INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES Ss Proceso: Planeacién institucional Autoridad: JPLAN ARMADA | codigo: PLAIN-IT-308-JPLAN-V07_|Rige a partir de: 31/08/2023 | Pagina: 1 de 36 CONTENIDO PAG. 1,_ OBJETIVO 2 2._ALCANCE [2 3,_GLOSARIO 2 4,_DIRECTRICES DE OPERACION 3 4.1 IDENTIFICACION DE RIESGOS 3 4.2, VALORAGION DEL RIESGO 10 4.2.1. ANALISIS DEL RIESGO 10 4.2.2. EVALUAGION DEL RIESGO 13 2.3, ESTRATEGIAS PARA ABORDAR EL RIESGO. 19 4.4, HERRAMIENTAS PARA LA GESTION DEL RIESGO 19 4.5, MONITOREO Y REVISION j 20 4.6, RIESGOS MATERIALIZADOS 2 4.7, EVALUACION DE LA GESTION DEL RIESGO 23 5,_RIESGOS DE CORRUPCION 24 [6 _RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION aT 7._ RIESGOS FISCALES | 30 DOCUMENTOS DE REFERENCIA r 35 9._REGISTROS GENERADOS: | 36 10. NORMATIVIDAD | 36 11, CONTROL DE CAMBIOS 38 ELABORADO POR: REVISADO POR: APROBADO POR: CF Agustin Montenegro Cardenas | CA Carlos Andrés Escobar Silva |VA Juan Ricardo Rozo Obregon CARGO: CARGO: CARGO: rector Sietema Ineprado de | Jefe Jefatura de Planeacion Naval | Seaundo atte imac y Jefe FECHA: FECHA: FECHA: FIRMA: rh FIRMA: FIRM: N} ‘6__ INSTRUCTIVO PARA LA | GESTION DE RIESGOS INSTITUCIONALES 0 Ss Proceso: Planeacion Institucional l ‘Autoridad: JPLAN ARMARA | Codigo: PLAIN-IT-308-JPLAN-VO7 | Rige a partir de: 31/08/2023 Pagina: 2 de 36 1. OBJETIVO Establecer los lineamientos de la gestion de los riesgos institucionales para su adecuada identificacién, Control y evaluacién, con la finalidad de apoyar al cumplimiento de los objetivos estratégicos y de proceso de la Institucion 2. ALCANCE Aplica para todos los procesos institucionales, de acuerdo con el alcance de los controles que establezcan los lideres de proceso. Inicia desde la definicion de la politica y culmina con la evaluacién de los riesgos institucionales y de proceso. 3. GLOSARIO ‘+ Activa: En el contexto de seguridad digital, son elementos tales como aplicaciones de la organizacion, servicios web, redes, hardware, informacién fisica o digital, recurso humano, entre otros, que utliza Ja organizacién para funcionar en el entorno digital. * Apetito de riesgo: Es el nivel de riesgo que la entidad puede acepter, relacionado con sus objetivos, el marco legal y las disposiciones de la alte direccién y del Grgano de gobierno. El apetito de riesgo Puede ser diferente para los distinios tipos de riesgos que la entidad debe o desea gestionar.! * Bien publico: Son todos aquellos musbles ¢ inmuebles de propiedad piblica (este concepto Comprende: bienes del Estado y aquellos productos del ejercicio de una funcién piblica a cargo de Particulares). Estos se clasifican en bienes de uso pblico y bienes fiscales, definidos asi a) Bienes de uso piblico: Aquellos cuyo uso pertenecen a todos los habitantes del territorio Nacional. Ejemplos: Calles, plazas, puentes, vias, parques etc. ») Bienes fiscales: Aquellos que estan destinados al cumplimiento de las funciones 0 servicios publicos (Consejo de Estado, 2012), es decir, afectos al desarrollo de su mision y utilizados para sus actividades." * Causa: Todos aquellos factores internos y externas que solos o en combinacién con otros, pueden producir la materializacién de un riesgo.