DEPARTAMENTO DE CUNDINAMARCA estan CCOBIERNO MUNICIPAL ALCALDIA MUNICIPAL DE ZIPAGUIRA ‘SECRETARIA PLANEACION | | ZIPAQUIRA CALIDAD DE VIDA ECRETARIA PLANEA RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE ‘SEPTIEMBRE DE 2022 i RESOLUCION ADMINISTRATIVA No. 1177 (22 de septiembre de 2022) “POR MEDIO DE LA CUAL SE ACTUALIZA LA POLITICA DE ADMINISTRACION DEL RIESGO DE LA ALCALDIA DE ZIPAQUIRA ESTABLECIDA MEDIANTE RESOLUCION No. 303 del 6 de Diciembre de 2019 Y SE DICTAN OTRAS. DISPOSICIONES” EL ALCALDE MUNICIPAL DE ZIPAQUIRA En uso de sus facultades legales y en especial las que le confiere el articulo 315 de la Constitucién Politica de Colombia, La ley 87 de 1993, el articulo 91 de la Ley 136 de 1994 modificado por el articulo 29 de la Ley 1551 de 2012, el Decreto 1083 de 2015, y CONSIDERANDO Que Colombia es un Estado social de derecho fundamentado en el respeto a la dignidad humana, en el trabajo y la solidaridad de las personas que la integran y en la prevalencia del interés general Que el articulo 2 de la Constitucion Politica Colombiana establece como fines del Estado, garantizar la efectividad de los principios, derechos y deberes consagrados en la misma; faciltar la participacién de todos los ciudadanos en las decisiones que los afectan y en la vida politica, administrativa y cultural de la Nacién; y asegurar la convivencia pacifica, entre otros. Que el articulo 209 de la Constitucién Politica, indica que la funcion administrativa esta al servicio de los intereses generales y se desarrolla con fundamento en los principios de igualdad, moralidad, eficacia, economia, celeridad, imparcialidad y publicidad, mediante la descentralizacion, la delegacion y la desconcentraci6n de funciones. Que el articulo 315 de la Constitucién Politica establece las atribuciones del Alcalde y en el numeral 1 sefiala “Cumplir y hacer cumplir la Constitucién, la ley, los decretos del gobieme, las ordenanzas, y los acuerdos del concejo. " Que el articulo 91 de la Ley 136 de 1994 modificado por el articulo 29 de la Ley 1551 de 2011 sefiala las funciones del Alcalde, dentro de las cuales en el literal D “en relacién con la Administracién Municipal’, numeral 1, establece dirigir la accién administrativa del municipio; asegurar el cumplimiento de las funciones y de la prestacién de los servicios a su cargo Que el articulo 2° de la Ley 87 de 1993 establece que es deber de los entes del estado identificar y administrar los riesgos asi: Ror ae = =" Oe | se, [koe ri Eeceareios | SeremersemereeDEPARTAMENTO DE CUNDINAMARCA 428 GOBIERNO MUNICIPAL ALCALDIA MUNICIPAL DE ZIPAQUIRA yey ® * Senerana Lanesion (| ZiIPAQUIRA eo CALIDAD DE VIDA RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE SEPTIEMBRE DE 2022 )"a) Proteger los recursos de la organizacién buscando su adecuada administracion ante posibles riesgos que los afecten (...) f) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las. desviaciones que se presenten en la organizaci6n y que puedan afectar el logro de sus objetivos’ (...) Que el Decreto 1083 DE 2015, por medio del cual se expide el Decreto Unico Reglamentario del Sector de Funcién Publica en cuanto a elementos técnicos y administrativos que fortalezcan el Sistema de Control Interno de las entidades y organismos del Estado en el articulo 2.2.21.1.6 Funciones del Comité Institucional de Coordinacién de Control interno en su literal g) establece someter a aprobacién del representante legal la politica de administracién del riesgo y hacer seguimiento, en especial a la prevencién y deteccién de fraude y mala conducta. Igualmente, del mismo Decreto en el articulo 2.2.21.5.4 Administracion de riesgos: Como parte integral del fortalecimiento de los sistemas de control interno en las entidades publicas las autoridades correspondientes estableceran y aplicaran politicas de administracién del riesgo. Para tal efecto, la identificacién y andlisis del riesgo debe ser un proceso permanente e interactivo entre la administracion y las oficinas de control interno 0 quien haga sus veces, evaluando los aspecto tanto intemnos como externos que pueden llegar a representar amenaza para la consecucién de los objetivos organizaciones, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las Areas 0 procesos y las oficinas de control interno e integradas de manera inherente a los procedimientos. Que la norma Técnica NTC ISO 9001:2015 y 31000:2018 indica el enfoque bajo el pensamiento basado en riesgos como accién preventiva Que en Comité de Coordinacién de Control Interno del dia 18 de Agosto de 2022 se puso en consideracién la actualizacién de la Politica de Administracion del Riesgo, la cual fue aprobada por sus integrantes. Que en mérito de lo expuesto, el Alcalde de Zipaquira, RESUELVE ARTICULO PRIMERO: Actualicese la Politica de Administracion de Riesgos de la Alcaldia Municipal de Zipaquira, la cual quedara asi en cuanto a los aspectos generales que la conforman: LINEAMIENTOS GENERALES DE LA POLITICA La Alcaldia Municipal de Zipaquird a través de la Alta Direccién, el Comité institucional de Gestion y Desempefio, el Comité Institucional de Coordinacién de Control Interno, mat [Seey) [eg pe [Berar nis [eeremaareDEPARTAMENTO DE CUNDINAMARCA GOBIERNO MUNICIPAL ALCALDIA MUNICIPAL DE ZIPAQUIRA 2etterunrusnexcon | ZiPAQUIRA CALIDAD DE VIDA RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE SEPTIEMBRE DE 2022 los servidores piblicos, contratistas y demés colaboradores, comprometidos con la administracién de riesgos de gestion, seguridad digital, corrupcién, entre otros, actualiza la Politica de Administracion de Riesgos con el fin de generar confianza institucional a través del establecimiento de estrategias que direccionen la toma de decisiones y el disefio de acciones que permitan la deteccién, el andlisis, la prevencién, la minimizacién y el control de los riesgos para garantizar el cumplimiento de la mision, visién y objetivos institucionales, estableciendo controles y acciones para prevenir su cocurrencia o mitigar el