIDAD ANTE remitir la información corregida, por
OAC
Baja
DE LA GESTION Y/O X X X 71 información inexacta / (# de
4
EXTERNA LACIUDADANIA, POSIBLES parte del prefesional del area
PROYECTOS DE LA solicitudes de informacion
SANCIONES DISCIPLINARIAS responsable de la comunicación externa
ENTIDAD atendidas)*100
PROFESIONALES OAC
Formato FOCO01_ Se trata de sacar las piezas en la
MODERADO
ACTIVIDADES DEL IDU QUE ELABORACION_ DE_ medida de lo posible para la fecha (No. De piezas de
Probabilidad
INFERIOR
FALTA DE
Moderado
Moderado
G.CO.03
Remota
DEFICIENCIA EN LA PLANIFICACIÓN POR REQUIEREN DE 1. Existe el formato FOCO01_ ELABORACION_ DE_ ELEMENTOS_ solicitada, pero si el trafico no lo permite comunicación elaboradas /
COMUNICACIÓN OPORTUNIDAD EN LA
Baja
PARTE DE LAS ÁREAS AL MOMENTO DE DIVULGACION NO LOGREN X ELEMENTOS_ DE_DIVULGACION_ V_1.0.xls DE_DIVULGACION_ 84 o la complejidad de la pieza, saldrá en No. De piezas de
3
INTERNA COMUNICACION
REALIZAR LAS SOLCIITUDES. LOS RESULTADOS 2. Utilización del correo electrónico solIcitudesoac@idu.gov.co V_1.0.xls el momento que la oficina lo pueda comunicación
INTERNA
ESPERADOS Material de sencibilización hacer de acuerdo al volumen de trabajo solicitadas)*100
producido por la OAC existente.
1.
No bloquear la sesión de usuario cuando se
INTI06_USO_ADECUADO_DE_LOS_RECURSOS_DE_TI_V_1.0.
abandona la estación de trabajo.
pdf
Mal uso de
1.
las
INTI06_USO_ADECUADO_DE_LOS_RECURSOS_DE_TI_V_1.0.
contraseñas
pdf
.
PROFESIONALES OAC
Fuga de información y/o uso 2015
indebido de datos Adopción de Marco de
MODERADO
INFERIOR
Acceso a los sistemas
Moderado
Remota
(Confidencialidad) Seguridad de la Información
I.CO.01
Ambos
Menor
de información o a los Verificar los motivos del suceso y tomar
OAC
Baja
2
documentos por medidas para mejorar la seguridad
Divulgación de información a 2. Declaración de
personas no autorizadas
terceras partes o a personal no aplicabilidad.
Formato: FO-AC-07 Versión: 3 autorizado Página 37
(Confidencialidad) 3. Documentos específicos
descritos en el control
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: COMUNICACIONES
CÓDIGO PROCESO VERSIÓN
2019 FO-PE-06 Planeación Estratégica 5
12/21/2018 ÁREAS:
OAC
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL
RIESGO RIESGO
EFECTO
TIPOS
VALOR
Procedimento / INHERENTE RESIDUAL ACCIONES DE RESPUESTA Y/O FÓRMULA DEL
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO
Cód.
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA INDICADOR
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo)
Producto EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
PDD OBJ SI P/S P I Ri P I Rr
PROFESIONALES OAC
Fuga de información y/o uso 2015
■
indebido de datos Adopción de Marco de
INTI06_USO_ADECUADO_DE_LOS_RECURSOS_DE_TI_V_1.0.
MODERADO
institucionales Políticas de Control para
INFERIOR
Acceso a los sistemas pdf
Moderado
Remota
Canales de comunicaciones que permanecen (Confidencialidad) Seguridad de la Información
I.CO.01
Ambos
Menor
de información o a los ■ Plan de acción SGSI, piezas de información en medios virtuales Verificar los motivos del suceso y tomar
OAC
Baja
Comunicaciones activos al completar las transmisiones a través de X 42 No. de casos reportados
2
documentos por Mail Comunicaciones 9 de marzo de 2017, 11:37 - Seguridad de la medidas para mejorar la seguridad
las redes. Divulgación de información a 2. Declaración de
personas no autorizadas información es para ti
terceras partes o a personal no aplicabilidad.
Mail Comunicaciones 30 de marzo de 2017, 11:41 - Protege la
autorizado
información al hablar
(Confidencialidad) 3. Documentos específicos
descritos en el control
■INTI06_USO_ADECUADO_DE_LOS_RECURSOS_DE_TI_V_1.
0.pdf
Acceso no autorizado a los sistemas de ■Control centralizado para acceso a la red de datos por Directorio
información o a los documentos por parte de Activo, con asignación de roles en los computadores personales
terceros ■ Plan de acción SGSI, piezas de información en medios virtuales
Mail Comunicaciones 23 de marzo de 2017, 11:27 - Protege la
información física
PROFESIONALES OAC
Políticas de Control para
Lectura, copia, 1. Control centralizado para acceso a la red de datos por Seguridad de la Información
MODERADO
INFERIOR
modificación o Fuga de información y/o uso Directorio Activo, con asignación de roles en los computadores
Moderado
Remota
Acceso a los sistemas operativos o a las
I.CO.02
Ambos
Menor
sustracción no indebido de datos personales 2. Declaración de Verificar los motivos del suceso y tomar
OAC
Baja
Comunicaciones aplicaciones por "puertas traseras" no X 34 No. de casos reportados
2
autorizada de institucionales 2. Antivirus institucional Bitdefender, módulos cambiso de aplicabilidad. medidas para mejorar la seguridad
controladas.
documentos archivados (Confidencialidad) procesos, control de acceso web, protección de datos,
o datos institucionales. Antiphishing, control de dispositivos 3. Documentos específicos
descritos en el control
PROFESIONALES OAC
los requerimientos de la información es para ti 2015
ciudadanía o de los entes de Adopción de Marco de
control MODERADO Políticas de Control para
INFERIOR
Moderado
Remota
Seguridad de la Información
I.CO.03
Ambos
Menor
Pérdida o alteración de Verificar los motivos del suceso y tomar
OAC
Baja
2
información medidas para mejorar la seguridad
trámites y/o servicios ofrecidos 2. Declaración de
a los aplicabilidad.
PROFESIONALES OAC
los requerimientos de la 2015
ciudadanía o de los entes de Adopción de Marco de
MODERADO
control Políticas de Control para
FORMATO
INFERIOR
Moderado
PROCESO
Remota
Seguridad de la Información
I.CO.03
Ambos
FECHA DE IDENTIFICACIÓN
Menor
Pérdida o alteración de Verificar los motivos del suceso y tomar
OAC
Baja
AÑO
Comunicaciones MATRIZ DE RIESGOS
Imposibilidad para atender los X DE ANÁLISIS: 34 COMUNICACIONES No. de casos reportados
2
información medidas para mejorar la seguridad
CÓDIGO trámites y/o servicios ofrecidos
PROCESO VERSIÓN 2. Declaración de
2019 FO-PE-06
a los
Planeación Estratégica 5
12/21/2018 ÁREAS: aplicabilidad.
OAC
ciudadanos. 3. Documentos específicos ACCIONES ASOCIADAS AL
IDENTIFICACIÓN (Disponibilidad + Integridad) ANÁLISIS EVALUACIÓN descritos en el control CONTROL
RIESGO RIESGO
EFECTO
TIPOS
VALOR
Procedimento / INHERENTE RESIDUAL ACCIONES DE RESPUESTA Y/O FÓRMULA DEL
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO
Cód.
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA INDICADOR
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo)
Producto EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
PDD OBJ SI P/S P I Ri P I Rr
2. Declaración de
PROFESIONALES OAC
aplicabilidad.
MODERADO
Imposibilidad de uso de
Probabilidad
INFERIOR
Afectación en la prestación de Objetivo de Control A.11.2.2 Servicios de suministro (Declaración 3. Documentos específicos
Moderado
Moderado
Remota
los equipos de cómputo,
I.CO.04
Pérdida o desabastecimiento de energía eléctrica los servicios a los usuarios de Aplicabilidad) descritos en el control1. Usar los equipos propios mientras se
OAC
baja
Comunicaciones sistemas de información X 42 No. de casos reportados
3
regulada internos y a la ciudadanía. Memorando 20155260339143 de Gestión de Recursos Físicos Resolución IDU 34217 de subsana el hecho
y/o aplicaciones
(Disponibilidad) respecto al SGSI 2015
institucionales
Adopción de Marco de
Políticas de Control para
Seguridad de la Información
2. Declaración de
aplicabilidad.
3. Documentos específicos
descritos en el control
Daños accidentales en el edificio o áreas críticas Consultar con la STRF
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional Revisión y aprobación del líder del proceso y líderes operativos:
registre las observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
1. Teniendo en cuenta el plan de secibilización efectuada por la OAC para que el personal de las diferentes dependencias del IDU interioricen
los protocolos y los tiempos para efectuar las solicitudes de servicios, se ha logrado una reducción considerable de los casos en los cuales las OAC CARLOS ANDRES ESPEJO OSORIO JEFE OFICINA ASESORA
dependencias solictan servicios o productos sin la debida antelación, por lo cual se ha seducido la probabilidad de que estos casos se
presenten, por lo cual la calificación del riesgo R.CO.03 se redujo de alto a moderado
2. Se elimina del riesgo R-CO-01 del tercer cuadro de descripción del control el literal 3. Aplicación del procedimiento PR-CO-026 Medios de
Comunicación V1.0. y PR-CO-027 Canales de Información V1.0., al igual que de la columna de Documentos, lo anterior por encontrarse
derogados
3. Se actualiza en la columna de los documentos lo siguiente: Manual de Comunicaciones DU-CO-01 _V3.0
4. Se elimina del riesgo R-CO-03 el literal 1. Existe del procedimiento PR-CO-026 Medios de Comunicación V1.0. al igual que de la columna
de Documentos, lo anterior por encontrarse derogado
RIESGO
TIPOS RIESGO RESIDUAL
INHERENTE
EFECTO
VALOR
Procedimento / ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO
Cód.
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo)
Producto EN CASO DE MATERIALIZACIÓN
PDD OBJ SI P/S P I Ri P I Rr
OAP y Áreas ejecutoras a cargo de las etapas del ciclo de vida de los proyectos
1. Contrato y documentos
1. Establecimiento de obligaciones contractuales claras para las Interventorías en
del proceso de selección
cuanto a la elaboración de los cronogramas de seguimiento y la presentación de
1. El sistema ZIPA envía
informes semanales.
2. Correos electrónicos del comunicación informando el evento a
Sistema de Gestión los subdirectores y Directores
1. No conocer el estado real de 2. Implementación de un mecanismo de alertas electrónicas del Sistema de Gestión
Integral de Proyectos Técnicos de las dpeendencias
1. No recibir y/o recibir información errónea los proyectos Integral de Proyectos ZIPA, que informa al responsable de reportar el avance del
ZIPA técnicas del proyecto.
por parte de la Interventoría, lo cual no proyecto y al jefe inmediato cuando no se ha producido el reporte oportuno.
No registrar
permite reportar información de avance. 2. No generar en forma
información de 3. Plataforma Google 2. La supervisión del Proyecto debe
GESTIONAR DE oportuna acciones de mejora 3. Solicitud de ajuste de los reportes de desempeño a través del correo electrónico
manera oportuna y/o correo institucional y requerir a la Interventoría para
DTP, DTC, DTM
MANERA 2. Error humano del personal de las áreas para promover el cumplimiento institucional o el Sistema de Gestión Integral de Proyectos ZIPA.
MODERADO
registrar información Sistema ZIPA corrección de la información.
INTEGRAL LOS ejecutoras durante el ingreso de la de los proyectos
Moderado
G.GI.01
inexacta o
Posible
Ambos
Mayor
ALTO
PROYECTOS A información reportada por la Interventoría al 3. No identificar en forma 4. Realización de visitas periódicas a terreno por parte de las áreas a cargo de las
Baja
incompleta del X 2 X 4. Actas de visita o 67 3. En caso de configuración de
12
6
TRAVES DE LAS Sistema de Gestión Integral de Proyectos oportuna lecciones aprendidas etapas de construcción y conservación con el fin de corroborar la consistencia de la
desempeño de los registro en la bitácora incumplimiento contractual seguir el
ETAPAS DEL ZIPA. 4. Remitir información inexacta información reportada.
proyectos en el procedimiento de Sanciones.
CICLO DE VIDA como parte de las respuestas a
Sistema de Gestión 4. Registro fotográfico .....
EN ZIPA 3. Conocimiento insuficiente de la grupos de interés y/o entes de 5. Acompañamiento de la OAP a las áreas involucradas en las diferentes etapas del
Integral de cuando haya lugar 4. El área ejecutora solicita a la OAP
metodología de gestión de proyectos control que solicitan ciclo de vida de los proyectos.
Proyectos ZIPA la devolución de los informes a tráves
corporativa por parte del personal asignado información de los proyectos
5 y 6. Actas de reunión del sistema ZIPA.
en las áreas para consolidar los reportes. 5. No contar con información 6. Reforzamiento de conocimientos al personal sobre los diferentes aspectos de la
actualizada para la toma metodología de gestión de proyectos a través de iniciativas de capacitación.
5 y 6. Listas de asistencia 5. El área ejecutora realiza la
oportuna de decisiones
corrección de la información en el
7. Tablero de control publicado en el Sistema de Gestión Integral de Proyectos ZIPA
7. Sistema de Gestión sistema ZIPA.
que permite identificar claramente el estado de los proyectos que se encuentran en
Integral de Proyectos
el sistema.
ZIPA
Insignificante
Tener 1. Demoras y/o reprocesos al 1. Plan de actualización
INFERIOR
INFERIOR
LOS ACTIVOS 2. Mejoramiento, a través del desarrollo de
Impacto
G.GI.02
documentación del interior de la entidad 2. Acompañamiento de la OAP a las áreas involucradas en las diferentes etapas del documental del proceso 1. OAP junto con las áreas líderes del
Menor
DE nuevos módulos, del Sistema de Gestión
OAP
OAP
Baja
Baja
proceso no alineada X 2 x ciclo de vida de los proyectos. 2. Actas de reunión 56 proceso deben Ejecutar el plan de
2
DOCUMENTACI Integral de Proyectos ZIPA.
con la realidad 2. Incumplimiento de los actualización documental.
ON DEL
operativa del mismo objetivos del proceso 3. Reforzamiento de conocimientos al personal sobre los diferentes aspectos de la 3. Listas de asistencia
PROCESO Y EL 3. Necesidad de implementación gradual de
metodología de gestión de proyectos a través de iniciativas de capacitación.
BANCO DE la metodología de gestión de proyectos al
PROYECTOS interior de la entidad
RIESGO
TIPOS RIESGO RESIDUAL
INHERENTE
EFECTO
VALOR
Procedimento / ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO
Cód.
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo)
Producto EN CASO DE MATERIALIZACIÓN
PDD OBJ SI P/S P I Ri P I Rr
Insignificante
institucionales sistema
INFERIOR
INFERIOR
INTEGRAL LOS sistemas de
Remota
3. Recuperación información a partir de (Confidencialidad) Resolución 34217 de 2015
Ambos
I.GI.01
Menor
STRT
PROYECTOS A información o a los 4. Configuración y control de contraseñas (procesos TI).
OAP
Baja
medios de almacenamiento o procesamiento 2 X de Políticas de seguridad 70 2) Restauración de datos adulterados
1
TRAVES DE LAS documentos por
reciclados o desechados. 2. Divulgación de información a de la información.
ETAPAS DEL personas no 5. Gestión de Backups para personal que se retira o cambio de cargo.
terceras partes o a personal no 3) Reporte de incidente al ente de
CICLO DE VIDA autorizadas
4.Acceso no autorizado a los sistemas de autorizado control que corresponda
EN ZIPA 6. Gestión de Escritorios limpios, Bloqueo de las estaciones de trabajo. Archivo
información o a los documentos por parte de (Confidencialidad)
adecuado de la documentación.
personal de mantenimiento locativo, aseo o
vigilancia.
7. Cámaras de vigilancia.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. Revisión y aprobación del líder del proceso y líderes operativos:
(Adicional registre las observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
SUBDIRECTORA GENERAL
SGJ MARTHA LILIANA GONZÁLEZ MARTINEZ
JURÍDICA
SUBDIRECTOR GENERAL DE
SGI EDGAR FRANCISO URIBE RAMOS
INFRAESTRUCTURA
SUBDIRECTOR GENERAL DE
SGDU WILLIAM ORLANDO LUZARDO TRIANA
DESARROLLO URBANO
SUBDIRECTOR GENERAL DE
SGGC SALVADOR MENDOZA SUÁREZ
GESTIÓN CORPORATIVA
D
PROCESO:
E
FECHA DE SEGUIMIENTO:
E
V IDENTIFICACIÓN
MONITOREO Y SEGUIMIENTO
E
N
FÓRMULA DEL T
RIESGO INDICADOR O
Cód.
(Amenaza) (De alertas y/o S
riesgos)
D
E
R
I
E
S
G
O
S
No registrar
información de
(# de proyectos en
manera oportuna y/o
ZIPA sin
registrar información
información de
G.GI.01
inexacta o
avance en el
incompleta del
cuatrimestre / # de
desempeño de los
proyectos
proyectos en el
registrados en ZIPA)
Sistema de Gestión
*100
Integral de
Proyectos ZIPA
% Avance ejecutado
Tener del plan de
G.GI.02
documentación del actualización
proceso no alineada documental / %
con la realidad Avance planeado del
operativa del mismo plan de actualización
documental
D
PROCESO:
E
FECHA DE SEGUIMIENTO:
E
V IDENTIFICACIÓN
MONITOREO Y SEGUIMIENTO
E
N
FÓRMULA DEL T
RIESGO INDICADOR O
Cód.
(Amenaza) (De alertas y/o S
riesgos)
D
E
R
I
E
S
G
Acceso a los
sistemas de
No. De casos O
reportados de S
I.GI.01
información o a los
accesos no
documentos por
autorizados al
personas no
Sistema ZIPA
autorizadas
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados.
(Adicional registre las observaciones que considere necearias):
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: GESTIÓN CONTRACTUAL D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/6/2018 ÁREAS:
SGJ - DTPS - DTGC
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIEN
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
D
E
1. Publicación de la minuta definitiva para cada proceso de selección en los portales de 1. Minuta del contrato R
contratación pública CAV y SECOP. 2. Formatos de informe de gestión y 3. Acta de I
2. Existe proceso para entrega de la información y presentación de informe de gestión, acta de entrega y formato de Paz y Salvo E
entrega y formato de paz y salvo del personal que se retira o finaliza su contrato. (se debe 4. Informe de acompañamiento a comité de obra
anexar CD de la información). ……………..
S
3. Acompañamiento jurídico permanente a los diferentes comités de obra 1. FOGC10 lista chequeo verificación documental G
4. Plan de Contratación de PSP, Cargas de trabajo de contratación O
.......................................................................................... 2. PRGC05 Suscripción de contratos derivados de S
5. Lista Chequeo Verificación documental de Contratos. procesos de selección producto convocatoria
6. Aplicación del procedimiento para la Elaboración, suscripción, legalización de contratos publica
derivados de procesos de selección. 4. PRGC09 Elaboración y suscripción de
7. Aplicación del procedimiento para la elaboración y suscripción de convenios y contratos bajo convenios y contratos bajo la modalidad de
la modalidad de contratación directa por casuales distintas a PSP. contratación directa por casuales distintas a
8. Aplicación del Procedimiento para la modificación y suspensión a contratos estatales excepto PSPAG
1. Demora en el inicio y/o
1. Descentralización de la información producto de la PSP. 5. PRGC072 Modificación y suspensión a
ejecución de los contratos.
alta rotación del personal que elabora los contratos. ......................................................................................... contratos estatales excepto PSP.
2. Demora en los plazos de
Profesionales, Contratistas.
2. Los documentos recibidos de procesos selectivos o 9. En el contrato y sus documentos previos se expresan los requisitos y la documentación que ...............
ELABORAR, elaboración y entrega de los
de la dependencia ordenadora del gasto, se se exigen para su suscripción y legalización (cláusulas de perfeccionamiento y legalización). 1. Cláusula de perfeccionamiento y legalización en
SUSCRIBIR Y contratos y/o convenios
encuentran incompletos y/o presentan inconsistencia 10. El abogado asignado verifica y gestiona para que el proponente seleccionado realice la el contrato No. Solicitudes de tramite y/o
MODERADO
MODERADO
LEGALIZAR LOS Mayor tiempo en la 3. Atraso en el inicio y ejecución
Probabilidad
entre la etapa precontractual y contractual. entrega en las condiciones exigidas, en caso que no cumpla se le informará al supervisor del Memorandos - ORFEO modificación de contratos
Moderado
Moderado
G.GC.01
Posible
DTGC
3. Demoras en la entrega de la documentación por contrato de la novedad para que este proceda con las acciones pertinentes. 2. FO-GC-108 PRGC05 Suscripción de contratos 1. Elaborar o tramitar el contrato y/o modificaciones. elaboradas dentro de los tiempos
Baja
CONVENIOS legalización de los contratos Plan de Desarrollo Distrital. X 1 X 64
6
parte de los contratistas para la elaboración del 11. Aplicación de la FO-GC-108 Lista Chequeo Para Legalización De Contratos. derivados de procesos de selección producto 2. Revisar las causas que dieron origen a la demora. establecidos. / No. Total de
CON SUS y sus modificaciones 4.Obras y/o proyectos
contrato (UT y/o consorcios), la legalización 12. Aplicación del Procedimiento para la Elaboración, suscripción, legalización de contratos convocatoria publica. solicitudes de tramite y/o
MODIFICACIONE contractuales. inconclusos.
(garantías, anexos) y las modificaciones contractuales derivados de procesos de selección. 3. PRGC12 Contratación de prestación de modificación de contratos.
S 5. Demandas a la entidad.
. 13. Aplicación del Procedimiento para la contratación de prestación de servicios profesionales y servicios profesionales
6.Deterioro de la imagen de la
4. Demora en los plazos para la revisión y firma del los de apoyo a la gestión. 4. PRGC09 Elaboración y suscripción de
Entidad.
contrato y/o modificación por parte del ordenador del 14. Aplicación del procedimiento para la elaboración y suscripción de convenios y contratos bajo convenios y contratos bajo la modalidad de
7. Reclamaciones económicas
gasto y/o contratista. la modalidad de contratación directa por casuales distintas a PSP. contratación directa por casuales distintas a
de los contratistas.
15. Aplicación del Procedimiento para la modificación y suspensión a contratos estatales PSPAG.
excepto PSP. 5. PRGC072 Modificación y suspensión a
16. Infomes periodicos de seguimiento a garantías (DTGC) contratos estatales excepto PSP.
...................................................................................... ..................
17. La resolución de adjudicación en los procesos de selección, establece un plazo para la 1. Resolución de adjudicación.
suscripción del contrato a partir de la fecha de adjudicación del proceso. 2. FO-GC-108
18. Aplicación del procedimiento para la Elaboración, suscripción, legalización de contratos 3. PR-GC-09
derivados de procesos de selección. 4. PRGC05 Suscripción de contratos derivados de
19. Aplicación del procedimiento para la contratación de prestación de servicios profesionales y procesos de selección producto convocatoria
los de apoyo a la gestión. pública
20. Aplicación del Procedimiento para la elaboración y suscripción de convenios y contratos 5. PRGC12 Contratación de prestación de
bajo la modalidad de contratación directa por casuales distintas a PSP. servicios profesionales
21. Aplicación de Procedimiento para la modificación y suspensión a contratos estatales excepto 6. PRGC072 Modificación y suspensión a
PSP. contratos estatales excepto PSP.
1. Acciones populares
Profesionales, Contratistas.
EFECTUAR
2. Perjuicios económicos que
APOYO 1. Existe proceso para entrega de la información y presentación de informe de gestión, acta de
podrían terminar en demandas
JURÍDICO 1. Cambio y/o rotación del personal en las áreas entrega y formato de paz y salvo del personal que se retira o finaliza su contrato. (se debe 1. Formatos de informe de gestión y Acta de
MODERADO
MODERADO
Mayor tiempo en la 3. Vencimiento de las
Probabilidad
DURANTE LA involucradas. anexar CD de la información) entrega y formato de Paz y Salvo.
Moderado
Moderado
G.GC.02
proyección de actos actuaciones administrativas 1. Proyectar los actos administrativos N. de actos administrativos de
Posible
DTGC
EJECUCIÓN DE 2. Demora en la entrega y/o inconsistencia del 2. Acompañamiento jurídico permanente a los diferentes comités de obra. 2. Informe de acompañamiento a comité de obra"
Baja
administrativos relacionados dentro del término legal. X 1 X 76 correspondientes. sanción cierre. / Total de audiencias
9
6
LOS concepto técnico, y del documento de las etapas 3. Plan de Contratación de PSP" 3. PR-GC-06
con 4. Deterioro de la imagen de la programadas.
CONTRATOS Y precontractual, contractual, frente al desarrollo de los 4. Aplicación del procedimiento de declaratoria de incumplimiento para la imposición de multa, 4. PR-GC-105"
Sancionatorios - Liquidación Entidad.
CONVENIOS procedimientos administrativos. cláusula penal, caducidad y/o afectación de la garantía única de cumplimiento.
5. Reclamaciones económicas
CELEBRADOS 5. Aplicación del procedimiento para la liquidación de contratos y/o convenios."
de los contratistas.
POR EL IDU
Profesionales, Contratistas.
documentación que se debe publicar en cada etapa funcionarios y/o contratistas. ORFEO / Correos Electrónicos.
VERIFICAR LA del proceso de selección 2. Deterioro de la imagen de la
No publicación oportuna o
DTGC / DTPS
MODERADO
OPORTUNIDAD 2. Incumplimiento en los cronogramas de procesos de Entidad. Memorandos de instrucción jurídica
incompleta de la
Moderado
G.GC.03
EN LA selección. 3. Contravención a los principios ORFEO, Correo electrónico" 1. Realizar la publicación correspondiente Publicaciones realizadas en
Posible
Ambos
Mayor
ALTO
documentación
Baja
PUBLICACIÓN 3. Requisitos incompletos en el diligenciamiento de de transparencia, eficiencia, X 1 X X 68 2. Jornada de sensibilización sobre la términos legales. / Total de
12
6
precontractual y contractual electrónicos y/o memorandos de solicitud de restablecimiento del
EN LOS los formatos entregados por las áreas, solicitando honestidad, compromiso y Plataforma de correo electrónico institucional responsabilidad de las publicaciones publicaciones.
en el portal de contratación servicio en casos mayores
PORTALES DE publicaciones. diligencia en la contratación Plataforma ARANDA
pública SECOP. 3. Declarar la contingencia cuando el portal de contratación no esté disponible.
CONTRATACIÓN 4. Fallas en el acceso a la plataforma del Instituto o pública. Plataforma ORFEO
4. Informar a la mesa de ayuda de la plataforma SECOP.
fallos propios del portal de contratación pública. 4. Deterioro patrimonial para la Acto administrativo del reconocimiento de la
5. Verificación de la información que se debe publicar por parte del responsable del proceso
entidad. contingencia
(plieguista y evaluadores.
Correos electrónico a Colombia Compra Eficiente.
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: GESTIÓN CONTRACTUAL D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/6/2018 ÁREAS:
SGJ - DTPS - DTGC
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIEN
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Profesionales, Contratistas.
de la normatividad, en general, por parte de las áreas contractual. 1. Normograma R
1. Actualización y socialización semestral del Normograma como herramienta en la Entidad por
VERIFICAR LA ordenadoras del gasto 3. Investigaciones 2. Memorandos
parte de la SGJ. I
MODERADO
DOCUMENTACI 2. Incumplimiento inicial de la programación del Plan administrativas y/o judiciales en 3. Listas de asistencia"
INFERIOR
2. Acompañamiento a las áreas ordenadoras del gasto para el ajuste de todos los documentos
Moderado
E
G.GC.04
ON PARA LA Demoras en la revisión de Anual de Adquisiciones - PAA contra de los funcionarios y/o 4. "Cronogramas de las AOG Pliegos definitivos elaborados a
Posible
Ambos
Menor
DTPS
Baja
ELABORACION los documentos para la 3. Diferencias entre los documentos físicos de los contratistas de apoyo a la X 1 X 5. ORFEO" 67 1. Tramitar el proceso de selección tiempo. / total de solicitudes S
4
3. Seguimiento a los cronogramas por proceso.
DEL PROYECTO estructuración del proceso procesos versus la documentación digitalizada en la gestión. 6. "1. Listas de chequeo realizadas. G
4. Utilización de lista de chequeo de procesos de selección y formatos para traslado del
DE PLIEGO DE plataforma ORFEO (Incompletos y/o inconsistentes) 4. Demora en el inicio de los 3. Bitácora de los procesos"
CONDICIONES 4. Tramitomanía (Vo.Bo.'s y firmas) de los proyectos misionales.
expediente.
7. Manual de procedimientos O
5. Verificación de los tiempos establecidos en los procedimientos
documentos del proceso 5. Incumplimiento en los plazos S
de los procedimientos internos.
6. Dificultades para determinar el
equipo de trabajo de la DTPS
Profesionales, Contratistas.
(Observaciones y Aclaraciones) 3. Divulgación de procedimientos a través de la publicación en la Intranet.
2. Dificultades y/o errores en la 4. Aplicación de los procedimientos: 1. Carpeta de Proceso de Selección.
1. Estudios previos con inconsistencias en los
evaluación • PRGC01 Mínima cuantía contratación hasta el 10 de la menor cuantía 2. PRGC01 Mínima cuantía contratación hasta el
MODERADO
MODERADO
requerimientos técnicos
Probabilidad
ELABORACION 3. Declaratoria de Desierto del • PRGC02 Licitación publica 10 de la menor cuantía
Moderado
Moderado
G.GC.05
Posible
DTPS
DEL PROYECTO Deficiente elaboración de los Proceso • PRGC03 Selección abreviada menor cuantía 3. PRGC02 Licitación publica No. De procesos desiertos. / No.
Baja
financieros para la elaboración de los pliegos X 1 X X 67 2. Tramitar un nuevo proceso de selección con la
6
DE PLIEGO DE pliegos de condiciones 4. Reprocesos Administrativos • PRGC04 Concurso de méritos abierto o con precalificación 4. PRGC03 Selección abreviada menor cuantía Total de procesos tramitados.
3. Alta rotación de personal autorización del ordenador del gasto.
CONDICIONES 5. Inconvenientes en la • PRGC07 Selección abreviada subasta inversa. 5. PRGC04 Concurso de méritos abierto o con
4. Aplicación de Modelos de Pliegos de Condiciones
ejecución contractual. 5. Mesas de trabajo entre DTPS y áreas solicitantes para revisión de los estudios previos. precalificación
desactualizados o no aprobados
6. Investigaciones 6. Actualización de los modelos de pliegos tipo. 6. PRGC07 Selección abreviada subasta inversa
administrativas y judiciales en 7. Aprobación de los modelos de pliegos por Comité de Contratación.
contra de los funcionarios. 8. Publicación y socialización de los modelos de pliegos en la Intranet del IDU.
Profesionales, Contratistas.
3. Por aplicación de ingeniería social. (manipulación 1. Sensibilización a los usuarios del proceso sobre bloqueo de sesión.
de las personas para obtener información) Fuga de información y/o uso 2. Existe bloqueo automático
4. Inadecuada aplicación del etiquetado de activos de indebido de datos institucionales 3. Sensibilización a los usuarios del proceso sobre uso de las contraseñas.
DTGC / DTPS
MODERADO
INFERIOR
EVALUACION Acceso a los sistemas de información. (Confidencialidad) 4. Manual políticas de seguridad de la información."
Moderado
Remota
I.GC.01
Ambos
Menor
DE LOS información o a los 5. Recuperación de información a partir de medios de Baja 5. Sensibilización a los usuarios del proceso sobre ingeniería social. Manual políticas de seguridad de la información, No. De eventos reportados. / No.
X 1 X X 50 2. Informar a los organismos de control que
2
PROCESOS DE documentos por personas no almacenamiento o procesamiento reciclados o Divulgación de información a 6. Revisión y aplicación de la marcación de información Resolución 34217 de 2015. De eventos ocurridos.
correspondan.
SELECCIÓN autorizadas desechados. terceras partes o a personal no 7. Sensibilización a los usuarios del proceso sobre devolución de equipos.
6. Acceso no autorizado a los sistemas de información autorizado 8. Sensibilización a los usuarios del proceso sobre cuidado de la información.
o a los documentos por parte de personal de (Confidencialidad) 9. Sensibilización a los usuarios del proceso sobre atención de visitantes.
mantenimiento locativo, aseo o vigilancia.
7. Visitantes desatendidos en las instalaciones de la
entidad.
Profesionales, Contratistas.
1. No recolección de los documentos que se han
enviado a impresión o escaneado. 1. Sensibilización a los usuarios del proceso sobre cuidado de la información.
DTGC / DTPS
MODERADO
Probabilidad
INFERIOR
EVALUACION Lectura, copia, modificación 2. Disposición de documentos de oficina en sitios no 2. Almacenamiento de información según los lineamientos vigentes
Moderado
Moderado
Remota
I.GC.02
3
PROCESOS DE de documentos archivados o 3. Acceso a los sistemas operativos o a las de los computadores asignados. Resolución 34217 de 2015. De eventos ocurridos.
(Confidencialidad) correspondan.
SELECCIÓN datos institucionales. aplicaciones por "puertas traseras" no controladas. 4. Capacitación y sensibilización a los usuarios del proceso sobre instalación de software.
4. Uso de software ilegal o malicioso.
Profesionales, Contratistas.
1. Manejo inadecuado de los datos o información por
parte de los usuarios responsables.
DTGC / DTPS
Probabilidad
INFERIOR
INFERIOR
EVALUACION 2. Manipulación por parte de terceros de equipos o de Imposibilidad para atender los 1. Capacitación y sensibilización a los usuarios del proceso sobre bloqueo de sesión. No. de eventos en los que se
Moderado
Moderado
I.GC.03
Remota
Remota
DE LOS Pérdida o alteración de programas de cómputo o datos (físico o lógicos). trámites y/o servicios ofrecidos a 2. Sensibilización a los usuarios del proceso sobre manejo de la información verbal. Manual políticas de seguridad de la información, acudio a los activos de información.
X 1 X X 50 1. Recurrir a los Activos de Información.
3
3
PROCESOS DE información 3. Espionaje dirigido a personal directivo o técnico. los ciudadanos. 3. Validación de entrega de los mensajes enviados. Resolución 34217 de 2015. / Total de eventos ocurridos de
SELECCIÓN 4. Interceptación total o parcial de datos (físicos o (Disponibilidad + Integridad) pérdida o alteración de información.
lógicos).
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: GESTIÓN CONTRACTUAL D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/6/2018 ÁREAS:
SGJ - DTPS - DTGC
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIEN
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
D
ELABORAR, E
SUSCRIBIR Y
LEGALIZAR LOS
CONTRATOS Y R
Profesionales, Contratistas.
CONVENIOS
1. Por eventos naturales como temblor, tifón, I
CON SUS E
vendaval, o fenómeno metererológico.
DTGC / DTPS
INFERIOR
el plan de continuidad del negocio. S
INFERIOR
Imposibilidad de uso de los 2. Pérdida o desabastecimiento de energía eléctrica Afectación en la prestación de 1. Valoración de posibles afectaciones eventos naturales en la sede.
Moderado
I.GC.04
Remota
Remota
S
Ambos
Menor
equipos de cómputo, regulada los servicios a los usuarios 2. Alternativas de trabajo sin usar equipos de cómputo. Manual políticas de seguridad de la información,
X 1 X X 47 1. Aplicar el plan de continuidad del negocio / Total de eventos relacionados con G
2
sistemas de información y/o 3. Por destrucción de equipos, dispositivos, medios o internos y a la ciudadanía. 3. Defiinción de planes de contingencia para el proceso. Resolución 34217 de 2015.
ELABORACION la imposibilidad de uso de equipos O
aplicaciones institucionales instalaciones (Disponibilidad)
DEL PROYECTO de cómputo. S
4. Daños accidentales en el edificio o áreas críticas
DE PLIEGO DE
CONDICIONES
EVALUCION DE
LOS PROCESOS
DE SELECCIÓN
ELABORAR,
Inclumplimiento legal (ley de
SUSCRIBIR Y
protección de datos)
LEGALIZAR LOS
CONTRATOS Y
Profesionales, Contratistas.
Reclamaciones de los titulares
CONVENIOS 1. Ausencia o deficiencia en los procedimientos de
de los datos
CON SUS manejo de la información personal.
DTGC / DTPS
Probabilidad
INFERIOR
INFERIOR
Afectación al buen nombre de la
Moderado
Moderado
Remota
Remota
S
I.GC.05
Manejo inadecuado de la personal por parte de los responsables. 1. Ley 1581 de 2012 (Habeas Data) 1. Informar la novedad al área correspondiente.
entidad Manual políticas de seguridad de la información, No. De eventos reportados. / No.
información personal de los 3. Omisión intencional de los controles para el manejo X 1 X X 2. Sensibilización a los usuarios del proceso sobre manejo de la información personal. 47 2. Informar a los organismos de control que
3
Resolución 34217 de 2015. De eventos ocurridos.
ELABORACION ciudadanos o de terceros. de la información. correspondan.
Pérdida de confidencialidad de la
DEL PROYECTO 4. Inadecuada gestión de los archivos físicos.
información.