* * Confidencialidad: Propiedad de la informacion que la hace no disponible o que no sea divulgada a individuos, entidades 0 procesos no autorizados." + Consecuencia: Los efectos o situaciones resultantes de la materializacién del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demas partes interesadas." ‘+ Control: Medida que permite reducir o mitigar un riesgo." ~ Rai few le pei scminrasin sa Rego ye deeto ae conto on ertdaes ples Vet 8 rovente de 2022 plane 18 15__INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES Ss Proceso: Planeacién Institucional ‘Autoridad: JPLAN ARMADA | Cédigo: PLAIN-IT-308-JPLAN-VO7 | Rige a partir de: 31/08/2023 | Pagina: 3 de 36 * Gestor piiblico: Es todo aquel que participa, concurre, incide © contribuye directa o indirectamente ‘en el manejo o administracién de bienes, recursos o intereses patrimoniales de naturaleza publica, sean ono gestores fiscales; por lo tanto, son todos los gestores pablicos y no s6lo los que desarrollan gestion fiscal, los llamados a prevenir riesgos fiscales. A titulo de ejemplo, ademas de los gestores fiscales, son gestores pilicos, entre otros (sin perjuicio de las particularidades de cada entidad), los contratistas, los interventores, ios supervisores y en general todos los servidores pulicos.* + Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de ocurrencia de tn evento potenciaimente dafiino y la magnitud del impacto que este evento traeria sobre la capacidad institucional de alcanzar los objetivos. En general, la formula del Nivel del Riesgo puede ser “Probabilidad * Impacto’; sin embargo, pueden relacionarse las variables a través de otras maneras diferentes a la multiplicacién, por ejemplo, mediante la matriz “Probabilidad — Impacto"." ‘+ Recurso Pablico: Para efectos del capitulo de riesgos fiscales, son los dineros comprometidos y ejecutados en ejercicio de la funcién publica.’ + Riesgo: Efecto que se causa sobre los objetivos de las entidades, debido a eventos potenciales.* (Probabliied que se produzca un evento y sus consecuencias negativas) + Riesgo inherente: Nivel de riesgo propio de la actividad. El resultado de combinar la probabilidad ‘con el impacto, permite determiner el nivel del riesgo inherente dentro de unas escalas de severidad.* + Riesgo residual: El resultado de aplicar la efectividad de los controles al riesgo inherente.* + Tolerancia del riesgo: Es el valor de la maxima desviacion admisible del nivel de riesgo con respecto al valor del apetito de riesgo determinado por la entidad." + Vulnerabilidad: Representa la debilidad de un activo o de un control que puede ser explotada por una o mas amenazes." 4, DIRECTRICES DE OPERACION La gestion del riesgo de la Armada Nacional se ajusta a los lineamientos establecidos por el Departamento Administrativo de la Funcién Publica, de acuerdo con la Guia para la Administracién de! Riesgo y el disefio de controles en entidades publicas. Versién 6, noviembre de 2022, en la cual se contemplan las siguientes directrices, las cuales daran como resultado el Mapa de Riesgo Institucional y Por proceso. 4.1, IDENTIFICACION DE RIESGOS: 4.1.1, Analisis de contexto de los objetivos estratégicos y de los procesos: El proceso de identificacién de riesgos requiere un analisis exhaustivo y conocimiento general del contexto institucional, con el propésito que los esfuerzos en la gestién se orienten hacia ‘el cumplimiento razonable de los objetivos institucionales y de cada proceso, ya que el riesgo 2 identificar pretende materializar el efecto de incertidumbre sobre estos,si Se ARMARA __ INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES Proceso: Planeacién institucional ‘Autoridad: JPLAN (Cédigo: PLAIN-IT-308-JPLAN-VO7 Rige a partir de: 31/08/2023 | Pagina: 4 de 36 ‘a. Metodologia DOFA: Es un tipo de analisis que aplican las organizaciones para conocer sus mejores caracteristicas internas y los riesgos que provienen