impacto en el caso en que se materialicen. Este documento ha sido estructurado de acuerdo a los lineamientos emitidos por el Departamento Administrative de la Funcién Publica (DAFP) a través del Modelo Integrado de Planeacién y Gestion (MIPG) en las dimensiones de: Direccionamiento Estratégico y Planeacién (donde se genera la Politica de Administracion del Riesgo), en la Dimension de Gestion con Valores para Resultados (modelo de operacién por procesos y el uso de Tics para la mejora de procesos) y en la Dimension de Control Interno (esquema de las lineas de defensa) y demas normatividad técnica y legal vigente que le sea aplicable, y mas especificamente en la Guia para la administracion del riesgo y el disefio de controles en Entidades Publicas Versién'5 del DAFP, 2020. Esta politica es el instrumento para la identificacion, seguimiento y evaluacién de los riesgos que se puedan presentar en todos los procesos, proyectos y productos y las acciones realizadas por los funcionarios como servidores piiblicos en el ejercicio de sus funciones. Para todos los efectos legales derivados de la aplicacién del presente documento, se entendera por Politica de Administracion de Riesgos al grupo de elementos y herramientas técnicas que al aplicarse permiten a la Alcaldia de Zipaquira identificar, analizar, evaluar, contrarrestar y controlar efectivamente aquellos eventos 0 situaciones negativas (riesgos) tanto internos como externos, que puedan impedir 0 entorpecer directa 0 indirecta en el logro 0 desartollo de los fines u objetivos de la Administracién Municipal. La Politica de Administracién de Riesgos de la Alcaldia de Zipaquiré debe ser de conocimiento general para todos los funcionarios, contratistas y demas colaboradores, y deberd ser aplicada por ellos, ya que este documento contiene los lineamientos técnicos para la gestién del riesgo en la biisqueda de toma de conciencia en la identificacion y tratamiento de los riesgos que afecten econémicamente o reputacionalmente a la entidad. OBJETIVOS DE LA POLITICA + Establecer e implementar estrategias que permitan la identificacién, prevencién, mitigacién y control de los riesgos y las acciones correctivas a ejecutarse en caso de su materializacién. + Generar la cultura de pensamiento basado en riesgos en cada uno de los funcionarios, contratistas y demas personal de apoyo a la administracién Daarcs — asa aesDEPARTAMENTO DE CUNDINAMARCA ag | GOBIERNO MUNICIPAL ALCALDIA MUNICIPAL DE ZIPAQUIRA ry ZiPAQUIRA SECRETARIA PLANEACION Day” | RESOLUCION ADMINISTRATIVA No. 1177 DEL 22 DE = Pee vn ‘SEPTIEMBRE DE 2022 Sea Maes + Cumplir con los requisitos legales y reglamentarios pertinentes que conlleven a proteger los recursos publicos y mitigar el dafio reputacional de la Administracién Municipal. + Establecer informacién detallada y confiable para la toma de decisiones y la planificacién que asegure el logro de los objetivos estratégicos enmarcados en el Plan de Desarrollo y las politicas de la Alcaldia de Zipaquira y asi garantizar su continuidad + Asignar y usar eficazmente los recursos humanos, fisicos, tecnolégicos y financieros para el tratamiento de los riesgos identificados, ALCANCE La Politica de Administracién de Riesgos de la Alcaldia de Zipaquiré es aplicable a todos los procesos, procedimientos, planes, programas, proyectos y productos de la entidad y a todas las acciones realizadas por los servidores publicos, contratistas y demas colaboradores de la Alcaldia Municipal de Zipaquiré en el ejercicio de sus funciones bajo la responsabilidad de cada uno de lideres de proceso y las lineas de defensa. Contara con la asesoria de la Secretaria de Planeacién y su seguimiento y evaluacién lo realizara la Oficina de Control Interno. TERMINOS Y DEFINICIONES Activo: En el contexto de seguridad digital son elementos tales como aplicaciones de la organizaci6n, servicios web, redes, Hardware, informacién fisica o digital, recurso humano, entre otros, que utiliza la organizacién para funcionar en el entorno digital. (DAFP, 2020) Amenazas: Situacién potencial de un incidente no deseado, el cual puede ocasionar dafio a un Sistema o a la organizacién. (ISO 27001:2013).. Amenaza Cibernética: Aparicién de una situacién potencial o actual donde un agente tiene la capacidad de generar una agresién cibernética contra la poblacién, el territorio y la organizacién politica del Estado. (CONPES 3854) Analisis del Riesgo: Proceso sistematico para comprender la naturaleza del riesgo y determinar El nivel de riesgo. (NTC ISO 31000:2011). Apetito de Riesgo: Es el nivel de riesgo que la entidad puede aceptar, relacionado con sus objetivos, el marco legal y las disposiciones de la Alta Direccién y del Organo de Gobiemo. El apetito de riesgo puede ser diferente para los distintos tipos de riesgos que la entidad debe o desea gestionar. (DAFP, 2020), Capacidad de riesgo: Es el maximo valor del nivel de riesgo que una Entidad puede soportar y a partir del cual se considera por la Alta Direccion y el Organo de Gobierno que no seria posible el logro de los objetivos de la Entidad. (DAFP, 2020). Causa: Todos aquellos factores internos y externos que solos o en combinacién con otros, pueden producir la materializacion de un riesgo, (DAFP, 2020). Causa Inmediata: Circunstancias bajo las cuales se presenta el riesgo, pero no constituyen la causa principal o base para que se presente el riesgo. (DAFP, 2020). Causa Raiz: Causa principal o basica, corresponde a las razones por la cuales se puede presentar el riesgo, (DAFP, 2020), Tapes Fev i Sean inet ecauta oc oet Shae Foca Ge RESO SteDEPARTAMENTO DE CUNDINAMARCA | GOBIERNO MUNICIPAL ALCALDIA MUNICIPAL DE ZIPAQUIR a i i SEOMETARIAPLANEACION [| ZiPAQUIRA CALIDAD DE VIDA urate RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE SEPTIEMBRE DE 2022 art Comité de Gestion y Desempefio Institucional - CGDI: Es el encargado de orientar la implementacién y operacién de! Modelo Integrado de Planeacién y Gestién - MIPG, el cual sustituird los demas comités que tengan