DE PLIEGO DE 5. Presión o coacción de terceras partes para
CONDICIONES modificar o publicar datos personales
Pérdida de la integridad de la
información.
EVALUCION DE
LOS PROCESOS
DE SELECCIÓN
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: GESTIÓN LEGAL D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12-Dec-18 ÁREAS:
SGJ - DTGJ
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr T
O
S
FUNCIONARIO-CONTRATISTA
No conocer la DTGJ de D
* Incumplimiento en los términos E
MODERADO
Recepción de forma oportuna las
Probabilidad
INFERIOR
que generan sanciones 1, Para ello se realiza seguimiento y trazabilidad en la plataforma Tomar las acciones jurídicas correspondientes para Número de solicitudes atendidas
G.GL.01
Posible
Menor
Menor
DTGJ
1. Indebida clasificación de la correspondencia disciplinarias de ORFEO, SIPROJ y registros en excel que se administran en el Plataforma ORFEO, remediar la violación de los terminos judiciales y por la DTGJ / Número de
Baja
análisis preliminar los diferentes despachos 5 X 56 R
4
radicada con destino a la DTGJ. área. SIPROJ. extrajudiciales, que se hayan dado por no haber solicitudes radicadas en el IDU *
y ejecución del judiciales y de los
proceso ciudadanos radicadas, en el
* No ejercer en debida forma la recibido la información oportunamente. 100%. I
defensa judicial
IDU. E
S
G
O
S
FUNCIONARIO-CONTRATISTA
1. Brindar capacitaciones a los nuevos contratistas en el manejo
de ORFEO con relación a las tablas de retención documental. Así
1. La rotación de contratistas afecta la memoria
MODERADO
MODERADO
Recepción de mismo verificar por parte de la DTGJ la entrega del informe final * Formato de Paz y
Probabilidad
No recibir los suficientes técnica. 2. El abogado deberá gestionar personalmente con el
G.GL.02
información, * Fallos desfavorables al IDU con su respectivo backup y acta de entrega. Salvo debidamente Número de solicitudes atendidas /
Posible
Menor
Menor
DTGJ
insumos técnicos para Deficiencia de insumos para contestar la demanda por área técnica para conseguir los insumos necesarios
Alta
análisis preliminar * Condenas para la Entidad 5 X 2. Solicitud de información a través de la plataforma de ORFEO, o diligenciado * 63 Número de solicitudes realizadas
6
ejercer una defensa idónea falta de verificación y pronunciamiento de los hechos y no dejar vencer el termino realizando mesas de
y ejecución del Acciones de Repetición. en ocasiones realizar reuniones de trabajo para solicitar y aclarar Memorando ORFEO por la DTGJ * 100%.
de la entidad. enunciados en la demanda por parte de las áreas trabajo.
proceso sobre la información requerida. * Actas de reunion
técnicas.
3. Informar a la OCI las solicitudes de requerimiento de
antecedentes.
FUNCIONARIO-
CONTRATISTA
MODERADO
Recepción de 1. Insuficiencia de personal y/o alta rotación de * Perdida de memoria contratación de apoyo a la gestión.
INFERIOR
* Plan de Contratación Número de procesos con
Moderado
G.GL.03
información, personal. institucional 2. Solicitar a la SGGC, la priorización de la contratación para la Se asignan los procesos al personal de planta y se
Posible
Ambos
Menor
DTGJ
Baja
análisis preliminar 2. Asignación insuficiente de recursos financieros para * Fallos desfavorables al IDU por 5 X defensa judicial de la entidad. 64 solicita a SGGC dar prioridad con la contratación de
4
Judicial del IDU de los apoderados procesos notificados a la entidad *
y ejecución del la contratación de abogados que ejerzan la no contar con la continuidad y 3. Plan de contratación de apoyo a la gestión. Presupuesto anual. la DTGJ.
* Minuta del Contrato 100%.
proceso Representación Judicial. dedicación de los procesos 4. El vencimiento de los contratos de prestación de servicios de
los abogados se programa para coincidir con la vacancia judicial.
FUNCIONARIO-
CONTRATISTA
MODERADO
Recepción de * Guia pagos a
Probabilidad
INFERIOR
1. Aplicación del procedimiento "Cumplimiento de Sentencias y Adelantar las acciones inmediatas para proceder con Número de casos en los que se
G.GL.05
Remota
información, Demora en el pago de las * Pago de intereses terceros
Posible
Menor
Menor
DTGJ
MASC" y de la guia de pagos a terceros. el pago incluido los intereses de la sentencia excedió el término para el pago de
análisis preliminar sentencias proferidas en Trámites dispendiosos al interior de la entidad. *Posible incidente de desacato X 5 X * Procedimiento 84
2
2. Informar al área responsable cuando el pago no se genere en la impuesta, e informar a la OCD para que inicia las sentencias / Número de pagos
y ejecución del contra de la entidad *Repetición Cumplimiento de
DTGJ. investigaciones pertinentes. realizados por la entidad * 100%.
proceso Sentencias y MASC
FUNCIONARIO-
CONTRATISTA
Actualización del Continúas caídas de la red que impiden ingresar al
MODERADO
MODERADO
Desactualizacion del sistema Número de procesos
Probabilidad
Sistema de aplicativo SIPROJ, perjudicando la ejecución normal 1. Comunicar a la mesa de ayuda para solicitar asistencia técnica
G.GL.06
de información SIPROJ, * Plataforma Google Observación por parte del supervisor del contrato o desactualziados en el SIPROJ /
Posible
Menor
Menor
DTGJ
Información de de las actividades. * Investigaciones disciplinarias de las personas de Helpdesk (mesa de servicio).
Alta
incumpliendo con el Decreto 5 X X App 52 jefe del área al apoderado, exigiendo el cumplimiento Número de procesos de la entidad
6
Procesos * Hallazgos Contraloría. 2. Revisión periódica de la actualización de los procesos en el
654 de 2011 Articulo 110 de * Aranda. de la obligación contractual. que se controlan por el SIPROJ *
Judiciales No cumplimiento de los terminos para la actualización aplicativo SIPROJ.
la Alcaldia Mayor de Bogotá. 100%..
SIPROJ del SIPROJ.
1. Falta de control por parte de los abogados en la 1. Comunicación por parte de Tesoreria de la fecha efectiva del
Reporte a la Procuraduría General de la Nación a
MODERADO
MODERADO
Inicio de acciones trazabilidad dada al trámite de pago. pago.
Probabilidad
ABOGADO
Control Interno Disciplinario y Consejo Superior de la Número de acciones de repetición
Moderado
Moderado
G.GL.07
judiciales por 2. Dificultad para la consecución de los antecedentes 2. Ingreso al aplicativo SIPROJ de los documentos relacionados * Actas de Comité.
Posible
DTGJ
Caducidad en las Acciones * Investigaciones disciplinarias y judicatura. Y mantener estricto Control de los pagos caducas / Número de procesos en
Baja
soliictud del para el estudio de la demanda. 5 X 9 con el pago e información vía correo electronico al abogado a * Plataforma Google 52
6
de Repetición fiscales realizados frente a las fichas presentadas para la los que se decidió inicar acción de
Comité de 3. No presentar la demanda en el término legal cargo. App.
toma de decisión de iniciar o no la acción de repetición * 100%.
Conciliación establecido. 3. Seguimiento de los pagos realizados por parte de los
repetición./ Reporte a Control disciplinario.
apoderados de la DTGJ.
1. No bloquear la sesión de usuario cuando se
abandona la estación de trabajo.
1. Sensibilización a los usuarios del proceso sobre bloqueo de
2.Mal uso de las contraseñas.
sesión. Existe bloqueo automático?
3. Por aplicación de ingeniería social. (manipulación
2. Sensibilización a los usuarios del proceso sobre uso de las
de las personas para obtener información)
contraseñas. Manual polítcas de seguridad de la información?
4. Inadecuada aplicación del etiquetado de activos de Fuga de información y/o uso
3. Sensibilización a los usuarios del proceso sobre ingeniería
información. indebido de datos institucionales Modificar las claves de accesibildiad y si es por
Insignificante
social. Resolución IDU 34217
Probabilidad
INFERIOR
INFERIOR
Acceso a los sistemas de 5. Enlaces de comunicaciones que permanecen (Confidencialidad) responsabilidad del funcionario o contratista reporte
Remota
Remota
4. Revisión y aplicación de la marcación de información de 2015 de Políticas Número de procesos accesados sin
I.GL.01
Menor
DTGJ
STRT
información o a los activos al completar las transmisiones a través de las a las autoridades competentes. Concientizar a los
GESTION LEGAL 5 X X 5. sensibilización a los usuarios del proceso sobre bloqueo de de seguridad de la 66 consentimiento / Número de
2
1
documentos por personas no redes. Divulgación de información a apoderados de la imposiblidad de compartir sus
sesión, uso de telefonía, uso de mensajería electrónica. información. procesos totales * 100%.
autorizadas 6. Recuperación información a partir de medios de terceras partes o a personal no contraseñas o documentos para evitar el acceso a
6. Sensibilización a los usuarios del proceso sobre devolución de (Correos electrónicos)
almacenamiento o procesamiento reciclados o autorizado los sistemas y a la información.
equipos.
desechados. (Confidencialidad)
7. Sensibilización a los usuarios del proceso sobre cuidado de la
7. Acceso no autorizado a los sistemas de información
información.
o a los documentos por parte de personal de
8. Sensibilización a los usuarios del proceso sobre cuidado de la
mantenimiento locativo, aseo o vigilancia.
información.
8. Visitantes desatendidos en las instalaciones de la
entidad.
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: GESTIÓN LEGAL D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12-Dec-18 ÁREAS:
SGJ - DTGJ
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Insignificante
enviado a impresión o escaneado. 2. Almacenamiento de información según los lineamientos Modificar las claves de accesibilidad y si es por
Probabilidad
INFERIOR
INFERIOR
Lectura, copia, modificación seguridad de la
Remota
Remota
2. Disposición de documentos de oficina en sitios no Fuga de información y/o uso vigentes negligencia del funcionario o contratista reporte a las Número de procesos accesados sin E
I.GL.02
Menor
DTGJ
STRT
o sustracción no autorizada información
GESTION LEGAL adecuados para su almacenamiento y control. indebido de datos institucionales 5 X 3. Sensibilización a los usuarios del proceso sobre verificación del 66 autoridades competentes. Concentizar a los consentimiento / Número procesos
1
de documentos archivados o Correos electrónicos
3. Acceso a los sistemas operativos o a las (Confidencialidad) estado actual de los computadores asignados. apoderados del manejo seguro de los sistemas y del totales * 100%.
datos institucionales. del subsistema de R
aplicaciones por "puertas traseras" no controladas. 4. Sensibilización a los usuarios del proceso sobre instalación de archivo adecuado de sus documentos.
gestión de seguridad
4. Uso de software ilegal o malicioso. software.
de la información.
I
E
S
No se puedan atender a tiempo G
los requerimientos de la O
1. Manejo inadecuado de los datos o información por
parte de los usuarios responsables.
ciudadanía o de los entes de 1. Aplicación de la documentación del proceso.
Modificación de claves de accesibildiad. Y si es por S
Probabilidad
INFERIOR
INFERIOR
control 2. Sensibilización a los usuarios del proceso sobre bloqueo de Resolución 34217 de
Remota
Remota
2. Manipulación por parte de terceros de equipos o de responsabilidad de funcionario o contratista, reporte Número de procesos perdidos o
I.GL.03
Menor
Menor
STRT
DTGJ
2
información trámites y/o servicios ofrecidos a 3. Sensibilización a los usuarios del proceso sobre manejo de la seguridad de la
3. Espionaje dirigido a personal directivo o técnico. apoderados del manejo seguro de los sistemas y del 100%.
los ciudadanos. información verbal. información
4. Interceptación total o parcial de datos (físicos o archivo adecuado de sus documentos.
(Disponibilidad + Integridad) 4. Validación de entrega de los mensajes enviados.
lógicos).
Imposibilidad de defensa técnica
frente a demandas.
1. Por eventos naturales como temblor, tifón, 1. Valoración de posibles afectaciones eventos naturales en la
vendaval, o fenómeno metererológico. sede. Reconstruir los archivos fisicos de los procesos.
Probabilidad
INFERIOR
INFERIOR
Imposibilidad de uso de los Afectación en la prestación de Resolución 34217 de
Remota
Remota
2. Pérdida o desabastecimiento de energía eléctrica 2. Alternativas de trabajo sin usar equipos de cómputo. Mantener copias virtuales de los archivos para la
I.GL.04
Menor
Menor
DTGJ
STRT
recursos requeridos por el los servicios a los usuarios 2015 de Políticas de Número de archivos destrudios /
GESTION LEGAL regulada 5 X 3. Alternativas de trabajo sin usar equipos de cómputo. Defiinción 66 seguridad en caso de eventos inesperados y
2
proceso para la ejecucion internos y a la ciudadanía. seguridad de la Número de archivos totales * 100%.
3. Por destrucción de equipos, dispositivos, medios o de planes de contingencia para el proceso. mantener el archivo en lugares seguros y con menos
normal. (Disponibilidad) información
instalaciones 4. Alternativas de trabajo sin usar equipos de cómputo. Defiinción riesgo de alteraciones o destrucciones.
4. Daños accidentales en el edificio o áreas críticas de planes de contingencia para el proceso.
VALOR
Procedimento / Riesgo TIPOS
RIESGO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO
Cód.
MODERADO
Fallas en la estructura o de
Moderado
G.AC.01
2. Reprocesos de
Sistema Integrado algunos componentes del
Baja
procedimientos. 6 87
6
de Gestión (SIG) Sistema Integrado de 5. Publicación de los documentos del SIG en la intranet, para
Que los Servidores Públicos del IDU no cuenten con
Gestión. consulta de los servidores públicos.
el conocimiento sobre el Sistema Integrado de 3. Incumplimiento de Intranet
6. Proceso de Inducción y reinducción donde se incluye contenido
Gestión y sus componentes. normatividad, que puede del SIG.
ocasionar sanciones
administrativas y/o disciplinarias.
1. IN-TH-18 Ingreso de
Sistema Integrado Accidentes de trabajo y/o Incumplimiento de la
Baja
Menor
información confidencial
Baja
AMBIENTAL, X 79
4
Desconocimiento de la reserva por parte de las 4. Sensibilización a los usuarios del proceso sobre verificación del
personas que manejan la información confidencial. estado actual de los computadores asignados.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las Revisión y aprobación del líder del proceso y líderes operativos:
observaciones que considere necearias): ÁREA NOMBRE CARGO
SUBDIRECTOR
SGDU WILLIAM ORLANDO LUZARDO TRIANA
GENERAL
SUBDIRECTORA TÉCNICA DE
STRH PAULA TATIANA ARENAS GONZÁLEZ
RECURSOS HUMANOS
R
E
P
O
R
T
E
EFECTO
RIESGO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
RESIDUAL
(Amenaza) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
P I Rr
T
O
S
D
E
R
1. Reunión entre Lider SIG y Lideres de I
Subsistemas, y sus delegados, revisar situación E
Insignificante
Solicitudes de trámites
INFERIOR
Fallas en la estructura o de presentada y definir acciones a implementar. S
G.AC.01
Remota
documentales generadas por fallas
Ambos
algunos componentes del 2. Informar al Comité SIG, y presentar acciones para G
en la estrucura del SIG / Total de
1
Sistema Integrado de gestionar el evento, el comité podrá confirmar las
Gestión. estrategias a seguir.
solicitudes de trámites de O
documentación x 100
3. Ejecutar Acción correctiva, de mejora o gestión del S
cambio del SIG.
AUXILIOS.
G.AC.03
Remota
Ambos
Menor
responsables.
I.AC.04
Ambos
$
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las
observaciones que considere necearias): FIRMA
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr
T
O
S
Se realizan arqueos mensuales de inventarios físicos, además es
FO-RF-226 Acta de
obligatorio realizar un inventario anual a los funcionarios y
control de elementos
D
Que los funcionarios no informen traslados de bienes contratistas del IDU. E
en servicio.
a su cargo o lleven a cabo el procedimiento en forma
indebida. Se realizan controles en los traslados de bienes entre puestos de
FO-GAF-170 R
MODERADO
MODERADO
comunicacionales
Probabilidad
1. Posibles pérdidas físicas de En las obligaciones generales del contratista se establece la # promedio de desviaciones y/o
Moderado
Moderado
G.RF.01
Posible
Administración Información desactualizada los elementos responsabilidad con el cuidado de los bienes asignados para la faltantes en los arqueos mensuales
Baja
contratistas de la responsabilidad que les asiste sobre x x Contrato 79 el procedimiento para la administración de bienes
6
De Bienes de inventarios 2. Falta de confiabilidad en la ejecución del contrato. realizados a funcionaros y
los bienes asignados. muebles de la Entidad
información del sistema contratistas.
Formato de entrega de
En el documento de entrega de bienes a los funcionarios y
bienes
contratistas de la Entidad, se incluye responsabilidad que le asiste
al recibirlos
MODERADO
Insignificante
Deterioro de los bienes ((# de elementos en deposito en el
INFERIOR
No contar con espacios almacenamiento de los bienes en deposito mediante:
Moderado
G.RF.02
Remota
almacenados trimestre anterior - # de elementos
Posible
Ambos
Administración suficientes y adecuados para 1. Enviar solicitud de inspección de los elementos de
No contar con espacios para x 82 en deposito actual) / # de elementos
1
De Bienes el almacenamiento de los baja rotación a las áreas que les corresponda.
almacenar bienes reintegrados al en deposito en el trimestre anterior )
bienes en deposito Manual de 2. Identificar los elementos que son susceptibles de
almacén Aplicación del Manual de Administración de Bienes. *100
Administración de baja y gestionar el proceso de depuración.
bienes
Expedición y aplicación de la Resolución de baja de bienes.
Acumulación o sobre stock de bienes inservibles en
Resolución
bodega Clasificación de bienes servibles e inservibles y a estos últimos se
les realiza baja definitiva.
Acta comité
Actualización del sistema STONE.
Sistema Stone
MODERADO
plan de mantenimiento según lo Evaluar alternativas temporales que puedan suplir la
Probabilidad
Todas Las Indisponibilidad de los # de quejas o reclamos realizados a
Moderado
Moderado
G.RF.03
Posible
ALTO
9
Proceso de la STRF por retrasos en la bienes o servicios responsabilidad
Plan Anual de Adquisiciones. ser posible adicionar/prorrogar de acuerdo a la
Recursos Físicos contratación de los mismos de la Subdirección.
3. Afectación del PAC del necesidad.
proceso
Plan Anual de
Deficiencias en la planeación de tiempos de las Adquisiciones
Diseño y seguimiento al Plan Anual de Adquisiciones del Instituto
etapas pre contractual y contractual Actualización y
seguimiento al Plan
MODERADO
plan de mantenimiento según lo Evaluar alternativas temporales que puedan suplir la
Probabilidad
Todas Las Indisponibilidad de los # de quejas o reclamos realizados a
Moderado
Moderado
G.RF.03
la STRF, por indisponibilidad de E
programado. necesidad a contratar. En caso de existir un contrato
Posible
ALTO
Actividades Del bienes o servicios a cargo de
Alta
2. Retrasos en la ejecución del x 51 vigente, se debe evaluar el estado del mismo y de
12
FORMATO
9
Proceso de la STRF por retrasos en la PROCESO bienes o servicios responsabilidad
Recursos
AÑOFísicos contratación de los mismos
Plan Anual de Adquisiciones. FECHA DE IDENTIFICACIÓN
DE ANÁLISIS: GESTIÓN DE RECURSOS
ser posible FÍSICOS
adicionar/prorrogar de acuerdo a la
de la Subdirección. PROCESO:D
MATRIZ3.DE RIESGOS
Afectación del PAC del necesidad.
CÓDIGO PROCESO proceso VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 12/12/2018 ÁREAS: STRF
FO-PE-06 Planeación Estratégica 5
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr T
O
S
D
Solicitud de ampliación de plazos para evaluación de Programación de necesidades de bienes y/o servicios en el Plan E
Plan Anual de
ofertas u otras actividades dentro del proceso de de Adquisiciones, teniendo en cuenta los tiempos de los procesos
Adquisiciones
selección. de selección establecidos por la DTPS .
R
I
E
S
G
Profesional Universitario 2019-03. Cod. MF 431-STRF y contratistas de apoyo a la supervisión de los contratos de
Se cuenta con factores de verificación de la calidad del suministro
Estudios previos O
de bienes y/o servicios, al momento de realizar la supervisión del
Contrato
contrato.
Manual de S
interventoría y
Efectuar reuniones periódicas de seguimiento, revisión y
Baja calidad del suministro de bienes y/o servicios supervisión de
aprobación de informes.
contratos
Actas de reunión.
Aplicar el procedimiento de Declaratoria de incumplimiento para la
Informes se
imposición de multa clausula penal caducidad y/o afectación de la
seguimiento.
garantía única de cumplimiento.
SUBDIRECTORA TÉCNICA DE RECURSOS FÍSICOS
mantenimiento
MODERADO
la garantía única de cumplimiento. seguimiento
INFERIOR
Institucional Identificar las causas de la no prestación adecuada, (# de solicitudes de mantenimiento
Moderado
G.RF.04
Posible
Ambos
Menor
2. Mobiliario e inmobiliario realizando las acciones correctivas de manera en no atendidas en el trimestre / total
Baja
Mantenimiento servicio de mantenimiento x 79
4
deteriorado que se programe y ejecute con carácter prioritario las de solicitudes de mantenimiento
Locativas en las sedes del IDU
3. Incumplimiento de metas del actividades de mantenimiento no prestadas. realizadas en el trimestre) * 100
plan de acción Contrato,
Manual de
Falta de organización para la ejecución del contrato Identificación de las actividades y plazos para cumplir con la contratación,
por parte del contratista ejecución de las obligaciones contractuales. supervisión de
contratos,
Actas de seguimiento
Verificación del personal por parte de la entidad frente a los Estudios previos
requisitos exigidos en pliegos y a lo pactado en el contrato. Contrato
Manual de
Efectuar reuniones periódicas de seguimiento, revisión y interventoría y
Personal no idóneo contratado o subcontratado por la
aprobación de informes. supervisión de
empresa que presta servicios al IDU
contratos
Aplicar el procedimiento de Declaratoria de incumplimiento para la Actas de reunión.
imposición de multa clausula penal caducidad y/o afectación de la Informes se
garantía única de cumplimiento. seguimiento
MODERADO
MODERADO
de los afectados,
Probabilidad
Inadecuada atención y Reportar oficialmente la novedad a la empresa # de quejas o reclamos realizados a
G.RF.05
Remota
2. Vencimiento de términos para Se realiza seguimiento con el corredor de seguros continuo para
Mayor
Mayor
Administración de agilidad en la definición de Atención inoportuna a los requerimientos que formula corredora de seguros a cargo, solicitando las causas la STRF, por inadecuada atención
Baja
reclamación obtener una respuesta mediante los comités de siniestros con el Actas de Comité 87
8
4
Seguros siniestros y reclamaciones la entidad o los cubiertos por pólizas y la trazabilidad del requerimiento. De inmediato, en los siniestros y reclamaciones
3. Desamparo de bienes o fin de obtener respuesta lo mas pronto posible.
por parte de la aseguradora. emprender las acciones según corresponda. realizadas.
cargos
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr T
O
S
MODERADO
MODERADO
1. Retrasos o imposibilidad de
Probabilidad
# de quejas o reclamos realizados a
G.RF.06
Administración Errores en la planeación de las áreas solicitantes o prestar el servicio de transporte Se asigna el servicio del transporte de acuerdo con lo solicitado
Posible
Menor
Menor
Inadecuada prestación del Correo electrónico Analizar las causas del evento presentado, sus la STRF, por inadecuada prestación
Alta
del Parque cambios de último momento que informan a 2. Aumento de consumo de los x por el usuario, los cambios en el servicio deben ser informados al 67
6
servicio de transporte del idu Archivo en Excel causas y ejecutar las correcciones que corresponda. de los servicios de transporte
Automotor del Idu destiempo recursos (combustible, personal, correo electrónico
brindados por la Subdirección.
horas extras)
Manual de seguridad y
Aplicación del manual de Seguridad y Vigilancia.
vigilancia
Incumplimiento del manual de seguridad y vigilancia Campañas de socialización del manual.
Documentos de
Comunicaciones
de seguridad al no cumplir con lo establecido en el manual
oficiales durante la
vigente.
ejecución del contacto
MODERADO
Insignificante
Estudio de Vigilancia
INFERIOR
Vigilancia y Hurto o sustracción de entidad y/o de los servidores Reportar la novedad a la firma de vigilancia a cargo, # de reportes presentados a la firma
G.RF.07
Posible
Ambos
Menor
Seguridad y bienes de la Entidad, o de Fallas en los equipos tecnológicos que soportan el públicos y contratistas, Realización de recorridos con la empresa de vigilancia para para iniciar la investigación pertinente. de vigilancia, donde se informen la
Alta
x Actas de recorridos 75
3
Control de los servidores públicos, o de control de acceso a la Entidad 2. Posibles demandas, optimizar el sistema de CCTV . Dependiendo del resultado de la investigación, se perdida o hurto de bienes a cargo
Acceso a la contratistas y/o visitantes 3. Reclamación y afectación a ejecutan las acciones que correspondan. de la Entidad.
Contrato
Entidad pólizas. Contrato de mantenimiento al sistema de control de acceso.
Minuta de registro de
Registro de entrada y salida de elementos personales en la minuta
la empresa de
de la empresa de vigilancia.
Ingreso y retiro de elementos sin el previo registro y vigilancia
autorización por parte de los responsables
Verificación de la autorización de salida de los bienes del IDU, por
Formato orden de
parte del personal de la compañía de vigilancia.
salida elementos
Manual de seguridad y
vigilancia
Ausencia de autocontrol y descuido de los objetos
Aplicación del manual de seguridad y vigilancia Documentos de
personales y de la entidad, por parte de funcionarios y
socialización
contratistas y de personal de vigilancia y seguridad.
Campañas de socialización del manual.
Comunicaciones
oficiales a la firma de
vigilancia
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr T
O
S
Estudios de mercado
D
Falta de identificación de las características técnicas E
Elaboración de fichas técnicas para presentación de estudios de Ficha técnica de
de los bienes requeridos dentro del proceso
mercado, anexos técnicos de los estudios previos. estudios de mercado
contractual.
MODERADO
Insignificante
almacén y a los responsables de los centros de costos para Reportar la novedad a la empresa encargada de los
INFERIOR
parte del proveedor # de reportes sobre la mala calidad
G.RF.08
Contar con insumos de mala Desconocimiento por parte de quienes reciben los insumos de oficina. Contrato y insumos y suministros, solicitando el cambio por
Ambos
Menor
Adquisición de 3. Que la entidad no cuente con en los insumos y suministros,
Baja
Alta
calidad entregados por los insumos en cada área, de las referencias y marcas de x especificaciones 87 garantía de los mismos.
2
Bienes los insumos para su presentados a la empresa
proveedores. los productos contratados Aplicar el procedimiento de Declaratoria de incumplimiento para la técnicas de los bienes Sensibilizar a los centros de costos, sobre informar
funcionamiento contratista encargada.
imposición de multa clausula penal caducidad y/o afectación de la desperfectos y marcas al recibir insumos
4. Deficiente prestación del
garantía única de cumplimiento.
servicio.
Contrato
Se incluye en el contrato el cambio de los productos que registren
fallas por defectos de fábrica o calidad.
Entrega por parte del proveedor de productos que Oficios dirigidos al
presenten defectos de fábrica. contratista
Solicitud de cambio del producto a través de oficio o acuerdo en
reunión de seguimiento
Actas de reunión
Resolución de
No contar con la constitución de la caja menor, de Proyección, al inicio de cada vigencia, del Acto Administrativo que
constitución de caja
acuerdo con las normas vigentes constituye la caja menor, cumpliendo con los requisitos de ley.
menor
Informar a los jefes para que a su vez socialicen con todos los Comunicaciones
No presentación de las solicitudes dentro de las funcionarios y contratistas a su cargo, que las solicitudes de internas
fechas establecidas compras por caja menor siempre se deben hacer en las fechas
SUBDIRECTORA TÉCNICA DE RECURSOS FÍSICOS
Probabilidad
INFERIOR
INFERIOR
establecido para ello.
G.RF.09
Remota
No atención oportuna a la STRF, por la no atención
Menor
Menor
Compras a través Solicitud de bienes y/o servicios que se encuentran No adquisición del bien y/o Procedimiento de Analizar las causas del evento presentado y ejecutar
Baja
requerimientos urgentes e x 87 oportuna de los requerimientos
2
de Caja Menor incluidos en otros contratos vigentes. prestación del servicio a tiempo Se solicita visto bueno en el formato de Caja Menor del personal Ejecución de compras las correcciones que corresponda.
imprescindibles urgentes e imprescindibles
que apoya a la Supervisión, de la no existencia del elemento o
realizados a la caja menor.
servicio dentro del contrato relacionado.
No contar con disponibilidad financiera en algunos de Antes de ejecutar el 70% de cada rubro, solicitar el reembolso de Procedimiento de
los rubros por los cuales se debe efectuar el pago. caja menor Ejecución de compras
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr T
O
S
Procedimiento PR-RF-
01
Mantener vigente contrato de mantenimiento de vehículos y D
ejecutarlo según el plan establecido y atendiendo las fallas que E
Vehículos en deficiente estado mecánico y deficiente Plan de Mantenimiento
surjan.
aplicación del protocolo de inspección Preventivo y
Aplicación de la lista de chequeo diario de la entrega y recepción
Correctivo del parque R
de los vehículos.
automotor
Formato FO-RF-02
I
E
S
G
O
Contratista de apoyo a la coordinación de los servicios de transporte y líder operativo del Sistema de Seguridad y Salud en el Trabajo
Manual de Funciones S
Se cuenta con Conductor mecánico que revisa las actuaciones del
Talleres contratados no realizan el mantenimiento en taller y apoya la supervisión de los contratos. Manual de
forma adecuada Interventoría y
Aplicación del Manual de Interventoría y Supervisión de Contratos. Supervisión de
Contratos
Planillas de pausas
1. Parque automotor en mal Pausas activas y sensibilización de realización ejercicio y mejora
activas a conductores
estado en la seguridad y salud en el trabajo.
IDU
MODERADO
MODERADO
Fatiga física y mental, pérdida progresiva de la 2. Arrollamientos, Reportar de manera oficial la novedad a la ARL y a # de reportes de incidentes o
Probabilidad
G.RF.10
Accidentalidad de capacidad de respuesta debido a la ejecución 3. Choques Existencia del comité de seguridad Vial la profesional en SS&T de la Entidad, a fin de iniciar accidentes ocurridos en la
Posible
Menor
Menor
Resolución 6315 de
Alta
Seguridad Vial conductores, pasajeros o prolongada de una tarea, por falta de personal por 4. Volcamientos 67 la investigación pertinente. Posterior y dependiendo prestación de los servicios de
6
2016, crea comité
peatones incapacidades, vacaciones, compensatorios y alta 5. Demandas contra la Entidad Plan Estratégico de Seguridad Vial - PESV el resultado de la investigación se toman las transporte brindados por la
seguridad vial
demanda de servicios. 6. Baja oferta del parque acciones que correspondan. Subdirección.
automotor afectando los servicios Bitácora diligenciada para control de servicios y de horas extras
Bitácora de servicios
de la entidad de los conductores
FO-TH-28
Plan Anual de
Biomecánica (postura forzada) Postura sedente Realizar pausas activas enmarcadas en el Programa de vigilancia
Seguridad y Salud en
durante mas del 50% de la jornada laboral. epidemiológica de riesgo biomecánico.
el Trabajo STRH
No bloquear la sesión de usuario cuando se Sensibilización a los usuarios del proceso sobre bloqueo de
abandona la estación de trabajo. sesión.
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr T
O
S
D
Sensibilización a los usuarios del proceso sobre uso de las E
Mal uso de las contraseñas. contraseñas.
Manual políticas de seguridad de la información
R
I
E
S
G
O
S
Por aplicación de ingeniería social. (manipulación de
Sensibilización a los usuarios del proceso sobre ingeniería social.
Resolución 34217 de
Fuga de información y/o uso
2015 de Políticas de
indebido de datos institucionales
seguridad de la
INFERIOR
INFERIOR
Acceso a los sistemas de (Confidencialidad) Pro Reportar la novedad al líder del Subsistema de # de reportes realizados al líder del
Moderado
Remota
Re Mo información.
I.RF.01
información o a los Inadecuada aplicación del etiquetado de activos de bab Seguridad de la Información de la Entidad, con el Subsistema de Seguridad de la
Recursos Físicos x mot der Revisión y aplicación de la marcación de información 88
3
documentos por personas no información. Divulgación de información a ilida propósito que evalué la situación y realice las Información, notificando la
a ado (Mensajes correos
autorizadas terceras partes o a personal no d acciones correspondientes. materialización del riesgo.
emitidos por el
autorizado
subsistema de gestión
(Confidencialidad)
de la información)
Enlaces de comunicaciones que permanecen activos Sensibilización a los usuarios del proceso sobre bloqueo de
al completar las transmisiones a través de las redes. sesión, uso de telefonía, uso de mensajería electrónica.
Resolución 34217 de
INFERIOR
Lectura, copia, modificación Pro Reportar la novedad al líder del Subsistema de # de reportes realizados al líder del
Remota
Fuga de información y/o uso 2015 de Políticas de
I.RF.02
Menor
o sustracción no autorizada Pos Me bab Seguridad de la Información de la Entidad, con el Subsistema de Seguridad de la
Recursos Físicos indebido de datos institucionales x seguridad de la 88
6
2
de documentos archivados o ible nor ilida propósito que evalué la situación y realice las Información, notificando la
(Confidencialidad) información.
datos institucionales. d acciones correspondientes. materialización del riesgo.
R
E
P
O
R
T
E
FORMATO
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO RESIDUAL ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
I.RF.02Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN
MODERADO
Resolución 34217 de
Lectura, (Amenaza)
copia, modificación Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN la
CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
INFERIOR
Producto Pro Reportar novedad al líder del Subsistema de # de reportes realizados al líder del T
Remota
Fuga de información y/o uso P Me I Ri 2015 de Políticas de
bab P I Rr
Menor
PDD OBJ SI P/S
o sustracción no autorizada Pos Seguridad de la Información de la Entidad, con el Subsistema de Seguridad de la
Recursos Físicos indebido de datos institucionales x seguridad de la 88 O
2
de documentos archivados o ible nor ilida propósito que evalué la situación y realice las Información, notificando la
(Confidencialidad) información. S
datos institucionales. d acciones correspondientes. materialización del riesgo.
D
Acceso a los sistemas operativos o a las aplicaciones Capacitación y sensibilización a los usuarios del proceso sobre E
por "puertas traseras" no controladas. verificación del estado actual de los computadores asignados.
R
I
E
S
G
O
S
Capacitación y sensibilización a los usuarios del proceso sobre
Uso de software ilegal o malicioso.
instalación de software.
Manipulación por parte de terceros de equipos o de Capacitación y sensibilización a los usuarios del proceso sobre
programas de cómputo o datos (físico o lógicos). bloqueo de sesión.
No se puedan atender a tiempo
los requerimientos de la Reportar la novedad al líder del Subsistema de
MODERADO
ciudadanía o de los entes de Resolución 34217 de Seguridad de la Información de la Entidad, con el
INFERIOR
# de reportes realizados al líder del
control Mo 2015 de Políticas de propósito que evalué la situación y realice las
I.RF.03
Menor
Pérdida o alteración de Pos Am Subsistema de Seguridad de la
Baja
Recursos Físicos x der seguridad de la 67 acciones correspondientes.
4
información ible bos Información, notificando la
Imposibilidad para atender los ado información.
materialización del riesgo.
trámites y/o servicios ofrecidos a Reconstruir la información a partir de los Backup
los ciudadanos. disponibles.
(Disponibilidad + Integridad)
Capacitación y sensibilización a los usuarios del proceso sobre
Espionaje dirigido a personal directivo o técnico.
manejo de la información verbal.
Seguridad de la Información
fenómeno meteorológico.
RECURSOS FÍSICOS
INFERIOR
INFERIOR
Remota
Re Planes de # de eventos o situaciones
I.RF.04
Menor
recursos requeridos por el los servicios a los usuarios Me bab Ejecutar el plan de continuidad de negocio
Recursos Físicos x mot Contingencia de la 75 presentadas en donde se haya
2
2
proceso para la ejecución internos y a la ciudadanía. nor ilida establecido en la Entidad.
a Entidad materializado el riesgo.
normal. (Disponibilidad) d
Por destrucción de equipos, dispositivos, medios o Definición de planes de contingencia para el proceso.
instalaciones
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr T
O
S
D
Ausencia o deficiencia en los procedimientos de Sensibilización a los usuarios del proceso sobre cuidado y manejo E
manejo de la información personal. de la información personal.
R
I
E
S
G
O
S
Desconocimiento de parte de las personas que Sensibilización a los usuarios del proceso sobre cuidado y manejo
MODERADO
MODERADO
Afectación al buen nombre de la Ley 1581 de 2012. Pro Reportar la novedad al líder del Subsistema de # de reportes realizados al líder del
Moderado
Manejo inadecuado de la Mo
I.RF.05
Omisión intencional de los controles para el manejo entidad Pos Sensibilización a los usuarios del proceso sobre cuidado y manejo Disposiciones bab Seguridad de la Información de la Entidad, con el Subsistema de Seguridad de la
Baja
Recursos Físicos información personal de los x der 75
6
de la información. ible de la información. generales para la ilida propósito que evalué la situación y realice las Información, notificando la
ciudadanos o de terceros. ado
Pérdida de confidencialidad de la protección de datos d acciones correspondientes. materialización del riesgo.
información.