del exterior en cada uno de sus Procesos, Su objetivo es identificar las debilidades, amenazas, fortalezas y oportunidades que puedan afectar las actividades clave y el cumplimiento de los objetivos de los procesos institucionales, Dentro de la matriz hay factores internos (fortalezas y debilidades) y factores externos (oportunidades y amenazas) y 2 su vez esos factores pueden ser positives (fortalezas y oportunidades) 0 negativos (debilidades y amenazas). Es necesario tener claro que los factores que son exteros son atributos del entomo y los factores internos son atributos Ge Ia organizacion, Los lideres de procesos a través de sus oficinas de pianeacién, articulan a las dependencias para el diligenciamiento de la informacion en el Formato Anélisis de contexto para gestion de riesgos, cédigo: PLAIN-FT-308-JPLAN, en el numeral 2 en donde se identificaran los factoras internos y externos, como se muestra en el siguiente ejemplo: Tabla 1. Ejemple DOFA 2023 - Proceso de Operaciones Navales ARC. CUESTIONES EXTERNAS. No. AMENAZAS _ No. OPORTUNIDADES ’6 | Breton ices oo on cbs patra 01 [ES epaBeomionn ce ina Ponca de Seni y Deis Ciiacones presupuedals a rival naSanal roioal y cal aeaticlalindsa te uel Conse wae 2 [Taner aon atermo Soe 02 | elena ou ln Esti itr 2050, 73 [Liiacones en la ssurecn preaipoesal paras] | 9, |Coopesn vaconal’@ iismdera conve ot Tororana feraleomeno proysccion ela Pues Pics oneal us economies Has 7a [Nesasones a ede anes por loco cel riGoaica ya] | 9, |Coopeasin nacht eiraca ara GScr Ta Sobor et eps Ea Y euarote goo operas Fertaraos French. oe imzrve oo howe oy ME ana al | | SHMTS es rapes cov GOGEa CSBin As |resporeabitaacoeracorel Narcttca, Entre, Secu) | O8 ¥eopesbeno, Se shen aa eaeiieaeaaae oy [Feectrs a es ier cia = noone an ‘a7 | vave2s leclgicos enbleaces conve cela pobacon ia] | 5, | Cooperscn ere le Fuewa Publica pa al docarolo de |» [Piers pit en speracoresonaincae ss soberly seuss ola wns [Aurion Ios aciviadea trskcas iv Tat weds ds] | op [Auraria do Tas echidodes wisices cn ls. trom 25 segura coresponries. ‘esponeattiad spencer 6 la Arte Naver: ig ous og [fies resale ean ycovenin RS mI El relacionamiento con otras instituciones del estado como las. Faces soles de insiabided on as eas de = res dl ela cones 0 tate ee tt || oy suon ae ce ken) Pale Sowa Bea rs in concicactn y"yebaleaton dos recon teincon «lee ends eros ores) erscoain Catririene Gobel, gerade ol aurea de Cares y ass |tomanene Vapi scone al ceesbancomaro cc apa Sssinnsscones ah 2 | conto armado tereceral= 2 __ INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES Proceso: Planeacién institucional Autoridad: JPLAN ARMARA | Ceédigo: PLAIN-IT-308-JPLAN-VO7 | Rige a partir de: 31/08/2023 | Pagina: 5 de 36 CUESTIONES EXTERNAS No. DEBILIDADES No. FORTALEZAS Permanente Tad del perso, ual pete opimizar el ox |bmtacones er mesos ge comnicacn, pam marr < | ey lamin en a. asnecon oe, responsabicaies, pars, Siiptniart de los miones perioree | Tat Orange Eaupo(TOE] clas wate 8 | |r| pena paral caro de Owais Eapcales Noa a | Diftrencns doctinaiesyconcepoe oparacoraise que marin | | gq | Dopondenasy doc elas para mien ae Funtzst para el Sesarae de operaciones corr ta capacadesy compete dl personal pq [Dosumerien Greacuaizada en «Satara iriyrazo de| | -, |Deoendencas a Vaves dees cscs ereaizan corsracions [Gesten sirsttacenes anive nacenal intraoral 1 | Limtaciones en la diaporitied de tos medios operecicnates, | | 5 | Avess de responsabiided esablecides y esienadesfomraknerie [pp | Lntacions de os reac noeiric