relacién con el Modelo y que no sean obligatorios por mandato legal. Debe incluir todos los temas que atiendan la implementacién y desarrollo de las politicas de gestion definidas en MIPG. Comité institucional de Coordinacién de Control Interno - CICCI: es un érgano de asesoria y decisién en los asuntos de control interno de la Alcaldia de Zipaquira. Su principal objetivo es orientar, asesorar, impulsar y poner en marcha estrategias para la debida implantacién y el mejoramiento continuo del Sistema de Control interno. Consecuencia: Los efectos 0 situaciones resultantes de la materializacion del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demas partes interesadas. (DAFP, 2020). Confidencialidad: Propiedad de la informacién que la hace no disponible, es decir divulgada a Individuos, entidades 0 procesos no autorizados. (DAFP, 2020). Control: Medida que modifica al riesgo (procesos, politicas, dispositivos, practicas u otras acciones). (DAFP, 2020). Disponibilidad: Propiedad. de ser accesible y utiizable a demanda por la entidad. (DAFP, 2020). Eventos potenciales: Hacen referencia a la posibilidad de incurrir en pérdidas por deficiencias, fallas 0 inadecuaciones, en el recurso humano, los procesos, la tecnologia, la infraestructura 0 por la ocurrencia de acontecimientos externos. (DAFP, 2020). Factores de Riesgo: Son las fuentes generadoras de riesgos. (DAFP, 2020). Gestién del riesgo: un proceso efectuado por la Alta Direccién de la entidad y por todo el personal para proporcionar a la administracién un-aseguramiento razonable con respecto al logro de los objetivos. (INTOSAI, 2001). Integridad: Propiedad de exactitud y completitud. (DAFP, 2020) Impacto: Se entienden como las consecuencias que se pueden ocasionar a la organizacién por la materializacién del riesgo. (DAFP, 2020). Lineas de Defensa: Esquema de asignacién de responsabilidades, adaptada del Modelo de las 3 Lineas de Defensa” del Instituto de Auditores, el cual proporciona una manera simple y efectiva para mejorar las comunicaciones en la gestion de riesgos y control mediante la aclaracién de las funciones y deberes esenciales relacionados. (DAP, 2021). Linea estratégica: Define el marco general para la gestién del riesgo y el control y supervisa su cumplimiento, estd 2 cargo de la Alta Direccién, el equipo directivo, incluyendo el Comité institucional de Gestién y Desempefio y el Comité de Coordinacién de Control Inte. (DAFP, 2021). Mapa de riesgos: documento con la informacién resultante de la gestién del riesgo. Modelo Integrado de Planeacién y Gestién - MIPG: es un marco de referencia para dirigir, planear, ejecutar, hacer seguimiento, evaluar y controlar la gestion de las entidades y de los organismos puiblicos, con el fin de generar resultados que atiendan los planes de desarrollo y resuelvan las necesidades y problemas de los ciudadanos, con integridad y calidad en el servicio. Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dafiino y la magnitud del impacto que este Ep Seo pera: peorDEPARTAMENTO DE CUNDINAMARCA. : ALCALDIA MUNICIPAL DE ZIPAQUIRA | re SECRETARIA PLANEACION GOBIERNO MUNICIPAL ZiPAQUiIRA CALIDAD DE VIDA Sea ae ON) RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE SEPTIEMBRE DE 2022 evento traeria sobre la capacidad institucional de alcanzar los objetivos. En general la formula del Nivel del Riesgo poder ser Probabilidad * Impacto, sin embargo, pueden relacionarse las variables a través de otras maneras diferentes a la multiplicacién, por ejemplo, mediante una matriz de Probabilidad — Impacto. (DAFP, 2020), Plan Anticorrupcién y de Atencién al Giudadano: Plan que contempla la estrategia de lucha contra la corrupcién que debe ser implementada por todas las entidades del orden nacional, departamental y municipal. (DAFP, 2020) Primera Linea de Defensa: a cargo de gestionar los riesgos que pueden afectar el cumplimiento de los objetivos institucionales y de sus procesos, incluyendo los riesgos de corrupcién, a través de la identificacion, analisis, evaluacién, tratamiento y monitoreo de los riesgos, esta a cargo de los gerentes publicos y los lideres de procesos. (DAFP, 2020). Probabilidad: Se entiende la posibilidad de ocurrencia del riesgo. Estaré asociada a la exposicién al riesgo del proceso o actividad que se esté analizando. (DAFP, 2020). Probabilidad Inherente: sera el numero de veces que se pasa por el punto de riesgo en el periodo de 1 afio. (DAFP, 2020) Riesgo: Efecto que se causa sobre los objetivos de las entidades, debido a eventos potenciales. (DAFP, 2020) Riesgo de Corrupcién: Posibilidad de que, por accién u omisi6n, se use el poder para desviar la gestién de lo puiblico hacia un beneficio privado. (DAFP, 2020). “Esto implica que las practicas corruptas son realizadas por actores publicos y/o privados con poder e incidencia en la toma de decisiones y la administracién de los bienes puiblicos” (CONPES N° 167 de 2013). Riesgo de Seguridad de la Informacién: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o dafio en un activo de informaci6n, Suele considerarse como una combinacién de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000). Riesgo Inherente: Nivel de riesgo propio de la actividad. El resultado de combinar la probabilidad con el impacto, nos permite determinar el nivel del riesgo inherente, dentro de unas escalas de severidad. (DAFP, 2020). Riesgo Residual: El resultado de aplicar la efectividad de los controles al riesgo inherente. (DAFP, 2020). Segunda linea de defensa: asiste y guia a la linea estratégica y a la primera linea de defensa en la gestién adecuada de los riesgos que pueden afectar el cumplimiento de los objetivos institucionales y de sus procesos, incluyendo los riesgos de corrupcion, a través del establecimiento de directrices y apoyo en el proceso de identificar, analizar, evaluar y tratar los riesgos, y realiza un monitoreo independiente al cumplimiento de las etapas de la gestion de riesgos. Esta conformada por los responsables de monitoreo y evaluacién