Pérdida de la integridad de la
información.
Presión o coacción de terceras partes para modificar Sensibilización a los usuarios del proceso sobre cuidado y manejo
o publicar datos personales de la información.
Violaciones a la seguridad.
INFERIOR
INFERIOR
Remota
Afectación a la seguridad de Pérdida de equipos. Re Mo Contrato de vigilancia # de eventos o situaciones
I.RF.06
Menor
Falla técnica de los elementos dispuestos para Am Ejecutar el plan de continuidad de negocio
Recursos Físicos la información durante un Robo de información, equipos y/o x mot der 75 presentadas en donde se haya
3
2
proteger la información. bos establecido en la Entidad.
evento crítico dispositivos. a ado Planes de contingencia materializado el riesgo.
(Integridad + Confidencialidad)
INFERIOR
INFERIOR
FO-PE-06 PlaneaciónPérdida
Estratégica 5 Mo
Remota
Afectación a la seguridad de de equipos. Re Contrato de vigilancia # de eventos o situaciones
I.RF.06
Menor
Recursos Físicos la información durante un Robo de información, equipos y/o x mot der 75
Am Ejecutar el plan de continuidad de negocio
presentadas en donde se haya
E
2
IDENTIFICACIÓN bos establecido en la Entidad. V
evento crítico dispositivos. aANÁLISIS
ado EVALUACIÓN Planes de contingencia ACCIONES ASOCIADAS AL CONTROL materializado el riesgo. MONITOREO Y SEGUIMIENTO
(Integridad + Confidencialidad) RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr T
Planes de contingencia de la Entidad O
S
D
Por temblor, tifón, vendaval, o fenómeno E
meteorológico.
R
I
E
S
G
O
S
Insignificante
INFERIOR
INFERIOR
los servicios. Ley 1581 de 2012.
Remota
Re Imp # de eventos o situaciones
I.RF.07
Desastre provocado por el (Disponibilidad) Me Contrato de vigilancia y seguridad privada para salvaguardar los Disposiciones Ejecutar el plan de continuidad de negocio
Recursos Físicos Disturbio o conmoción social interna. mot 62 act presentadas en donde se haya
1
personal nor bienes de la Entidad generales para la establecido en la Entidad.
a o materializado el riesgo.
Afectación a los activos de protección de datos
información.
Falta de conocimiento sobre las restricciones de uso Sensibilización a los usuarios del proceso sobre cuidado y manejo
de equipos y/o dispositivos. de la información.
Control inadecuado de proveedores de servicios Contrato de vigilancia y seguridad privada para salvaguardar los
externos. bienes de la Entidad
INFERIOR
INFERIOR
Remota
Re Mo Contrato de vigilancia # de eventos o situaciones
I.RF.08
Menor
Impedimento de acceso a las control Am Ejecutar el plan de continuidad de negocio
Recursos Físicos x mot der 75 presentadas en donde se haya
3
2
sedes de trabajo del Instituto bos establecido en la Entidad.
a ado Planes de contingencia materializado el riesgo.
Indisponibilidad y/o retrasos de
los servicios.
(Disponibilidad)
INFERIOR
INFERIOR
ciudadanía o de los entes de
E
Remota
Re Mo Contrato de vigilancia # de eventos o situaciones
I.RF.08
Menor
Impedimento de acceso a las control Am Ejecutar el plan de continuidad de negocio
Recursos Físicos FORMATO x mot der 75 presentadas en donde se haya
2
sedes de trabajo del Instituto PROCESO bos establecido en la Entidad.
Indisponibilidad y/o retrasos de
a ado FECHA DE IDENTIFICACIÓN Planes de contingencia
DE ANÁLISIS: GESTIÓN DE RECURSOS FÍSICOS materializado el riesgo.
D
AÑO MATRIZ DE RIESGOS PROCESO:
los servicios. E
CÓDIGO PROCESO
(Disponibilidad) VERSIÓN FECHA DE SEGUIMIENTO:
2019 12/12/2018 ÁREAS: STRF
FO-PE-06 Planeación Estratégica 5
Planes de contingencia de la Entidad
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
D
Desplazamiento / concentración de habitantes de E
calle (home less).
R
I
E
S
G
O
S
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: PROCESO DE GESTION FINANCIERA D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STTR - STPC - DTAF - SGGC
E
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL V
RIESGO RIESGO E
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Profesional,
Contratista,
Subdirector
S
Técnico,
1. Socialización a los servidores públicos del proceso (STTR)
1. Cambios del administrador del portal bancario
cuando se presentan cambios en los procedimientos.
D
E
Subdirección Técnica de Tesorería y Recaudo
Técnico, profesional
1) Quejas, reclamos, derechos de Conciliación Bancaria de la incorrecta o inoportuna aplicación.
3. Deficiencia en la información enviada por los petición 4. Aplicación del procedimiento de conciliación bancaria de la y/o no conformidades en los G
Insignificante
4. PR-GF-05 Procedimiento 2. Una vez detectadas las causas, El
INFERIOR
INFERIOR
Realizar una aplicación informes de auditoría, sobre la
O
G.GF.01
Remota
2) Errores en los reportes o informes Subdirector Técnico de Tesorería y
Ambos
de Recaudo
Menor
incorrecta o inoportuna del manipulación de la información
Baja
RECAUDO generados X 5. Memorandos 87 Recaudo autoriza las correcciones a S
1
recaudo en el sistema 6. Sistema VALORICEMOS en el Sistema VALORICEMOS
3) Aplicación de pagos a otro predio través de un memorando con los
Valoricemos. 5. Conciliaciones bancarias, cláusulas del convenio, exigencia de 7. Correo electrónico en la aplicación y/o reversión de
4. Abono inoportuno de recursos recaudados por los 4) Imposibilidad de expedición de soportes de la operación.
abono inmediato del dinero y verificación de los pagos en las 8. Oficios para los Bancos - pagos.
bancos paz y salvos 3. Con base en el memorando, el
cintas de recaudo. ORFEO
9. Plataforma Aranda, Help funcionario encargado de la aplicación
Desk del recaudo en el sistema de
información valoricemos debe realizar
5. Ingreso de dato erróneo en las aplicaciones 6. Conciliaciones bancarias, cuadre diario de caja y verificación de las modificaciones correspondientes.
manuales (depósitos judiciales, abono a unidad registros por parte de los servidores públicos del proceso Gestión
predial) en el sistema valoricemos Financiera (STTR)
Técnico
6. Falla en los sistemas de información (valoricemos, 7. Solicitud al proceso de Tecnologías de Información y
Stone) Comunicaciones (STRT) para reportar incidencia.
Subdirección Técnica de Tesorería y Recaudo
contratistas.
Profesional,
1. Realización de pruebas para el recaudo y disponibilidad de las
1. Que los bancos no tengan habilitada la plataforma plataformas dispuestas por los bancos. (IDU-Banco)
para el recaudo 2. Aplicación de cláusulas de cumplimiento de los convenios con 1. Reportar incidencia en Aranda.
bancos y supervisión permanente de los mismos. 2. Sí en alguna oficina o Banco no está
1. Documento de habilitado el sistema para la recepción
Número de quejas, derechos de
Certificación de pruebas del pago, los contribuyentes se deben
Insignificante
1) Quejas, reclamos, derechos de petición, denuncias y/o no
INFERIOR
Que no se encuentren 2. Demoras en el envío de la información por parte del petición 3. Información de la facturación de valorización mensual, exitosas (STRT) remitir a otras oficinas o entidades
G.GF.02
Remota
conformidades en los informes
Ambos
disponibles los medios de IDU a los bancos, la cual es necesaria y oportuna 2) No recepción oportuna de Menor actualizada y disponible para la consulta en línea de los bancos. 2. Convenios de Recaudo bancarias habilitadas descritas en el
Baja
1
pago que ofrece la entidad para alimentar los sistemas para la recepción de recursos para desarrollar la misión 4. Envío oportuno de los archivos planos con la facturación a los 3. Convenios reverso de la factura.
4. Sistema VALORICEMOS disponibilidad de los medios de
(pago electrónico y bancos) pagos. bancos que lo requieran. 3. Informar en la página web del IDU la
del IDU 5. Memorandos pago que ofrece el IDU a la
novedad de recepción de pagos en las
6. Correos electrónicos ciudadania, para el recaudo.
entidades bancarias y los bancos u
5. Reporte al proceso de Tecnologías de Información y oficinas disponibles para la recepción
3. Que los sistemas de información del IDU no estén Comunicaciones (STRT) ya sea vía correo electrónico a Help desk de pagos.
habilitados para la conectividad con los bancos o registrar la incidencia en la plataforma dispuesta para ello en
caso de problemas de conectividad. (ARANDA)
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: PROCESO DE GESTION FINANCIERA D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STTR - STPC - DTAF - SGGC
E
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL V
RIESGO RIESGO E
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Profesional
no recibir información del PAC se toma la recibida del mes anterior
D
1. Incumplir con el cronograma establecido para la E
para garantizar los recursos.
programación y reprogramación el PAC.
2. Generación de Informes de ejecución de PAC mensual.
3. Comunicaciones a las áreas informando sobre la programación R
y ejecución del PAC.
I
E
S
contratistas.
Profesional,
Subdirección Técnica de Tesorería y Recaudo
MODERADO
Insignificante
necesarios para el pago de para requerir recursos a la Secretaría
INFERIOR
Moderado
4. Listas de Asistencia
G.GF.03
Remota
ADMINISTRACIÓ Disponibilidad insuficiente de obligaciones. de Hacienda Distrital. Número de solicitudes de
Ambos
5. Solicitud a través de ORFEO al área ejecutora, sobre la 5. Procedimiento PR-GF-06
Baja
N DE los recursos para atender las 2) Cobro de intereses de mora en 5 87 2. Solicitud de adición de PAC a la adición de PAC, a la Secretaria
1
definición de la disponibilidad de los recursos para cumplir con el Procedimiento gestión del
RECURSOS obligaciones con terceros. los pagos compromiso no programado. Programa Anual de Caja Secretaría Distrital de Hacienda con Distrital de Hacienda.
3) Quejas y reclamos de 6. Validación en SISPAC de la existencia de recursos disponibles PAC. base en las solicitudes de los
3. Pagos no incluidos en la programación mensual beneficiarios del pago 6. Manual de Usuario ordenadores del gasto.
de otros rubros programados para solventar lo no programado por
reportada por las áreas STONE.
las áreas. 9. Reporte SISPAC Reporte
7. Informes de ejecución de PAC mensual. STONE
8. Actualización del modulo PAC del sistema STONE para
Profesional
asegurar la inclusión de la información de programación de pagos.
Técnicos, profesionales.
2. PR-GAF-054 Conciliación
1) Detrimento económico Bancaria y 1. Solicitar a las entidades financieras
4. Conciliaciones bancarias, movimientos bancarios diarios y de
MODERADO
Insignificante
Oportunidad en los traslados 3. Procedimientos PR-GF-
INFERIOR
2. Errores en los registros de información financiera - 2) Hallazgos e investigaciones de la realización de los traslados mediante (No. de traslados realizados
Moderado
G.GF.04
Remota
ADMINISTRACIÓ según los tiempos 04 Administración de
Ambos
entes de control (Disciplinarias, oficio. La comunicación debe cumplir oportunamente / No. de
Baja
N DE establecidos en los STONE 5. Reporte diario de reintegros por fuentes -STONE Inversiones de Tesorería 87
6
1
RECURSOS convenios bancarios y los Errores en los registros del cuadro de recaudo diario fiscales) 6. Conciliación de inversiones a corto plazo con la Subdirección 4. FOGAF005 Conciliación las condiciones de manejo registradas traslados realizados en el
3) Pérdidas de recursos dinerarios Técnica de Presupuesto y Contabilidad Bancaria en las cuentas (protectografo, sello periodo) X100 %
compromisos adquiridos.
para el IDU 5. FOGF01 Conciliación húmedo y firmas autorizadas).
mensual de recaudo
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: PROCESO DE GESTION FINANCIERA D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STTR - STPC - DTAF - SGGC
E
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL V
RIESGO RIESGO E
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Insignificante
1) Hallazgos e investigaciones de
INFERIOR
INFERIOR
1. Solicitar la apertura de la apertura de investigaciones por
G.GF.05
Remota
Remota
ADMINISTRACIÓ entes de control
Ambos
Menor
Pérdida de recursos por investigación correspondiente a las pérdida de recursos por
N DE 2) Procesos disciplinarios, fiscales 6 87
1
inadecuada inversión Oficinas de Control Interno y Control inadecuada inversión a las
RECURSOS 3) Pérdidas de recursos dinerarios
Técnico (STRT)
de Hacienda Distrital, se solicita la actualización de la información 7. Solicitud y apertura de
para la gestión de las inversiones (información del trader, gerente productos.
2. Suplantación de funcionarios bancarios y/o 8. FO-GF-07 Inventario de
de cuenta, responsables de la Mesa de operaciones, calificación Inversiones Financieras
suministro de información errónea
de los bancos, información básica del contacto y firmas 9. PRGF04 Administración
autorizadas). de inversiones de Tesorería
8. Grabación de llamadas para operaciones de la STTR. 10. Actas de inversiones
9. Aplicación de las políticas emitidas por la Secretaría de
Hacienda Distrital, así como del protocolo de seguridad.
10. Aplicación del procedimiento PR-GF-04 Administración de
inversiones de Tesorería.
Subdirección Técnica de Tesorería y Recaudo
Insignificante
2) Incumplimiento del tiempo 3. Exigencia del sistema para realizar el pago en tres pasos:
INFERIOR
INFERIOR
Realizar un pago diferente a tercero diferente) (No. de pagos diferentes a lo
Moderado
Remota
Remota
1. Indebida aplicación del procedimiento de pago a establecido para el pago alimentar el sistema, aprobar el pago y firmar el pago, los cuales
Ambos
PAGO A lo ordenado (valor mayor, terceros. 3. En caso que el beneficiario no ordenado, realizados / No. de
terceros (Ingreso erróneo de datos, selección 3) Pérdida de recursos dinerarios X son realizados por personas diferentes. 87
3
1
TERCEROS menor valor o a un tercero 2. Procedimiento de pago a reintegre el dinero, se reporta a Control pagos del periodo realizados) X
incompleta de beneficiarios, entre otros) para el IDU 4. Validación por parte de los sistemas OPGET de la SDH y terceros.
diferente) Interno y Control Interno Disciplinario e 100 %
4) Investigaciones disciplinarias, STONE del IDU. (Creación de la cuenta y número de
iniciar un proceso de jurisdicción
fiscales, penales. identificación).
coactiva para recuperar los pagos
5. Verificación de los soportes documentales para la modificación
realizados.
de los beneficiarios de pago a terceros.
4. Girar el excedente al beneficio del
pago. (Menor valor).
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: PROCESO DE GESTION FINANCIERA D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STTR - STPC - DTAF - SGGC
E
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL V
RIESGO RIESGO E
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Técnico.
2. Envío de email de alerta a las áreas ejecutoras recordando las de Caja PAC.
1. Que no se programe oportunamente el PAC 2. Circular SDH E
fechas de entrega de la información.
3. Cumplir con las fechas establecidas en la circular enviada por la 3. Plataforma de correo
Secretaría Distrital de Hacienda - SDH, para solicitar los recursos. electrónico
R
I
E
S
4. Exigencia de los documentos: certificación bancaria y cuenta G
Profesional, contratistas.
bancaria debe estar relacionada en la factura y la orden de pago O
firmada por el ordenador del gasto. (Documentado en el S
procedimiento y guía de pago a terceros) 1. GU-GAF-015 Guía pago
Subdirección Técnica de Tesorería y Recaudo
MODERADO
Insignificante
Inoportunidad en el pago de sanciones, comunicar al ordenador del petición denuncias, demandas
INFERIOR
2) Incumplimiento de indicadores de
Moderado
G.GF.07
Remota
obligaciones financieras (a pago para que realice el tramite de etc., relacionados por
Ambos
PAGO A gestión
Baja
proveedores y/o contratista, X 87 pago de la obligación e informar a la inoportunidad en el pago de
1
TERCEROS 3) Pago de intereses de mora
impuestos, seguridad social, Oficinas de Control Interno y Control obligaciones financieras (a
4) Pérdida de imagen institucional 7. Verificación de saldos bancarios en los libros (STONE) y en los
beneficiario de pago, etc.) PR-GF-06 Procedimiento Disciplinario para que realicen la proveedores y/o contratista,
3. Que no se cuente con liquidez en las cuentas 5) Apertura de procesos extractos bancarios, previo al giro. investigación. impuestos, seguridad social,
disciplinarios gestión del Programa Anual
bancarias 8. Verificación del saldo en las cuentas por parte del sistema de Caja PAC. beneficiario de pago, etc.)
OPGET.
ARANDA.
9. Solicitud de soporte a la mesa de ayuda de los bancos, al igual Registro de llamadas call
4. Fallas en los portales bancarios Center
que el soporte técnico a la mesa de ayuda del IDU.
Email IDU
Profesional.
PR-GF-06 Procedimiento
5. Que el IDU no realice la solicitud de los recursos a 10. Cumplimiento del cronograma establecido por la SDH, para
gestión del Programa Anual
la SDH en los tiempos establecidos. que la colocación de recursos sea efectiva. de Caja PAC.
11. Exigencia del sistema para realizar el pago en tres pasos: GU-GAF-01 Guía pago a
6. Errores en el ingreso de la información de los terceros.
alimentar el sistema, aprobar el pago y firmar el pago, los cuales Procedimiento de pago a
pagos en los portales bancarios
son realizados por personas diferentes. terceros
Orfeo
12. Soporte técnico del área de sistemas de manera oportuna, alta
7. Fallas en el servidor de Internet del IDU Correo electrónico
disponibilidad del canal de Internet . ARANDA.
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Protocolo de seguridad R
2. Auditorías internas y externas permanentes (OCI y entes de Listado de asistencia I
Subdirección Técnica de Tesorería y Recaudo
especializados
MODERADO
Insignificante
bancarios.
INFERIOR
2. Denunciar el caso a las autoridades Numero de denuncias ante
Moderado
G.GF.08
Remota
Posible
Ambos
PAGO A Robo o desviación de competente. (Fiscalía). autoridades internas y externas
X 87
1
TERCEROS dineros o pérdida 3. Solicitar la apertura de la respecto a robos, desviación de
5. Control acceso al home banking a traves de un sistema investigación a la Oficinas de Control dineros o perdida.
biometrico. (funcionarios - Documentado en el protocolo de Interno y Control Disciplinario.
seguridad) 4. Realizar la reclamación a la
6. Asignación de clave de la caja de seguridad a personal Protocolo de seguridad aseguradora.
3. Acceso no autorizado al sitio en donde se custodian 3) Pérdida de imagen institucional
autorizado. Circular 15 de 12 de
los tokens y documentos valores. Octubre de 2011 (IDU)
7. Asignación de llaves de acceso a las cajillas de la caja fuerte a
personal autorizado el cual es monitoreado por el responsable de
administrar la caja de seguridad.
8. Aplicación del protocolo de seguridad establecido por la SDH.
Memorandos - ORFEO
MODERADO
Insignificante
momento que se detecten inconsistencias se informa para
INFERIOR
Registrar valores inexactos 2) Retrasos en la producción y
G.GF.09
PRESUPUESTO verificación y corrección a las áreas generadoras del tramite. 1. Realizar las correcciones que se
Posible
Ambos
Menor
en los aplicativos 2. Los aplicativos de información financiera no se entrega de los estados, informes y Formatos de conciliación. No. de reclamos por valores
Baja
Y 6 X 2. Se efectúa conciliación con las áreas generadoras de la 70 requieran (a cargo de la STPC o
2
Administrativos y encuentran completamente integrados reportes. inexactos.
CONTABILIDAD información. ORFEO dependencia que corresponda).
Financieros 3) Estados, informes y reportes
3. Se realiza capacitación, actualización y consulta permanente a Plataforma de correo
presupuestales y contables no
través de la páginas de la Contaduría General de la Nación, SDH electrónico
confiables y/o no relevantes. Lista de asistencia o
3. Desactualización de conocimientos técnicos y DIAN.
certificados de asistencia
presupuestales, contables y tributarios de los
servidores públicos de la dependencia
Subdirección Técnica de Presupuesto y Contabilidad
Técnicos, profesionales,
para el reporte de información.
Comunicaciones de
1) Observaciones de los entes de 1. La STPC periódicamente realiza consultas sobre la socialización de la
contratistas
2. Desconocimiento de cambios en la normatividad y control. actualización de los formatos en las páginas web de los entes de información de las páginas
en las disposiciones reglamentarias web entes de control y
2) Investigaciones fiscales y control. página web de la SDH,
1. La STPC realiza análisis de cada
disciplinarias. 2. La STPC periódicamente realiza consultas sobre la DIAN, cuando aplique. caso específico.
MODERADO
Insignificante
INFERIOR
3) Reprocesos, ajustes y actualización de las normas, asociadas al proceso. Se consulta Oficios 2. Se toman las acciones y/o
G.GF.10
Ambos
3. Indebido diligenciamiento de la información
Menor
reclasificaciones. periódicamente la página web de la SDH, DIAN, entes de control, entes de control- ORFEO. correcciones pertinentes de acuerdo al
Baja
Y presupuestal con errores y/o 6 X 72 Predis - Valor de cierre
6
2
4) Retrasos en la producción y entre otras. caso.
CONTABILIDAD de forma inoportuna presupuestal en Stone
4. Desconocimiento y/o diferencias en el manejo entrega de los estados, informes y Nota: Se efectúan socializaciones al interior del área. 3. De ser necesario reportar
reportes. 3. Verificación de datos por personas diferentes a quien diligencia VoBo en CRP, CDP. nuevamente a la Entidad el informe
presupuestal por parte de las áreas
5) Estados, informes y reportes los documentos, reportes, Vo Bo, verificaciones, aprobación etc. corregido.
presupuestales no confiables y/o no 4. Envío de comunicación del calendario programación, ejecución
Presupuesto y
Subdirector(a)
Técnico(a) de
Contabilidad
relevantes. y cierre presupuestal a las áreas del IDU. Oficios, Memorandos,
5. Incumplimiento de los plazos de entrega de Circular
información
Subdirección Técnica de Presupuesto
Insignificante
Insignificante
contables no confiables y/o no análisis y revisiones necesarios por parte del equipo de trabajo del 2. Plan de Cuentas
INFERIOR
INFERIOR
los hechos, transacciones y doctrina contable pública. 2. Se toman las acciones y/o
G.GF.12
PRESUPUESTO relevantes. área, se realiza consulta permanente a los Planes de Cuentas. No. De informes objetados por
Posible
Ambos
3. Oficios y correos
operaciones en los estados correcciones pertinentes de acuerdo al
Baja
Y 2) Los estados, informes y reportes 6 X 2. Se realiza actualización y consulta permanente a través de la enviados. 70 entes de control u otras
3
2
contables de la entidad y/o 4. Lista de asistencia. caso.
CONTABILIDAD 3. Falta de competencia técnica y/o de conocimiento conducen a decisiones erradas. páginas de la Contaduría General de la Nación, SDH y DIAN. entidades
en los informes 5. Procedimientos PR-GF- 3. De ser necesario reportar
de la regulación aplicable 3) Observaciones de los entes de 3. Revisión previa técnico-contable y documental de la información
presupuestales. 03, PR-GF-01 nuevamente a la Entidad el informe
control a registrar en los sistemas de información del proceso, por parte
corregido.
de los servidores públicos de la STPC.
4. Documentos soportes sin el cumplimiento de los
requisitos establecidos en la guía de pagos a terceros
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
MODERADO
TERCEROS, electrónico
Probabilidad
INFERIOR
información o a los (Confidencialidad) 2. Se toman las acciones y/o
ADMINISTRACIÓ
I.GF.01
Posible
Menor
Menor
documentos para lectura, correcciones pertinentes de acuerdo a
Baja
N DE 7. Acceso no autorizado a los sistemas de información X Resolución 34217 de 62
Manual políticas de seguridad de la información.
4
copia, modificación o o a los documentos por parte de personal de Divulgación de información a cada caso de violación y/o fuga de
RECURSOS, Documento de políticas operacionales de TI (DU-TI-06). 2015 sobre el marco de
sustracción por personas no mantenimiento locativo, aseo o vigilancia. terceras partes o a personal no información de seguridad en el sistema.
PRESUPUESTO políticas de Seguridad
autorizadas. autorizado
Y de la Información
(Confidencialidad) 3. Reforzamiento de las políticas de
CONTABILIDAD 8. Visitantes desatendidos en las instalaciones de la Manual políticas de seguridad de la información. Número de alertas de infracción
ciberseguridad.
entidad. reportadas por el sistema.
10. Disposición de documentos de oficina en sitios no Almacenamiento de información según los lineamientos vigentes.
adecuados para su almacenamiento y control. Documento de políticas operacionales de TI (DU-TI-06).
de Gestión Financiera
Financiera, Subdirección Técnica de
Dirección Técnica Administrativa y
de Presupuesto y Contabilidad
Probabilidad
INFERIOR
INFERIOR
de los entes de control 2. Se toman las acciones y/o
Remota
GTIC sobre el bloqueo
I.GF.02
Menor
Menor
GESTIÓN Pérdida o alteración de correcciones pertinentes de acuerdo a Número de quejas presentadas
Baja
X de sesiones 74
2
FINANCIERA información Imposibilidad para atender los cada caso de violación y/o fuga de por la ciudadanía.
trámites y/o servicios ofrecidos a los información de seguridad en el sistema.
2. Manipulación por parte de terceros de equipos o de ciudadanos. Capacitación y sensibilización a los usuarios del proceso sobre Soporte de remisión de
Subdirector(a)
documentos por medios
Tecnológicos
programas de cómputo o datos (físico o lógicos). (Disponibilidad + Integridad) bloqueo de sesión y manipulación de documentos físicos. 3. Reforzamiento de las políticas de
Técnica de
de sistemas de
recursos
ciberseguridad.
información de apoyo.
3. Interceptación total o parcial de datos (físicos o
lógicos). Infraestructura de Ciberseguridad.
2. Pérdida o desabastecimiento de energía eléctrica Definición de planes de contingencia para el proceso (En
regulada elaboración).
Insignificante
Probabilidad
INFERIOR
INFERIOR
Imposibilidad de uso de los Afectación en la prestación de los 1. Seguimiento de a la activación del
Moderado
Remota
Remota
Número de quejas presentadas
I.GF.03
GESTIÓN recursos institucionales para servicios a los usuarios internos y a Plan de emergencias plan de continuidad del negocio.
X 47 por la ciudadanía y/o partes
3
1
FINANCIERA la operación normal del la ciudadanía. vigente.
interesadas.
proceso. (Disponibilidad) 2. Activación del plan de emergencias
3. Por destrucción de equipos, dispositivos, medios o Definición de planes de contingencia para el proceso (En
instalaciones elaboración).
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: PROCESO DE GESTION FINANCIERA D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STTR - STPC - DTAF - SGGC
E
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL V
RIESGO RIESGO E
EFECTO
VALOR
Procedimiento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
General de Gestión
Dirección Técnica Administrativa y Financiera, Subdirección Técnica de Tesorería y
Subdirector(a)
Corporativa
1. Ausencia o deficiencia en los procedimientos de D
Manual de protección de datos personales MGTI17.
manejo de la información personal. E
Recaudo, Subdirección Técnica de Presupuesto y Contabilidad
R
I
Incumplimiento legal (ley de E
Subdirector(a)
S
Corporativa
General de
protección de datos)
Gestión
2. Desconocimiento de parte de las personas que Sesión informativa sobre protección de datos personales con G
manejan la información. Reclamaciones de los titulares de apoyo de la SIC (Superintendencia de Industria y Comercio). 1. La STTR realiza seguimiento a cada
los datos una de las vulnerabilidades del sistema.
O
S
4 INFERIOR
Insignificante
Probabilidad
INFERIOR
Afectación al buen nombre de la MGTI17 Manual 2. Se toman las acciones y/o
Remota
Manejo inadecuado de la Número de quejas presentadas
I.GF.04
Menor
GESTIÓN entidad operativo para la correcciones pertinentes de acuerdo a
Baja
información personal de los X 76 por la ciudadanía y/o partes
1
FINANCIERA 3. Omisión intencional de los controles para el manejo protección de datos cada caso de violación y/o fuga de
ciudadanos o de terceros. interesadas.
de la información. Pérdida de confidencialidad de la personales información de seguridad en el sistema.
información.
3. Reforzamiento de las políticas de
de Gestión Financiera
información.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las Revisión y aprobación del líder del proceso y líderes operativos:
observaciones que considere necesarias): ÁREA NOMBRE CARGO FIRMA
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr
T
O
S
1. Formato FO-TH-31
INFORMACIÓN BASE D
1. Verificación de las afiliaciones actuales a través del reporte de AL INGRESO DE E
novedades de seguridad social del aplicativo RUAF. PERSONAL
2. Al momento de la posesión del servidor diligenciar el formato de 2. Formato FO-TH-23
Seguridad Social: El reporte no oportuno del ingreso Información Base al Ingreso de Personal, y hacer la revisión y RUTA DE R
de un servidor al IDU a la EPS, AFP, ARL y CCF o el validación de los documentos de afiliación de seguridad social SEGUIMIENTO I
reporte de traslado entre entidades. aportados con las entidades respectivas. POSESIONES E
3. Comunicación y vinculación de las entidades de seguridad social a 3. Reportes,
través de los mecanismos establecidos por éstas, para lo cual se Certificados y/o
S
cuenta con una base de datos de los asesores por entidad. formularios de G
afiliación, generados O
por cada entidad. S
MODERADO
Insignificante
diligenciado y aprobado. 2. Oficios
INFERIOR
de los servidores o jefes de áreas. 1. Realizar el ajuste correspondiente en la nómina
G.TH.01
REPORTE Y/O CARGUE Sanciones al IDU 6. Recibo y revisión de los actos administrativos de aprobación de los 3. Actos
Posible
Ambos
Menor
STRH
Baja
NÓMINA NO OPORTUNO DE LAS 6 X X permisos y licencias según corresponda. Administrativos 79
2
2. Realizar las afiliaciones pendientes de manera oportunamente
NOVEDADES DE NÓMINA Reprocesos
inmediata.
No cubrimiento de la Seguridad
Social al servidor.
1. Flash IDU
7. Divulgación de la programación de pagos de nómina a comienzo de
2. Memorandos
la vigencia a las partes interesadas (interna y externa).
3. Circular de
Liquidación de nómina: Recibo de las novedades de 8. Solicitud a los jefes de área de la programación anual de vacaciones.
Programación de
nómina por fuera de lo establecido en la Circular de 9. Aplicación de la Circular de programación de pagos de nómina.
Pagos de Nómina.
Programación de pagos de nómina. 10. Aplicación de la Lista de Chequeo de Nómina, con el fin de
4. Formato FO-TH- 29
garantizar la inclusión de todos los factores requeridos para la
LISTA DE CHEQUEO
liquidación de la nómina.
NÓMINA
* Historias laborales.
PROFESIONAL
QUE LA DEFENSA DE LOS
MODERADO
Insignificante
demandas 3. Manual Específico de Funciones y Competencias Laborales 2. Una vez realizado el último pago derivado de la
INFERIOR
INTERESES JUDICIALES Demandas de naturaleza laboral no
G.TH.03
actualizado para que el empleo de Profesional Especializado 222-05 de * Actas de Comité de sentencia, mediante memorando dirigido a la DTGJ, se
Posible
Ambos
Menor
STRH
Baja
Condenas al IDU 6 X la STRH también pueda ejercer la función de apoyar la defensa laboral. Conciliación 79 relacionan todos los pagos derivados de la misma y se
2
JURÍDICOS LABORAL NO SEA STRH / Total de demandas de naturaleza
4. Los casos son llevados al Comité de Conciliación para su revisión. aportan las pruebas documentales para que esa
CONTUNDENTE Y laboral recibidas por la STRH x 100
Acción de Repetición 5. Orientación y/o sensibilización al nivel directivo sobre prevención del * Memorando que dependencia, de acuerdo con sus competencias, inicie el
OPORTUNA
daño antijurídico en materia laboral. contiene la respuesta a trámite de la acción de repetición correspondiente.
6. Acción de Repetición. la demanda y las
Que no haya aplicación de las políticas de prevención pruebas que soportan
del daño antijurídico que se trazan a nivel institucional la defensa jurídica.
y distrital.
PROFESIONAL
3. Iniciar el proceso de estudio de mercados y elaboración de los hacer seguimiento al proceso de contratación y efectuar
Insignificante
capacitación orientada hacia las
INFERIOR
INFERIOR
DEMORA EN LA estudios previos una vez se cuente con el PIC aprobado. * Estudios previos los ajustes que sean necesarios.
G.TH.05
Remota
necesidades reales y priorizadas, Eventos de capacitación contratados no
Ambos
Menor
STRH
EJECUCIÓN DEL PIC (Plan Inconvenientes en el proceso de contratación de 4. Definición y precisión en el momento de estructurar las obligaciones * Requerir al proveedor con el fin de que se realicen
Baja
1
Institucional de proveedores. y requerimientos del contrato dentro de los estudios de mercado, * Informe del oportunamente los ajustes a los que haya lugar en el
la Entidad para el cumplimiento contratados programados x 100
Capacitación) estudios previos y pliegos de condiciones. Proveedor y Anexos marco de la ejecución del PIC.
de los objetivos y metas
5. Durante la ejecución del contrato se reciben las observaciones de los
organizacionales.
servidores respecto a la calidad del servicio contratado, se analizan las * Contrato o convenio
mismas y se toman las acciones que correspondan con el contratista.
6. Al finalizar el evento de capacitación se aplica la evaluación de
satisfacción.
Cancelación de espacios físicos previamente 7. Programación de actividades de capacitación de acuerdo con
programados por la STRH, por otros eventos de la disponibilidad del auditorio.
Entidad.
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: GESTIÓN DEL TALENTO HUMANO D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
19-Dec-18 ÁREAS:
SUBDIRECCIÓN TÉCNICA DE RECURSOS HUMANOS (STRH)
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITORE
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
PROFESIONALES -TÉCNICOS -
S
1. Hoja de vida para el nombramiento revisada frente a los documentos
radicados en el aplicativo Kactus. D
CONTRATISTAS
2.Revisión de la información registrada en la plataforma Kactus por
MODERADO
Insignificante
Servidores que no tienen registrada y/o E
INFERIOR
parte de cada uno de los servidores y solicitud de actualización en los
G.TH.06
SISTEMA KACTUS Que los servidores no carguen en el sistema Kactus Incumplimiento de la 1. ORFEO actualizada la totalidad de la información
Posible
Ambos
Menor
STRH
casos requeridos. 1. Una vez identificado, solicitar al usuario el cargue de la
Baja
BIODATA CAJERO Cajero y/o no entreguen la documentación en normatividad vigente en la 6 X X 2. KACTUS 68 correspondiente en el Cajero Kactus /
2
DESACTUALIZADO radicación materia (Ley de Transparencia)
3. Validación de la veracidad de la información registrada en la
3. Historia Laboral
información.
Total de servidores activos del Instituto x R
plataforma Kactus.
4. Sensibilización a lo servidores respecto a la obligatoriedad del
100 I
registro de la información en el aplicativo Kactus (Ley de E
Transparencia) S
G
O
S
1. El préstamo de las historias laborales a los servidores de la STRH se
La no devolución de documentos de la historia laboral controla a través de una planilla en la cual se registra el nombre del
Tarjeta de préstamos
CONTRATISTAS Y TÉCNICOS
que fueron prestados titular de la historia laboral y del funcionario al que se le está haciendo
el préstamo.
2. Después de realizar la consulta de la historia laboral, se hace control
HISTORIAS LABORALES de documentos.
Insignificante
1. Realizar la gestión para recuperar los documentos
INFERIOR
INFERIOR
QUE NO CUMPLEN CON 3. Sólo se reciben documentos de actualización de carpeta de Historia Historias laborales en físico
G.TH.07
Remota
Incumplimiento de lo establecido faltantes.
Ambos
Menor
SRTH
LO ESTABLECIDO EN LA Laboral que sean radicados en ORFEO por control de fechas de desactualizadas / Total de historias
Baja
BIODATA en la normatividad sobre gestión 6 X X 84
1
NORMATIVIDAD VIGENTE entrega. laborales x 100
documental 2. En caso de no lograr la recuperación del documento,
EN MATERIA DE GESTIÓN 4. Historias laborales archivadas y organizadas de acuerdo con la TRD
instaurar la denuncia por pérdida del documento.
DOCUMENTAL y la normatividad vigente.
Documentos aportados por los servidores para la 5. Directriz por parte de la Subdirectora Técnica de Recursos Humanos
de hacer entrega a archivo de la documentación generada 1. ORFEO
actualización de la Historia Laboral en fechas
semanalmente. 2. Historia Laboral
posteriores a las que se produjo el documento
6. Las historias laborales no pueden ser trasladadas fuera del área del
archivo administrado por la STRH.