prs ol decaroiodoias| |, | Undades mayors, renoresyWcics Gib por eoares eperacines. nies dress do rexponsootdad Sy [estuciura ogarizaconal con lanes an a defniain de] | -, |Comuncacon dreca e inmedata erie el personal de as funcones ineas de comunicacon ona inidaes operebvas || °” | dependents de operaciones o vel nacional Fuente: Jeftura de Opereciones Naval. Posteriormente, el equipo de trabajo articulado por la Oficina de Planeacién de cada proceso, debe establecer las estrategias a fin de mitigar las debilidades y amenazas y potencializar las fortalezas y oportunidades, haciendo un cruce entre fortalezas y ‘oportunidades (FO), debilidades y amenazas (DA), debilidades y oportunidades (DO) y fortalezas y amenazas (FA), como se relaciona en el siguiente ejemplo. Tabla 2. Ejemple Matiz DOFA Cruzada - Proceso de Operacones Navales. DOFA CRUZADA os ESTRATEGIAS FO. as ESTRATEGIAS DO (Fortaleza /Oporuicades ) ( Debitdades | Oponturiades) 1 [empleo oo la experince del person! desde tat arese| |, Inepracin y artouscén de la doctine y concentos Ot | cpwraconcles pars epoyarla estucuraatn dei “Pottca de| | 23 loperaconses, torando como base las buenes précis y 2 | Suna etensa"y eter ePian Esratyco Mita ‘Bralecmonto dela interoperablcas con a OTAN rel at ~ | | oe i oe oF Pia ESTRATEGIAS FA aa ESTRATEGIAS DA a (Faralezas Anenazas (Deoiisades/Amenazas) Det os canales de caruncacin y aclrat ws uniones Esablecer mecanimoe de accion fente_at_ trorsmo| 2 | fonanctnal ‘staves del erpico Seles copacatoe co| | DY |e, Goencences, con elf de ortmzs ls meee |isosscde saenmeedinasenend inestabilidad en las areas de responsabilidad operacional fe ba a a Fuenie: Jefatura de Planescién Naval En el formato “Analisis de Contexto para la Gestion de Riesgos”, cédigo: PLAIN-FT-308- IPLAN, el recuadro de observaciones del numeral 1 Analisis DOFA, es de uso exclusivo de la Direccién Sistema Integrado de Gestién (DISIG), quien debe verificar la informacion suministrada por cada proceso, validando 0 solctando correccién sobre los datos registrados por el ider del proceso.Ss ARMARA INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES Proceso: Planeacion institucional l Autoridad: JPLAN. (Cédigo: PLAIN-IT-308-JPLAN-Vo7 | Rige a partir de: 31/08/2023 | Pagina: 6 de 36 b. Oportunidades de mejora basadas en riesgos: En el numeral 3 del formato "Analisis de Contexto para la Gestion de Riesgos’, cédigo: PLAIN-FT-308-JPLAN, se deben registrar las estrategias relevantes que se consideren como oportunidades significativas y tangibles para mitigar los riesgos del proceso. Estas ‘se toman del cuadro de la DOF cruzada, las cuales deben ser cargadas en el "Aplicativo de Gestion institucional’ de acuerdo con el “Procedimiento de Acciones de Mejora y Correctivas’, cédigo: PLAIN-PT-308-JPLAN, _ Tabla 3. Qportunigades. _OPORTUNIDADES | item = ‘CODIGO NOMBRE MEJORA (CCION DE MEJOR) Eriples de Te experiencia del personal desde fas areas operacionales para apoyar Ta esiructuracién de la Poltica de Seguridad y Defensa y disefiar el Plan Estratégico Millar. AM - Hittite Tntesracion y aricuaien dl docrna y concapios operaconales, lomando como bata a5 Buenas pactes fertalecmieto de a Interoperabiidad con la OTAN, AM = Sit 7 raves de lat capacidades de Fuerzae Especcios Naval, eaabiocer mecaninis de ‘oaioa ferte a al terorsmotorsnacona ‘AM SHE Inestabidad en ls eas de responsabilidad opersconal ‘Den: fos cansies de comunicacién y aclara as undone de ls Gepardenciag on @T™7 ‘fe optimizar les madios operacioraioe y dar respuesta oportuna ante le