de controles y gestion del riesgo (jefes de planeacién, supervisores ¢ interventores de contratos 0 proyectos, responsables de sistemas de gestion, etc.). (DAFP, 2020) Tercera linea de defensa: provee aseguramiento (evaluacién) independiente y objetivo sobre la efectividad del sistema de gestion de riesgos, validando que la linea estratégica, la primera linea y la segunda linea de defensa cumplan con sus responsabilidades en la gestién de riesgos para el logro en el cumplimiento de los objetivos institucionales y de proceso, asi como los riesgos de corrupcion, Esta conformada por la Oficina de Control Interno o Auditoria Interna. (DAFP, 2020). apaDEPARTAMENTO DE CUNDINAMARCA ALCALDIA MUNICIPAL DE ZIPAQUIRA ‘SECRETARIA PLANEACION |ZIPAQUIRA CALIDAD DE VIDA RESOLUCION ADMINISTRATIVA No. 1177 DEL 22 DE SEPTIEMBRE DE 2022 erase at Tolerancia al riesgo: Es el valor de la maxima desviacion admisible del nivel de riesgo con respecto al valor del Apetito de riesgo determinado por la entidad. (DAFP, 2020). Tratamiento al riesgo: es la respuesta establecida por la primera linea de defensa para la mitigacin de los diferentes riesgos, incluyendo los riesgos de corrupcién. (DAP, 2020). Vulnerabilidad: Representan la debilidad de un activo 0 de un control que puede ser explotada por una 0 mas amenazas. (DAFP, 2020). METODOLOGIA La Alcaldia de Zipaquira revisa y actualiza la Politica de Administracion de Riesgos, basada en la nueva metodologia definida por el Departamento Administrative de la Funcién Publica (DAFP) en la “Guia para la administracion del riesgo y el disefio de controles en entidades publicas’, con los siguientes criterios: 1. Calificacién de probabilidad e impacto. 2. Explicacién al nivel de aceptacién. 3. Responsabilidades frente a la gestion y materializacién del riesgo. El adecuado manejo de la administracién de tiesgos estaré-a cargo de los lideres de cada una de las Secretarias y procesos orientados a eliminar o mitigar los riesgos y sera su responsabilidad la identificacién, manejo, tratamiento y seguimiento. De acuerdo con la “Guia para la administracién del riesgo" es necesario un andlisis inicial de la entidad (Misién, Visién, Objetivos Estratégicos y Planeacién Institucional) y que se revise que en la entidad se haya implementado un modelo de operacién por procesos (caracterizaciones y objetivos de los procesos, planes, programas y proyectos asociados), elementos con los que cuenta la Alcaldia de Zipaquira quien por varios afios ha estado certificada en la Norma ISO 9001:2016. Adicionalmente, se debe llevar a cabo una revision de la estructura de riesgos y su gestién, con la que cuenta la Alcaldia; al llevarla a cabo se ha encontrado que debe ser actualizada de acuerdo a los nuevos lineamientos emitidos por el Departamento Administrativo de la Funcién Publica en el afio 2020. En el documento de Politica de Administracién de Riesgos de la Alcaldia de Zipaquiré se encuentran’los elementos para la identificacién, valoracién y tratamiento de los Riesgos de Gestién. En un segundo aparte se encontrara la informacion pertinente para los Riesgos de Corrupcién y finalmente, los Riegos de Seguridad Digital. RESPONSABILIDADES Analizados, identificados y valorados los riesgos, y para asegurar el logro de los objetivos estratégicos que se ha trazado la Administracién Municipal, se desarrollan las actividades definidas en las lineas de defensa, acuerdo a lo establecido en la Guia de Administracion del Riesgo (DAFP, 2020). A continuacién, se presenta la asignacién de roles y responsabilidades de todos los. actores del riesgo y control, alineando el monitoreo y seguimiento con la Oficina de Tec leesznosowaungin | Steamers weroawrcaaerEso Seceay Prets oo Oe ton POUCA be RESSOS meDEPARTAMENTO DE CUNDINAMARCA ALCALDIA MUNICIPAL DE ZIPAQUIRA SECRETARIA PLANEACION RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE SEPTIEMBRE DE 2022 GOBIERNO MUNICIPAL ZiPAQUIRA CALIDAD DE VIDA Control Interno por medio del desarrollo de! Modelo Interno de Control-MECI-, siendo esta, la séptima dimension contemplada en MIPG. Comité de Gestidn y Desempefio Institucional Comité institucional de Coordinacién de LINEA ESTRATEGICA ‘Asegurar la implementacién y desarrollo de las politicas de gestidn y directrices en materia de seguridad digital y de la informacién. Definir el marco general para la gestion del riesgo, la gestién de la continuidad del negocio ye contro. Recomendaciones de mejoras a la politica de operacién para la administracién del tieseo. Aprobar la Politica de Administracién del Riesgo y asegurarse de su permeabilizacin en todos los niveles de la organizacién publica, de tal forma que se conozcan claramente los nveles de responsabilidad y autridad que posee cada una de ls tres lineas de defense frente ala gestin de riesgo. Hacer seguimiento para su posible actualizacién y evaluar su eficacia frente a la gestion del riesgo institucional. Se deberd hacer especial énfasis en la prevencién y deteccién de fraude y mala conducta. Revisar la Politica de Administracién de! Riesgo por lo menos una vez al afio para su actualizacién y validar su eficacia a Ja gestién del riesgo institucional. Se debera hacer especial énfasisen la prevencién y deteccién de fraude y mala conducta. beeistdiiaid ‘Aprobat el marco general para la gestion del riesgo, la gestén de la continuidad det negocio ye contra. + Analzat ios riesgos, winerabildades, amenazas y escenaros de pérdide de continuidad de negocio institucional Que pongan en peligro el cumplimiento de os obletives estratécicos, planes institucionales, metas, compromisos de la entidad y capacidades para prestar servicios. ‘+ Garantizar el cumplimiento de los planes dela entdad = sy oeDEPARTAMENTO DE CUNDINAMARCA GORERNO MUNICIPAL ALCALDIA MUNICIPAL DE ZIPAQUIRA et . is ‘SECRETARIA PLANEACION - Pes ERS RESOLUCION ADMINISTRATIVA No, 177 DEL 22 DE zt ERDAS DENVER SEPTIEMBRE DE 2022 Ear PRIMERA LINEA ‘+ Asegurar que al interior de su grupe de trabajo se reconozca y apropie el concepto