ASISTENCIALES Y CONTRATISTAS
PROFESIONALES, TÉCNICOS,
* Resolución 34217 de
SUSTRACCIÓN O Disposición de documentos de oficina en sitios no 2015 de Políticas de
1. Sensibilización respecto a la importancia de estar siempre atentos a
ALTERACIÓN POR PARTE adecuados para su almacenamiento y control. seguridad de la * Adelantar el proceso administrativo y/o disciplinario en
la recolección de los documentos generados en la impresora o
DE SERVIDORES Fuga de información y/o uso información contra del servidor público o colaborador que haya Número de casos de sustracción o
Probabilidad
INFERIOR
INFERIOR
escaneados.
Remota
PÚBLICOS U OTROS indebido de datos institucionales sustraído o alterado la información. alteración de información susceptible
I.TH.02
Menor
Menor
SRTH
GESTIÓN DEL
Baja
COLABORADORES DEL (Confidencialidad), relacionados 6 X X * Correos electrónicos 82 para el proceso de Gestión del Talento
2
TALENTO HUMANO 2. Organización y almacenamiento de la documentación según los
IDU DE INFORMACIÓN con el proceso de Gestión del del Subsistema de * Si hay lugar a ello, instaurar la correspondiente denuncia Humano, por parte de servidores públicos
lineamientos institucionales en materia de Seguridad de la Información.
SUSCEPTIBLE PARA EL Talento Humano Gestión de Seguridad en contra del servidor públicpo o colaborador que haya o colaboradores ajenos a dicho proceso.
PROCESO DE GESTIÓN de la Información. sustraído o alterado la información.
3. Bloqueo de sesión siempre que proceda.
DEL TALENTO HUMANO Manipulación por parte de terceros de equipos o de
programas de cómputo o datos (físico o lógicos).
TÉCNICOS Y CONTRATISTAS
manejo de la información personal.
protección de datos)
1. Manejo documental de la Intranet y trazabilidad en Orfeo.
Reclamaciones de los titulares * Adelantar el proceso administrativo y/o disciplinario en
MANEJO INADECUADO DE
de los datos Ley 1581 de 2012 contra del servidor público o colaborador que haya
Probabilidad
INFERIOR
INFERIOR
LA INFORMACIÓN Desconocimiento de parte de las personas que 2. Dedicación exclusiva del personal para el archivo en historias Número de casos de manejo inadecuado
Remota
Remota
generado la materialización del riesgo.
I.TH.05
Menor
Menor
STRH
GESTIÓN DEL PERSONAL DE LOS manejan la información. laborales. de la información personal de los
Pérdida de confidencialidad de la 6 X X PR-TH-03 Creación y 82
2
2
TALENTO HUMANO SERVIDORES PÚBLICOS O servidores públicos o colaboradores del
información. Gestión Documental * Si hay lugar a ello, instaurar la correspondiente denuncia
COLABORADORES DEL 3. Sensibilización respecto al manejo adecuado de la información de Instituto.
de Historias Laborales en contra del servidor público o colaborador que haya
INSTITUTO índole personal y en particular sobre la Ley de protección de datos
Pérdida de la integridad de la generado la materialización del riesgo.
personales.
información.
Omisión intencional de los controles para el manejo
de la información.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las Revisión y aprobación del líder del proceso y líderes operativos:
observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
SUBDIRECTOR GENERAL
SGGC SALVADOR MENDOZA SUÁREZ
GESTIÓN CORPORATIVA (E)
DIRECTOR TÉCNICO
DTAF SALVADOR MENDOZA SUÁREZ ADMINISTRATIVO Y
FINANCIERO
SUBDIRECTORA TÉCNICA DE
STRH PAULA TATIANA ARENAS GONZÁLEZ
RECURSOS HUMANOS
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: Gestión de Tecnologías de la Información y la Comunicación D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STRT
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr
T
O
S
- Verificación del contenido de los formatos para el ciclo de
desarrollo de soluciones de TI por parte del arquitecto de software. D
E
Profesional Especializado
1. Las buenas prácticas para transferir y consignar el - Aplicación de metodologías de conocimiento general de
Subdirectora Técnica
conocimiento no se están dejando documentadas. especificación de requerimientos donde se establezca
2. Falta de compromiso y responsabilidad de los participación de las áreas especialistas con los usuarios. Se - Formatos del ciclo de
R
MODERADO
MODERADO
I
Probabilidad
usuarios en la definición de los requerimientos o mala involucra al usuario en la aceptación del producto o servicio de vida de desarrollo de
Moderado
Moderado
Inadecuada definición de los Proyectos no funcionales para Causas para la materialización del
G.TI.01
Posible
Desarrollo de documentación de los mismos. software. software. E
Baja
requerimientos del software a atender los requerimientos de la 6 X 80 Devolver el requerimiento y volver a definirlo riesgo presentadas / Causas
6
Aplicaciones 3. Falta de aplicación e investigación de arquitecturas - Validación de los requerimientos identificados por las partes - Documentación de la S
desarrollar entidad identificadas
de integración. interesadas. arquitectura.
4. Baja aplicación de metodologías de desarrollo de - Actualmente se está implementando la arquitectura de - Actas de Reunión.
G
software orientadas a la gestión de procesos y flujos información que fue definida previamente. O
de trabajo. - Se ha identificado un conjunto de actividades a realizar para que S
se apliquen los métodos para la integración de los sistemas de
información y estas son asignadas a un grupo de trabajo interno
del proceso.
- Instructivo de uso de
- Actividades importantes que se las carpetas
deben aplazar. compartidas.
1 Que no se cuente con suficiente espacio para el - Proyectos inconclusos o sin - Campaña de
almacenamiento de datos institucionales (por: a. entregables acordes con lo divulgación.
- Gestión y monitoreo de la capacidad de almacenamiento
Duplicidad en el almacenamiento de información; b. requerido. - Anteproyecto de
centralizado (SAN - NAS).
Fallas en el cálculo de dimensionamiento de la - Detención o demora en el presupuesto, Planes
Profesional Especializado
- Definición del anteproyecto de presupuesto, Plan Anual de
arquitectura de almacenamiento; c. Falta de registro de datos en los sistemas de contratación PSP,
Subdirectora Técnica
MODERADO
MODERADO
instalados vs asignados). - Las solicitudes no puedan ser Adquisiciones
Probabilidad
Insuficiente asignación de TIC.
Remota
Direccionamiento 2 Que no se cuente con suficiente personal para atendidas en los tiempos - PETI
G.TI.02
Mayor
Mayor
recursos para el cumplimiento - Revisión periódica de los registros de los servidores físicos y * Priorización de proyectos Cantidad de proyectos afectados /
Baja
estratégico de desarrollar los proyectos requeridos por el Instituto. esperados. 1.6 X - Procedimiento 72
4
de los objetivos o actividades validando diariamente la consola de administración de los * Reformular proyectos cantidad de proyectos planeados
TIC 3 Que no se asigne presupuesto suficiente para - Proyectos con prioridad de alto PRTI16 Gestión de
requeridas al proceso servidores virtuales y consignando los registros de capacidad
adquirir las herramientas necesarias. impacto para el funcionamiento capacidad y
según el corte de periodo correspondiente en el formato diseñado
4 Que no se cuente con suficiente capacidad de del Instituto no pueden ser disponibilidad.
para tal fin.
procesamiento para desplegar los proyectos realizados. - Procedimiento
- Realización diaria del monitoreo al uso de los canales de
requeridos por el Instituto. - Demoras en procesamiento de PRTI17 Gestión de
comunicación internos y externos y registro de la capacidad usada
5 Que no se cuente con suficiente capacidad de información relevante para el servidores
al corte de periodo para facturación.
transmisión de datos desde, hacia y al interior del instituto. - FOTI30 Control de
Instituto. - Aislamiento o lentitud en el capacidad de los
intercambio de información recursos de TI
interna o externa. - IN-TI-17 Instructivo
del Aplicativo WSUS
- Contratos y pólizas
de cumplimiento.
- Documento de
acuerdo de trabajo
colaborativo TIC vs RF
- Procedimientos de
- Se cuenta con las obligaciones contractuales definidas en cada Generación y
uno de los contratos (Definición y cumplimiento de los Acuerdos restauración de copias
1 Fallas del servicio prestado por el proveedor en el
de Nivel de Servicio -ANS), así como la suscripción de las pólizas de seguridad (PR-TI-
suministro de: a). canales de comunicación; b).
de cumplimiento. Las incidencias sobre los servicios son 11 y PR-TI-12)
Servicio de energía; c). Soporte técnico especializado.
reportadas a través de las herramientas suministradas por cada - PETI
2 Falta de calidad en el cableado estructurado y los
- Se afecta la operación y proveedor, y el cierre de las mismas son revisadas periódicamente - Plan Anual de
equipos de comunicación que soportan la red.
continuidad del servicio. a corte de facturación. Adquisiciones
Profesional Especializado
3 Bajo nivel de control en la generación y restauración
- Pérdida de información. - Procedimientos PR-TI-17 y PR-TI-23 Gestión de servidiores y - Reportes de los
Subdirectora Técnica
de copias de seguridad.
- No disponibilidad de la Gestión de telecomunicaciones. sistemas ARANDA,
4 Debilidades en la administración de la actualización
MODERADO
Insignificante
información oportuna para - Aplicación de metodologías conocidas para la definición del STONE y Módulo de
INFERIOR
de la infraestructura.
Moderado
Remota
Gestión de respaldar o restaurar datos en PETI, el plan anual de adquisiciones. Inventarios de TI de Servicios básicos de TI afectados /
G.TI.03
Ambos
Inadecuada gestión de la 5 Obsolescencia no controlada de los recursos Diagnóstico de la situación y considerar la posibilidad
Baja
Infraestructura de procesos de contingencia. 6 X X 6 - Módulo Asset Management de la herramienta Aranda y Módulo CHIE. 87 servicios básicos de Ti Identificados
1
Infraestructura de TI tecnológicos. de activar DRP.
T.I. - Afectación a la integridad, Almacén sistema STONE para ejercer el control automatizado y - Informe de en las causas.
6 Falta de mantenimiento periódico.
disponibilidad y confidencialidad su comparación. seguimiento
7 Desactualización de los últimos parches de
de la información. - Programación de mantenimiento preventivo que se pacta como - Plan de
seguridad en los servidores.
- Daños en cualquiera de los obligaciones establecidas para los contratistas. mantenimiento de
8 Ausencia de controles para evitar el uso de software
elementos o equipos del centro - Utilización del Instructivo de uso del aplicativo WSUS. elementos de TI
no licenciado o realizar copias del software licenciado
de cómputo. - Control de licencias a partir del servidor de licenciamiento; - IN-TI-17 Instructivo
por el Instituto.
restricciones para el uso de Llaves USB. del Aplicativo WSUS
9 Apagado forzado de los equipos servidores,
- Cláusulas de confidencialidad en los contratos con terceros. - IN-TI-06 Instructivo
bandejas de almacenamiento y/o elementos activos
- Construcción de la documentación operacional para de Uso de Recursos
de red del centro de cómputo.
identificación de fallas, instrucciones de apagado y encendido. Tecnológicos
- Acceso controlado y regulado al centro de cómputo. - IN-TI-07 Instructivo
de administración del
Directorio Activo
- IN-TI-14 Instructivo
de preparación de un
equipo para usuario
final.
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: Gestión de Tecnologías de la Información y la Comunicación D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STRT
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr
T
O
- Portafolio y Catálogo S
de servicios de
tecnologías de la
información (DUTI01) D
- Equipo de trabajo de la Mesa de servicios de la entidad. Este
grupo atiende las diferentes solicitudes, según el catálogo de
- Informe de E
seguimiento e
servicios de TI vigente.
Indicador de servicios.
- Capacitaciones con el personal de mesa de servicios para que R
Profesional Especializado
1 Falta de personal especializado y competente para - Actas de la mesa de
se realice el registro adecuado en la herramienta Aranda. I
Subdirectora Técnica
la atención de incidentes en forma oportuna. trabajo de la STRT"
- Demoras en la operación de los - Verificación del cierre y documentación de los casos por parte
2 Incumplimiento de los Acuerdos de Niveles de - Reportes de la E
Insignificante
Insignificante
procesos. del líder de mesa de servicios.
Probabilidad
INFERIOR
INFERIOR
Servicio ANS. Herramienta Aranda S
Remota
Problemas en la relación entre - Insatisfacción por parte del - Fomento del uso del Módulo USDK de Aranda, para autogestión Promedio de la calificación de la
G.TI.04
Posible
Gestión de 3 No gestionar la base de conocimiento de manera - Instructivo de
usuarios finales y prestadores de cliente interno. de radicación de casos por los usuarios del Instituto. 87 Reasignar a la persona que atiende al usuario. percepción del servicio de soporte G
1
Servicios de TI adecuada. Solicitud de Soporte
los servicios de T.I. - Deterioro de la credibilidad del - Campañas de divulgación sobre el uso de la herramienta de dada por los usuarios / 5
4 No registrar el 100% de las incidencias /
proceso frente a las necesidades usuario USDK.
Técnico por Aranda - O
requerimientos de los usuarios en el software Aranda. USDK (IN-TI-02) S
institucionales. - Transferencia de conocimiento. Personal de planta. Plan de
5 Alta rotación de personal. - Campañas de
contratación de apoyo a la gestión.
6 Desactualización del catálogo de servicios divulgación, Listas de
- Control de cierre de todos los casos en curso de los funcionarios
asistencia.
y contratistas de apoyo a la gestión, antes de efectuar los pagos
- Informes de gestión
mensuales.
del personal PSP.
- Revisiones y/o actualizaciones periódicas.
- Actas de entrega de
puesto al finalizar los
contratos.
- Paz y salvos.
Profesional Especializado
desechados. (PC de escritorio), son instalados y configurados con medidas de seguro de datos y
- Divulgación de información a
Subdirectora Técnica
9 Visitantes desatendidos en las instalaciones de la prevención que minimizan el uso de puertos de comunicación. formateo final de
terceras partes o a personal no
entidad. - La instalación de software se realiza cuando son preparados y equipos (IN-TI-15)
MODERADO
autorizado
Probabilidad
INFERIOR
Acceso a la información por 10 Mal uso o abuso de los derechos otorgados como configurados los equipos que se entregan al usuario. Las - Procedimiento de
Moderado
Moderado
Remota
(Confidencialidad).
Posible
I.TI.01
personas no autorizadas usuario o como administrador. instalaciones de aplicaciones por demanda deben ser autorizadas revisión a la Controles no aplicados o
Seguridad - Manipulación o alteración de 6 X X 87 Gestión del incidente
3
11 Control inadecuado de fechas, tratamiento de los por los dueños de proceso y realizadas por personal autorizado de plataforma de ineficientes / controles identificados
información en los sistemas de
formatos y/o falta de control para la sincronización de la mesa de servicios. tecnología de
información.
tiempo en los equipos del Instituto. - Adicionalmente, la herramienta de antivirus, impide que un información (PR-TI-18)
- Alteración de la configuración
12 Realización de análisis de flujo de mensajes, usuario sin privilegios de administrador instale aplicaciones en el - Procedimiento de
de los elementos usados para la
análisis de tráfico, infiltración de comunicaciones, equipo de cómputo y en caso de saltarse el control de instalación, Gestión de Servidores
prestación de servicios.
engaño o suplantación de direcciones IP, engaño o esta herramienta detecta y reporta software malicioso. (PR-TI-17)
- Pérdida o afectación de la
suplantación de los servicios de directorio de nombres - Identificación de roles y responsabilidades en el proceso GTIC, - Instructivo de
imagen institucional.
(DNS) o enrutamiento no autorizado de mediante la matriz de responsabilidades. preparación de un
comunicaciones. - Servicio de NTP centralizado en el servidor de dominio que hace equipo de usuario. (IN-
13 Registro inadecuado de cambios y/o que todos los equipos que se autentiquen en la red del Instituto TI-14)
modificaciones. mantengan actualizados los datos de fecha y hora. - Casos registrados
14 Abuso de medidas de seguridad para realizar - Revisión periódica del módulo de prevención de ataques (IPS) para cambios en la
seguimientos no autorizados, o mal uso de los del dispositivo de seguridad perimetral. instalación de software
registros de acceso. - Los usuarios finales de la plataforma de TI del Instituto, no en la herramienta de
15 Conflictos de interés entre las actividades cuentan con privilegios de administración local o de red, que mesa de servicios
realizadas y las responsabilidades. permitan cambios o accesos no autorizados. Aranda.
16 Falta de definiciones de perfiles de usuario - Periódicamente se hacen revisiones a los registros automáticos - Instructivo de
limitados para el acceso a los recursos. (logs) de los diferentes servidores y equipos de red, para administración del
17
1 NoInadecuada
bloquear laaplicación
sesión dedel etiquetado
usuario dese
cuando activos de identificar alertas y advertencias de seguridad. antivirus. (En
información.
abandona la estación de trabajo. construcción).
2 Mal uso de las contraseñas.
3 Por aplicación de ingeniería social. (manipulación de
las personas para obtener información).
4 Inadecuada aplicación del etiquetado de activos de
Profesional Especializado
información.
Subdirectora Técnica
Probabilidad
INFERIOR
Moderado
Moderado
Remota
Acceso a los sistemas de redes. (Confidencialidad)
R.TI.06
Posible
Controles no aplicados o
Seguridad información o a los documentos 6 Recuperación información a partir de medios de - Divulgación de información a 87 Gestión del incidente
9
3
ineficientes / controles identificados
por personas no autorizadas almacenamiento o procesamiento reciclados o terceras partes o a personal no
desechados. autorizado
7 Acceso no autorizado a los sistemas de información (Confidencialidad)
o a los documentos por parte de personal de
mantenimiento locativo, aseo o vigilancia.
8 Visitantes desatendidos en las instalaciones de la
entidad.
9 Ingreso a los sistemas operativos o a las
aplicaciones por "puertas traseras" no controladas.
10 Uso de software ilegal o malicioso.
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: Gestión de Tecnologías de la Información y la Comunicación D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STRT
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS - Documento de matriz
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) de responsabilidades EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri (en construcción). P I Rr
T
1 Mal uso o abuso de los derechos otorgados como O
- Identificación de roles y responsabilidades en el proceso GTIC, - Documento de
usuario o como administrador.
2 Control inadecuado de fechas, tratamiento de los
mediante la matriz de responsabilidades. políticas operativas S
- Formalización y publicación de las políticas operativas de TIC. TIC (DU-TI-06)
formatos y/o falta de control para la sincronización de
- Revisión periódica de los accesos que tienen los usuarios a los - Registros
tiempo en los equipos del Instituto. D
Profesional Especializado
recursos. automáticos (logs) del
3 Realización de análisis de flujo de mensajes, E
Subdirectora Técnica
- Servicio de NTP centralizado en el servidor de dominio que hace firewall.
análisis de tráfico, infiltración de comunicaciones,
-Pérdida o afectación de la que todos los equipos que se autentiquen en la red del Instituto - Procedimiento de
MODERADO
MODERADO
engaño o suplantación de direcciones IP, engaño o
Probabilidad
imagen institucional. mantengan actualizados los datos de fecha y hora. Gestión de cambios R
Remota
Alteración de la configuración de suplantación de los servicios de directorio de nombres Restauración de la configuración tomada en backup. Causas para la materialización del
R.TI.07
Mayor
Mayor
- Fuga de información. - Revisión periódica del módulo de prevención de ataques (IPS) (PR-TI-08).
Baja
Seguridad los elementos usados para la (DNS) o enrutamiento no autorizado de 87 riesgo presentadas / Causas I
4
- Imposibilidad de hacer del dispositivo de seguridad perimetral. - Formato Control de
prestación de servicios comunicaciones. Considerar la posibilidad de activar DRP identificadas E
seguimientos independientes. - La mesa de trabajo de gestión de cambios realiza la aprobación Cambios Tecnológicos
4 Registro inadecuado de cambios y/o modificaciones.
5 Abuso de medidas de seguridad para realizar
(Integridad + Confidencialidad) o rechazo de solicitudes, de los casos registrados en Aranda. (FO-TI-29). S
- Los usuarios finales de la plataforma de TI del Instituto, no - Formato Cambios G
seguimientos no autorizados, o mal uso de los
cuentan con privilegios de administración local o de red, que presentados a la mesa
registros de acceso.
permitan cambios o accesos no autorizados. de trabajo (FO-TI-33) O
6 Conflictos de interés entre las actividades realizadas S
- Periódicamente se hacen revisiones a los registros automáticos - Registros de cambios
y las responsabilidades.
(logs) de los diferentes servidores y equipos de red, para en Aranda. de
- Procedimiento
7 Falta de definiciones de perfiles de usuario limitados
identificar alertas y advertencias de seguridad. - Instructivo
revisiónRevisión
a la
para el acceso a los recursos.
de plataforma
los Derechos de de
Acceso
tecnología de los
de
- Instructivo
Usuarios.
información de
(PR-TI-
Profesional Especializado
preparación 18). de un
1 Interrupción de los servicios de red lógica o eléctrica - La instalación de software se realiza cuando son preparados y
Subdirectora Técnica
equipo
- Instructivo de usuario.
de Uso(IN- de
durante instalación o actualización de los equipos. configurados los equipos que se entregan al usuario. Las
TI-14)
WSUS (IN-TI-17).
MODERADO
2 Apagado abrupto o indebido de los equipos de instalaciones de aplicaciones por demanda deben ser autorizadas
Probabilidad
INFERIOR
- Campañas Internade
Moderado
Moderado
- Circular 1 de
Remota
procesamiento de datos. por los dueños de proceso y realizadas por personal autorizado de Causas para la materialización del
I.TI.02
Baja
Seguridad 3 Uso de lenguajes de programación o sistemas de 6 X X la mesa de servicios. 67 Reistalación de las aplicaciones afectadas riesgo presentadas / Causas
3
degradación de aplicaciones los servicios - uso
Circular y cuidado
Internade15los de
información obsoletos o no soportados. - Adecuada gestión de telecomunicaciones y gestión de las UPS. identificadas
recursos2016. de TIC (OAC
4 Inserción de código malicioso en la red o en los - Trabajos de concienciación en el uso de los equipos.
- STRT).
- Instructivo de uso
equipos de usuario. Instalación y propagación de - Control de la obsolescencia y modernización tecnológica.
1 Falta de(virus
instalación de actualizaciones o parches de - Registros
adecuadodedecontrol los
malware informáticos). - Desarrollo seguro de aplicaciones / Uso del antivirus.
seguridad para remediar debilidades conocidas de los de inventario
recursos de
de TI (IN-TI-
programas de software. equipos.
06).
2 Inserción de código malicioso en la red o en los - Instructivo de uso del
equipos de usuario. Instalación y propagación de antivirus (En
malware (virus informáticos). - Se revisa la adecuada instalación de "parches de seguridad" a actualización).
Profesional Especializado
3 Falta de información o conciencia respecto al uso de través de las consolas de monitoreo de los elementos de - Procedimiento de
Subdirectora Técnica
los recursos de tecnología asignados. tecnología y se hacen revisiones periódicas de dichas Gestión Cambios (PR-
4 Daños a la información provocado por animales aplicaciones a través del procedimiento de revisión de la TI-06)
Probabilidad
INFERIOR
INFERIOR
Moderado
Moderado
Remota
Remota
Daño a los equipos de cómputo (insectos o roedores). - Indisponibilidad y/o retrasos de -plataforma.
La información física (impresa) y en medios magnéticos - Instructivo de uso
I.TI.03
3
- Reparación del equipo afectado. ineficientes / controles identificados
contenidos en ellos medios. - Pérdida de la Disponibilidad - Inducción
retención es aenviada
los colaboradores que ingresan
a custodia externa al Instituto,
con proveedor para
certificado dispositivos de
6 Almacenamiento no protegido de datos. hacer
que uso de
ofrece los recursos
controles de tecnología
ambientales y contra que les son asignados.
deterioro. almacenamiento (IN-
7 Ubicación de archivos temporales en lugares con - Campañas
Se cuenta con de divulgación
repositoriosadetravés de cartelerascentralizado
almacenamiento virtuales, sobre
que TI-05).
condiciones ambientales no apropiadas. el uso decuotas
asignan los recursos de tecnología
a los procesos y áreas y del
sobre la protección
Instituto, para quede se
la - Procedimiento de
8 Almacenamiento no estructurado de datos y/o poca información.la información no estructurada (documentos de
consigne generación de copias
disponibilidad de datos respaldados. ofimática). -de seguridad
Contrato (PR-TI-
de custodia
1
9 Daños a la formalizado
información oprovocado por animales
Profesional Especializado
No se han no se aplican las - Seguimiento a la gestión de los servicios de suministro 11).
externa.
(insectos o roedores).
Subdirectora Técnica
condiciones para atender visitas en las oficinas contratados a través de la revisión de los informes mensuales - Instructivo dede
- Procedimiento
2
10Susceptibilidad de daño
No se tiene control en activos
de los almacenamiento
que se de preparación
entregados por los proveedores antes de autorizar los pagos de generación dede un
copias
medios.
Probabilidad
encuentran fuera de las instalaciones. equipo de usuario. (IN-
INFERIOR
INFERIOR
facturación. de seguridad (PR-TI-
Remota
Remota
Apoyo a la Degradación de la calidad o 3 Almacenamiento no protegido de datos. - Indisponibilidad y/o retrasos de Causas para la materialización del
R.TI.10
Menor
Menor
- Acuerdos de trabajo con el proceso de gestión de recursos TI-14).
11)
gestión y legibilidad de la información 4 Ubicación de archivos temporales en lugares con los servicios 87 riesgo presentadas / Causas
2
Seguridad almacenada condiciones ambientales no apropiadas. - Pérdida de la Disponibilidad
físicos. - -Procedimiento
- CircularLibro Interna
blanco 15dedede identificadas
- El acceso a las instalaciones de la STRT, al Centro de Cómputo Teletrabajo 2016
revisión IDU
a la(GU-
5 Almacenamiento no estructurado de datos y/o poca TH-01).dedeuso
Principal y a los centros de cableado, se encuentra restringido y - Instructivo
plataforma
disponibilidad de datos respaldados. - Contrato de de
custodia
controlado. adecuado
-tecnología
Instructivo delas
de
6 Tablas de retención documental desactualizadas o externa.
- El acceso a la información y servicios institucionales debe carpetas compartidas
Administración
información del
(PR-TI-18)
no aplicadas. - (en
Instructivo
hacerse mediante la autenticación de los usuarios en la red de - Directorio
Instructivo dede
construcción)
Activo
Usouso
(IN-de
datos en el Directorio Activo, en donde se cuenta con la política de adecuado
WSUS TI-07).de las
(IN-TI-17)
Profesional Especializado
-gestión
Algunasdeaplicaciones
contraseñas.y servicios adicionan certificados digitales o carpetas compartidas
- Instructivo
- Instructivo de
Solicitud
Subdirectora Técnica
1 Intento sistemático de usar contraseñas de acceso - Se han contemplado laslacondiciones (en construcción)
algoritmos de cifrado de informaciónde enusolas de los recursosque
transacciones de de protección
Soporte de la
Técnico
por personal no autorizado o suplantación de tecnología - DU-TI-06 Políticas
realizan ay través
se hace divulgación
públicas.de dichas condiciones en
MODERADO
se de redes información digital
Probabilidad
por Aranda USDK (IN-
INFERIOR
usuarios.
Moderado
Moderado
conjunto con la OAC. las condiciones de uso de los recursos de Operacionales TI-02) de TIC
Remota
- Indisponibilidad y/o retrasos de - Se han contemplado TI-08). Causas para la materialización del
R.TI.11
Baja
Seguridad los servicios - Se ha formalizado
tecnología y se hace el procedimiento
divulgación de gestióndichas de incidentes de
condiciones en para el
- -Procedimiento IDU.
Instructivo Uso de 87 Gestión del incidente riesgo presentadas / Causas
3
TI de medios de procesamiento. seguridadconde la
la OAC.
información.
(Disponibilidad) conjunto adecuado
Gestión de los
de Servicios identificadas
3 Falta de seguimiento a los dispositivos que
- Se ha formalizado y se está promoviendo el uso del recursos TI (IN-TI-06).
de TI (PR-TI-06)
conforman la seguridad del perímetro físico o lógico
procedimiento de gestión de incidentes de seguridad de la - Piezas de divulgación
- Procedimiento de
deAusencia
1 la entidad.
de mecanismos de monitoreo establecidos información. Gestión OAC. de Incidentes
para las brechas en la seguridad. -deProcedimiento
- Indisponibilidad y/o retrasos de seguridad de de la
2 Ataques de ingeniería social a los administradores gestión de incidentes
los servicios información (PR-TI-22)
de los sistemas de seguridad y de los componentes
Profesional Especializado
- Pérdida de la Disponibilidad - Se revisa la adecuada instalación de "parches de seguridad" a de- seguridad
Instructivo de dela
tecnológicos.
Subdirectora Técnica
MODERADO
actualizaciones de seguridad para aplicaciones.
Probabilidad
Explotación de debilidad TI aplicaciones a través del procedimiento de revisión de la TI-07).
Remota
4 Descarga no controlada de archivos o aplicaciones. Causas para la materialización del
I.TI.04
Mayor
Mayor
conocida sobre los componentes - Incumplimiento de los acuerdos plataforma. - Instructivo de
Baja
Seguridad 5 Uso de herramientas no autorizadas para revisión 6 X X 87 Gestión del incidente riesgo presentadas / Causas
8
4
tecnológicos y los sistemas de de atención de servicios en los - Se mantiene control sobre los ambientes de trabajo separados protección de la
de la red o de los equipos de cómputo. identificadas
seguridad perimetral términos pactados (desarrollo, pruebas y producción). información digital (IN-
6 Ausencia o desconocimiento de la política de uso de
- Multas o sanciones para el - Como contramedidas
Para los servicios de para los ataques
tecnología de ingeniería
se cuenta social, se
con documentación TI-08).
los servicios de red.
Instituto evita la
clara deatención telefónica a los
los procedimientos queusuarios y se prefiere
se requieren el registro
para atender los - Instructivo Uso
7 Uso inapropiado de equipos de comunicaciones o
(Integridad) de los reportados
casos casos en layherramienta de gestión
evaluar su debida de TI - Aranda.
gestión. adecuado de los
de medios de procesamiento.
- Lentitud en la respuesta de los - El acceso a los servicios de consulta de información digital recursos TI (IN-TI-06).
8 Falta de seguimiento a los dispositivos que
servicios de red interna o externa externa por medio de Internet está restringido por tipos de - Piezas de divulgación
Profesional Especializado
conforman la seguridad del perímetro físico o lógico
contenidos presentados y operado a través de los dispositivos de OAC.
Subdirectora Técnica
de la entidad.
seguridad perimetral. - Instructivo dede
- Procedimiento
Administración del
MODERADO
- Preventivamente se hace el seguimiento y monitoreo del tráfico Gestión de Servicios Aplicar el procedimiento de reconstrucción de
Probabilidad
Casi Seguro
Incumplimiento de los acuerdos 1 Dificultad para encontrar fallas y/o problemas - Multas o sanciones para el de la red interna a través de Nagios y otras herramientas. Directorio Activo (IN-
de TI (PR-TI-06) expedientes FO-DO-07.
R.TI.13
Posible
Menor
Menor
ALTO
6
- Documento ineficientes / controles identificados
términos pactados servicio y/o los protocolos de reporte de fallas. (Integridad) está restringido por el directorio activo y apoyado por la aplicación Gestión de Incidentes Restaurar la información de copias de respaldo
de antivirus. Definición
de seguridad de Perfiles
de la tomadas previamente.
- Se revisa la adecuada instalación de "parches de seguridad" a de navegación
información (PR-TI-22) para
través de las consolas de monitoreo de los elementos de Internet. (En
tecnología y se hacen revisiones periódicas de dichas construcción).
aplicaciones a través del procedimiento de revisión de la - Instructivo de uso del
plataforma. antivirus (En
- Se mantiene control sobre los ambientes de trabajo separados construcción).
(desarrollo, pruebas y producción). - Registros de tráfico
Formato: FO-AC-07 Versión: 3 Página 72 de red en los
dispositivos.
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: Gestión de Tecnologías de la Información y la Comunicación D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS:
STRT
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri - Instructivo de P I Rr T
Administración del O
Directorio Activo (IN- S
Profesional Especializado
- El acceso a los servicios de consulta de información digital TI-07).
Subdirectora Técnica
externa por medio de Internet está restringido por tipos de - Documento
1 Descarga no controlada de archivos o aplicaciones. contenidos presentados y operado a través de los dispositivos de Definición de Perfiles D
Probabilidad
INFERIOR
INFERIOR
- Indisponibilidad y/o retrasos de
Remota
Lentitud en la respuesta de los 2 Uso de herramientas no autorizadas para revisión seguridad perimetral. de navegación para Reportar situación ante el proveedor. Causas para la materialización del E
R.TI.14
Menor
Menor
los servicios
Baja
Seguridad servicios de red interna o de la red o de los equipos de cómputo. - Preventivamente se hace el seguimiento y monitoreo del tráfico Internet. (En 87 riesgo presentadas / Causas
2
- Multas o sanciones para el
externa 3 Ausencia o desconocimiento de la política de uso de de la red interna a través de Nagios. construcción). Utilizar canales alternos (según disponibilidad) identificadas
Instituto R
los servicios de red. - Adicionalmente se tiene el control de instalación de software que - Instructivo de uso del
está restringido por el directorio activo y apoyado por la aplicación antivirus (En I
de antivirus. construcción). E
-- Registros
Instructivode Usotráfico
del
de redde encorreo
los
S
servicio
G
Profesional Especializado
dispositivos.
institucional (IN-TI-12).
O
Subdirectora Técnica
- Procedimiento
- El servicio de correo electrónico es prestado por un tercero, se
realizaron sesiones de capacitación respecto al uso del servicio.
Bienestar Social y S
Probabilidad
INFERIOR
INFERIOR
1 No existencia de políticas sobre el uso del correo Desarrollo (PR-TH-
Remota
- Indisponibilidad y/o retrasos de - Divulgación y toma de conciencia sobre conceptos de uso
I.TI.05
Menor
Menor
Mal uso de los servicios de electrónico. 118). Controles no aplicados o
Baja
Seguridad los servicios 6 X adecuado de los recursos de TI, incluyendo el correo electrónico. 87 Reportar situación ante el proveedor.
2
correo electrónico 2 Frustración o inconformidad por parte de los - Instructivo Acuerdo ineficientes / controles identificados
- (Disponibilidad) - Aplicación de los conceptos y actividades que el proceso de
usuarios. Ético Gente IDU (CA-
talento humano realiza para mantener el clima laboral, atender las - Instructivo de Uso
TH-02).
inquietudes
- En acciones de loscoordinadas
colaboradorescon(de la
planta o contratistas).
OAC, se trabaja en la adecuado de delos
- Instructivo
divulgación y toma de conciencia sobre conceptos de uso recursos de TI (IN-TI-
Administración del
adecuado de los recursos de TI. Directorio 06).
Activo (IN-
- Para protección de los recursos tecnológicos físicos, se dispone - Instructivo
TI-07). uso
de
Profesional Especializado
de pólizas de seguros que pretenden reponer el recurso perdido. adecuado de los
Subdirectora Técnica
Insignificante
Insignificante
utilización de computadores portátiles.
Probabilidad
INFERIOR
INFERIOR
instructivo de uso adecuado de los dispositivos de TI-05).
Remota
Manipulación de equipo de 2 No se han formalizado o no se aplican las - Indisponibilidad y/o retrasos de Causas para la materialización del
R.TI.16
Posible
almacenamiento. - Procedimiento de
Seguridad cómputo de usuario por familiar condiciones para atender visitas en las oficinas. los servicios 87 N/A riesgo presentadas / Causas
1
- La configuración de los equipos de usuario, queda restringida a generación de copias
o tercero 3 Dificultad para hacer verificaciones y/o validaciones. (Disponibilidad) identificadas
perfiles de USUARIO, no se habilitan perfiles de de seguridad (PR-TI-
4 No se tiene control de los activos que se encuentran
ADMINISTRADOR LOCAL. 11).
fuera de las instalaciones.
- Condiciones de validación aplicables a los "tele-trabajadores" en - Instructivo de
cuanto al manejo de los recursos asignados. preparación de un
- El servicio de correo electrónico es prestado por un tercero, se equipo de usuario. (IN-
realizaron sesiones de capacitación respecto al uso del servicio. - Instructivo TI-14).
de ingreso
Profesional Especializado
-- El acceso a las
Divulgación y instalaciones de la STRT,
toma de conciencia al Centro
sobre de Cómputo
conceptos de uso - Librode blanco de y
al centro cómputo
Subdirectora Técnica
Principal
adecuadoyde a los
los recursos
centros de
de cableado, se encuentra
TI, incluyendo restringido y
el correo electrónico. Teletrabajo IDU (GU-
1 Acceso no autorizado al edificio o a las áreas centro de cableado
controlado. TH-01).
críticas. - Violaciones a la seguridad. (IN-TI-04)
INFERIOR
INFERIOR
- Se han identificado los elementos y servicios críticos del proceso
Moderado
Remota
Remota
Afectación a la seguridad de la 2 No contar con el plan de continuidad del negocio. - Pérdida de equipos. - Documento de Plan Causas para la materialización del
Ambos
I.TI.06
Menor
de GTIC.