de “administracién de riesgo”, la politica, metodologia y marco de referencia aprobado por la linea estratégica. + Identificar, valorar, evaluar y actualizar cuando se requiera, los riesgos que pueden afecter los obletivos. programas, proyectos y planes asociados a su proceso y realizar seguimiento al mapa de riesgo del proceso a cargo. Ejecutar el control de la forma como esté disefiado. Definir, adoptar, aplicar y hacer seguimiento @ los controles para mitigar los lesgos identificados y proponer mejoras para su gestion. + Revisar ef adecuado disefo y ejecucién de los controles establecidos pars Is mitigacién de los riesgos y que su documentacién se evidencie en los procesos procedimientos de los process. programas y * Desarrollar ejercicios de autocontrol para establecer la eficiencia, eficacia y proyectosde — efectividad de los controles seleccionados para el tratamiento de los rieszos Identificados. leentidad , Reportar los avances y evidencias de Ia gestién de los riesgos dentro de los plazos establecidos. + Realizarla medicién y andlisis @ le gestién efectiva de los rieszos. Servidoresy * Proponer mejoras 2 los controles existentes. + Supervisar la ejecucién de los controles aplicados por el equipo de trabajo en enGeneral 2 gestién del cia a dia, detectar las deficiencias de los controles y determinar las acciones de mejora @ que haya lugar. ¢ Informar a la Secretaria de Planeacién (segunda linea) sobre los riesgos materializades en los objetives, programas, proyectos y planes de los procesos a cargoy aplicar las acciones correctivas 0 de mejora necesarias. ‘= Revisar las acciones y planes de mejoramiento establecidos para cada uno de los riesgos materializados, con el fin de que se tomen medidas oportunas y eficaces. + En caso de le materializacién de un riesgo no identificado, este debe ser gestionado con el profesional responsable de riesgos de gestién de [2 Secretaria de Planeaciény ser incluido en el Mapa de Riesgo Institucionel. * Delegar ef (los) profesionales que se. encargarén de la identificacién, monitoreo, reporte y socializacisn de los riesgos. + Informar a la Secretaria de Planeacién los cambios de responsables de reporte en caso de trasiados, cambios o retiros, + Verificar las acciones preventivas y registrar el avance junto con la evidencia de acuerdo con la periodicidad definida. = Monitorear los riesgos identificados y controles definides por la primera lines de defensa acorde con Ia estructura de los procesos y procedimientos a su. cargo. = Orientar a la primera linea de defensa para que identifique, valore, evalde y ‘gestione los riesgos y escenarios de pérdida de continuidad Ge negocio en los temas de cu competencia. proceso * Analizar los resultados del seguimiento y establecer acciones inmediatas ante cualquier desviacién ‘+ Supervisar I implementacién de las acciones de mejora o Ia adopcién de buenas précticas de gestién del riesgo asociado 9 su responsabilided, ‘+ Evaluar con el equipo de trabajo la responsabilidad y resultados de la gestion del riesgo, asi como las desviaciones segtin el nivel de aceptacién del riesgo al interior de su dependencia y las acciones a segul ‘+ Comunicar al equipo de trabajo los resultados de la gestidn del rieszo. © Asegurar que se documenten las acciones de correccién o prevencién en el plan de mejoramiento. = Revisar y actualizar el mapa de riesgos con el acompafiamiento de la Secretaria de Planeacién. Lideres de Berne | AstnaPeinag)| tm taco Mena Low zante angen | Stenson xwsbomlnsorese sch, | pacar ciseaeh Sarees Seve,DEPARTAMENTO DE CUNDINAMARCA (GOBIERNO MUNICIPAL ALCALDIA MUNICIPAL DE ZIPAQUIRA 9 RA Sebnerana Lanbscion | | ZiPAQUI RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE SEPTIEMBRE DE 2022 Secretaria de Planeacién. Delegados de riesgos en cada proceso Grupo SIG <2 CALIDAD DE VIDA SEGUNDA LINEA ineaestratégicg en el ands dl context interno y externa a definicién de lap riesgo, el establecimiento de los niveles de impacto y el nivel de aceptaién de riesgo residual, dentificar cambios en e apetito del riesgo en la entidad, especialmente en aquellos resgos ubicados en zone baja y presentarlos para su aprobacién del Comité institucional de Coordinacién de Control Intern. Capacitar al grupo de trabajo de cada dependencia en la para la gestién del riesgo Revisar el adecuado cisefo de los controls paral mitigacin dels riesgos que se han estableido por parte de laprimera linea de defensa y realizar las recomendacionesy seguimiento para el fortalecimiento de estos Verficar que las aciones de control se dsefien conforme a os requerimientos de la metodologta Asesorar a tea de Reviser el perfil de riesgo inherente y residual por cada proceso y pronuncarse sobre cualquer riesgo ‘que este por fuera del perfil de resgo residual aceptado por la entidad Hacer seguimienta al plan de accién estableido para la migacién de los rlesgos de los procesos registrados, Revisar que el cargue de informacién en el SG esté acorde con lo aprobado por el lider del proceso, Consolidarel mapa de resgosInsituconal, iesgos de mayor critcldad frente al agro de los objetivos y presentario para anlisis seguimiento ante ol Comite de Gestion y Desempe Intitucionel, Presentar al Comité Institucianal de Coordinacién de Control Interno, el resultado de la medicién del nivel de eficacia de los controles para el tratamiento de los rlesgos identifcados en los procesos 0 proyectos. Acompafar, orientar y entrenar a los liderss de procesos en la ldentifcaclén, andlss, valoracién y evaluacin del rlesg, * Coordinar con lo lideres de proceso el responsable del reporte de seguimiento a los resges,controles y planes de accién. Informar ala primera linea de defensa la importanca de socialzar os resgos aprobados al interior de su proceso. Comunicar als lideres de proceso través de los delegados los resultados dela gestlén del riesgo. Consolidar el mapa de riesgos institucional a partir de la Informacién reportada por cada uno de los procesos (mapa de riesgo del proceso). Socilizary publicar el mapa de riesges institucional Particpar en los ejerccios de autoevaluacién de la eficiencia, eficacia y efectividad de los controles selecionados para el tratamiento de los resgos lentficados, Revisar las accionesy planes de mejoramiento establocides para cada uno de ls riesgos materalizados, con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible que se vuelvan @ imaterializa y logar el cumplimiento a los cbjetvos Informer 2 la primera linea de defensa correspondiente (lider del proceso) la meterializacin de un riesgo no identficado, el cval debe ser includo en el mapa de riesgo Instituciona. Supervsar en coordinacién con los demés responsables de esta segunda linea de defensa, que la primera linea identiique, analice,valore, evalie y realice el tratamiento de los resgos, que se adopten los controles para la mitigscién de los riesgos Identificds y se apliquen las actiones pertinentes para ‘educirla probabildad o impacto de los resgos, Monitoreer les controles establecidos por la primera linea de defensa acorde con la informacién suministrada por ls lderes de procesos Evaluar que la gestin de los riesgos este acorde con la presente politica de la entided y que sean gestionados por la primera linea de defensa, dentificar cambios en el apetito del riesgo ena entidad, especialmente en aquellos riesgosubicados en 20na baa y presentarlos en el Comité institucional de Coordinecién de Contrl Intern. Sintratgehsye | siciomscrese ual | inerrant,DEPARTAMENTO DE CUNDINAMARCA GOBIERNO MUNICIPAL SLEALDIs Miia bs ZPAOUIRA 4 -ZiPAQUIRA SECRETARIA PLANEACION RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE SEPTIEMBRE DE 2022 Secretaria General Grupo Talento Humano Secretaria de Hai Servicio al Ciudadano Gestion Documental Oficina de Tecnologia y Comunicaciones nda Defensa Juridica Oficina de Control Interno + Acompafiar a los Iideres de procesos en la identificacién, anéli | CALIDAD DE VIDA CNW a Cole) SEGUNDA LINEA is, valoracién, ‘evaluacién del riesgo, le definicién de controles en los temas a su cargo y bajo su responsabilidad. Monitorear los riesgos identificados y controles definidos por la primera linea de defense acorde con la estructura de los temas a su cargo. Sugerir las acciones de mejora @ que haya lugar posterior al anéliss, valoracién, evaluacién o tratamiento del riesgo. Supervisar la implementacién de las acciones de mejora o Ia adopcién de buenas précticas de gestién del riesgo asociado a su responsabilidad. © Participar en las pruebas del plan de continuidad del negocio y en la implementacién, Comunicar al equipo de trabajo a su cargo la responsabili gestién del riesgo. Participar en los ejercicios de autoevaluacién de la eficiencia, eficacia y efectividad de los controles seleccionados pere el tratamiento de los riesgos identificados. El Grupo de Asuntos juridicos y Defensa Judicial tendré el compromiso de identificar, analizar, valorar y evaluar los riesgos y controles asociados a su jgestién con enfoque en la prevencién dei dafio antijuridico. fad y resultados de la TERCERA LINEA Revisar los cambios en el “Direccionamiento estratégico” o en el entorno y cémo estos pueden generar nuevos riesgos modificar los, que ye se tienen identificados en cada uno de los procesos, con el fin de que se identifiquen y actualicen las matrices de riesgos por parte de los responsables. Proporcionar aseguramiento objetivo sobre la eficacia de la gestién del riesgo y control, con énfasis en el disefio e idoneidad de los controles establecidos en los procesos. Proporcionar aseguramiento objetivo en las éreas identificadas no cublertas por la segunda linea de defensa. Asesorar a la primera linea de defensa de forma coordinada con le Oficina de Planeacién, en la identificacién de los riesgos y disefio de controles. Llevar a cabo el seguimiento a los riesgos consolidados en los mapas de riesgos y plan de continuidad de conformidad con el Plan Anual de Auditoria y reporter los resultados al Comité institucional de Coordinacién de Control Interno. Realizar seguimiento a la implementacién de mejoras sobre los mapas de riegos institucionales. Recomendar mejoras a la politica de operacién para Ia administracin del riesgo. a EtuseuestonyyaeourieseReSO, Een LESS SE Ree ace |DEPARTAMENTO DE CUNDINAMARCA COBIERNO MUNICIPAL AALCALDIA MUNICIPAL DE ZIPAQUIRA x a SECRETARIA PLANEACION i 1 RESOLUCION ADMINISTRATIVA No. 1177 DEL 22 DE ciLio%o DE MDA SEPTIEMBRE DE 2022 MONITOREO y REVISION En cumplimiento de lo consignado en el Modelo integrado de Planeacién y Gestion y con el objetivo de implementar un monitoreo efectivo para la adecuada administracion de los riesgos en la Alcaldia de Zipaquira, corresponde a los lideres de los procesos. en conjunto con sus equipos el monitorear y revisar periédicamente su mapa de Tiesgos y si es del caso ajustarlos. Seguin el resultado de la administracion del riesgo, el lider del proceso solicita ajuste a los riesgos o controles y elabora acciones de mejoramiento 0 correctivas en el Plan de Mejoramiento Institucional. Los riesgos asociados al logro de los objetivos institucionales, se identifican y/o validan en cada vigencia por los lideres del proceso con sus respectivos equipos de Trabajo con el acompariamiento de la secretaria de Planeacién a través de la metodologia propia de la Funcién publica. La Segunda Linea realizaré monitoreo de todos los riesgos identificados en los rentes procesos de la Alcaldia, a través de los informes e informacién que los lideres de procesos remitan, La Secretaria de Planeacién deberd solicitar semestralmente a las diferentes dependencias las observaciones, cambios, actualizacién y el seguimiento necesario para mejorar la aplicacion de la politica, asi como su efectiva capacidad de mitigacion de riesgo. De igual forma, consolidard la informacién para la toma de decisiones por la Alta Direccién y dar respuesta a las alarmas que emita la Oficina de Control interno. La Secretaria de Planeacion debera mantener actualizadas las matrices de