Seguridad información durante un evento 3 Falla técnica de los elementos dispuestos para - Robo de información, equipos 6 X X de Continuidad de 79 Activar DRP riesgo presentadas / Causas
2
- Se ha diseñado el Plan de continuidad de los servicios de TI.
crítico proteger la información. y/o dispositivos. Servicios de TI (en identificadas
- Se están actualizando los planes de contingencia e instructivos
4 Por temblor, vendaval, o fenómeno meteorológico. (Integridad + Confidencialidad) construcción)
de recuperación.
5 Por inundación interna o externa. - Documento Plan de
- Diseño de Plan de Recuperación ante Desastres para los
Recuperación ante
componentes de TI
desastres (en revisión)
Profesional Especializado
- Capacitación y sensibilización al personal de la mesa de
Subdirectora Técnica
Insignificante
Insignificante
- Capacitación y sensibilización a toda la gente IDU sobre el uso Seguro y Formateo
Probabilidad
INFERIOR
INFERIOR
2 Ausencia de un protocolo de "limpieza o
No remover todos los datos y/o - Fuga de información y/o uso de las carpetas compartidas. Final de Equipos (IN-
Posible
I.TI.07
sanitización" de equipos y medios de aplicar el Instructivo borrado seguro de datos y Controles no aplicados o
Baja
Seguridad aplicaciones de software cuando indebido de datos institucionales 6 X - Se ha diseñado el Plan de continuidad de los servicios de TI. TI-15) 64
2
almacenamiento. formateo final de equipos IN-TI-20 ineficientes / controles identificados
se devuelven los equipos (Confidencialidad) - Actualización de los planes de contingencia e instructivos de - Campañas de
3 Falta de conciencia de los usuarios respecto al uso
recuperación. sensibilización con
de los recursos compartidos.
- Diseño de Plan de Recuperación ante Desastres para los OAC.
componentes de TI
Profesional Especializado
- Procedimiento de
Subdirectora Técnica
Probabilidad
INFERIOR
INFERIOR
seguridad para remediar debilidades conocidas de los para las actividades críticas del proceso GTIC. - Instructivo uso del
Remota
- Indisponibilidad y/o retrasos de
R.TI.19
Menor
Menor
programas de software. - Actualización periódica y controlada de parches de seguridad a servicio de Windows Restaurar la información de copias de respaldo
Baja
Seguridad Daño a los archivos digitales los servicios. 82 Riesgo materializado
2
2 Inserción de código malicioso en la red o en los través del servicio WSUS. Update Server (IN-TI- tomadas previamente.
(Disponibilidad)
equipos de usuario. Instalación y propagación de - Control preventivo de malware a través del software de antivirus 17)
malware (virus informáticos). corporativo. - Instructivo uso del
antivirus (en
actualización).
Profesional Especializado
Subdirectora Técnica
Insignificante
eléctrica. de productos y o
INFERIOR
INFERIOR
- Afectación en la prestación de contratados a través de la revisión de los informes mensuales
Remota
Pérdida o interrupción del 2 Por fallas en la operación de los componentes de la servicios de tecnología - Apagar equipos Datacenter
Ambos
I.TI.08
Menor
los servicios a los usuarios entregados por los proveedores antes de autorizar los pagos de Consecuencias materializadas /
Baja
1
internos y a la ciudadanía. facturación. consecuencias identificadas
en el datacenter 3 Por temblor, vendaval, o fenómeno meteorológico. (PRTI21) - Activar DRP
(Disponibilidad) - Acuerdos de trabajo con el proceso de gestión de recursos
4 Por inundación interna o externa. - Memorando Orfeo
físicos.
5. Conato de incendio (20155260339143)
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las Revisión y aprobación del líder del proceso y líderes operativos:
observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
Se revisan las causas, las consecuencias y los controles de cada uno de los riesgos y se enfocan a los riesgos finales. STRT YOHANA PINEDA AFANADOR Subdirectora Técnica
No se ha eliminado ningún riesgo.
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: Gestión de Tecnologías de la Información y la Comunicación D
PROCESO:
CÓDIGO
Se revisan las causas, las consecuencias y los controles de cada uno de los riesgos y se enfocan a los riesgos finales. PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
No se2019
ha eliminado ningún riesgo. 12/12/2018 ÁREAS:
FO-PE-06 Planeación Estratégica 5 STRT
E
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR N
Cód.
D
E
R
I
E
S
G
O
S
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN T
O
S
D
Que no exista apoyo de nivel gerencial para los temas E
Seguimiento a los compromisos suscritos en el comité de archivo Actas de Comité
de gestión documental
R
I
E
S
G
O
Anteproyecto de S
Identificación y definición de los perfiles y número de personas
Presupuesto.
Personal insuficiente o no capacitado en el área de requeridas y registradas en el proyecto de presupuesto.
Presentación y lista
gestión documental Se realiza en forma permanente entrenamiento al personal
asistencia, correos
asignado al proceso.
electrónicos
MODERADO
Que no se implemente (# de actividades cumplidas del
Moderado
G.DO.01
Incumplimiento en la aplicación
Posible
Ambos
Menor
ALTO
GESTIÓN completa y correctamente el cronograma de PGD / # total de
Alta
de la normatividad archivística X X 67 Actualizar el plan de acción SIGA
12
6
DOCUMENTAL Subsistema de Gestión actividades del cronograma de
Documental PGD para en el periodo) *100
Posibles investigaciones
disciplinarias
Listado maestro de
Actualización de procedimientos de acuerdo con normatividad
Desconocimiento de la normatividad archivística y de documentos y
vigente.
los beneficios que esta brinda registros
Actualización periódica del normograma.
Normagrama
-STRF)
tación
OS
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
DE ANÁLISIS: GESTIÓN DOCUMENTAL D
AÑO MATRIZ DE RIESGOS PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS: STRF
E
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN T
O
S
D
E
MODERADO
documental e institucional del Idu
informes a la STRF, en donde se
Moderado
G.DO.02
Posible
Ambos
Menor
ALTO
GESTIÓN Que se presente pérdida o Planillas de traslado Aplicar el procedimiento de notifique la
Alta
Traslado de documentos entre sedes Demora en la toma de decisiones X X Se cuenta con planillas que permiten el control de documentos 75
12
6
DOCUMENTAL deterioro de la información de documentos reconstrucción de archivos perdida o deterioro de la
información a cargo del proceso de
Hallazgos de los organismos de
Gestión Documental.
control
Duplicidad de esfuerzos en la
recuperación de la información
(tiempo, personal, costos)
Comunicación a
No aplicación del Manual para realización y Seguimiento a la aplicación del manual de Backup, el cual
STRT, Manual
restauración de back-Up de información. corresponde al proceso de gestión de TIC
MGTI016
MODERADO
9
gestión documental parte de los líderes del proceso de gestión documental. de asistencia
INFERIOR
Moderado
G.DO.03
Ambos
Menor
GESTIÓN Insatisfacción y posibles quejas Socialización de los procesos técnicos en gestión documental al Presentación y Solucionar la deficiencia presentada en
Baja
usuarios internos y externos Desconocimiento de los procedimientos del proceso 67 atención ineficiente a los usuarios
4
DOCUMENTAL de los usuarios personal asignado. correos electrónicos la atención del usuario.
de la gestión documental internos y externos del proceso de
Gestión Documental
INFERIOR
Moderado
FO-PE-06 Planeación Estratégica 5
Cód. G.DO.03
Atención ineficiente a STRF, en donde se notifique la
Posible
EFECTO Ambos
Menor
GESTIÓN Insatisfacción y posibles quejas Solucionar la deficiencia presentada en E
Baja
usuarios internos y externos 67 ACCIONES ASOCIADAS atención ineficiente a los usuarios
del usuario.AL
4
DOCUMENTAL de los usuarios la atención
de la gestión documental IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL internos y externos del proceso de V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO Gestión Documental E
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS INHERENTE DESCRIPCIÓN DEL CONTROL - TRATAMIENTO RESIDUAL FÓRMULA DEL INDICADOR N
Actividad / CONSECUENCIAS QUIÉN DOCUMENTACIÓN CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN T
O
S
D
Se analizan necesidades y se solicita el presupuesto anual (la E
No contar con el presupuesto requerido para la Formatos procesos
asignación de estos recursos no está bajo control directo del
implementación del Sistema de Gestión Documental. Gestión Financiera
proceso).
R
I
E
S
G
O
S
Fallas del sistema de información destinado a la Se cuenta con Backup de la información y mecanismos manuales Radicación manual o
Gestión Documental. para atención a usuarios. registro.
9
Documentación los informes, ni los planos finales transferencia de productos documentales finales al Centro de
SUBDIRECTORA TÉCNICA
coordinación de
DE RECURSOS FÍSICOS
MODERADO
internos y externos la STRF, en donde se notifique por
Probabilidad
Moderado
Moderado
G.DO.04
versión final de los Tomar o inducir a otros a tomar parte de los usuarios del Centro de
Posible
GESTIÓN Aplicar la guía de entrega de productos
Baja
documentos misionales en el decisiones erradas por consultar X X 76 Documentación, la desactualización
6
DOCUMENTAL en formato digital.
repositorio institucional, o información desactualizada en los documentos misionales
que el existente se disponibles en el repositorio
encuentre desactualizado institucional.
Identificar inventario de informes no incluidos en el repositorio
Falta de presupuesto para incluir en el repositorio institucional, a fin de presupuestar lo necesario para adelantar la Anteproyecto de
institucional la documentación transferida. digitalización. (la asignación de estos recursos no está bajo control presupuesto
directo del proceso).
No bloquear la sesión de usuario cuando se Sensibilización a los usuarios del proceso sobre bloqueo de
abandona la estación de trabajo. sesión.
Resolución 34217 de
Fuga de información y/o uso 2015 de Políticas de
indebido de datos institucionales seguridad de la
Reportar la novedad al líder del
INFERIOR
INFERIOR
Acceso a los sistemas de (Confidencialidad) información. Pro # de reportes realizados al líder del
Moderado
Remota
I.DO.01
Re Mo Subsistema de Seguridad de la
GESTIÓN información o a los Inadecuada aplicación del etiquetado de activos de bab Subsistema de Seguridad de la
X mot der Revisión y aplicación de la marcación de información 88 Información de la Entidad, con el
3
3
DOCUMENTAL documentos por personas no información. Divulgación de información a (Mensajes correos ilida Información, notificando la
a ado propósito que evalué la situación y
autorizadas terceras partes o a personal no electrónicos emitidos d materialización del riesgo.
realice las acciones correspondientes.
autorizado por el subsistema de
(Confidencialidad) gestión de la
información)
INFERIOR
INFERIOR
Acceso a los sistemas de Planeación(Confidencialidad) información. Pro # de reportes realizados al líder del
Moderado
FO-PE-06 Estratégica 5 Mo
I.DO.01
Remota
Re Subsistema de Seguridad de la
GESTIÓN información o a los bab Subsistema de Seguridad de la E
X mot der 88 Información
ACCIONESdeASOCIADAS
la Entidad, con
ALel
3
DOCUMENTAL documentos por personas no IDENTIFICACIÓN Divulgación de información a (Mensajes correos ilida Información, notificando la V
aANÁLISIS
ado EVALUACIÓN propósito que evalué la situación y
CONTROL
MONITOREO Y SEGUIMIENTO
autorizadas terceras partes o a personal no electrónicos emitidos d materialización del riesgo.
RIESGO RIESGO realice las acciones correspondientes. E
EFECTO
autorizado por el subsistema de
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Actividad / (Confidencialidad)
CONSECUENCIAS INHERENTE QUIÉN gestión de la
DOCUMENTACIÓN RESIDUAL CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri
información)
P I Rr EN CASO DE MATERIALIZACIÓN T
O
S
D
Enlaces de comunicaciones que permanecen activos sensibilización a los usuarios del proceso sobre bloqueo de E
al completar las transmisiones a través de las redes. sesión, uso de telefonía, uso de mensajería electrónica.
R
I
E
S
G
O
S
Recuperación información a partir de medios de
Sensibilización a los usuarios del proceso sobre devolución de
almacenamiento o procesamiento reciclados o
equipos.
desechados.
MODERADO
Resolución 34217 de Reportar la novedad al líder del
INFERIOR
Lectura, copia, modificación Pro # de reportes realizados al líder del
I.DO.02
Menor
GESTIÓN o sustracción no autorizada Pos Me bab Subsistema de Seguridad de la
Baja
indebido de datos institucionales X seguridad de la 67 Información de la Entidad, con el
4
DOCUMENTAL de documentos archivados o ible nor ilida Información, notificando la
(Confidencialidad) información. propósito que evalué la situación y
datos institucionales. d materialización del riesgo.
realice las acciones correspondientes.
Acceso a los sistemas operativos o a las aplicaciones Capacitación y sensibilización a los usuarios del proceso sobre
por "puertas traseras" no controladas. verificación del estado actual de los computadores asignados.
ad de la Información
URSOS FÍSICOS
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN T
O
MODERADO
MODERADO
Resolución 34217 de E
Pro Información de la Entidad, con el # de reportes realizados al líder del
Moderado
I.DO.03
Baja
trámites y/o servicios ofrecidos a X der seguridad de la 75
6
DOCUMENTAL información ible ilida realice las acciones correspondientes. Información, notificando la
los ciudadanos. ado información.
d materialización del riesgo.
G
(Disponibilidad + Integridad) O
Reconstruir la información a partir de
Fuga de información y/o uso
los Backup disponibles. S
indebido de datos institucionales Capacitación y sensibilización a los usuarios del proceso sobre
Espionaje dirigido a personal directivo o técnico. o personales (Confidencialidad) manejo de la información verbal.
Insignificante
Imposibilidad de uso de los
INFERIOR
INFERIOR
Afectación en la prestación de
Remota
I.DO.04
1
DOCUMENTAL internos y a la ciudadanía. nor negocio establecido en la Entidad.
aplicaciones institucionales a Entidad o materializado el riesgo.
(Disponibilidad)
Ausencia o deficiencia en los procedimientos de Sensibilización a los usuarios del proceso sobre cuidado y manejo
manejo de la información personal. de la información personal.
ación
OS
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
DE ANÁLISIS: GESTIÓN DOCUMENTAL D
AÑO MATRIZ DE RIESGOS PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS: STRF
E
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr EN CASO DE MATERIALIZACIÓN T
O
S
D
Desconocimiento de parte de las personas que Sensibilización a los usuarios del proceso sobre cuidado y manejo E
MODERADO
MODERADO
seguridad de la Reportar la novedad al líder del
Pro # de reportes realizados al líder del
Moderado
I.DO.05
Baja
información personal de los X der 75 Información de la Entidad, con el
6
DOCUMENTAL de la información. entidad ible de la información. ilida Información, notificando la
ciudadanos o de terceros. ado PR-DO-03 propósito que evalué la situación y
d materialización del riesgo.
Procedimiento realice las acciones correspondientes.
Pérdida de confidencialidad de la
Organización
información.
Archivos de Gestión
Pérdida de la integridad de la
información.
Presión o coacción de terceras partes para modificar Sensibilización a los usuarios del proceso sobre cuidado y manejo
o publicar datos personales de la información.
MODERADO
Procedimiento
INFERIOR
Pro
Moderado
I.DO.06
Remota
Indisponibilidad y/o retrasos de Mo Organización Realizar la labores correspondientes # de eventos o situaciones
GESTIÓN Degradación de la calidad o Ubicación de archivos temporales en lugares con Baj bab
los servicios. X der Transferencias documentales Archivos de Gestión 62 para la conservación y reconstrucción presentadas en donde se haya
3
DOCUMENTAL legibilidad de la información condiciones ambientales no apropiadas. a ilida
(Disponibilidad) ado de la información. materializado el riesgo.
d
Tabla de Retención
Documental
ad de la Información
URSOS FÍSICOS
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
DE ANÁLISIS: GESTIÓN DOCUMENTAL D
AÑO MATRIZ DE RIESGOS PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2019 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS: STRF
E
ACCIONES ASOCIADAS AL
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN
CONTROL V MONITOREO Y SEGUIMIENTO
RIESGO RIESGO E
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR N
Cód.
D
Uso de documentos, artículos o publicaciones sin el E
debido referenciamiento al autor.
R
I
Reportar la novedad al líder del E
INFERIOR
INFERIOR
Pro
I.DO.07
Remota
Violación a los derechos de Multas o sanciones para el Re Ley 23 de 1982 - Subsistema de Seguridad de la # de eventos o situaciones
Menor
GESTIÓN
propiedad intelectual y/o Instituto X mot
Me
Dirección Nacional de 42
bab
Información de la Entidad, con el presentadas en donde se haya S
2
DOCUMENTAL nor ilida
derechos de copiado (Integridad) a Derecho de Autor
d
propósito que evalué la situación y materializado el riesgo. G
realice las acciones correspondientes. O
S
Uso ilegal o no autorizado de software. Revisión de índices de plagio en los documentos a publicar
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL T
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr O
S
D
1. Aplicación del procedimiento "PR-MC-04 Respuesta informe auditoria
y gestión plan mejoramiento organismos control" liderado integralmente E
Jefe OCI
1. PR-MC-04 Respuesta informe auditoria y gestión
Desconocimiento del procedimiento del plan de por la Oficina de Control Interno.
plan mejoramiento organismos control
mejoramiento por parte de los responsables 2. Sensibilización del Procedimiento. dirigidos a los Directivos y
2. Listados de Asistencia R
personal de las Dependencias del Instituto responsables de gestionar I
planes de mejoramiento.
E
S
G
O
1. Seguimientos y acompañamientos periódicos a planes de S
mejoramiento desde el aplicativo "CHIE planes de mejoramiento 1. Informes de seguimiento presentados a dirección
institucional" general.
Jefe OCI
Falta de compromiso de responsables involucrados 2. Comunicaciones oficiales por parte de la alta dirección hacia las 2. Rendición de cuenta anual - formato CB-402
en el tema dependencias del IDU. 3. Memorandos de seguimientos a planes de
1. Inicio de procesos 3. Seguimiento a las comunicaciones externas relacionadas con la mejoramientos
sancionatorios por parte del Ente solicitud o seguimietno de los planes de mejoramiento desde ORFEO 4. Oficios de entes de control 1. Informar al Director General las causas por
No contar con el plan de de control. solicitados por entes de control. las que se presenta el incumplimiento. Tomar
Probabilidad
mejoramiento
INFERIOR
INFERIOR
2. Inicio de procesos
JEFE OCI
G.MC.01
Remota
Menor
Menor
Planes de institucional consolidado disciplinarios por parte del ente
Baja
87 la OCI y las dependencias involucradas materialización del riesgo en el
2
Mejoramiento dentro de los plazos competente.
3. Desmejora en la calificación establecer el plan de mejoramiento pendiente. periodo
establecidos por el ente
del Sistema de Control Interno 2. Transmitir al Ente de Control el plan de
de control.
4. Bajos niveles de la Gestión mejoramiento.
Institucional
Jefe OCI
Constante rotación de personal de apoyo en la
1. Sensibilización a los diferentes procesos en lo concerniente a la 1. Listas de asistencia.
gestión de planes de mejoramiento en los diferentes
formulación y seguimiento a los planes de mejoramiento. 2. Memorandos, email, actas de reunión.
procesos y/o dependencias
Jefe OCI
Dificultades en la consecución de información 1. Aplicación de las políticas de operación contenidas en el 1. PR-MC-04 Respuesta informe auditoria y gestión
requerida para la formulación del plan de procedimiento PR-MC-04 Respuesta informe auditoria y gestión plan plan mejoramiento organismos control
mejoramiento mejoramiento organismos control. 2. Memorandos
MEJORAMIENTO
2. Instructivo para formulación de plan de mejoramiento y acciones 2. Procedimiento de PRMC04 respuesta informe
correctivas y/o preventivas auditoria y gestión plan mejoramiento organismos
Inadecuada formulación de las acciones planteadas
3. Aprobación y V.B del plan de mejoramiento por parte de los jefes de control.
(definición de plazos muy cortos, indicadores,
las Dependencias involucradas en el plan. 3. Procedimiento PRMC115 Acciones Correctivas
responsables, acciones)
4. Acompañamiento por parte de la OAP, si las áreas lo solicitan, en la y/o Preventivas
formulación de los planes de mejoramiento. 4. Formato FO-MC-01 Plan de mejoramiento interno
5. Vo. Bo de pertinencia metodológica y suficiencia del plan formulado Formato FOMC150 Lluvias de ideas
por parte de la OCI previo al inicio de su ejecución. Formato FOMC151 Diagrama causa efecto
6. Seguimiento por parte de la OCI. Formato FOMC152 5 por qué.
MEJORAMIENTO
2. Instructivo para formulación de plan de mejoramiento y acciones 2. Procedimiento de PRMC121 respuesta informe
correctivas y/o preventivas auditoria y gestión plan mejoramiento organismos
No involucrar a las diferentes áreas que tienen
LIDERES PROCESOS CON PLANES DE MEJORAMIENTO
3. Aprobación y V.B del plan de mejoramiento por parte de los jefes de control
ingerencia y/o responsabilidades en la formulación de
las Dependencias involucradas en el plan. 3. Procedimiento PRMC115 Acciones Correctivas
un plan de mejoramiento
4. Acompañamiento por parte de la OAP, si las áreas lo solicitan, en la y/o Preventivas
formulación de los planes de mejoramiento. 4. Formato FO-MC-01 Plan de mejoramiento interno
5. Vo. Bo de pertinencia metodológica y suficiencia del plan formulado 5. Formato FOMC150 Lluvias de ideas
por parte de la OCI previo al inicio de su ejecución. 6. Formato FOMC151 Diagrama causa efecto
6. Seguimiento por parte de la OCI. 7. Formato FOMC152 5 Por qué.
1. Inicio de procesos
sancionatorios por parte del Ente 1. La OCI debe requerir a la dependecia que
de control. incumple el plan.
Incumplimiento de las
MODERADO
Insignificante
Casi Seguro
Ambos
Menor
Alta
dentro de las fechas 75 materialización del riesgo en el
10
4
Mejoramiento competente. cumplimiento del mismo
establecidas en el plan 3. Desmejora en la clasificación periodo
3. Presentar al Comité Institucional de Control
de mejoramiento. del Sistema de Control Interno
1. El sistema de información "CHIE" planes de mejoramiento, cuenta Interno los resultados de los seguimientos
4. Bajos niveles de la Gestión
con alertas cuando se genera un nuevo plan de mejoramiento o nueva 1. reportes del sistema de información CHIE. para que se adopten las medidas necesarias.
Institucional
MEJORAMIENTO
acción; antes del vencimiento de los plazos de las acciones y antes de Plataforma correo electrónico.
la calificación de seguimiento realizada por el auditor responsable. 2. procedimiento PRMC01 Formulación monitoreo y
Inexistencia y/o inadecuado seguimiento y 2. Garantizar el cargue oportuno y adecuado de los soportes por parte seguimiento a planes de mejoramiento interno y/o
compromiso por parte del director o jefe de la del ejecutor responsable de la acción. por procesos
dependencia responsable 3. Aprobación oportuna por parte del jefe del área. 2. Procedimiento de prmc04 respuesta informe
4. Seguimiento periódico a planes de mejoramiento por parte de la OCI auditoria y gestión Plan Mejoramiento organismos
5. Informes de seguimiento presentados por la OCI a la D.G y control
dependencia responsable 3. Formato FO-MC-01 plan de mejoramiento interno.
5. Reuniones periódicas de acompañamiento por parte de la OCI.
MODERADO
Insignificante
Casi Seguro
2. Inicio de procesos 2. La dependencia a cargo del PM, deberá
de P
G.MC.02
acciones planteadas Número de eventos
Ambos
Menor
Planes de gestionar de manera inmediata el
ALTO
disciplinarios por parte del ente
Alta
dentro de las fechas 75 materialización del riesgo en el O
10
4
Mejoramiento competente. cumplimiento del mismo
establecidas en el plan 3. Desmejora en la clasificación periodo R
3. Presentar al Comité Institucional de Control
de mejoramiento. del Sistema de Control Interno T
Interno los resultados de los seguimientos
4. Bajos niveles de la Gestión E
para que se adopten las medidas necesarias.
Institucional
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: MEJORAMIENTO CONTINUO D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2018 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS: OAP - OCD - OCI
E
V
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL E MONITOREO Y SEGU
RIESGO RIESGO N
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL T
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr O
S
Jefe OCI
1. Sensibilización a los diferentes procesos en lo concerniente a la 1. Procedimiento de planes de mejoramiento E
Constante rotación de personal de apoyo a la gestión
formulación y seguimiento a los planes de mejoramiento. 2. Listas de asistencia
para el seguimiento de planes de mejoramiento
2. Informe mensual y final de gestión para los contratos de PSP. 3. Informes mensuales y final
R
I
E
S
1. Procedimiento Elaboración Anteproyecto del G
Presupuesto
1. Elaboración de proyecto de presupuesto para la vigencia O
Jefe OAP
2. Procedimiento PRMC01 formulación monitoreo y
Insuficiencia de recursos presupuestados para la correspondiente. S
seguimiento a planes de mejoramiento interno y/o
ejecución del plan de mejoramiento 2. Aplicación del procedimiento PR-PE-01 Modificaciones
por procesos
Presupuestales
3. Aplicación del procedimiento PR-PE-01
modificaciones presupuestales.
Jefe OCI
1. Aplicación y socialización del procedimiento PR-MC-01 formulación
Que las áreas del IDU no tengan el conocimiento del 1. PR-MC-01 Formulación monitoreo y seguimiento
monitoreo y seguimiento a planes de mejoramiento interno y/o por
procedimiento de acciones correctivas y/o de mejora a planes de mejoramiento interno y o por procesos.
procesos a todas las áreas IDU, que incluye análisis de causas.
PLANES DE MEJORAMIENTO
LIDERES PROCESOS CON
1. Aplicación y socialización del procedimiento PR-MC-01 formulación
monitoreo y seguimiento a planes de mejoramiento interno y/o por
1. Procedimientos
LIDERES PROCESOS CON PLANES DE MEJORAMIENTO
Que dentro del grupo que define las AC-AP, no estén procesos a todas las áreas IDU, que incluye análisis de causas..
PRMC01 Formulación monitoreo y seguimiento a
presentes las personas que están relacionadas con la 2. El procedimiento establece en las políticas operacionales que los
planes de mejoramiento interno y/ o por procesos.
responsabilidad y ejecución de las mismas. Que los jefes de las áreas involucradas deben suscribir el correspondiente plan
2. Reportes sistema CHIE
ejecutores no conozcan las acciones a implementar. de mejoramiento.
3. Informes de seguimiento de la OCI.
3. El sistema de información CHIE, cuenta con la opción de aprobar las
acciones del plan de mejoramiento por parte del jefe de dependencia.
Insignificante
eficiencia, eficacia y efectividad
Casi Seguro
Acciones Correctivas, Acciones de que defina nuevamente un plan de
INFERIOR
Moderado
G.MC.03
Posible
Ambos
correctivas Mejora no sean eficaces mejoramiento.
ALTO
presta el IDU. 87 materialización del riesgo en el
15
3
(AC), Acciones para subsanar la causa 2. La dependencia a cargo del PM, deberá
MEJORAMIENTO
2. Incumplimiento de 1. Diligenciamiento del formato por parte del líder del proceso en periodo
de Mejora (AP) raíz o resolver el 1. PRMC115 Acciones Correctivas y/o Preventivas realizar un nuevo análisis de causas y formular
compañía de la OAP, cuando lo solicite el líder del proceso, y posterior
PLANES DE
normatividad, que puede
problema detectado. 2. Formato FOMC150 Lluvias de ideas nuevo plan de mejoramiento.
ocasionar sanciones aval de la OCI de la información consignada en el mismo.
No realizar una adecuada identificación de causas 3. Formato FOMC151 Diagrama causa efecto.
administrativas o disciplinarias. 2. En los informes de auditoria se incluye la solicitud a las dependencias
relacionadas con los eventos ocurridos o potenciales. 4. Formato FOMC152 5 PORQUES
de enviar a la OCI junto con el plan de mejoramiento, los formatos
5. Informe final de auditoria
diligenciados de análisis de causas, con el fin de alimentar el sistema
6 Memorandos - ORFEO.
de información CHIE.
Jefe OAP
2. Procedimiento PRMC01 formulación monitoreo y
financieros o logísticos para una adecuada correspondiente.
seguimiento a planes de mejoramiento interno y o
implementación de las AC-AP, originadas en la 2. Aplicación del procedimiento PR-PE-01 modificaciones
por procesos
autoevaluación del proceso. presupuestales.
3. Aplicación del procedimiento PR-PE-01
modificaciones presupuestales.
Jefe OCI
1. Procedimiento de planes de mejoramiento
Constante rotación de personal de apoyo en la 1. Sensibilización a los diferentes procesos en lo concerniente a la
2. Listas de asistencia
gestión de planes de mejoramiento. formulación y seguimiento a los planes de mejoramiento.
3. Informes mensuales y final
Jefe OCI
Desconocimiento del concepto y/o rol de asesoría de Aplicación de procedimiento PR-MC-02 Asesoría o Acompañamiento en
1. PRMC02 Asesoría o Acompañamiento en la
la Oficina de Control Interno por parte de los líderes la Gestión por Parte de Control Interno, cuando se solicita por parte de
Gestión por Parte de Control Interno.
de proceso y servidores públicos del IDU. los usuarios.
MODERADO
Insignificante
Insignificante
1. Perdida potencial de
Probabilidad
Que se desvirtúe el 1. La OCI ó la dependencia que identifica el
INFERIOR
JEFE OCI
G.MC.04
Posible
concepto de asesoría y desvío del concepto de asesoría, deberá
Alta
3
se confunda con disponer de la asesoría que aclararle a la otra parte el propósito de la
OCI periodo
auditoría puede brindar la OCI. asesoría.
Jefe OCI
Desconocimiento del procedimiento existente por
función asesora de la OCI y su rol de enfoque hacia la prevención. Actas Comité
parte de los líderes de proceso y servidores públicos
2. Realización de actividades de enfoque hacia la prevención, por parte Piezas comunicacionales
del IDU.
de la OCI, en cumplimiento del rol establecido en el decreto 648/2017.
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL T
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr O
S
D
E
Jefe OCD
Que las actividades de promoción y prevención no 3. Las actividades de promoción y prevención correspondientes a Correo institucional S
correspondan a una planeación previa. inducciones y capacitaciones se realizan de conformidad con los Listas de asistencia
requerimientos y programación dispuestos por la STRH y la Dirección Presentaciones OCD
1- Incumplimiento de la labor Distrital de Asuntos Disciplinarios de la Alcaldía Mayor de Bogotá, sobre
lo cual se deja el correspondiente registro de participación, tanto de 1. La OCD debe definir y ejecutar un Plan de
MODERADO
Insignificante
preventiva por parte de la OCD
JEFE OCD
INFERIOR
servidores públicos, como de contratistas
G.MC.05
Posible
Ambos
Menor
Deficiente desarrollo de
Baja
Preventiva mensaje enviado por la OCD de 4. Informe ejecutivo enviado a la Dirección General advirtiendo 64 2. Informar a la OCI sobre las materialización del riesgo en el
2
la labor preventiva la actividad preventiva presuntos riesgos que requieren ser conocidos y neutralizados a través
(Disciplinario) de directrices.
recomendaciones que se produzcan dentro de periodo
3- Aumento de procesos los procesos disciplinarios.
disciplinarios
Jefe OCD
Fallas en la plataforma tecnológica para la 1. El IDU pone a disposición los dispositivos de tecnología y los medios Reportar a la Subdirección Técnica de Recursos
elaboración y envío del flash disciplinario y/o de comunicación interna para la difusión de los productos elaborados Tecnológicos la incidencia presentada para su
productos de la labor preventiva de la OCD por la OCD para desarrollar la labor preventiva solución
2. Líderes del
1. Jefe STRT
1. Plan de acción SGSI, piezas de información en medios virtuales.
proceso
3. Por aplicación de ingeniería social. (manipulación 2. Replicar, al interior de las áreas que gestionan el proceso, las
de las personas para obtener información) actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
1. Líderes del
2. Líderes del
1. Aplicación del control contenido en el INTI06 USO ADECUADO DE
proceso
proceso
4. Canales de comunicaciones que permanecen LOS RECURSOS DE TI.
activos al completar las transmisiones a través de las 2. Replicar, al interior de las áreas que gestionan el proceso, las
redes. actividades de divulgación sobre el Sistema de Gestión Seguridad de la
1. Fuga de información y/o uso Información que se comunican a través de los canales internos del IDU.
indebido de datos institucionales
1. AUDITORÍA (Confidencialidad)
INTERNA OCI 1. Resolución IDU 34217 de 2015
Insignificante
Insignificante
2. Líderes del proceso
Probabilidad
1. Líderes del proceso
2. LABOR Acceso a los sistemas de
Jefe STRT
INFERIOR
INFERIOR
Remota
I.MC.01
DISCIPLINARI información o a los terceras partes o a personal no 1. Aplicación del control contenido en el INTI15 BORRADO SEGURO Seguridad de la Información. Reportar el evento de riesgo materializado a la
X 84 materialización del riesgo en el
1
1
A OCD documentos por autorizado FORMATEO FINAL EQUIPOS V1.0. en el que se contempla los medios 2. Declaración de aplicabilidad. STRT , a través del aplicativo ARANDA
5. Inadecuada eliminación o reciclaje de medios de periodo
extraíbles.
3. personas no autorizadas almacenamiento o procesamiento y/o documentos en (Confidencialidad) 3. Circular 01 de 2016 Uso de la información.
AUTOEVALUA 2. Replicar, al interior de las áreas que gestionan el proceso, las 4. Documentos específicos descritos en el control.
medio físico.
3. Modificación de resultados de actividades de divulgación sobre el Sistema de Gestión Seguridad de la
CIÓN OAP Información que se comunican a través de los canales internos del IDU.
proceso (Informes de auditoría)
(Integridad)
2. Jefe STRT
LOS RECURSOS DE TI.
6. Acceso no autorizado a los sistemas de información 2. Control centralizado para acceso a la red de datos por Directorio
o a los documentos por parte de personal no Activo, con asignación de roles en los computadores personales
autorizado 3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
Insignificante
Insignificante
Probabilidad
2. LABOR Acceso a los sistemas de
Jefe STRT
INFERIOR
INFERIOR
2. Divulgación de información a Adopción de Marco de Políticas de Control para Número de eventos de E
Remota
Remota
I.MC.01
DISCIPLINARI información o a los terceras partes o a personal no Seguridad de la Información. Reportar el evento de riesgo materializado a la
X 84 materialización del riesgo en el P
1
A OCD documentos por autorizado 2. Declaración de aplicabilidad. STRT , a través del aplicativo ARANDA
(Confidencialidad) 3. Circular 01 de 2016 Uso de la información. periodo O
3. personas no autorizadas
AUTOEVALUA 4. Documentos específicos descritos en el control. R
3. Modificación de resultados de
CIÓN OAP
proceso (Informes de auditoría)
T
(Integridad) E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: MEJORAMIENTO CONTINUO D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2018 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS: OAP - OCD - OCI
E
V
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL E MONITOREO Y SEGU
RIESGO RIESGO N
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL T
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr O
S
1. Líderes del
proceso
1. Replicar, al interior de las áreas que gestionan el proceso, las
1. No recolección de los documentos que se han
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
enviado a impresión o escaneado.
Información que se comunican a través de los canales internos del IDU.
1. AUDITORÍA
INTERNA OCI Lectura, copia, 1. Fuga de información y/o uso 1. Resolución IDU 34217 de 2015
MODERADO
Insignificante
2. LABOR modificación o
INFERIOR
Jefe STRT
indebido de datos institucionales Adopción de Marco de Políticas de Control para Número de eventos de
I.MC.02
Posible
Ambos
Menor
DISCIPLINARI sustracción no autorizada (Confidencialidad) Seguridad de la Información. Reportar el evento de riesgo materializado a la
Baja
X 62 materialización del riesgo en el
2
A OCD de documentos 1. Control centralizado para acceso a la red de datos por Directorio 2. Declaración de aplicabilidad. STRT , a través del aplicativo ARANDA
periodo
1, 2, Jefe STRT
3. archivados o datos 2. Modificación de resultados de Activo, con asignación de roles en los computadores personales 3. Circular 01 de 2016 Uso de la información.
AUTOEVALUA institucionales. proceso (Informes de auditoría) 2. Antivirus institucional Bitdefender, módulos cambios de procesos, 4. Documentos específicos descritos en el control.
3. Acceso a los sistemas operativos o a las control de acceso web, protección de datos, Antiphishing, control de
CIÓN OAP aplicaciones por "puertas traseras" no controladas. dispositivos.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
1, 2, Jefe STRT
RECURSOS DE TECNOLOGÍA.
2. Antivirus institucional Bitdefender, módulos cambios de procesos,
control de acceso web, protección de datos, Antiphishing, control de
4. Uso de software ilegal o malicioso.
dispositivos.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
1, 2, 3. Lideres del
1. Aplicación del control FO-TI-05 COMPROMISO SOBRE EL USO DE
RECURSOS DE TECNOLOGÍA.
proceso
1. Manejo inadecuado de los datos o información por 2. Circular 01 de 2016 - Uso de la información.
parte de los usuarios responsables. 3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
1 Lideres del
proceso
2. Manipulación por parte de terceros no autorizados 1. Replicar, al interior de las áreas que gestionan el proceso, las
de equipos o de programas de cómputo o datos (físico actividades de divulgación sobre el Sistema de Gestión Seguridad de la
o lógicos). Información que se comunican a través de los canales internos del IDU.
Jefe STRT
INFORMACIÓN Y LA COMUNICACIÓN.
1, 2, 3.
3. Espionaje dirigido a personal directivo o técnico. 3. Aplicación, en lo que corresponda, de que el sistema ARANDA
cuente con un módulo de control remoto, el que solicita la autorización
del usuario para la conexión, adicional el sistema deja un log de las
conexiones realizadas.
4. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
1. No se puedan atender a
1. AUDITORÍA tiempo los requerimientos de la
INTERNA OCI ciudadanía o de los entes de
1. Resolución IDU 34217 de 2015
control
Probabilidad
2. LABOR
INFERIOR
Jefe STRT
INFERIOR
Remota
Menor
Menor
DISCIPLINARI Pérdida o alteración de Seguridad de la Información Reportar el evento de riesgo materializado a la
Baja
2
los productos de proceso.
2. Declaración de aplicabilidad. STRT , a través del aplicativo ARANDA
3. Circular 01 de 2016 Uso de la información. periodo
3. (Disponibilidad + Integridad)
AUTOEVALUA 4. Documentos específicos descritos en el control
CIÓN OAP 3. Investigación de organismos
de control
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
AÑO MATRIZ DE RIESGOS DE ANÁLISIS: MEJORAMIENTO CONTINUO D
PROCESO:
CÓDIGO PROCESO VERSIÓN E
FECHA DE SEGUIMIENTO:
2018 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS: OAP - OCD - OCI
E
V
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL E MONITOREO Y SEGU
RIESGO RIESGO N
Probabilidad EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Actividad / 1. NoCONSECUENCIAS
se puedan atender a INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL T
1. AUDITORÍA (Amenaza) Riesgo (Vulnerabilidad) tiempo los requerimientos de la (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr O
INTERNA OCI ciudadanía o de los entes de
control
1. Resolución IDU 34217 de 2015 S
2. LABOR
Jefe STRT
INFERIOR
INFERIOR
Adopción de Marco de Políticas de Control para Número de eventos de
Remota
I.MC.03
Menor
Menor
DISCIPLINARI Pérdida o alteración de Seguridad de la Información Reportar el evento de riesgo materializado a la
Baja
2. Afectación en la producción de X 74 materialización del riesgo en el D
2
A OCD información 1. Aplicación, en lo pertinente, de los controles establecidos en PRTI16 2. Declaración de aplicabilidad. STRT , a través del aplicativo ARANDA
los productos de proceso.
Jefe STRT
CIÓN OAP 4. Insuficiencia de la capacidad de equipos de 3. Investigación de organismos GENERACIÓN DE COPIAS DE SEGURIDAD. R
1, 2, 3.
respaldo para copias de seguridad en relación con el de control 3. Aplicación, en lo pertinente, de los controles establecidos en FOTI30 I
volumen de la información a respaldar CONTROL DE CAPACIDAD DE LOS RECURSOS DE TI.
4. Replicar, al interior de las áreas que gestionan el proceso, las E
actividades de divulgación sobre el Sistema de Gestión Seguridad de la S
Información que se comunican a través de los canales internos del IDU. G
O
S
Jefe STRT
dispositivos
5. Interceptación total o parcial de datos (físicos o 2. Equipos FIREWALL para la seguridad de la red de datos de la
1, 2
lógicos). entidad.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
Jefe STRT
2. Aplicación, en lo que corresponda al proceso, de los controles
6. Inadecuada y/o inoportuna atención de incidentes
1, 2
establecidos en FOTI28 CONDICIONES PARA VALIDACIÓN DE
de seguridad de la información
EVENTOS DE SEGURIDAD DE LA INFORMACION.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
Jefe STRH
ante emergencias — PONS" sobre comportamientos y reportes en
1. Por eventos naturales como sismo, tifón, vendaval,
relación con la causa identificada.
1
o fenómeno meteorológico.
2. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
Jefe STRH
2. Aplicación, en lo que corresponda al proceso, de los controles
2. Pérdida o desabastecimiento de energía eléctrica
1, 2
establecidos en Memorando 20155260339143 de Gestión de Recursos
regulada.
Físicos respecto al SGSI.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
Información que se comunican a través de los canales internos del IDU.
1. Afectación en la producción de
1. AUDITORÍA los productos de proceso. 1. Resolución IDU 34217 de 2015
INTERNA OCI (Disponibilidad) Adopción de Marco de Políticas de Control para
Imposibilidad de uso de
MODERADO
Seguridad de la Información.
Probabilidad
2. LABOR
Jefe STRT
INFERIOR
los equipos de cómputo, 1. Aplicación, en lo que corresponda al proceso, de los controles Número de eventos de
I.MC.04
Menor
Menor
DISCIPLINARI Reportar el evento de riesgo materializado a la
Baja
1. Jefe STRF
2. Jefe STRT
sistemas de información información a entes externos por X establecidos en Manual de Seguridad Física. 3. Circular 01 de 2016 Uso de la información. 41 materialización del riesgo en el
6
4
A OCD falla en sistemas internos 2. Aplicación, en lo que corresponda al proceso, de los controles 4. DU-TH-02 "Procedimientos operativos STRT , a través del aplicativo ARANDA
y/o aplicaciones periodo
3. 3. Por hurto de equipos o sus componentes. (Disponibilidad) establecidos en Copias de respaldo. normalizados para la preparación, prevención y
institucionales
AUTOEVALUA 3. Replicar, al interior de las áreas que gestionan el proceso, las respuesta ante emergencias — PONS"
CIÓN OAP 3. Posibles sanciones por parte actividades de divulgación sobre el Sistema de Gestión Seguridad de la 4. Documentos específicos descritos en el control
de los organismos de control Información que se comunican a través de los canales internos del IDU.
1 y 2. Jefe STRT
1. Aplicación, en lo que corresponda al proceso, de los controles
2. Jefe STRF
establecidos en el procedimiento PRTI20 GESTION DE CONTINUIDAD
D SERVICIOS DE TI.
5. Daños accidentales en el edificio o áreas críticas.
2. Aplicación, en lo que corresponda al proceso, de las acciones que
dispongan las Subdirecciones de Recursos Físicos y de Recursos
Tecnológicos cuando se materialice la causa identificada.
EFECTO
VALOR
Procedimento / TIPOS
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
Cód.
Actividad / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL T
(Amenaza) Riesgo (Vulnerabilidad) (cuál, cómo, cuándo) EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
Producto PDD OBJ SI P/S P I Ri P I Rr O
S
D
1. Aplicación, en lo que corresponda al proceso, de los controles
1. Resolución IDU 34217 de 2015 E
2. Jefe OCI
2. Procedimiento auditoría incluye manejo ético y confidencialidad.
2. Declaración de aplicabilidad. R
1. Ausencia o deficiencia en los procedimientos de 3. Aplicación, en lo que corresponda al proceso, de los controles I
3. Circular 01 de 2016 Uso de la información.
manejo de la información personal. establecidos en MG TI17 Manual Operativo para la protección de datos
personales.
4. Suscripción de Formato de declaración de E
confidencialidad y no conflicto de intereses por parte S
4. Replicar, al interior de las áreas que gestionan el proceso, las
de los auditores internos.
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
5. Documentos específicos descritos en el control G
Información que se comunican a través de los canales internos del IDU. O
S
MODERADO
Probabilidad
2. LABOR Manejo inadecuado de la 1. Procedimiento auditoría incluye manejo ético y confidencialidad. Reportar el evento de riesgo materializado al
Jefe STRT
INFERIOR
3. Afectación al buen nombre de 1. Suscripción de Formato de declaración de
1. Jefe OCI
I.MC.05
Número de eventos de
Posible
2. Aplicación de los controles generales y específicos establecidos en la
Menor
Menor
DISCIPLINARI información personal de la entidad confidencialidad y no conflicto de intereses por parte 62 área de Atención al Ciudadano, encargada de
Baja
3. Omisión intencional de los controles para el manejo X matriz de riesgos corrupción del proceso. materialización del riesgo en el
4
A OCD los ciudadanos o de de los auditores internos. la comunicación y atención respecto al periodo
de la información. 4. Pérdida de confidencialidad de 3. Replicar, al interior de las áreas que gestionan el proceso, las
3. terceros. 2. DU-TI-05 Declaración de aplicabilidad para tratamiento de datos personales.
la información. actividades de divulgación sobre el Sistema de Gestión Seguridad de la
AUTOEVALUA seguridad de la información IDU.
Información que se comunican a través de los canales internos del IDU.
CIÓN OAP
5. Pérdida de la integridad de la
información.
1. Jefe OCI
2. Aplicación de los controles generales y específicos establecidos en la
confidencialidad y no conflicto de intereses por parte
5. Presión o coacción de terceras partes para hacer matriz de riesgos corrupción del proceso.
de los auditores internos.
uso indebido de datos personales 3. Replicar, al interior de las áreas que gestionan el proceso, las
2. DU-TI-05 Declaración de aplicabilidad para
actividades de divulgación sobre el Sistema de Gestión Seguridad de la
seguridad de la información IDU.
Información que se comunican a través de los canales internos del IDU.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las Revisión y aprobación del líder del proceso y líderes operativos:
observaciones que considere necearias): ÁREA NOMBRE CARGO FIRMA
OCD PATRICIA DEL PILAR ZAPATA OLIVEROS JEFE OFICINA DE CONTROL DISCIPLINARIO
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR T
Cód.
1 y2 Jefe OCI
3. Jefe OAP
2. Realizar actividades de fomento de la cultura del control, Puesto de Trabajo V2.0.
1. Insuficiente divulgación del concepto de R
comunicadas a través de los canales internos, durante la 2. Plan Anual de Auditorías de cada vigencia aprobado por el
autocontrol.
vigencia. Comité Institucional de Control Interno. I
3. Aplicar el procedimiento INEC02 AUTOEVALUACIÓN 3. Instructivo INEC02 Autoevaluación Institucional. E
INSTITUCIONAL por parte de la OAP, de acuerdo a S
programación. G
O
S
1 y 2 Jefe OCI
3. Jefe OAP
Puesto de Trabajo V2.0.
divulgación del nuevo Modelo Estándar de objetivos y metas Gestión-MIPG (Dimensión Control Interno) realizada durante las medio de la Entidad, el Jefe OCI escala con
2. Informe Pormenorizado Cuatrimestral en la vigencia 2018.
Control Interno - Séptima Dimensión del MIPG establecidos por la Entidad. verificaciones realizadas por la OCI, como insumo para el el superior jerárquico el evento presentado
Etapa No contar con un adecuado (Actas y documentos asociados al Informe Pormenorizado)
y las responsabilidades asociadas a las líneas 3. Desviación de los para toma de decisiones.
MODERADO
Insignificante
Informe Pormenorizado del Estado del Control Interno, conforme (Informes con restricción para
INFERIOR
3. Plan de Acción de la vigencia de la Oficina Asesora de
G.EC.01
Jefe OCI
Planear compromiso por parte del controles de los procesos 2. Análisis por parte del Comité de Control
Posible
Ambos
de defensa. a los lineamientos del DAFP, para la vigencia 2018.
Menor
la ejecución de la evaluación /
Baja
Hacer equipo directivo para evaluados. 6 Planeación-OAP 64 Interno.
3. Realizar actividades de divulgación y sensibilización sobre el
2
Evaluaciones Efectuadas en el
Verificar desarrollar el proceso de 4. Debilitamiento del Sistema Modelo Integrado de Planeación y Gestión-MIPG programadas 3. Para casos relacionados con la Alta
Período)*100%
Actuar Evaluación y Control de Control Interno. por la OAP. Dirección del Instituto el Jefe OCI deberá
5. Pérdida de recursos. reunirse con el Alcalde Mayor o su delegado
6. Incumplimiento de donde se analiza la situación presentada y
objetivos del SCI se toman las acciones a seguir.
7. Posibles sanciones por
parte de entes de control
Jefe OCI
3. Inadecuada coordinación con el 1. Realizar actividades de coordinación con la OAP, gestionadas 1. Resolución 2275 de 2018 Sistema de Coordinación Interna
Representante de la Dirección para el Sistema por el Jefe OCI, con ocasión de la programación y ejecución del 2. Actas del Comité Institucional de Coordinación de Control
de Control Interno. Comité Institucional de Coordinación de Control Interno. Interno
1. Realizar actividades de induccion y/o reinducción en Sistema 1. Instructivo INTH06 Inducción Reinducción Entrenamiento
de Control Interno a Directivos, en jornadas programadas por Puesto de Trabajo V2.0. y registros asociados a la ejecución de
Jefe OCI
4. Insuficiente conocimiento del proceso
STRH. la actividad.
Evaluación y Control por parte del equipo
2. Realizar actividades de fomento de la cultura del control, 2. Plan Anual de Auditorías de cada vigencia aprobado por el
directivo.
comunicadas a través de los canales internos, durante la Comité Institucional de Control Interno y registros asociados a la
vigencia. ejecución de la actividad.
Jefe OCI
1. No tener en cuenta la normatividad o sus Evaluación y Control frente a la modificación normativa y de por la SGJ.
modificaciones asociadas a los temas de conformidad actualizar la normatividad aplicable. 2. Procedimiento "Evaluación Independiente y Auditorías
Evaluación y autoevaluación. 3. Programar y realizar capacitaciones en Auditoría Interna y Internas"
Dimensión de Control Interno para el equipo evaluador de la OCI, 3. Plan Institucional de Capacitación PIC de la vigencia.
en relación con la nueva normatividad que impacta el quehacer
de la auditoría interna.
Insignificante
2. Verificación de requisitos por parte de la STRH, frente a (Informes que cumplen
INFERIOR
1. Control Externo
Moderado
G.EC.02
Etapa de No contar con una establecidos por la Entidad. 1. Consulta y solicitud de asesoría al DAFP
Remota
2,3 Jefe STRH
Ambos
resultados de procesos de selección comunicados por la entidad metodología / Evaluaciones
4, 5 Jefe OCI.
Baja
1
competente. Efectuadas en el
ejecución evaluación Independiente 2 y 3. "INTH18 Ingreso de personal en carrera encargo y o
definir la metodología por parte de los de Control Interno. 3. Realizar proceso de selección para funcionarios provisionales, conceptos definidos por el DAFP.
Período)*100%
3. Incumplimiento de provisionalidad V 5.0".
responsables. conforme al procedimiento vigente.
objetivos del SCI 4. Plan Institucional de Capacitación PIC de la vigencia.
4. Programar y realizar capacitaciones en Auditoría Interna y
5. PRGC12 Contratacion PSPAG Personas Naturales V 6.0
Sistema Integrado de Gestión para el equipo evaluador de la
OCI, por parte de la STRH.
5. Realizar proceso de selección de contratistas de acuerdo con
el procedimiento vigente en la entidad.
Jefe OCI
3. Que la metodología no sea debidamente 1. Plan Institucional de Capacitación PIC de la vigencia.
OCI, por parte de la STRH.
apropiada por parte de los servidores 2. Procedimiento "Evaluación Independiente y Auditorías
2. Aplicar los controles específicos que contiene el procedimiento
responsables de su aplicación. Internas"
"Evaluación Independiente y Auditorías Internas" por parte del
Jefe OCI.
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR T
Cód.
D
1. Suscribir el formato Carta de Representación, por parte de los E
jefes de las áreas/procesos auditados, en los que se
Jefe OCI
1. Que las personas designadas por las áreas comprometen a suministrar la información correspondiente a la 1. FOEC97 Carta de Representación R
no sean las idóneas. evaluación, con criterios de veracidad, calidad y oportunidad. 2. Memorando - ORFEO o Correo Electrónico I
2. Asignar por parte de los líderes de los procesos evalaudos al E
profesional que atenderá la auditoría o servirá de enlace. S
G
O
S
1. Inapropiada evaluación del
sistema de control interno, 1. Formalizar el Plan de Auditoría para cada auditoría, en el que
Sistemas de Gestión y/u
Jefe OCI
se registren las actividades, fechas y responsables,
2. Insuficiente colaboración de los evaluados en objetos de auditoría. 1. Si no existe compromiso de algún
No contar con la especialmente en lo relacionado con la gestión asociada a la Memorando - ORFEO
la entrega de la información. 2. Desvío de políticas, funcionario de la Entidad para entrega de la
MODERADO
Insignificante
información oportuna, entrega y recibo de información e insumos para el proceso (Informes con restricción en
INFERIOR
G.EC.03
Jefe OCI
Posible
Ambos
auditor.
Menor
pertinente, suficiente, veraz suministro de información /
Alta
Etapa de Hacer establecidos por la Entidad. 6 72 superior jerárquico el evento presentado
3
y confiable para desarrollar Evaluaciones Efectuadas en el
para toma de decisiones.
el proceso de evaluación y Período)*100%
3. Debilitamiento del Sistema 2. Análisis por parte del Comité de Control
control
de Control Interno. Interno de la situación presentada.
4 Pérdida de recursos. 1. Formalizar el Plan de Auditoría para cada auditoría, en el que
5. Incumplimiento de se registren las actividades, fechas y responsables,
objetivos del SCI especialmente en lo relacionado con la gestión asociada a la 1. Formato Plan de Auditoría digitalizado en Orfeo, ubicado en el
Jefe OCI
3. Inadecuada solicitud de la información por entrega y recibo de información e insumos para el proceso expediente de cada auditoría, conforme al Procedimiento
parte del evaluador. auditor. "Evaluación Independiente y Auditorías Internas"
2. Programar y realizar capacitaciones en Auditoría Interna y 2. Registros específicos de las capacitaciones impartidas.
Sistema Integrado de Gestión para el equipo evaluador de la
OCI, por parte de la STRH.
Jefe OCI
1. Procedimiento "Evaluación Independiente y Auditorías
3. No contar con sistemas de información evaluados.
Internas"
actualizados. 2. Incluir en los alcances de las auditorías la verificación del
2. Plan Anual de Auditorías
estado de actualización de los sistemas de información.
2, 3, 4. Jefe OCI
1. Jefe STRH
1. No contar con las adecuadas competencias Auditorías Internas" en lo correspondiente a la etapa de provisionalidad V 5.0".
profesionales, experiencia y calidades éticas planeación y formulación del Plan Anual de Auditorías. 2. Procedimiento "Evaluación Independiente y Auditorías
del equipo que realiza la planeación del 3. Programar y realizar capacitaciones en Auditoría Interna y Internas"
proceso. Sistema Integrado de Gestión para el equipo evaluador de la 3. Plan Institucional de Capacitación PIC de la vigencia.
OCI, por parte de la STRH. 4. PRGC12 Contratacion PSPAG Personas Naturales V 6.0
4. Realizar proceso de selección de contratistas de acuerdo con
1. Evaluación del sistema de el procedimiento vigente en la entidad.
control interno y/o Sistemas
de Gestión de baja cobertura
y/o calidad.
1. Aplicar el procedimiento "Evaluación Independiente y
2. Desvío de políticas,
Auditorías Internas" en lo que corresponde a la formulación del
2. Que no se involucre a todo el equipo objetivos y metas 1. Procedimiento "Evaluación Independiente y Auditorías
Jefe OCI
Plan Anual de Auditorías, utilizando las herramientas y
evaluador o que convocado éste, no participe establecidos por la Entidad. Internas"
metodologías recomendadas por el DAFP y las buenas prácticas
No contar con una en la planificación del proceso de Evaluación y 3. Desviación de los 2. Correos electrónicos de actividades de formulación del Plan
en auditoría interna.
MODERADO
Probabilidad
adecuada metodología para Control. controles de los procesos Anual de Auditorías. 1. Revisión y ajuste de PAA de la vigencia.
INFERIOR
G.EC.04
Jefe OCI
2. Convocar al equipo OCI a la formulación del PAA por parte (Auditorías con reprogramación
Posible
Menor
Menor
Etapa de realizar la planeación anual evaluados. 2. Memorando de solicitud de recursos.
Baja
6 del Jefe OCI. 47 / Evaluaciones Efectuadas en
6
4
Planear del proceso de evaluación y 4. Debilitamiento del Sistema 3. Gestionar frente el comité de Control
el Período)*100%
control o que ésta no se de Control Interno. Interno las necesidades de recursos.
aplique adecuadamente. 5. Pérdida de recursos.
6. Incumplimiento de 1. Aplicar el procedimiento "Evaluación Independiente y
objetivos del SCI. Auditorías Internas" en lo que corresponde a la formulación del
3. No tener en cuenta, en la planificación del 7. Posibles sanciones por 1. Procedimiento "Evaluación Independiente y Auditorías
Jefe OCI
Plan Anual de Auditorías, utilizando las herramientas y
proceso, la totalidad de las actividades a parte de entes de control. Internas"
metodologías recomendadas por el DAFP y las buenas prácticas
realizar durante la vigencia y/o que se 8. Inoportunidad en la 2. Correos electrónicos de actividades de formulación del Plan
en auditoría interna.
subestimen los tiempos asignados. entrega de informes y/o Anual de Auditorías.
2. Convocar al equipo OCI a la formulación del PAA por parte
productos del proceso. del Jefe OCI.
Jefe OCI
Auditorías Internas" en lo que corresponde a la formulación del
Internas".
4. Falta de liderazgo en el líder del proceso. Plan Anual de Auditorías, utilizando las herramientas y
2. Plan Anual de Auditorías aprobado por el Comité Institucional
metodologías recomendadas por el DAFP y las buenas prácticas
de Coordinación de Control Interno.
en auditoría interna.
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR T
Cód.
D
1. Los informes de los contratistas son revisados por la jefa de la E
OCD de manera mensual, para verificar que los expedientes se
1. Que la información relacionada con los encuentren actualizados, en el caso del personal de plan se
procesos a cargo de la OCD no se actualice en realiza la misma acción de manera semestral al momento de la R
Jefe OCD
1. Informes de contratistas I
el expediente, ni en el Sistema de Información evaluación de desempeño.
2. Sistema de Información Disciplinaria SID E
Disciplinaria - SID, y que las bases de datos de 2. El responsable de la administración del SID se encarga de
3. Carpeta compartida de expedientes virtuales
la Oficina (carpeta compartida) no se verificar que los procesos se encuentren actualizados de manera S
1. Desactualización de los
mantengan actualizadas.
sistemas de información de
mensual. G
3. Las secretarias de la OCD se encargan de escanear las O
la OCD
actuaciones de los procesos y subirlas a la carpeta compartida. S
2. Falta de fiabilidad en los EVENTO A. RESERVA:
reportes que emita la OCD 1. Indagación preliminar al funcionario que
3. Pérdida parcial o total de presuntamente viola la reserva.
información de los 2. Producto de un fallo disciplinario donde se
expedientes a cargo de la reconozca violación de la reserva de un
OCD 1. Se cuenta con acceso restringido a personal ajeno a la Oficina proceso, éste proceso deberá ser
4. Inicio de acciones y con el correspondiente formato de control de entrada y salida reasignado a otro sustanciador.
disciplinarias y/o penales en de visitantes. 3. En caso de que se presuma participación
2. Que el personal de la Oficina a cargo del contra de los responsables por parte del Jefe OCD, se debe informar a
Jefe OCD
2. Se cuenta con archivadores con llave para guardar los
Insignificante
Inadecuado manejo de la manejo de expedientes no resguarde al final de 5. Imposibilidad de 1. Formato vigente de control de acceso a áreas restringidas los Entes de Control Disciplinario Externos
INFERIOR
INFERIOR
Jefe OCD
G.EC.07
Remota
Ambos
la jornada laboral o de la realización de las reconstrucción
Menor
Proceso información en los asuntos de (Procuraduría, Personería).
Baja
X 3. Se continúa con la instrucción de no dejar expedientes sobre 76 materialización del riesgo en el
1
Disciplinario de carácter disciplinario a actividades procesales. expedientes el puesto de trabajo al finalizar actividades o la jornada laboral. periodo
cargo de la OCD 6. Violación de la reserva 4. Se cuenta con cámaras de seguridad dentro de la OCD y con EVENTO B. EXPEDIENTE:
procesal las que se encuentran ubicadas en el pasillo del piso sexto. 1. Informar al Jefe OCD u órganos de control
7. Violación de la reserva disciplinarios Externos para abrir
legal a que están sometidos investigación.
los datos personales 2. Ordenar la reconstrucción inmediata del
sensibles expediente en los medios posibles.
8. Posibilidad de declaratoria 3. Evaluar los impactos posibles sobre le
de nulidades en los procesos 1. Instrucciones por parte de la jefatura de la Oficina sobre el proceso disciplinario del que se pierde el
disciplinarios o que se deber de no divulgar a terceras personas ninguna información expediente y tomar las acciones que
revoquen las decisiones relacionada con las decisiones disciplinarias a cargo de la correspondan.
adoptadas en la OCD Oficina, ni con la documentación recibida con ocasión de las
9. Acciones legales en contra mismas.
Jefe OCD
3. Que se difunda la información sometida a de la OCD 2. En los contratos de prestación de servicios se tiene pactada la 1. Actas de reuniones, directricez y/o correos
reserva legal de los expedientes a cargo de la obligación de guardar la confidencialidad y reserva sobre la 2. Formato constancia de notificación personal
Oficina. información y documentos que por razón del cumplimiento de las 3. Contratos de prestación de servicios profesionales
obligaciones se llegue a conocer, la cual se mantiene aún
después de finalizado el contrato.
3. En el formato de notificación personal, se incluye la
advertencia para el notificado del deber que tiene de guardar la
reserva del proceso.
Probabilidad
INFERIOR 1. El Jefe de OCD ordena en un Auto la
INFERIOR
Jefe OCD
Jefe OCD
G.EC.08
Incumplimiento de los podrían no contar con el Disciplinaria, en donde se emiten alertas sobre el estado de cada 2. Ley 734 de 2002 y demás normas relacionadas Número de eventos de
Remota
Menor
Menor
Proceso 1. Desconocimiento de las normas que regulan Prescripción y en el mismo se ordena
Baja
términos legales en los debido soporte probatorio proceso. 3. Manual Distrital de Procesos y Procedimientos Disciplinarios 67 materialización del riesgo en el
4
2
Disciplinario la materia informar a la Personería de Bogotá y/o
procesos disciplinarios para tomar la decisión que en 4. Capacitación de los abogados de la OCD en temas 4. Registros en el SID periodo
Procuraduría.
derecho corresponda. relacionados con el quehacer diario de la Dependencia, a través 5. Diplomas o constancias de asistencia a capacitación
4. Prescripción de la acción de la consulta de las herramientas jurídicas que existen en
disciplinaria. internet, y de la participación en las charlas, encuentros, cursos,
5.Procesos disciplinarios en talleres, seminarios y diplomados, entre otros eventos, que se
contra de los responsables. programen en el Distrito y respecto de los cuales la Entidad
brinde el apoyo requerido para poder inscribirse en los mismos.
Jefe OCD
1. Desconocimiento de las normas que regulan OCD para dar espacio a que se hagan aportes en materia de
la materia, así como de la jurisprudencia actualización normativa, discusiones jurídicas, directrices para 1. Correos electronicos y/o memorias
relacionada. 1. Violación del derecho a la unificar criterios de decisión en la Oficina, y efectuar estudios
defensa y al debido proceso. normativos, entre otros.
Si la parte interesada se siente afectada
2. Declaratorias de nulidad.
Insignificante
puede apelar, y en el fallo de apelación se
INFERIOR
INFERIOR
Jefe OCD
G.EC.09
Remota
Ambos
Menor
1
Disciplinario Se podría demandar ante la Justicia
disciplinario 4. Inicio de acciones periodo
Contenciosa Administrativa y se acatará el
disciplinarias en contra de los
1. Solicitud de apoyo institucional para la inscripción y fallo.
responsables.
2. No acceder a capacitaciones relacionadas participación en capacitaciones relacionadas con el quehacer de
Jefe OCD
con temas de carácter disciplinario o a la la Oficina.
2. Memorandos
consulta de material jurídico relacionado con las 2. Solicitud de apoyo institucional para el acceso a herramientas
labores que se desarrollan en la Oficina. y medios en los que se puedan consultar y estudiar temas
relacionados con las labores que desarrolla la Oficina.
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR T
Cód.
Jefe OCI
1. No tener en cuenta la normatividad o sus
modificaciones asociadas a los temas de 1. Actualización Normograma proceso Evaluación y Control. Normograma IDU D
Evaluación y autoevaluación. E
1. Inapropiada
R
I
Jefe OAP
2. No tener la competencia requerida para autoevaluación del control y 1. Procesos de Selección de personal que verifica competencias.
definir la metodología por parte de los de la gestión por parte de los 2. Actualización en cambios normativos asociados al MECI por Registros de sensibilización 1. OAP deberá revisar la Metodología con la E
responsables. dueños de los procesos. parte del personal que realiza la actividad. asesoría de la OCI. S
MODERADO
Probabilidad
INFERIOR
G.EC.10
Jefe OAP
Etapa de No contar con una 2. Desvío de políticas, 2. Consulta y solicitud de asesoría al DAFP Número de eventos de G
Posible
Menor
Menor
Baja
planeación y adecuada metodología de objetivos y metas 64 3. Presentación al Comité de Control Interno materialización del riesgo en el O
4
ejecución autoevaluación de control establecidos por la Entidad. de la metodología. periodo S
3. Debilitamiento del Sistema 1. Instructivo de autocontrol. 4. Implementación de los ajustes o
de Control Interno. 2. Comunicados de la OAP sobre instrucciones para aplicación conceptos.
4. Incumplimiento de de la metodología.
Jefe OAP
3. Que la metodología no sea debidamente
objetivos del SCI 3. Sensibilizaciones en el Equipo Operativo SIG donde se dan
apropiada por parte de los servidores 1. Instructivo INEC02 Autoevaluación Institucional
instrucciones para aplicación de la metodología.
responsables de su aplicación.
4. Comité de Coordinación de Control Interno que realiza
seguimiento al SCI.
5. Informe de Autocontrol OAP.
2. Líderes del
1. Líderes del
ADECUADO DE LOS RECURSOS DE TI.
proceso
proceso
1. No bloquear la sesión de usuario cuando se 2. Replicar, al interior de las áreas que gestionan el proceso, las
abandona la estación de trabajo. actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
2. Líderes del
1. Líderes del
ADECUADO DE LOS RECURSOS DE TI.
proceso
proceso
2. Replicar, al interior de las áreas que gestionan el proceso, las
2. Mal uso de las contraseñas.
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
1. Jefe STRT
virtuales.
3. Por aplicación de ingeniería social.
2. Replicar, al interior de las áreas que gestionan el proceso, las
(manipulación de las personas para obtener
actividades de divulgación sobre el Sistema de Gestión
información)
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
Insignificante
Probabilidad
Adopción de Marco de Políticas de Control para Seguridad de la
Jefe STRT
INFERIOR
INFERIOR
2. LABOR 2. Divulgación de información a Número de eventos de
Remota
Remota
Acceso a los sistemas de
I.EC.01
1
OCD
por personas no autorizadas
autorizado SEGURO FORMATEO FINAL EQUIPOS V1.0. en el que se 2. Declaración de aplicabilidad. la STRT , a través del aplicativo ARANDA.
3. (Confidencialidad) periodo
5. Inadecuada eliminación o reciclaje de medios contempla los medios extraíbles. 3. Circular 01 de 2016 Uso de la información.
AUTOEVALUACI 4. Documentos específicos descritos en el control.
ÓN OAP de almacenamiento o procesamiento y/o 3. Modificación de resultados de 2. Replicar, al interior de las áreas que gestionan el proceso, las
documentos en medio físico. proceso (Informes de auditoría) actividades de divulgación sobre el Sistema de Gestión
(Integridad) Seguridad de la Información que se comunican a través de los
canales internos del IDU.
2. Jefe STRT
6. Acceso no autorizado a los sistemas de Directorio Activo, con asignación de roles en los computadores
información o a los documentos por parte de personales
personal no autorizado 3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR T
Cód.
1. Jefe STRF
SEGURIDAD Y VIGILANCIA.
(Vigilancia)
8. Visitantes desatendidos en las instalaciones 2. Replicar, al interior de las áreas que gestionan el proceso, las E
de la entidad. actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los R
canales internos del IDU. I
E
S
1. Líderes del
1. Replicar, al interior de las áreas que gestionan el proceso, las G
proceso
1. No recolección de los documentos que se actividades de divulgación sobre el Sistema de Gestión O
han enviado a impresión o escaneado. Seguridad de la Información que se comunican a través de los S
canales internos del IDU.
1. AUDITORÍA
INTERNA OCI 1. Fuga de información y/o uso 1. Resolución IDU 34217 de 2015
MODERADO
Insignificante
Adopción de Marco de Políticas de Control para Seguridad de la
Jefe STRT
INFERIOR
2. LABOR Lectura, copia, modificación o indebido de datos institucionales Número de eventos de
I.EC.02
Posible
1. Control centralizado para acceso a la red de datos por
Ambos
Menor
DISCIPLINARIA sustracción no autorizada de (Confidencialidad) Información. Reportar el evento de riesgo materializado a
Baja
X Directorio Activo, con asignación de roles en los computadores 62 materialización del riesgo en el
2
3. Lideres del proceso
OCD documentos archivados o datos 2. Declaración de aplicabilidad. la STRT , a través del aplicativo ARANDA.
3. institucionales. 2. Modificación de resultados de personales periodo
1, 2, Jefe STRT
3. Circular 01 de 2016 Uso de la información.
AUTOEVALUACI proceso (Informes de auditoría) 2. Antivirus institucional Bitdefender, módulos cambios de 4. Documentos específicos descritos en el control.
ÓN OAP 3. Acceso a los sistemas operativos o a las
procesos, control de acceso web, protección de datos,
aplicaciones por "puertas traseras" no
Antiphishing, control de dispositivos.
controladas.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
1, 2, Jefe STRT
2. Antivirus institucional Bitdefender, módulos cambios de
procesos, control de acceso web, protección de datos,
4. Uso de software ilegal o malicioso. Antiphishing, control de dispositivos.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
Jefe STRT
TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN.
1, 2, 3.
3. Espionaje dirigido a personal directivo o
3. Aplicación, en lo que corresponda, de que el sistema ARANDA
técnico.
cuente con un módulo de control remoto, el que solicita la
autorización del usuario para la conexión, adicional el sistema
deja un log de las conexiones realizadas.
4. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
1. No se puedan atender a canales internos del IDU.
tiempo los requerimientos de la
1. AUDITORÍA
ciudadanía o de los entes de 1. Resolución IDU 34217 de 2015
INTERNA OCI
control
Probabilidad
Adopción de Marco de Políticas de Control para Seguridad de la
Jefe STRT
INFERIOR
INFERIOR
2. LABOR Número de eventos de
Remota
I.EC.03
Menor
Menor
DISCIPLINARIA Pérdida o alteración de Información Reportar el evento de riesgo materializado a
Baja
2
OCD información
los productos de proceso. 2. Declaración de aplicabilidad. la STRT , a través del aplicativo ARANDA.
Formato: FO-AC-07
3. Versión: 3 Página 92 periodo
(Disponibilidad + Integridad) 3. Circular 01 de 2016 Uso de la información.
AUTOEVALUACI 4. Documentos específicos descritos en el control
ÓN OAP
3. Investigación de organismos
de control
R
E
P
O
R
T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
DE ANÁLISIS: D
AÑO MATRIZ DE RIESGOS EVALUACIÓN Y CONTROL PROCESO:
E
CÓDIGO PROCESO VERSIÓN FECHA DE SEGUIMIENTO:
2018 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS: OCI - OCD - OAP
E
V
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL E MONI
1. No se puedan atender a RIESGO RIESGO N
EFECTO
VALOR
Procedimento / tiempo los requerimientos de la TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR T
I.EC.03 Cód.
1.Actividad
AUDITORÍA / CONSECUENCIAS INHERENTE QUIÉN DOCUMENTACIÓN RESIDUAL CONTINGENCIA
(Amenaza) Riesgo (Vulnerabilidad) ciudadanía o de los entes de (cuál, cómo, cuándo) 1. Resolución IDU 34217 de 2015 (De alertas y/o riesgos)
INTERNA
ProductoOCI
control P I Ri P I Rr EN CASO DE MATERIALIZACIÓN O
Probabilidad
PDD OBJ SI P/S
Adopción de Marco de Políticas de Control para Seguridad de la
Jefe STRT
INFERIOR
INFERIOR
2. LABOR Número de eventos de S
Remota
Menor
Menor
DISCIPLINARIA Pérdida o alteración de Información Reportar el evento de riesgo materializado a
Baja
2. Afectación en la producción de X 74 materialización del riesgo en el
2
OCD información 2. Declaración de aplicabilidad. la STRT , a través del aplicativo ARANDA.
los productos de proceso. periodo D
3. 3. Circular 01 de 2016 Uso de la información.
(Disponibilidad + Integridad) 1. Aplicación, en lo pertinente, de los controles establecidos en
AUTOEVALUACI 4. Documentos específicos descritos en el control E
ÓN OAP PRTI16 GESTIÓN DE CAPACIDAD Y DISPONIBILIDAD.
3. Investigación de organismos
Jefe STRT
4. Insuficiencia de la capacidad de equipos de 3. Aplicación, en lo pertinente, de los controles establecidos en
1, 2, 3.
respaldo para copias de seguridad en relación FOTI30 CONTROL DE CAPACIDAD DE LOS RECURSOS DE E
con el volumen de la información a respaldar TI. S
4. Replicar, al interior de las áreas que gestionan el proceso, las G
actividades de divulgación sobre el Sistema de Gestión O
Seguridad de la Información que se comunican a través de los S
canales internos del IDU.