riesgos y permanecer en constante dialogo con los delegados de riesgos y de calidad para hacerle seguimiento a los riesgos identificados y/o materializados, garantizando que los controles sean los adecuados, que sean divulgados y socializados a todos los servidores, contratistas y demas colaboradores de /a Alcaldia Municipal De ahi el rol principal de la secretaria de Planeacién seguin la Guia de la funcién publica es monitorear la gestion del riesgo y control ejecutada por la primera linea de defensa, complementando su trabajo. Seguin el resultado de la administracion del riesgo, puede ser posible que se tenga que elaborar acciones de mejoramiento o correctivas en un Plan de Mejoramiento Institucional. Publicacién de las Matrices de Riesgo Institucionales Depa — ER ApeDEPARTAMENTO DE CUNDINAMARCA co@inNo MUNICIPAL ALCALDIA MUNICIPAL DE ZIPAQUIRA Zi PAQUiRA SECRETARIA PLANEACION I t A CALIDAD DE VIDA RESOLUCION ADMINISTRATIVA No, 1177 DEL 22 DE ‘SEPTIEMBRE DE 2022, Se recomienda establecer una mesa de trabajo con el profesional designado para la gestion de los riesgos, por parte de la Secretaria de Planeacién, y asi proceder con el levantamiento del riesgo y sus componentes, Una vez sea desarrollado lo indicado en la presente politica, los riesgos deberan ser formalizados y aprobados por el lider de proceso. Una vez la documentacién cumpla con las condiciones metodologicas para ser incluidas en las matrices oficiales, el profesional de Planeacién llevara a cabo su actualizacién. Seguimiento A La Matriz De Riesgos Por Procesos institucional Es responsabilidad de la Segunda Linea de Defensa realizar el monitoreo a la Matriz de Riesgos por Procesos de manera semestral, una vez vencido este se deberd presentar un informe de gestion al Representante de la Alta Direccién del Sistema de Gestién de Calidad, al Jefe de la Secretaria de Planeacién y al Jefe de la Oficina de Control interno (responsable de la Tercera Linea de Defensa), informes que luego seran presentados a los Comités de Gestién y Desempefio y de Coordinacién de Control Interno. ‘ACTIVIDAD RESPONSABLE Revisién de la implementacién de los controles y los eventos de riesgo del proceso Consolidacién de soportes documentales de la implementacién de los controles Revisién de los soportes documentales de la. Encargado de la gestién de riesgos de implementacién de los controles la Oficina de Planeacién, 6 del informe de seguimients ala matriz Encargado de la gestién de riesgos de de riesgos por proceso la Oficina de Planeacién. Oficina de Control interno Grupo de Sistemas Integrados de Gestién (ISO 9001:2015). En este reporte de seguimiento se debe analizar si los soportes documentales de la ejecucién de los controles reportados por el lider del proceso efectivamente se ejecutaron con el objetivo de mitigar los riesgos en cada uno de los procesos. Lider det proceso Delegado de calidad del proceso Auditorfas Internas de acuerdo con el Plan anual de auditorfas Evaluacién De Las Matrices De Riesgo Es responsabilidad de la Tercera Linea de Defensa la evaluacién de las matrices de riesgo, verificando que la informacién que reposa en estos dos documentos cumpla con los lineamientos expresados en esta politica. En caso de encontrar desviaciones entre dicha informacién y el deber ser, se podran generar acciones de mejora, las cuales seguiran los lineamientos de ejecucién dictados por la Oficina de Control Interno. Adicionalmente, otra de las responsabilidades de la Tercera Linea de Defensa es la de verificar el reporte de seguimiento realizado por la Segunda Linea de Defensa, con el objetivo de identificar si el numero de eventos de riesgos materializados y oportunidades reportados por los lideres de proceso concuerda con lo encontrado en los soportes documentales; con base en esta estimacién se puede emitir una paces — Tea TE eas eoeate savor ny Becton zest eaeoerartveyto oe cunananancg due,| __coxemonncon ALGALDIANUMPAL De aPAaUIRG ep x; : Seenerana rusnencton 2 | ZIPAQUIRA CALIDAD DE VIDA ‘SECRETARIA PLANEACION RESOLUCION ADMINISTRATIVA No. 177 DEL 22 DE SEPTIEMBRE DE 2022 sugerencia al proceso correspondiente para que el control o actividad de oportunidad sea modificada con el objetivo de mejorar su efectividad. Los cortes para el seguimiento al Mapa de Riesgos por Proceso sera semestral, tal como se muestra a continuacién: FECHA DE CORTE ENTREGA DEL INFORME Primer corte: 30 de Junio _Cuarta semana de Julio Segundo corte: 31 de Cuarta semana de Enero diciembre REPORTE DE LA GESTION DEL RIESGO La Politica de Administracién de Riesgos se debe consolidar de manera general en un Mapa de Riesgos Institucional que contenga a nivel estratégico todos los riesgos a los cuales esta expuesta la Administracién Municipal. Asi mismo, debe consolidar de manera “especifica’ un mapa de riesgos por cada proceso que contenga los diferentes tipos de riesgos a los cuales estan expuestos los diferentes procesos de la Administracién Municipal. Lo anterior con el fin. de determinar las politicas inmediatas de respuesta ante ellos tendientes a evitar, reducir, transferir el riesgo, 0 asumir el riesgo y la aplicacién de acciones, asi como los responsables, el cronograma y los indicadores En este sentido, la Primera Linea de Defensa reporta a la Segunda Linea de Defensa el estado de avance del tratamiento del riesgo en la operacion, y la consolidacion de los riesgos en todos los niveles. Esta Informacién seré reportada por la Segunda Linea de Defensa hacia la Alta Direccién anualmente y ante el Comité institucional de Gestion y Desempefio. RIESGOS DE CORRUPCION + La identificacién se elabora anualmente por cada responsable de los procesos al interior de las entidades junto con su equipo en la Matriz de Riesgos de Corrupcién (EST-PG-FRO2) * Consolidacién: la Secretaria de Planeacién, es la dependencia encargada de gestionar el riesgo y le corresponde liderar el proceso de administracion de estos. Adicionalmente, esta misma oficina sera la encargada de consolidar el mapa de riesgos de