Jefe STRT
2. Equipos FIREWALL para la seguridad de la red de datos de la
5. Interceptación total o parcial de datos (físicos
1, 2
entidad.
o lógicos).
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
Jefe STRT
6. Inadecuada y/o inoportuna atención de establecidos en FOTI28 CONDICIONES PARA VALIDACIÓN DE
1, 2
incidentes de seguridad de la información EVENTOS DE SEGURIDAD DE LA INFORMACION.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
Jefe STRH
1. Por eventos naturales como sismo, tifón, comportamientos y reportes en relación con la causa identificada.
1
vendaval, o fenómeno meteorológico. 2. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
Jefe STRH
2. Pérdida o desabastecimiento de energía establecidos en Memorando 20155260339143 de Gestión de
1, 2
eléctrica regulada. Recursos Físicos respecto al SGSI.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
1. Afectación en la producción de Seguridad de la Información que se comunican a través de los
los productos de proceso. canales internos del IDU. 1. Resolución IDU 34217 de 2015
1. AUDITORÍA Adopción de Marco de Políticas de Control para Seguridad de la
(Disponibilidad)
INTERNA OCI Información.
MODERADO
Probabilidad
Jefe STRT
INFERIOR
2. LABOR Imposibilidad de uso de los 2. Declaración de aplicabilidad. Número de eventos de
2. No poder transmitir
I.EC.04
Posible
Menor
Menor
DISCIPLINARIA equipos de cómputo, sistemas Reportar el evento de riesgo materializado a
Baja
información a entes externos por X 3. Circular 01 de 2016 Uso de la información. 41 materialización del riesgo en el
6
4
OCD de información y/o aplicaciones
falla en sistemas internos la STRT , a través del aplicativo ARANDA.
1. Aplicación, en lo que corresponda al proceso, de los controles 4. DU-TH-02 "Procedimientos operativos normalizados para la periodo
1. Jefe STRF
2. Jefe STRT
ÓN OAP 2. Aplicación, en lo que corresponda al proceso, de los controles PONS"
3. Posibles sanciones por parte
de los organismos de control establecidos en Copias de respaldo. 4. Documentos específicos descritos en el control
3. Por hurto de equipos o sus componentes.
3. Replicar, al interior de las áreas que gestionan el proceso, las
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
1 y 2 Jefe STRF
2. Canal alterno CCE-20089-2017.
3. Replicar, al interior de las áreas que gestionan el proceso, las
4. Por falla en el suministro de internet.
actividades de divulgación sobre el Sistema de Gestión
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
Jefe STRT
INFERIOR
2. LABOR Imposibilidad de uso de los
Probabilida
MODERAD
2. No poder transmitir 2. Declaración de aplicabilidad. Número de eventos de R
I.EC.04
Posible
Menor
Menor
DISCIPLINARIA equipos de cómputo, sistemas Reportar el evento de riesgo materializado a
Baja
información a entes externos por X 3. Circular 01 de 2016 Uso de la información. 41 materialización del riesgo en el E
4
OCD de información y/o aplicaciones
falla en sistemas internos la STRT , a través del aplicativo ARANDA.
3. institucionales 4. DU-TH-02 "Procedimientos operativos normalizados para la periodo P
(Disponibilidad) preparación, prevención y respuesta ante emergencias —
AUTOEVALUACI O
ÓN OAP PONS"
3. Posibles sanciones por parte
4. Documentos específicos descritos en el control R
de los organismos de control T
E
FORMATO PROCESO
FECHA DE IDENTIFICACIÓN
DE ANÁLISIS: D
AÑO MATRIZ DE RIESGOS EVALUACIÓN Y CONTROL PROCESO:
E
CÓDIGO PROCESO VERSIÓN FECHA DE SEGUIMIENTO:
2018 FO-PE-06 Planeación Estratégica 5
12/12/2018 ÁREAS: OCI - OCD - OAP
E
V
IDENTIFICACIÓN ANÁLISIS EVALUACIÓN ACCIONES ASOCIADAS AL CONTROL E MONI
RIESGO RIESGO N
EFECTO
VALOR
Procedimento / TIPOS ACCIONES DE RESPUESTA Y/O
RIESGO DUEÑO CAUSAS DESCRIPCIÓN DEL CONTROL - TRATAMIENTO FÓRMULA DEL INDICADOR T
Cód.
1 y 2. Jefe STRT
establecidos en el procedimiento PRTI20 GESTION DE D
2. Jefe STRF
5. Daños accidentales en el edificio o áreas
CONTINUIDAD D SERVICIOS DE TI. E
2. Aplicación, en lo que corresponda al proceso, de las acciones
críticas.
que dispongan las Subdirecciones de Recursos Físicos y de R
Recursos Tecnológicos cuando se materialice la causa I
identificada.
E
S
G
1. Aplicación, en lo que corresponda al proceso, de los controles O
establecidos en FO-TI-05 COMPROMISO SOBRE EL USO DE S
RECURSOS DE TECNOLOGÍA. 1. Resolución IDU 34217 de 2015
2. Jefe OCI
1. Ausencia o deficiencia en los procedimientos 3. Aplicación, en lo que corresponda al proceso, de los controles 2. Declaración de aplicabilidad.
de manejo de la información personal. establecidos en MG TI17 Manual Operativo para la protección de 3. Circular 01 de 2016 Uso de la información.
datos personales. 4. Suscripción de Formato de declaración de confidencialidad y
4. Replicar, al interior de las áreas que gestionan el proceso, las no conflicto de intereses por parte de los auditores internos.
actividades de divulgación sobre el Sistema de Gestión 5. Documentos específicos descritos en el control
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
1. Jefe STRT
la Información. 1. Instructivo INTH06 Inducción Reinducción Entrenamiento
2. Desconocimiento de parte de las personas 2. Replicar, al interior de las áreas que gestionan el proceso, las Puesto de Trabajo
que manejan la información.. actividades de divulgación sobre el Sistema de Gestión 2. DU-TI-05 Declaración de aplicabilidad para seguridad de la
Seguridad de la Información que se comunican a través de los información IDU.
1. Incumplimiento legal (ley de canales internos del IDU.
protección de datos)
MODERADO
Probabilidad
Reportar el evento de riesgo materializado al
Jefe STRT
INFERIOR
2. LABOR 3. Afectación al buen nombre de 2. Aplicación de los controles generales y específicos 1. Suscripción de Formato de declaración de confidencialidad y Número de eventos de
1. Jefe OCI
Manejo inadecuado de la
I.EC.05
Posible
Menor
Menor
DISCIPLINARIA la entidad área de Atención al Ciudadano, encargada
Baja
información personal de los 3. Omisión intencional de los controles para el X establecidos en la matriz de riesgos corrupción del proceso. no conflicto de intereses por parte de los auditores internos. 62 materialización del riesgo en el
4
OCD de la comunicación y atención respecto al
ciudadanos o de terceros. manejo de la información. 3. Replicar, al interior de las áreas que gestionan el proceso, las 2. DU-TI-05 Declaración de aplicabilidad para seguridad de la periodo
3. 4. Pérdida de confidencialidad de tratamiento de datos personales.
AUTOEVALUACI la información. actividades de divulgación sobre el Sistema de Gestión información IDU.
ÓN OAP Seguridad de la Información que se comunican a través de los
5. Pérdida de la integridad de la canales internos del IDU.
información.
1. Jefe OCI
5. Presión o coacción de terceras partes para establecidos en la matriz de riesgos corrupción del proceso. no conflicto de intereses por parte de los auditores internos.
hacer uso indebido de datos personales 3. Replicar, al interior de las áreas que gestionan el proceso, las 2. DU-TI-05 Declaración de aplicabilidad para seguridad de la
actividades de divulgación sobre el Sistema de Gestión información IDU.
Seguridad de la Información que se comunican a través de los
canales internos del IDU.
OBSERVACIONES: Indique para ésta versión, el código de los riesgos nuevos y justifique el por qué de los riesgos eliminados. (Adicional registre las
observaciones que considere necearias): Revisión y aprobación del líder del proceso y líderes operativos:
ÁREA NOMBRE CARGO FIRMA
Para la actualización del mes de diciembre de 2018, de acuerdo con los análisis realizados por los delegados de la Oficina de Control Interno, de la Oficina
Asesora de Planeación y la Oficina de Control Disciplinario, se identificó que el riesgo R. EC-05 relacionado con la "inadecuada comunicación de OCI ISMAEL MARTÍNEZ GUERRERO JEFE OFICINA DE CONTROL INTERNO
resultados de la evaluación” de acuerdo con los mecanismos adoptados en la vigencia 2018, asociados a la presentación del informe preliminar y la
oportunidad que tienen los auditados de presentar observaciones, así como lo establecido en el decreto 648/2017, en relación con la función del comité
institucional de coordinación de control interno para que sirva de instancia para resolver las diferencias entre el equipo auditor y los auditados, se OCD PATRICIA DEL PILAR ZAPATA OLIVEROS JEFE OFICINA DE CONTROL DISCIPLINARIO
considera que este riesgo ya es muy poco probable que se presente, por lo cual se retira de la matriz de riesgos del proceso.
R
E
P
O
R
T
E
FORMATO VIGENCIA
MATRIZ RIESGOS DE CORRUPCIÓN 2019 D
PROCESO:
E
CÓDIGO PROCESO VERSIÓN FECHA ELABORACIÓN FECHA DE SEGUIMIE
FO-PE-05 Planeación Estratégica 5 14-Dec-18 E
Proveer al IDU de una estructura de gestión estratégica, táctica y operativa, capaz de aportar a la entidad un enfoque sistémico e integral, proyectado en el tiempo y en el territorio
V
INSTITUTO DE DESARROLLO OBJETIVO DEL E
ENTIDAD: PROCESO: PLANEACIÓN ESTRATÉGICA de conformidad con los estatutos institucionales y el Plan Distrital de Desarrollo. para garantizar la sostenibilidad y reconocimiento institucional de la entidad por la generación de
URBANO PROCESO: valores públicos. N
ANÁLISIS
IDENTIFICACIÓN (Riesgo EVALUACIÓN DELRIESGO ACCIONES ASOCIADAS AL CONTROL
T
inherente) O
PROBABILIDAD
PROBABILIDAD
S
ZONA RIESGO
ZONA RIESGO
RESPONSABLE
VALORACIÓN
CORRECTIVO
PREVENTIVO
PERIODO DE
Documentado
Responsable
INHERENTE
EJECUCIÓN
DETECTIVO
ACCIONES DE
RESIDUAL
Automático
Frecuencia
CONTROL
Efectividad
IMPACTO
IMPACTO
Evidencia
ACCIONES RESPUESTA Y/O FÓRMULA DEL
Manual
RIESGO
CAUSAS CÓDIGO
Descripción
CONSECUENCIAS CONTROLES ASOCIADAS AL REGISTRO CONTINGENCIA INDICADOR D
CONTROL EN CASO DE (De alertas y/o riesgos) E
MATERIALIZACIÓN
R
I
85- disminuye 2
2. Presiones de S
Según evento
recursos, administrativas y/o "PRPE01 Modificaciones aprobación o disciplinaria e informar al aprobadas de
funcionarios internos
Rara vez
omitiendo las penales. Presupuestales" Validaciones devolución de las Formato de Ajuste Ente de Control Externo que modificaciones
Posible
Mayor
Mayor
ALTA
BAJA
con poder de decisión
C.PE.01 políticas y 2. Reprocesos. POAI y modificaciones SI NO NO SI SI NO SI SI SI SI solicitudes de entre centros de corresponda. presupuestales / Total de
10
30
que solicitan
procediientos 3. Incumplimiento de presupuestales usando el Validaciones POAI costos 2. Se debe informar a la DG solicitudes radicadas en
modificaciones para
presupuestales, planes y proyectos. formato "FOGF25 Ajuste entre y modificaciones y realizar análisis de la OAP.
incluir gastos no
con el fin de 4. Mala imagen de la centros de costos" presupuestales. situación presentada y seguir
autorizados.
favorecer un entidad frente a la 2. Aplicabilidad de las normas las acciones de corrección
tercero. comunidad presupuestales. que aplique según el caso.
3. Preseiones externas a
funcionarios.
1. Verificación y
consistencia de los
datos y avance de
100- disminuye 2
ajuste a la realidad de la información inexacta información por parte de las la información afectada, e
Según evento
MDOERADA
Moderado
Rara vez
planeación, la 2. Reportes de plan
Posible
BAJA
operacional. comunidad. 2. Seguimiento por parte de la cubre con los haya sido divulgada / # de cargues
C.PE.02 inversión, sus SI NO NO SI SI SI SI SI SI SI de acción
15
5
2. Investigaciones OAP a la información reportada controles inicialmente. (programados en
resultados y metas 3. Reportes de
2. Presiones de disciplinarias y/o de las áreas ejecutoras para identificados. 2. Se debe informar a la SEGPLAN y PREDIS).
alcanzados para inversión y gestión.
funcionarios con poder administrativas registro en SEGPLAN, haciendo OCD para investigación
favorecer a 4. Reporte de
de decisión para ajustar 3. Reprocesos una verificación de las disciplinaria correspondiente.
terceros (externos componente de
resultados de la gestión. inconsistencias.
o internos) inversión.
5. Reporte de
teritorialización de la
inversión
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
R
E
P
O
R
T
E
FORMATO VIGENCIA
MATRIZ RIESGOS DE CORRUPCIÓN 2019 D
PROCESO:
FECHA ELABORACIÓN E
CÓDIGO PROCESO VERSIÓN FECHA DE SEGUIMIENTO:
FO-PE-05 Planeación Estratégica 5 12-Dec-18 E
V
OBJETIVO DEL Implementar y controlar los procesos de acopio, producción, actualización, análisis y disposición correspondiente a Información Geográfica, precios de referencia, directorio de proveedores, especificaciones técnicas y documentos técnicos de infraestructura Vial y espacio E
ENTIDAD: INSTITUTO DE DESARROLLO URBANO PROCESO: INNOVACIÓN Y GESTIÓN DEL CONOCIMIENTO
PROCESO: público para brindar información eficiente y efectiva en los procesos misionales del instituto y a la ciudadanía en general.
N
ANÁLISIS
IDENTIFICACIÓN (Riesgo EVALUACIÓN DELRIESGO ACCIONES ASOCIADAS AL CONTROL
T MONITOREO Y SE
inherente) O
PROBABILIDAD
PROBABILIDAD
S
ZONA RIESGO
ZONA RIESGO
VALORACIÓN
CORRECTIVO
RESPONSABLE
PREVENTIVO
Documentado
PERIODO DE
Responsable
EJECUCIÓN
INHERENTE
DETECTIVO
RESIDUAL
Automático
Frecuencia
CONTROL
Efectividad
IMPACTO
IMPACTO
Evidencia
ACCIONES
Manual
RIESGO ACCIONES DE RESPUESTA Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
CAUSAS CÓDIGO
Descripción
CONSECUENCIAS CONTROLES ASOCIADAS AL REGISTRO
EN CASO DE MATERIALIZACIÓN (De alertas y/o riesgos)
D
CONTROL E
R
I
E
S
1. FOIC16 Presentación de un producto 1. Si la materialización del riesgo se identifica al interior del Instituto, el
Indicador No. 1 G
Formula: (Cantidad de propuestas de O
técnica o tecnología innovador. funcionario o contratista debe informar a su jefe inmediato (Director(a)
Que por omisión o por 1. Aplicación del protocolo para aplicación de protocolo atendidas) /
(Cantidad de propuestas de aplicación de S
2. FOIC15 Carta presentación. Técnico(a) Estratégico(a), quien informará a la Subdirección General de
1. Presión interna o presiones mal intencionadas la presentación de productos, 1. Equipo
3. FOIC17 Inspección visual a un tramo Desarrollo Urbano – SGDU.
externa de internas o externas, se técnicas o tecnologías interdisciplinario protocolo presentadas (Orfeo)) x 100
85- disminuye 2
1. Baja calidad en las obras testigo o de prueba. 2. Si la materialización del riesgo se identifica en forma externa, el
Según evento
interesados. incluyan en las innovadoras. (ORFEO) para la revisión del
de Infraestructura Vial y 4. FOIC18 Evaluación precalificación de tercero debe Informar por escrito (Oficio o Correo) a la Dirección Técnica
Rara vez
Rara vez
2. Beneficios para especificaciones técnicas 2. Generación de mesas de tema. Indicador No. 2
C.IC.02
Mayor
Mayor
BAJA
BAJA
Espacio Público. producto técnica o tecnología innovadora. Estratégica - DTE y a la Subdirección General de Desarrollo Urbano -
particulares. generales de materiales y trabajo o solicitudes con SI NO NO SI SI NO SI SI SI SI 2. Socialización DTE Formula: (Secciones de especificaciones
10
10
2. Detrimento Patrimonial. 5. Oficios y memorandos (ORFEO). SGDU
3. No cumplir con los construcción IDU-ET o interesados internos. cuando aplique. técnicas IDU-ET o documentos técnicos,
3. Pérdida de credibilidad 6. Actas o lista de asistencia. 3. La DTE en caso de requerirse informará a la Subdirección General de
procedimientos documentos técnicos, 3. Actualización de la 3. Publicación revisados y aprobados) / (Total Secciones
institucional. 7. Correo electrónico institucional. Infraestructura - SGI
internos del IDU. productos, técnicas o documentación o secciones de página Web. de especificaciones técnicas IDU-ET o
8. Acto administrativo - especificaciones 4. La DTE deberá revisar la especificación o documento técnico para
tecnologías, con el ánimo de la especificación IDU-ET. documentos técnicos, generados o
técnicas. determinar si es necesario su suspensión o actualización.
favorecer un particular. actualizados) x 100 %
9. IN-IC-019 Instructivo Presentación de un 5. La DTE deberá Informar a Oficina de Control Disciplinario - OCD y a la
producto técnica o tecnología innovador. Dirección Técnica de Gestión Contractual - DTGC.
85- disminuye 2
generada por la Proveedores del IDU, las 2. Retraso en obras de PRIC03 Directorio de directorio de proveedores.
Según evento
1. Socialización tercero debe Informar por escrito (Oficio o Correo) a la Dirección Técnica Indicador No. 1
aprobación de empresas que no cumplan infraestructura vial y espacio Proveedores. 2. FOIC04 visita directorio proveedores
Rara vez
Rara vez
interna y externa. Estratégica - DTE y a la Subdirección General de Desarrollo Urbano – Formula: (Número de solicitudes revisadas
C.IC.03
Mayor
Mayor
BAJA
BAJA
documentación falsa. con los requisitos público. 2. Solicitud de consulta IDU.
SI NO NO SI SI NO SI SI SI SI 2. Publicación DTE SGDU. / Número de solicitudes recibidas) * 100%
10
10
2. Por falta de establecidos en el 3. Sanciones económicas y mediante oficio a autoridades 3. FOIC19 Atención a usuarios directorio
página Web. 3. La DTE deberá inactivar y cancelar el registro del proveedor en la
verificación o procedimiento del Directorio, ambientales. ambientales, territoriales o de proveedores.
base de datos del Directorio de Proveedores e informarle por escrito.
conocimiento de así como la normativa 4. Requerimientos de entes mineras. 4. Oficios (ORFEO).
4. La DTE Informará a la Subdirección General de Infraestructura - SGI
requisitos. ambiental y minera vigente; de control.
y áreas ejecutoras, para que estas a su vez informen a los contratistas e
con el fin de favorecer a un
interventores.
particular.
5. La DTE deberá informar a Oficina de Control Disciplinario - OCD y a la
Dirección Técnica de Gestión Contractual – DTGC.
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
Subdirección General de Desarrollo Urbano William Orlando Luzardo Triana Subdirector General de Desarrollo Urbano
PROBABILIDAD
PROBABILIDAD
S
ZONA RIESGO
ZONA RIESGO
CORRECTIVO
VALORACIÓN
RESPONSABLE
PREVENTIVO
PERIODO DE
Documentado
Responsable
EJECUCIÓN
DETECTIVO
INHERENTE
ACCIONES DE
RESIDUAL
Automático
Frecuencia
Efectividad
CONTROL
IMPACTO
IMPACTO
FÓRMULA DEL
Evidencia
ACCIONES RESPUESTA Y/O
Manual
RIESGO INDICADOR
CAUSAS CÓDIGO
Descripción
CONSECUENCIAS CONTROLES ASOCIADAS AL REGISTRO CONTINGENCIA
(De alertas y/o
D
CONTROL EN CASO DE E
riesgos)
MATERIALIZACIÓN
R
I
E
85- disminuye 2
servicios ofrecidos por el atención y/o 1. Publicación de
Según evento
disciplinarias y/o involucradas para analizar el Encuesta ejecutada
IDU. gestión de las 2. Intervención del Defensor la guía de Formato de
Moderado
Moderado
Rara vez
Rara vez
penales. caso especifico y tomar las en el periodo /
BAJA
BAJA
necesidades del Ciudadano IDU. N trámites y encuestas de
C.SC.01 SI SI SI SI SI SI SI SI SI acciones correspondientes. Encuesta
5
2. Cobrar o recibir expuestas por un O servicios, pagina satisfacción.
2. Pérdida de programada en el
prebendas por trámites ciudadano o grupo 3. Aplicación y análisis de Web,
legitimidad 2. Notificar a la OCD del periodo.
o servicios que sean de ciudadanos, encuestas de satisfacción. Observatorio.
institucional. caso, para que inicie las
gratuitos, así como por con el fin de
investigaciones que
el desarrollo de las favorecer a estos. 4. Aplicación del procedimiento
corresponda.
actividades de Quejas y Reclamos.
desempeñadas por los
profesionales sociales
en los territorios.
85- disminuye 2
ciudadanía frente a ciudadanía del IDU. involucradas, para analizar el
la ciudadania,
Según evento
CIUDADANO
MODERADA
los proyectos de 2. Inclusión y cumplimiento de caso especifico y tomar las allegados a la OTC,
Rara vez
para la atención de la entidad. 4940 de 2018)
Mayor
Mayor
BAJA
infraestructura vial requisitos de puntos de N N N Actas de acciones correspondientes. por no permitir el
ciudadanía. C.SC.02 SI SI SI SI SI SI SI
10
20
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
PROBABILIDAD
PROBABILIDAD
ZONA RIESGO
ZONA RIESGO
CORRECTIVO
VALORACIÓN
RESPONSABLE
PREVENTIVO
PERIODO DE
Documentado
Responsable
EJECUCIÓN
DETECTIVO
INHERENTE
ACCIONES DE
RESIDUAL
Automático
Frecuencia
Efectividad
CONTROL
IMPACTO
IMPACTO
FÓRMULA DEL
Evidencia
ACCIONES RESPUESTA Y/O
Manual
RIESGO INDICADOR
CAUSAS CÓDIGO CONSECUENCIAS CONTROLES ASOCIADAS AL REGISTRO CONTINGENCIA
Descripción (De alertas y/o
CONTROL EN CASO DE
riesgos)
MATERIALIZACIÓN
PROBABILIDAD
PROBABILIDAD
RESPONSABLE
ZONA RIESGO
ZONA RIESGO
VALORACIÓN
CORRECTIVO
PREVENTIVO
PERIODO DE
Documentado
EJECUCIÓN
Responsable
INHERENTE
DETECTIVO
RESIDUAL
Automático
Frecuencia
CONTROL
Efectividad
IMPACTO
IMPACTO
Evidencia
ACCIONES DE RESPUESTA Y/O
Manual
RIESGO ACCIONES ASOCIADAS AL
CAUSAS CÓDIGO CONSECUENCIAS CONTROLES REGISTRO CONTINGENCIA
Descripción CONTROL
EN CASO DE MATERIALIZACIÓN
85- disminuye 2
2. Falta de participación del a los convenios o acuerdos mitigación de impactos.
Según evento
MODERADA
realice la vigentes con ESP, Entidades Públicas 3. Actos Administrativos emitidos
SGDU - SGI
Catastrófico
Moderado
Rara vez
Rara vez
estructuración y 2. Afectación del del Orden Nacional, Territorial y por la SDP y Actas de
BAJA
con las Empresas de del Orden Nacional, 3. Solicitar conceptos técnicos y
C-IN-01 seguimiento de presupuesto asignado para SI SI SI SI SI NO SI SI SI SI Privados. Compromiso emitidas por la
20
5
Servicios Públicos, Entidades Departamental, Municipal, jurídicos a las entidades distritales
convenios o la ejecución de las metas SDM.
Públicas del Orden Nacional, Distrital y Privados. en el tema de convenios con ESP.
acuerdos, en físicas de los proyectos de 3. Identificación y aplicación de
Departamental, Municipal,
beneficio de infraestructura vial y propuestas de mejora para la 4. Informes de seguimiento
Distrital y/o Privados, que 3. Realizar actualización y 4. Gestionar acciones de
intereses espacio público. implementación de nuevos convenios, convenios o acuerdos suscritos.
interactúan en la seguimiento periodico del modificación y/o suspensión del
particulares. como resultado del seguimiento
estructuración de convenios o normograma para verificar la convenio o acuerdo suscrito con
3. Eventual detrimento efectuado a los convenios vigentes. 5. Convenios o acuerdos
acuerdos. aplicación de las normatividad Terceros, cuando aplique.
patrimonial para la Entidad. suscritos.
vigente emitida por las Entidades
4. Se realiza sensibilización de los
3. Aprovechamiento de la Públicas del Orden Nacional o 5. Gestionar acciones de
compromisos u obligaciones a cargo
información y conocimiento Territorial para la ejecución de modificación del convenio o acuerdo
de las ESP, Entidades Públicas del
en la estructuración de los proyectos de infraestructura suscrito con las ESP, cuando
Orden Nacional, Territorial y Privados y
convenios o acuerdos para vial, transporte y espacio público. aplique.
de la normatividad vigente al interior
beneficio de un tercero.
del IDU.
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
SUBDIRECCIÓN GENERAL DE DESARROLLO URBANO WILLIAM ORLANDO LUZARDO TRIANA Subdirector General de Desarrollo Ubano
SUBDIRECCIÓN GENERAL DE INFRAESTRUCTURA EDGAR FRANCISCO URIBE RAMOS Subdirector General de Infraestructura
R
E
P
O
R
T
E
D
PROCESO:
E
FECHA DE SEGUIMIENTO:
E
V
E
N
MONITOREO Y SEGUIMIENTO
T
O
S
FÓRMULA DEL INDICADOR
(De alertas y/o riesgos) D
E
R
I
E
S
G
O
S
INSTITUTO DE DESARROLLO OBJETIVO DEL Divulgar de manera eficaz, eficiente y oportuna la gestión de la entidad, con el fin de garantizar el derecho de la información, dar a conocer la ejecución de los recursos
ENTIDAD: PROCESO: COMUNICACIONES públicos, lograr la identidad institucional al interior de la organización y fortalecer la cultura ciudadana.
URBANO PROCESO:
ANÁLISIS
IDENTIFICACIÓN (Riesgo EVALUACIÓN DELRIESGO ACCIONES ASOCIADAS AL CONTROL
inherente)
PROBABILIDAD
PROBABILIDAD
ZONA RIESGO
ZONA RIESGO
RESPONSABLE
VALORACIÓN
CORRECTIVO
PREVENTIVO
PERIODO DE
Documentado
EJECUCIÓN
Responsable
INHERENTE
DETECTIVO
ACCIONES DE
RESIDUAL
Automático
CONTROL
Frecuencia
Efectividad
IMPACTO
IMPACTO
FÓRMULA DEL
Evidencia
ACCIONES RESPUESTA Y/O
Manual
RIESGO INDICADOR
CAUSAS CÓDIGO CONSECUENCIAS CONTROLES ASOCIADAS AL REGISTRO CONTINGENCIA
Descripción (De alertas y/o
CONTROL EN CASO DE
riesgos)
MATERIALIZACIÓN
1. Realizar
1. El profesional de comunicaciones 1. FO-CO-02
seguimiento para
gestiona las solicitudes allegadas por las Solicitud de
1. Publicar informacion que las fuentes de
areas y de igual manera realiza la material de
en la cual se presenten información la
1. Desinformacion a gestión para que las áreas entreguen la divulgación y
omisiones o Ocultar y/o entreguen siempre
la comunicadad y información que aun no ha sido recibida. boletines de
cubrimientos de la manipular la a través de un
medios prensa para
misma por parte de las información que medio que permita 1. Comunicar a la Dirección
70- disminuye 1
2. Desprestigio en la 2. De acuerdo con la información proyectos IDU Solicitudes
Según evento
áreas fuente, teniendo se publica sobre la su seguimiento y General sobre lo sucedido.
imagen de la entidad suministrada por las áreas técnicas de la gestionadas /
Moderado
Moderado
Rara vez
Rara vez
conocimiento de este entidad y su trazabilidad (correo
BAJA
BAJA
3. Ocurrencia de entidad, la Oficina realiza un registro 2. FO-CO-193 JEFE Solicitudes recibidas *
hecho la OAC. C.CO.01 gestión, en SI NO NO NO SI NO SI SI SI SI electrónico) 2. Comunicar a Control
5
procesos fotográfico y/o en video para ilustrar y Registro de OAC 100%
beneficio de un Interno y a Control
disciplinarios, divulgar los avances de las obras. solicitudes de
2. Presión externa o tercero, una 2. Seguimiento a Disciplinario sobre lo
penales y fiscales Adicionalmente, toda información que información y
interna del sector dependencia de la través del formato sucedido.
4. Afectacion del vaya a ser publicada, debe contar con el entrevistas
público o privado, para entidad o la FO-CO-193 para
clima organizacional visto bueno, aprobación o aval de la externas.
alterar la información a entidad en general registro de
correspondiente área que es responsable
públicar de algún tema solicitudes de
de dicha información, por medio de 3. Correo
específico. información y
correo electronico electronico
entrevistas
solicitudesoac
externas.
@idu.gov.co
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
OBJETIVO DEL Contar por parte de la Entidad con estudios en etapa de pre-inversión para los proyectos de infraestructura vial y espacio público, cuyo proposito sea la construcción de nueva infraestructura o las actividades de conservación, mediante
ENTIDAD: INSTITUTO DE DESARROLLO URBANO PROCESO: FACTIBILIDAD DE PROYECTOS mecanismos de evaluación objetiva de componentes técnicos, sociales, prediales, ambientales, y financieros que garanticen la viabilidad de los proyectos en las etapas de diseño y construcción.
PROCESO:
ANÁLISIS
IDENTIFICACIÓN (Riesgo EVALUACIÓN DELRIESGO ACCIONES ASOCIADAS AL CONTROL
inherente)
PROBABILIDAD
PROBABILIDAD
ZONA RIESGO
ZONA RIESGO
RESPONSABLE
VALORACIÓN
CORRECTIVO
PREVENTIVO
PERIODO DE
Documentado
Responsable
EJECUCIÓN
INHERENTE
DETECTIVO
RESIDUAL
Automático
Frecuencia
CONTROL
Efectividad
IMPACTO
IMPACTO
Evidencia
ACCIONES DE RESPUESTA Y/O
Manual
RIESGO ACCIONES ASOCIADAS AL FÓRMULA DEL INDICADOR
CAUSAS CÓDIGO CONSECUENCIAS CONTROLES REGISTRO CONTINGENCIA
Descripción CONTROL (De alertas y/o riesgos)
EN CASO DE MATERIALIZACIÓN
100- disminuye 2
Presentar o aprobar 1.Incremento en los costos de los 1. Elaborar o solicitar se elabore la matriz Matriz Multicriterio diligenciada en alternativas y tomar acciones al
Según evento
MODERADA
MODERADA
Acuerdos o influencia de
Catastrófico
Catastrófico
alternativas de factibilidad proyectos. Multicriterio con los componentes que etapa de Factibilidad. Memorandos de respecto. • Fórmula: (No de matriz
Rara vez
Rara vez
C.FP.01
funcionarios de alto nivel
como viables en los proyectos 2. Demandas al Instituto y al apliquen y que los porcentajes de cada Seguimiento al cumplimiento y correcta envío, DTS ( documento técnico 2. Una vez recibido, al identificarse multicriterio elaboradas / No.
para beneficio particular. SI NO SI SI SI SI SI SI SI SI DTP
20
20
de Infraestructura vial y/o Distrito. componente sean equitativos de tal manera aplicación de la matriz Multicriterio. soporte) el riesgo se solicita el Factibilidades Entregadas.) *
espacio público a cambio de 3. Hallazgos de los entes de que uno o dos componentes no determinen acompañamiento a la DTGC y 100%
una contraprestación. control. la alternativa viable. Lista de chequeo de Entregables DTGJ para el inicio de procesos
legales y demandas en contra de
los consultores implicados..
100- disminuye 2
alternativas y tomar acciones al
Según evento
MODERADA
MODERADA
Acuerdos o influencia de Modificar la priorización de tales como disciplinarios en
Catastrófico
Catastrófico
Matriz Multicriterio diligenciada en respecto. • Fórmula: (No. de modelos
Rara vez
Rara vez
C.FP.02
20
20
modelo matemático de priorización. modelo de priorización. envío, DTS ( documento técnico el riesgo se solicita el utilzados / No. Planes de
rehabilitación y reconstrucción) consultores implicados.
soporte) acompañamiento a la DTGC y intervencion ejecutados) *100%.
para favorecer a un tercero. 2. Posibles hallazgos de los
DTGJ para el inicio de procesos
Entes de Control
legales y demandas en contra de
los consultores implicados.
100- disminuye 2
protección documental o Una vez recibido, al identificarse el (N° Actividades de seguimiento
Según evento
MODERADA
MODERADA
tales como disciplinarios en políticas de seguridad de la información.
Catastrófico
Catastrófico
se entregue información Entregar información relevante 1. Seguimiento al cumplimiento de los riesgo se solicita el registradas en medios
Rara vez
Rara vez
C.FP.03
20
20
favorecer a un tercero antes de su publicación con el boletines informativos, flash (OCD), DTGJ para el inicio de procesos divulgadas) * 100%
consultores implicados. confidencialidad de la misma. 3. Orfeo
anticipandose al fín de beneficiar a un tercero. circulares. legales y demandas en contra de
2. Posibles hallazgos de los 3. Campañas de divulgación del Código
momento que se los consultores implicados.
Entes de Control Unico Disciplinario.
presente la futura
licitación.
100- disminuye 2
Aceptar y Aprobar productos Sobrecostos por la necesidad de los componentes de la prefactibilidad o Una vez recibido, al identificarse el
Según evento
MODERADA
hay interventoría se haya diligenciado correctamente y que
Catastrófico
Catastrófico
Improbable
Rara vez
C.FP.04
factibilidad que no cumplen factibilidades. 2.Hacer el seguimiento y control durante la acompañamiento a la DTGC y (N° productos validados y
acuerdos con el SI NO SI SI SI SI SI SI SI SI aprobación de todos los productos en el • Formato FO-FP-02 en cada contrato DTP
40
20
requisitos y o normatividad 3. Inicio de procesos ejecución del contrato de todos los DTGJ para el inicio de procesos aprobados que cumplen con la
consultor, supervisor y/o periodo correspondiente o al finalizar el monitoreado.
vigente para favorecer a un legales, tales como disciplinarios productos, utilizando el formato FO-FP-02 legales y demandas en contra de normatividad / Total de productos
Directivos IDU, para contrato.
tercero. en contra de los funcionarios y Lista de chequeo Entrega de productos los consultores implicados. revisados) * 100%
aceptar productos no
demandas en contra de los etapa de factibilidad y el Manual de
conformes.
consultores implicados. interventoría.
4. Posibles hallazgos de los
Entes de Control
PROBABILIDAD
PROBABILIDAD
ZONA RIESGO
ZONA RIESGO
RESPONSABLE
VALORACIÓN
CORRECTIVO
PREVENTIVO
PERIODO DE
Documentado
Responsable
EJECUCIÓN
INHERENTE
DETECTIVO
RESIDUAL
Automático
CONTROL
Frecuencia
Efectividad
IMPACTO
IMPACTO
Evidencia
ACCIONES DE RESPUESTA Y/O
Manual
RIESGO ACCIONES ASOCIADAS AL FÓRMULA DEL INDICADOR
CAUSAS CÓDIGO CONSECUENCIAS CONTROLES REGISTRO CONTINGENCIA
Descripción CONTROL (De alertas y/o riesgos)
EN CASO DE MATERIALIZACIÓN
100- disminuye 2
Admitir productos de Sobrecostos por la necesidad de Verificar que en el Formato FO-FP-02 se Una vez recibido, al identificarse el
Según evento
MODERADA
interventoría se requisitos establecidos en el contrato y en la
Catastrófico
Catastrófico
Improbable
factibilidad aprobados por el ajustes y actualizaciones de haya diligenciado correctamente y que riesgo se solicita el • Fórmula:
Rara vez
concierte y/o realicen C.FP.05 normatividad vigente. • Oficios, ORFEO.
ALTA
interventor que no cumplan factibilidades aprobadas. se haya emitido el concepto de acompañamiento a la DTGC y (N° productos entregados con la
acuerdos con el 2. Hacer el seguimiento y control durante la SI NO SI SI SI SI SI SI SI SI • Formato FO-FP-02 en cada contrato DTP
40
20
con los requisitos a cambio 3. Inicio aprobación de todos los productos en el DTGJ para el inicio de procesos lista de chequeo cumplida / Total
consultor, interventor, ejecución del contrato de todos los monitoreado
de un beneficio personal o de de procesos legales, tales como periodo correspondiente o al finalizar el legales y demandas en contra de factibilidades terminadas) *100%.
supervisor y/o Directivo productos, utilizando el formato FO-FP-02
un tercero o de una dadiva. demandas, en contra de los contrato. los consultores implicados.
IDU, para aceptar Lista de chequeo entrega de productos etapa
consultores e interventores
productos no conformes de Factibilidad y el Manual de interventoría.
implicados.
4. Posibles hallazgos de los
Entes de Control.
100- disminuye 2
factibilidad, se autoricen 2. Recibo de productos que no el cual debe ser aprobado para el inicio del un seguimiento permanente del Una vez recibido, al identificarse el • Fórmula:
Según evento
MODERADA
MODERADA
formato FO-IDU-47 Cuadro de control
Catastrófico
Catastrófico
ampliaciones de plazos cumplen con las especificaciones mismo. cronograma del contrato y del control riesgo se solicita el (No. De solicitudes de
Rara vez
Rara vez
C.FP.06
20
20
cambios en forma de 3. Inicio de procesos legales, semanales. oportunamente para que no se DTGJ para el inicio de procesos deficiente justicación / No. De
para favorecer a un tercero. memorandos de la DTP solicitando
pago y/o adiciones con tales como disciplinarios en 3. Se realiza seguimiento financiero. disminuya o se termine el plazo de la legales y demandas en contra de solicitudes de modificación
acciones legales en contra de los
el fin de favorecer al contra de los funcionarios y 4. Se cuenta con formatos para el registro y etapa, obligando a realizar prórrogas y los consultores implicados. presentadas en el periodo) *100%
contratistas por incumplimientos,
contratista o a un tercero demandas en contra de los tramite de Adiciones o Prorrogas. adiciones al contrato de factibilidad y al
Solicitude de Adicion o prorroga con
consultores implicados. contrato de interventoría.
FO-GC-27.
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
SUBDIRECCIÓN GENERAL DE DESARROLLO URBANO WILLIAM LUZARDO TRIANA SUB GENERAL DE DESARROLLO URBANO
DIRECCIÓN TÉCNICA DE PROYECTOS JOSE JAVIER SUAREZ BERNAL DIRECTOR TÉCNICO DE PROYECTOS
INSTITUTO DE DESARROLLO OBJETIVO DEL Estructurar e implementar los acuerdos de valorización conforme a la planeación y formulación de proyectos de infraestructura para la ciudad, de tal forma que se garantice su financiación y el
ENTIDAD: PROCESO: GESTIÓN DE LA VALORIZACIÓN Y FINANCIACIÓN recaudo efectivo de la contribución de valorización, así como desarrollar proyectos de iniciativa comunitaria bajo el esquema de valorización.
URBANO PROCESO:
ANÁLISIS
IDENTIFICACIÓN (Riesgo EVALUACIÓN DELRIESGO ACCIONES ASOCIADAS AL CONTROL
inherente)
PROBABILIDAD
PROBABILIDAD
ZONA RIESGO
ZONA RIESGO
RESPONSABLE
VALORACIÓN
CORRECTIVO
PREVENTIVO
Documentado
PERIODO DE
Responsable
INHERENTE
EJECUCIÓN
DETECTIVO
RESIDUAL
Automático
Frecuencia
Efectividad
CONTROL
IMPACTO
IMPACTO
FÓRMULA DEL
Evidencia
ACCIONES DE RESPUESTA Y/O
Manual
CÓDI RIESGO ACCIONES ASOCIADAS AL INDICADOR
CAUSAS CONSECUENCIAS CONTROLES REGISTRO CONTINGENCIA
GO Descripción CONTROL (De alertas y/o
EN CASO DE MATERIALIZACIÓN
riesgos)
No. revisiones
ejecutadas para
1. Formulación del proyecto de Acuerdo aprobacion del
soportado por un grupo interdisciplinario proyecto de Acuerdo /
No. de revisiones
2. Revisión del Proyecto de Acuerdo por planificadas en el
diferentes dependencias (SGJ - DTAV- procedimiento.
DG) del IDU y su aprobación por el
Concejo. Planillas que
1. Informar a la DG las
incluyen la
modificaciones de los insumos
3. Procedimiento de Estructuración actualización de
presentados.
85- disminuye 2
Proyectos de Acuerdos. factores
Según evento
MODERADA
MODERADA
Que por extralimitación se Impacto social. Verificación de cumplimiento
Catastrófico
Catastrófico
Modificaciones prediales.
Rara vez
Rara vez
C.VF.01
realicen cambios en el Impacto económico de requisitos y procedimientos. 2. Reunión entre DG, SGDU, SGI,
DTAV
por intereses 4,Solicitud de la ficha técnica de las obras Proyecto de
proyecto de Acuerdo de al no percibir SI NO NO SI SI NO SI SI SI SI SGGC y DTAV para determinar el
20
20
externos al a la SGDU Acuerdo revisado
Valorización o en el alcance posibles cobros de Verificación de la ficha Tecnica alcance de los ajustes a realizar.
Proyecto por las
de las obra. valorización. de las Obras
5. Radicación en la SDM del proyecto de dependencias
3. Ajustar en debidamente el
Acuerdo para observaciónes y/o según
Proyecto de Acuerdo para
aprobación, de no existir la SDM radica en procedimiento de
presentación al Concejo.
la Secretaria General de la Alcaldía Mayor Estructuración.
para posterior presentación al Concejo de
Bogotá
Número de datos de
predios con
inconsistencias / Total
de datos de predios
analizados.
85- disminuye 2
en cuanto a los factores y Afectación en el liquidación por parte de STOP.
Según evento
MODERADA
errados o falsos planillas con la información procedimientos y
Catastrófico
Catastrófico
Improbable
atributos requeridos para la monto individual de 2. Revisión por parte de los profesionales
Rara vez
C.VF.03
STOP
ALTA
liquidación y/o visita de los cobros de designados para tal fin, verificando que la 2. STOP informa las
terceros en SI NO SI SI SI NO SI SI SI SI información generados en el
40
20
verificación, omitiendo o valorización. información de los predios coincidan con inconsistencias a la STRT para que
registros ya control de calidad
extralimitándose en Menor recaudo los datos oficales se modifique la información del
incorporados al Revisar coincidencia de datos
funciones u olbigaciones percibido predio en el sistema Valoricemos.
sistema del inventario con los de las Registro de datos
contractuales, con el fin de 3. Revisión de una muestra aleatoria de
bases y verificar con la e imágenes
beneficiar un particular los predios liquidados 4. Generar proceso de liquidación
fotografía
100- disminuye 2
Realizar un trámite los predios y en la detección muestra)
Según evento
salvos generar CECTN 2. La STOP informa a la STRT de
Introducir datos Que por omisión se expidan indebido ante la del chip
Moderado
Rara vez
C.VF.04
2. Revisión períodica de una muestra (Paz y salvos) los ajustes que deben ser
Posible
Mayor
STOP
ALTA
BAJA
errados que paz y salvos de predios con notaria y
representativa de los paz y salvos SI SI NO SI SI SI SI SI SI SI Archivos realizados en el Sistema
30
5
favorecen al deuda pendiente, con el fin Menor recuado Comparación contínua entre el
emitidos, . mensuales de las Valoricemos.
contribuyente. de favorecer un tercero|. percibido por parte estado de cuenta de los
3. Parametrización del módulo de paz y verificaciones 3. Informar al Contribuyente su
del IDU predios con paz y salvos
salvos en el aplicativo Valoricemos realizadas estado de cuenta actual del predio.
emitidos
mediante el log de auditoría. 4. Se debe informar el evento para
investigación disciplinaria.
Número de conceptos
con inconsistencias /
Total de conceptos
1. Realizar una segunda validación revisados
de la información emitida.
Emisión de conceptos Revisión por parte del funcionario Comparación entre los datos 2. STOP informa las
85- disminuye 2
Según evento
Acuerdos entre el técnicos omitiendo los designado para tal fin, verificando que la cargados en el sistema, datos inconsistencias a la STRT para que
Instructivo para
Rara vez
Rara vez
C.VF.05
propietario y el procedimientos definidos, Menor recaudo información de los predios coincidan con oficiales, imágenes y se modifique la información del
Mayor
Mayor
STOP
BAJA
BAJA
elaborar
profesional que con la intención de percibido por parte los datos oficales SI NO SI SI SI NO SI SI SI SI cartografías predio en el sistema Valoricemos.
10
10
conceptos técnico
haga visita a favorecer un contribuyente del IDU Revisión periódica de una muestra Verificación de las bases de 3. Generar nuevamente el
terreno en cuanto a factores aleatoria de los conceptos técnicos datos en el sistema concepto técnico e informar a las
gravables emitidos valoricemos áreas involucradas en el proceso.
4. Se debe informar el evento para
investigación disciplinaria
PROBABILIDAD
PROBABILIDAD
ZONA RIESGO
ZONA RIESGO
RESPONSABLE
VALORACIÓN
CORRECTIVO
PREVENTIVO
PERIODO DE
Documentado
Responsable
INHERENTE
EJECUCIÓN
DETECTIVO
RESIDUAL
Automático
Frecuencia
CONTROL
Efectividad
IMPACTO
IMPACTO
FÓRMULA DEL
Evidencia
ACCIONES DE RESPUESTA Y/O
Manual
CÓDI RIESGO ACCIONES ASOCIADAS AL INDICADOR
CAUSAS CONSECUENCIAS CONTROLES REGISTRO CONTINGENCIA
GO Descripción CONTROL (De alertas y/o
EN CASO DE MATERIALIZACIÓN
riesgos)
Número de registros
ajustados en el
período /Total de
1-STOP informa a la DTAV y a la
registros liquidados en
Registro en el STRT para revisar los intereses y
el período
100- disminuye 2
Acuerdos entre sistema de realizar los ajuestes necesarios con
Según evento
MODERADA
Manipular o excluir la
Catastrófico
propietarios y el Valoricemos, el fin de garantizar la integridad de
Moderado
Rara vez
Rara vez
C.VF.06
informacion de los
STOP
BAJA
profesional que Menor recaudo por El sistema solo permite las modificaciones Se están haciendo revisiones forma IAJU la información.
intereses, afectando la SI SI SI SI SI SI SI SI SI SI
20
5
realice las parte del IDU de los predios a los perfiles autorizados periódicas al riesgo, para Documento 300 2. En caso de haberse enviado los
liquidación, con el ánimo de
liquidaciones de evitar que se materialice. de liquidación. archivos planos a la empresa de
beneficiar a un tercero
cartera Guía del Calculo impresión y distribución, STOP
de la deuda deberá informarles para la
modificación correspondiente.
Proyectar oficios
Previa verificación del estado Numero de oficios con
con solicitud de Verificar que en el certificado de tradición 1. Informar a la Superintendencia
100- disminuye 2
Afectación en la tradición de Se genera de cuenta del inmueble, se Registro en el errores en la solicitud
Según evento
levantamiento de y libertad conste una medida de de Notariado y Registro para que
inmuebles sin que la detrimento proyectará un oficio con la sistema de de levantamiento de
Moderado
Rara vez
Rara vez
C.VF.07
medidas sin estar gravamen vigente y que el estado de se cancele la notación del
STJEF
Mayor
BAJA
BAJA
contribución de valorización patrimonial y solicitud de levantamiento del correspondecia gravamen / Numero
cancelada la cuenta de la contribución este al día, para SI SI NO SI SI SI SI SI SI SI levantamiento de las medidas
10
5
haya sido cancelada por el acciones de gravamen de valorización para Orfeo y en el de oficios revisado
contribución. solicitar el levantamiento de la misma en administrativas o cautelares.
interesado, para favorecer a repetición en contra ser remitido a la Oficina de aplicativo con solicitud de
Acuerdos entre la Oficina de Registro de Instrumentos 2. Se debe informar el evento para
terceros del IDU Registro de Instrumentos Valoricemos. levantamiento de
funcionarios y Públicos que corresponda investigación disciplinaria
Públicos que corresponda gravamen.
contribuyentes
85- disminuye 2
Proyectar actos Valoricemos que se encuentra en interfaz Lista de chequeo 1. Informar a la SGJ de la proyecto de actos
Según evento
MODERADA
MODERADA
elaboración y aprobación de infomación jurídica como la
Catastrófico
Catastrófico
administrativos con Orfeo. de los Actos inconsistencia encontrada y se administrativos con
Rara vez
Rara vez
C.VF.08
STJEF
con información El revisor realiza el control de calidad de Administrativos envía el proyecto de acto información no
contenido no congruente percibido por parte SI NO NO SI SI NO SI SI SI SI prediales corresponda a los
20
20
errada. Acuerdos los actos administrativos proyectados por revisados y su administrativo corregido. congruente con la
con la normatividad con el del IDU que se encuentran en el
entre funcionarios el abogado y lo asigna, a través de la físico 2. Se debe informar el evento para normatividad x
ánimo de favorecer a un sistema de información
y contribuyentes plataforma Orfeo a la SGJ. investigación disciplinaria. 100/Total de Actos
particular Valoricemos.
proyectados.
#N/A
#N/A
#N/A
#N/A
m
0
n
u
0
s
y
-
i
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
OBJETIVO DEL Elaborar los estudios y diseños requeridos para la ejecución de los proyectos, basados en la factibilidad de los mismos, verificando que incluyan todos los componentes técnicos, arquitectónicos, urbanísticos,
ENTIDAD: INSTITUTO DE DESARROLLO URBANO PROCESO: Diseño de Proyectos pasajísticos, prediales, ambientales, sociales, de tráfico y de seguridad integral, de ingeniería urbana y de detalle dando cumplimiento a las normas técnicas y urbanísticas vigentes.
PROCESO:
ANÁLISIS
IDENTIFICACIÓN (Riesgo EVALUACIÓN DELRIESGO ACCIONES ASOCIADAS AL CONTROL
inherente)
PROBABILIDAD
PROBABILIDAD
ZONA RIESGO
ZONA RIESGO
RESPONSABLE
VALORACIÓN
CORRECTIVO
PREVENTIVO
PERIODO DE
Documentado
Responsable
INHERENTE
EJECUCIÓN
DETECTIVO
RESIDUAL
Automático
Frecuencia
Efectividad
CONTROL
IMPACTO
IMPACTO
FÓRMULA DEL
Evidencia
ACCIONES DE RESPUESTA Y/O
Manual
RIESGO ACCIONES ASOCIADAS AL INDICADOR
CAUSAS CÓDIGO CONSECUENCIAS CONTROLES REGISTRO CONTINGENCIA
Descripción CONTROL (De alertas y/o
EN CASO DE MATERIALIZACIÓN
riesgos)
85- disminuye 2
2. Sobrecostos por la parte de los especialistas, de cada uno de 11 se haya diligenciado Supervisor para verificar • Fórmula:
MODERADA
MODERADA
de Estudios y Diseños que
Catastrófico
Catastrófico
Que en los contratos de Estudios y Diseños, donde necesidad de ajustes y actualizaciones a los los productos de diseño, y hacer el correctamente y que se haya diferencias. (N° productos
Rara vez
Rara vez
C-DP-01
se desarrollen sin 1. Oficios, *ORFEO.
no hay interventoría se concerte y/o realicen diseños aprobados. seguimiento y control durante la ejecución emitido el concepto de aprobación validados y aprobados
interventoría que no SI NO NO SI SI NO SI SI SI SI 2. Formato FO-DP-11 en
20
20
acuerdos con el consultor, supervisor y/o Directivos 3. Inicio de procesos legales, tales como del contrato de todos los productos, de todos los productos en el Reportar al área contractual y que cumplen con la
cumplen requisitos y o cada contrato monitoreado.
IDU, para aceptar productos no conformes. disciplinarios en contra de los funcionarios y utilizando el formato FO-DP-11 Lista de periodo correspondiente o al juridica de la entidad. normatividad / Total
normatividad vigente, con el
demandas en contra de los consultores chequeo y recibo de productos en la etapa finalizar el contrato. de productos
fin de beneficiar a un tercero.
implicados. de estudios y diseños. Iniciar procesos sancionatorios y revisados) * 100
4. Posibles hallazgos de los Entes de Control legales apoyados por DTGC y SGJ.
85- disminuye 2
Admitir Estudios y Diseños y Supervisor para verificar (N° productos con
MODERADA
2. Sobrecostos por la aprobación los productos de diseño • Verificar que en el Formato FO-
Catastrófico
Catastrófico
Improbable
Que en los contratos de Estudios y Diseños, donde aprobados por interventoría diferencias. declaratoria de
Rara vez
C-DP-02
necesidad de ajustes y actualizaciones a los entregados por la Interventoría. DP-11 se haya diligenciado la 1. Oficios, ORFEO.
ALTA
hay interventoría se concierte y/o realicen acuerdos que no cumplen requisitos cumplimiento / Total
diseños aprobados. 2. Hacer el seguimiento y control durante la SI NO NO SI SI NO SI SI SI SI aprobación del producto en el 2. Formato FO-DP-11 en
40
20
con el consultor, interventor, supervisor y/o Directivo y/o normatividad vigente, con Reportar al área contractual y productos aprobados
3. Inicio de procesos legales, tales como ejecución del contrato de todos los periodo. cada contrato monitoreado
IDU, para aceptar productos no conformes el fin de beneficiar a un juridica de la entidad. por la Interventoría y
demandas, en contra de los consultores e productos, utilizando el formato FO-DP-11
tercero recibidos por el IDU)
interventores implicados. Lista de chequeo y recibo de productos en
Iniciar procesos sancionatorios y *100
4. Posibles hallazgos de los Entes de Control. la etapa de estudios y diseños.
legales apoyados por DTGC y SGJ.
85- disminuye 2
MODERADA
Que se filtre información por falta de manejo y/o Entregar información 1. Inicio de procesos legales, tales como políticas de seguridad de la información. Reportar al área contractual, de (N° Actividades de
Improbable
1. Seguimiento al cumplimiento de
Rara vez
C-DP-03
protección documental o se entregue información relevante de los pliegos a disciplinarios en contra de los funcionarios y 2. Sensibilización a los usuarios que 1. Listas de asistencia. procesos selectivos y juridica de la seguimiento
Mayor
Mayor
BAJA
los controles establecidos para
relevante con el fin de favorecer a un tercero un tercero antes de su demandas en contra de los consultores manejan la información sobre SI NO NO SI SI NO SI SI SI SI 2. Correos electrónicos. entidad. registradas en medios
20
10
este riesgo: boletines informativos,
anticipandose al momento que se presente la futura publicación con el fín de implicados. confidencialidad de la misma. 3. Orfeo tecnologicos / Total de
flash (OCD), circulares.
licitación. beneficiar a un tercero. 2. Posibles hallazgos de los Entes de Control 3. Campañas de divulgación del Código Iniciar procesos sancionatorios y actividades
Unico Disciplinario. legales apoyados por DTGC y SGJ. divulgadas) * 100
1. Actas de Comités de
seguimiento FO-DP-06, en
Realizar por parte de los
la que se prioriza la revisión
profesionales y especialistas de
y control del cronograma del
1. Demoras injustificadas en la entrega de 1. Se cuenta con un cronorama del Apoyo a la supervisión un • Fórmula:
proyecto. 2. Formato FO-
85- disminuye 2
Estudios y Diseños. proyecto el cual debe ser aprobado para el seguimiento permanente del (No. De solicitudes de
MODERADA
IDU-47 Cuadro de control
Catastrófico
Catastrófico
Que en los contratos de Estudios y Diseños, se 2. Recibo de productos que no cumplen con las Improbable inicio del mismo. cronograma del contrato y del Reportar al área contractual y modificacion devueltas
Rara vez
C-DP-04
ALTA
autoricen ampliaciones de plazos no justificados, y/o especificaciones y la normatividad aplicable. 2. Se realiza seguimiento en comité control financiero del contrato, y juridica de la entidad. por deficiente
modificaciones contractuales SI NO NO SI SI NO SI SI SI SI 3. Oficios de requerimiento a
40
20
cambios en forma de pago y/o adiciones con el fin 3. Inicio de procesos legales, tales como semanales. pronunciarse oportunamente para justicación / No. De
para favorecer a un tercero. la interventoría y/o consultor.
de favorecer al contratista o a un tercero disciplinarios en contra de los funcionarios y 3. Se realiza seguimiento financiero. que no se disminuya o se termine Iniciar procesos sancionatorios y solicitudes de
4. Memorandos de la DTP
demandas en contra de los consultores 4. Se cuenta con formatos para el registro y el plazo de la etapa, obligando a legales apoyados por DTGC y SGJ. modificación
solicitando acciones legales
implicados. tramite de Adiciones o Prorrogas. realizar prórrogas y adiciones al presentadas en el
en contra de los contratistas
contrato de estudios y diseños y al periodo)*100
por incumplimientos.
contrato de interventoría.
5. Solicitudes de Adicion o
prorroga con FO-GC-27.
1. Diligenciamiento de la lista de chequeo y Exigir por parte de los 1. Formato FO-DP-11 Lista
Que se acepte liquidar contratos de Estudios y Liquidar el contrato recibo de productos en la etapa de diseños. profesionales y especialistas de de chequeo y recibo de
1. Que se requiera la contratación de nuevos
85- disminuye 2
Diseños, sin haber cumplido con la entrega de los aceptando productos 2. Realización de comités o mesas de Apoyo a la supervisión y del productos en la etapa de • Fórmula:
MODERADA
Estudios y Diseños, generando detrimento
Catastrófico
Catastrófico
EXTREMO
productos y/o entregables completos, y/o no incompletos a cambio de trabajo de liquidación. Supervisor, la entrega de todos diseños. Reportar al área contractual y (No. Contratos
Rara vez
C-DP-05
patrimonial.
Posible
aprobados por los entes competentes, y/o sin el descuentos para justificar la 3. Diligenciamiento, trámite y control del los productos debidamente 2. FO-DP-05 Actas de recibo juridica de la entidad. liquidados con
2. Inicio de procesos legales, tales como SI NO NO SI SI NO SI SI SI SI
60
20
cumplimiento de las especificaciones realizando a no entrega del producto Acta de recibo final y liquidación. aprobados por los entes final y liquidación. productos incompetos
disciplinarios en contra de los funcionarios y
cambio descuentos que no compensan los faltantes, completo y exonerando al 4. Diligenciamiento, verificación y cierre de competentes, número u oficio de 3. Formato FO-GC-23 Actas Iniciar procesos sancionatorios y / No. Contratos
demandas en contra de los consultores
con el fin de favorecer al contratista y exonerarlo de contratista de futuras las glosas con el acta de verificación de aprobación que debe quedar de verificación de legales apoyados por DTGC y SGJ. liquidados)*100
implicados.
responsabilidades futuras. responsablidades. cumplimiento para cierre de glosas (Si relacionada en el acta de cumplimiento para cierre de
aplica) liquidación. glosas (Si aplica)
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
R
E
P
O
R
T
E
FORMATO VIGENCIA
MATRIZ RIESGOS DE CORRUPCIÓN 2019 D
PROCESO:
FECHA ELABORACIÓN E
CÓDIGO PROCESO VERSIÓN FECHA DE SEGUIMIENTO:
FO-PE-05 Planeación Estratégica 5 DICIEMBRE 13 DE 2018 E
Realizar la adquisición predial, reasentamiento integral de población y expedir viabilidades prediales basados en Decreto de Urgencia, oferta de compra, evaluación técnica, jurídica y
V
ENTIDAD: INSTITUTO DE DESARROLLO URBANO PROCESO: GESTIÓN PREDIAL OBJETIVO DEL PROCESO: social para desarrollar proyectos de infraestructura vial y espacio público adelantados por el IDU, en el marco del Plan de Ordenamiento Territorial, el Plan Maestro de Movilidad y los E
Planes de Desarrollo Distrital, de acuerdo con las normas legales vigentes y garantizando los Derechos Constitucionales de la ciudadanía. N
ANÁLISIS
IDENTIFICACIÓN (Riesgo EVALUACIÓN DELRIESGO ACCIONES ASOCIADAS AL CONTROL
T MONITOREO Y SE
inherente) O
PROBABILIDAD
PROBABILIDAD
S
ZONA RIESGO
ZONA RIESGO
VALORACIÓN
RESPONSABLE
CORRECTIVO
PREVENTIVO
PERIODO DE
Documentado
Responsable
EJECUCIÓN
INHERENTE
DETECTIVO
RESIDUAL
Automático
Frecuencia
Efectividad
CONTROL
IMPACTO
IMPACTO
Evidencia
ACCIONES DE RESPUESTA Y/O
Manual
RIESGO ACCIONES ASOCIADAS AL FÓRMULA DEL INDICADOR
CAUSAS CÓDIGO
Descripción
CONSECUENCIAS CONTROLES
CONTROL
REGISTRO CONTINGENCIA
(De alertas y/o riesgos)
D
EN CASO DE MATERIALIZACIÓN E
R
I
E
COMPONENTE DE SEGUIMIENTO
1. Incluir en los contratos de PSP O
1. Sistematización de la información en aplicativo de Predios. S
1. Mayor valor pagado por la adquisición una cláusula de confidencialidad de
2. Restricción de permisos a los Usuarios del Aplicativo de 1. Contratos de prestación de servicios
1. Romper el proceso de de predios. la información
Predios por actividades, a través de la solicitud de creación de profesionales - SIAC
confidencialidad previo a Omitir o extralimitar funciones u obligaciones, 2. Solicitud de creación de usuarios.
85- disminuye 2
usuarios 2. Reporte del aplicativo de Predios
Según evento
MODERADA
la notificación de la para entregar información a los afectados por 2. Menor valor percibido para la entidad 3. Mejoramiento Continuo del
Catastrófico
Catastrófico
Improbable
3. Control de los Componentes Jurídico, Social, Técnico, generado por la STRT (Reporte de (Número de acciones asociadas al control realizadas /
Rara vez
Oferta de Compra obras públicas, o alterar o dejar pasar la por concepto de venta de predios. Proceso de Gestión Predial: Siguiendo el debido proceso, informar a la
ALTA
Económico y de Avalúos, por parte de los Articuladores. recepción) Total de acciones asociadas al control) * 100%
mediante el acto C.GP.01 aplicación de una norma o procedimiento, o SI NO NO SI SI NO SI SI SI SI revisiones periódicas y mesas de OCD, para que inicie la acción disciplinaria a
40
20
4. Imparcialidad en la elaboración de los avalúos por parte de una 3. Reporte Solicitud de creación de
administrativo alterar los plazos, condiciones de pago y 3. Inconformidad de los afectados trabajo. que haya lugar
Entidad Externa. usuarios
entrega de predios antes de la formalización de 4. Uso de los Sistemas de
5. Manual de Gestión Predial y Procedimientos documentados. 4. Proceso de Gestión Predial actualizado
2. Acuerdos entre la compra, con el fin de beneficiar un particular. 4. Mala imagen institucional Información de la DTDP.
6. Alimentación del tablero de control que permite realizar 5. Convenio(s) suscrito(s)
servidores y terceros 5. Seguimiento a proyectos
seguimiento a los proyectos 6. Tablero de Control
5. Investigaciones disciplinarias 6. Suscripción de convenios con
7. Clausula de confidencialidad en los contratos de PSP
entidades externas.
COMPONENTE JURÍDICO
1. Aplicación de la lista de chequeo de la entrega de carpetas de
COMPONENTE SOCIAL
2. Alteración o falsedad de documentos adquisición predial y social que permite guardar la trazabilidad del
1. Romper la cadena de
100- disminuye 2
de un expediente. expediente.
Según evento
MODERADA
custodia de la carpeta 1. FO-GP-23 lista chequeo expedientes (Número de listas de chequeo aplicadas en expedientes /
Catastrófico
Manipular y/o alterar la documentación 2. Digitalización de cada documento producido en el proceso de 1. Verificación de la documentación
Moderado
Rara vez
Rara vez
del predio, incumpliendo gestión social Siguiendo el debido proceso, informar a la Número de expedientes del proyectos) * 100%
BAJA
contenida en los expedientes prediales por parte 3. Reprocesos. gestión predial una vez firmados los documentos por la Directora de los expedientes por parte del
así las instrucciones de C.GP.02 SI SI SI SI SI SI SI SI SI SI 2. FO-GP-16 lista chequeo para la OCD, para que inicie la apertura de la
20
5
de usuarios o personas internas o externas del de Predios. articulador garantizando la
cuidado y archivo de los entrega de carpetas adquisición predial investigación disciplinaria.
IDU, para favorecer un tercero 4. Vencimientos de términos 3. Actualización de documentos digitales por expediente y por RT completitud de la misma.
expedientes a cargo del 3. Carpeta Virtual
que cubra los cuatro componentes sociales (social, jurídico,
área social y predial
5. Demandas inmobiliario y económico), en la carpeta compartida DTDP.
4. Trasferencias documentales al archivo central.
6. Retrasos en la entrega de los predios
afectados
COMPONENTE SOCIAL
1. Mayor valor pagado por
2. Por soborno de un
100- disminuye 2
compensaciones
Según evento
MODERADA
tercero. 1. Elaboración precisa del censo socioeconómico. (No. de fichas censales verificadas y aprobadas en el
Catastrófico
Moderado
Rara vez
Rara vez
2. Verificación de la información por parte de los articuladores Siguiendo el debido proceso, informar a la período / No. de fichas censales realizadas al período) *
BAJA
cuantitativa sobre las condiciones físicas, 2. Demoras en el cumplimiento de los 1. Actas de seguimiento a la Unidad 1. Fichas Censales
3. Manipulación de la C.GP.03 tanto en campo como en la Entidad y tomar una muestra selectiva SI SI SI SI SI SI SI SI SI SI OCD, para que inicie la apertura de la 100%
20
5
económicas y sociales en el Censo Social para tiempos previstos para el reasentamiento Social
información. para validar aleatoriamente la información. investigación disciplinaria.
beneficio de un particular. integral de la población afectada.
4. Acuerdos entre el
3. Reprocesos.
servidor del IDU y la
unidad social censada.
Firmas de revisión por parte del líder del proceso y líder(es) Operativo(s):
DIRECCIÓN TÉCNICA DE PREDIOS MARIA DEL PILAR GRAJALES RESTREPO DIRECTORA TÉCNICA DE PREDIOS
SUBDIRECCIÓN GENERAL DE DESARROLLO URBANO WILLIAM ORLANDO LUZARDO TRIANA SUBDIRECTOR GENERAL DE DESARROLLO URBANO
PROBABILIDAD
PROBABILIDAD
S
ZONA RIESGO
ZONA RIESGO
CORRECTIVO
VALORACIÓN
RESPONSABLE
PREVENTIVO
Documentado
PERIODO DE
Responsable
EJECUCIÓN
INHERENTE
DETECTIVO
RESIDUAL
Automático
Frecuencia
Efectividad
CONTROL
IMPACTO
IMPACTO
ACCIONES DE RESPUESTA
Evidencia
Manual
RIESGO Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
CAUSAS CÓDIGO
Descripción
CONSECUENCIAS CONTROLES ACCIONES ASOCIADAS AL CONTROL REGISTRO
EN CASO DE (De alertas y/o riesgos)
D
MATERIALIZACIÓN E
R
I
1. Estudios y diseños
E
sobredimensionados generando S
1. Que la interventoría sobrecostos en las obras y la G
no ejerce el debido Uso indebido del necesidad de realizar O
1. Aplicar el Manual de Interventoría y/o
control y seguimiento a poder para la modificaciones contractuales
Supervisión de contratos. (Numeral 7,3,2, - 8) S
85- disminuye 2
Diseños aprobados en etapa de Construcción y/o
Según evento
requeridos en el etapa interventor en la ítems no previstos.) Interventores y por las Entidades respectivas en Etapa Nota. El Control de los productos # solicitudes a la DTP aplicando el
Moderado
Conservación" Se deberá informar a la OCD o
Rara vez
Rara vez
de ejecución de obra. elaboración y/o 2. Detrimento patrimonial. de Ejecución de Obras. de Estudios y Diseños es Procedimiento PR-DP-080 / # de
Mayor
BAJA
BAJA
3. aplicar la guía "Coordinación IDU, ESP y TIC a la Personería para que inicie
2. Que los diseños C.EO.01 ajuste de estudios 3. Que no se ejecuten la totalidad SI SI SI SI SI NO SI SI SI SI 2. Memorando dirigido a la DT de Proyectos, solicitando ejercido por la DT de Proyectos. diseños solicitudes de modificar
10
5
EN PROYECTOS DE INFRAESTRUCTURA DE el procedimiento
iniciales no se ajustan a y diseños de las metas físicas contempladas revisión a las modificaciones presentadas por el 2. Acta de competencia de pago diseños en la etapa de construcción. x
TRANSPORTE" correspondiente.
la realidad del proyecto. sobredimensionad en el proyecto. Interventor. debidamente suscritas por las 100%
4. Dar aplicación a los convenios Suscritos con
3. Solicitud de nuevas os por parte del 4. Des financiación de otros 3. Actas de competencias de pago debidamente ESP
las ESP.
obras en la etapa de constructor en la proyectos por la necesidad de suscritas por las ESP. 3. Convenios con las ESP.
5. Evitar nuevas solicitudes de obras en los
ejecución de obras por etapa de ejecución nuevos recursos.
comités con TM, ESP y otras Entidades
parte de las ESP y otras de obras. 5. Investigaciones a la Entidad por
entidades. parte de los Entes de control.
6. Aumento en el Tiempo en la
ejecución de los proyectos
85- disminuye 2
y/o contratista y/o 3. Sanciones a los contratistas e
Según evento
MODERADA
Moderado
1. Que la interventoría supervisión del interventores y Supervisores Se deberá informar a la OCD o # de Contratos en donde se verifico el
Rara vez
Rara vez
3. Aplicar la guía de pago a terceros. anticipo, por parte de la Interventoría y/o profesional de Anticipo.
BAJA
no ejerce el debido contrato, se dé mal 4. Detrimento patrimonial a la Personería para que inicie cumplimiento de los requisitos / # de
C.EO.02 4. Exigir las Pólizas de cumplimiento de los SI SI NO SI SI NO SI SI SI SI apoyo a la supervisión. 3. Contrato de Fiducia entre el
20
5
control y seguimiento a uso por parte del 5. Peculado por apropiación y/o el procedimiento contratos que se giró anticipo en el
contratos. 3. Utilización de la Fiducia para la administración, contratista y la Fiducia.
la inversión del anticipo contratista de los destinación. correspondiente. periodo x 100 %
5. Utilizar los mecanismos de Fiducia. control y manejo de los desembolsos de anticipo 4. Informes mensuales del
dineros girados 6. Retrasos en la Ejecución del
6. Aplicar lo establecido en los Contratos (valores 4. Verificación de la actualización las pólizas de manejo manejo de Anticipo.
por concepto de contrato.
y condiciones de pago y amortización del de Anticipo. 5. Poliza Aprobada de Buen
anticipo, con el fin 7. Investigaciones a la Entidad por
anticipo). manejo de anticipo.
de favorecer un parte de los Entes de control.
tercero. 8. Aumento en la carga Laboral en
diferentes dependencias del IDU
por el inicio de procesos
sancionatorios
85- disminuye 2
la elaboración de los interventor para de precios del IDU. 3. Revisión por parte del grupo de profesionales de 2. Formato Análisis de Precios
Según evento
interesadas
Moderado
análisis de precios aprobar Ítems no 3. Verificar las Cotizaciones. APUS del área. Unitarios. Se deberá informar a la OCD o # de ítems no previstos que son
Rara vez
Rara vez
4. Sanciones a los contratistas e
Mayor
BAJA
BAJA
unitarios No previstos previstos por fuera 4. verificar la aprobación de los APUS por parte 4. Informe de Motivación de cambios de la realización de 3. Formato Acta de Fijación de a la Personería para que inicie revisados o que se encuentran en
C.EO.03 interventores y supervisores SI SI SI SI SI NO SI SI SI SI
10
5
que no se encuentren en de los valores del de la interventoría. nuevos APUS. Precios No Previstos. el procedimiento revisión / # de ítems no previstos que
5. Detrimento patrimonial.
la base de Datos del mercado con el fin 5. Relalizar mesas de trabajo. 5. Firma del Especialista de costos de la interventoría de 4. Cuadro de reversión de correspondiente. llegan para revisión 100%.
6. Incremento en el valor del
IDU. de beneficiar al 6. comunicación de no objeción por parte del IDU los nuevos APUS. precios.
contrato.
2. Productos de estudios contratista y/o el de los APUS 6. Diligenciar la Lista de Chequeo para la Objeción o No 5. formato Lista de chequeo para
7. Desfinanciación de otros
y diseños deficientes o mismo interventor 7. Revisión de los Ítems No previstos del grupo de los Apu No Previstos en Contratos de Obra la Objeción o No de los Apu No
proyectos por la necesidad de
desactualizados. de APU's de la DTC Previstos en Contratos de Obra.
nuevos recursos.
8. Investigaciones a la Entidad por
parte de los Entes de control
PROBABILIDAD
PROBABILIDAD
S
ZONA RIESGO
ZONA RIESGO
CORRECTIVO
VALORACIÓN
RESPONSABLE
PREVENTIVO
Documentado
PERIODO DE
Responsable
EJECUCIÓN
INHERENTE
DETECTIVO
RESIDUAL
Automático
Frecuencia
Efectividad
CONTROL
IMPACTO
IMPACTO
ACCIONES DE RESPUESTA
Evidencia
Manual
RIESGO Y/O CONTINGENCIA FÓRMULA DEL INDICADOR
CAUSAS CÓDIGO
Descripción
CONSECUENCIAS CONTROLES ACCIONES ASOCIADAS AL CONTROL REGISTRO
EN CASO DE (De alertas y/o riesgos)
D