corrupcién, en los meses de mayo, septiembre y diciembre. + Publicacién del mapa de riesgos de corrupcién: se debe publicar en la pagina web de la entidad, en la seccién de transparencia y acceso a la informacién publica que establece el articulo 2.1.1.2.1.4 del Decreto 1081 de 2015 0 en un medio de facil acceso al ciudadano, a mas tardar el 31 de enero de cada afio. La publicacién sera parcial y fundamentada en la elaboracion del indice de informacion clasificada y reservada. En dicho instrumento la entidad debe establecer las condiciones de reserva y clasificacion de algunos de los elementos Sorcha Skrok) ro lonceowousonn | Ciena cnborenreno,ZiPAQUiIRA CALIDAD DE VIDA RESOLUCION ADMINISTRATIVA No, 177 DEL 22 DE SEPTIEMBRE DE 2022 ana Manse constitutivos del mapa de riesgos en los términos dados en los articulos 18 y 19 de la Ley 1712 de 2014. En este caso se debera anonimizar esa informacion. Es decir, la parte clasificada © reservada, aunque se elabora, no se hace visible en la publicacién. Las excepciones solo pueden estar establecidas en la ley, un decreto con fuerza de ley 0 un tratado internacional ratificado por el Congreso o en la Constitucién. * Socializacién: Los servidores publicos y contratistas de la entidad deben conocer el mapa de riesgos de corrupcién antes de su publicacién. Para lograr este propésito la Secretaria de Planeacion debera disefiar y poner en marcha las. actividades 0 mecanismos necesarios para que los funcionarios y contratistas conozcan, debatan y formulen sus apreciaciones y propuestas sobre el proyecto del mapa de riesgos de corrupcién. Asi mismo, dicha oficina adelantaré las acciones para que la ciudadania y los. interesados externos conozcan y manifiesten sus consideraciones y sugerencias sobre el proyecto del mapa de riesgos de corrupcién. Deberd dejarse la evidencia del proceso de socializacién y publicarse sus resultados. + Ajustes y modificaciones: se podran llevar a cabo los ajustes y modificaciones necesarias orientadas a mejorar el mapa de riesgos de corrupcién después de su publicacién y durante el respectivo afio de vigencia. En este caso deberan dejarse por escrito los ajustes; modificaciones 0 inclusiones realizadas. + Monitoreo: en concordancia con la cultura del autocontrol al interior de la entidad, los lideres de los procesos junto con su equipo realizaran monitoreo y evaluacion permanente a la gestidn de riesgos de corrupcién. + Seguimiento: el jefe de control interno o quien haga sus veces debe adelantar seguimiento a la gestion de riesgos de corrupcién. En este sentido es necesario que en sus procesos de auditoria interna analice las causas, los riesgos de corrupcion y la efectividad de los controles incorporados en el mapa de riesgos de corrupcién. ALCALDIA MUNICIPAL D5 ZIPAQUIRA ~ ‘SECRETARIA PLANEACION ae DEPARTAMENTO DE CUNDINAMARCA rs | GOBIERNO MUNICIPAL RIESGOS DE SEGURIDAD DE LA INFORMACION “EI Ministerio de Tecnologias de la Informacién y las Comunicaciones - MinTIC a través de la Direccién de Gobierno Digital, dando cumplimiento a sus funciones; publica El Modelo de Seguridad y Privacidad de la Informacién (MSPI), el cual se encuentra alineado con el Marco de Referencia de Arquitectura TI, el Modelo Integrado de Planeacién y Gestién (MIPG) y La Guia para la Administracién del Riesgo y el Disefio Controles en entidades Piblicas, este modelo pertenece al habilitador transversal de Seguridad y Privacidad, de la Politica de Gobierno Digital El Modelo de Seguridad y Privacidad para estar acorde con las buenas practicas de seguridad serd actualizado periddicamente; reuniendo los cambios técnicos de la norma 27001 del 2013, legislacién de la Ley de Proteccién de Datos Personales, Transparencia y Acceso a la Informacin Publica, entre otras, las cuales se deben tener en cuenta para la gestion de la informacion. TUSe EINCA Ge MESSE fiesDEPARTAMENTO DE CUNDINAMARCA, ALCALDIA MUNICIPAL DE ZIPAQUIRA ‘SECRETARIA PLANEACION GOBIERNO MUNICIPAL ZiPAQUIRA CALIDAD DE VIDA RESOLUCION ADMINISTRATIVA No. 1177 DEL 22 DE ‘SEPTIEMBRE DE 2022 La implementacion de! Modelo de Seguridad y Privacidad de la Informacién - MSPI, en la Entidad esta determinado por las necesidades objetivas, los requisitos de seguridad, procesos, el tamafio y la estructura de esta, todo con el objetivo de preservar la confidencialidad, integridad, disponibilidad de los activos de informacién, garantizando su buen uso y la privacidad de los datos. Mediante la adopcién del Modelo de Seguridad y Privacidad por parte de las Entidades del Estado se busca contribuir al incremento de la transparencia en la Gestion Publica, promoviendo el uso de las mejores practicas de Seguridad de la Informacion como base de la aplicacién del concepto de Seguridad Digital" La consolidacién e identificacién de los riesgos de seguridad de la informacién se realizaré en la Mattiz Riesgos de Seguridad Digital (EST-PG-FRO3). ARTICULO SEGUNDO: El documento técnico de la Politica de Administracin de Riesgos de la Alcaldia de Zipaquira hace parte integral de este documento; en él se detallan aspectos metodolégicos y otros elementos de caracter operativo que permitiran la implementacién de la politica. ARTICULO TERCERO: Realizar los ajustes necesarios a la matriz de riesgos de gestion, corrupcién y seguridad digital cuando sea necesario, de conformidad con la normatividad vigente. PARAGRAFO: La modificacién de la matriz'se realizaré a través del lider del proceso de manera motivada y conforme a los parémetros establecidos por el Departamento Administrativo de la Funcién Publica, La Secretaria de Transparencia de la Presidencia de la Republica y el Ministerio de Tecnologias de la Informacién y las Comunicaciones. ARTICULO CUARTO: La presente resolucién rige a partirde la fecha de su publicacion y deroga todas las disposiciones que le sean contrarias, en especial las establecidas en la Resolucién 303 del 6 de diciembre de 2019. UBLIQUESE Y CUMPLASE Dada en Zipaquird, a los 22 veintidés (2022) /Modelo-de-Sequridad/ Sere ee