facores de | AM - HAE Fuente: Jotatra do Planeacién Naval 4.1.2. Identificacion de los puntos de riesgo: Para determinar los puntos de riesgo es necesario que las instancias estratégicas y de proceso conozcan a profundidad las actividades claves en cada uno de los fiujos que ddesarrollan, con el fin de detectar indicios que puedan materializar eventos de riesgos y que deben mantenerse bajo control, para lo cual se recomienda tomer como base el formato “Caracterizacién de Proceso” vigente. Los puntos de riesgo identificados deberan ser registrados en el formato "Analisis de Contexto para la Gestion de Riesgos Institucionales”, cédigo PLAIN-FT-308-JPLAN. A continuacién, se presenta un ejemplo de identificacion ce puntos de riesgo ‘Fgura 1. Identticacion de puntos erices del proceso “Adquisones" Punto de Riesgo 2 Punto do Riosgo 2 “Etapa Contractual” Fuente: Jefatura de Planeacién NevelSs ARMADA INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES Proceso: Planeacién institucional Autoridad: JPLAN Pagina: 7 de 36 (Cédigo: PLAIN-IT-308-JPLAN-VO7 | Rige a partir de: 31/08/2023, 41.3. 444. Identificacién areas de impact: Las areas de impacto se definen como aquellas consecuencias de orden econémico 0 reputacional, en las cuales se ve expuesta la Armada Nacional en caso de materializarse un riesgo. a. Afectacién econémica: Es el efecto que se produce cuando un riesgo materializado compromete recursos financieros de la Institucién. b. Afectacién reputacional: Es el efecto que se produce cuando un evento vinculado o no a la cadena de valor de Ia Institucion, afecta negativamente a la satisfaccion de las ‘expectativas de los grupos de interés de manera suficientemente grave como para propiciar una respuesta que dafie severamente la imagen de la Armada Nacional. Identificacién de areas de factores de riesg ‘Se definen como las fuentes originadoras del riesgo, en este caso, la Armada Nacional las define de la siguiente manera: Tabla 4. Factores do fa ‘Armada Nacional ~ Rotacn lo asados. Fala de ier=250 Comprende las areas clave enel |“ Personal no calfeato Defends en desarolo de les actividades dl | - Fata demotwacin, meden de deserpefo i Sido detalentohumeno(ngreso, | = Debidedes ena ~ Debiiedes de Recurso humano | Gesarrolio integral, permanencia, | formacién académica y _comunicacién, Sivaciones euminstretves.y | rita, - Folens ena cutura reo) - Defetencia on a ergenzacoral ‘eorpeacion - Fata de compromiso Comprende los facores ~ Faas de ntsigencia = Penetacion del enomgo. teaconados alas + Desconocmieto ce Asunios mitares | ‘Gerabdades del conte | ~ Dnamce oeraconal” —* Poscn miter - intratn Comprende la relacon de 2 | - Datos de equip, = Aaques cberétios Tecnologia _| intaestructura tecnologia de le | "Fala en ies epicacones, ~ Onslescerea Instn 1 Bajscalsodderedes, rove de poy ~Debiidadenelmangjo ~ Debiidad ena face eterna al made, tempo | _Seimantais, | sirasstucta ce loatsica | y ugar dele cadena 48 | contatacion - Debiidages ena cadena og ~ Baja rotacién de de suministros. | inventarios. = Pocos proveedores. i ~ Proyeccones ernest Deficiencias en la gestion Comprende aspects | insimpimerto de Gel fesse Planeacisn | relaconads conlaprospectvay | _obetves - Dafeienca ona csrateg + Befconias onl ana extcturain dol contr sstetgia f ~ neidenca aperiva. Hace referencia a_los |: incumplmientode, _~ efienciaendefnicon Proceso | lineamientos, gestién y control | directrices, St abn delos procesos = Fate dematadioga, ~ Sande = Fala on os conten.INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES oe Process Psdinintucorat | ‘Autoridad: JPLAN ARYARA | coaigo: PLAINIT-308-IPLAN-VO7 |Rige a partir de: 31/08/2023 | Pagina: 8 de 36 FACTOR ST Bane | MDetactee Neurdos nn Shas socal | Stuscones _exteras que | - Creuatencis ~ Besitrmectn dea |. Events eitemos. afectan a la Institucion, legisiativas y poblacién civil. a ecm _ Kardon trata ventos relacionados con la | ~ Poca disponibliad ~ Faas estructuraies en Infraestructura y_ Asso lhe “donteelar ll ‘operacional. Fellas estructural infreestructurafisica y medios de bienes inmuebles [mado | ttn ~Meamelmentodeics, Banc ev cies fs. 7 write: Jefatura de Planeacién Naval. 441.8, Deseripotén det rleego: La redaccién Contiene todos los detalles necesarios para que el riesgo see comprendido por las partes interesadas. En ese sentido, es requerida una redaccién apropiada a través de la siguiente estructura gramatical que inicie con la frase “POSIBILIDAD DE" y analizando los siguientes factores a. Impacto: Son los efectos que Ia materializacién del riesgo ouede ocasionar a la Armada Nacional, b, Causa Inmediata: Circunstancias o situaciones mas evidentes sobre las cuales se presenta el riesgo. Las mismas no constituyen la causa principal o base para que se presente el riesgo. . Causa Raiz: Es la causa principel o basica. Corresponde a la razén por la cual se puede resentar el riesgo y es la base para la definicién de controies en la etapa de valoracién del riesgo, Se debe tener en cuenta que para un mismo riesgo puede existir mas de una causa ‘Accontinuacion, se presenta un ejemplo de la descripcién de un riesg« ____ Figure 2. Ejemplo estructura de riesgo aplicada aus? como? inicia con: ePorqus? ec eee td fal besa IMPACTO Por baja eer Perea rn ae INMEDIATA LO QUE PUEDE OCURRIR or Ce ees Los controle atecan as sub.causas Fuento: Guia para la adminisiracién del riesgo y el disefio de controles en eniidades publicas. Version 6 ARR_NOTA: Als sub-cuses devas ce caus lz se pcan contolesINSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES 3 s Proceso: Planeacién institucional ‘Autoridad: JPLAN ARMARA | Cédigo: PLAIN-IT-308-JPLAN-VO7_|Rige a partir de: 31/08/2023 | Pagina: 9 de 36 NOTA: En los procesos pueden existir riesgos asociados a la gestién documental, gestion contractual o gestién juridica, por lo cual sus controles pueden ser diferentes. La anterior estructura evita la subjetividad en la redaccién y permite entender la forma como se puede manifestar el riesgo, asi como sus causas inmediatas y causas principales o raiz. Esta es informacién esencial para la definicién de controles en la etapa de valoracion del riesgo Durante el ejercicio de redaccién de riesgos debe EVITARSE: ‘+ Describir como riesgos u misiones ni desviaciones de un control Ejemplo: Errores en el procedimiento de zarpe por desconocimiento de la doctrina vigente. ‘+ Describir causas como riesgos. Ejemplo: Fuga de informacion ‘© Describir riesgos como la negacién de un control. Ejemplo: Retrasos en la asignacién de citas médicas por no contar con un sistema de administracién sistematizado, © Afirmar que existen riesgos transversales; las que pueden existir son causas transversales. Ejemplo: integridad de los registros documentales. Clasificacién del riesgo: Teniendo en cuenta los factores originadores de riesgo, la Armada Nacional determina las siguientes categorias para clastficar sus riesgos: ‘Tabla §.Clasiieacion del Riesgo Armads Nacional CLASIFIACION DESCRIPCION DEL RIESGO { Riesgo asociado a la administracion de [a Insttucion y se vincula con asuntos globales ESTRATEGICO | [relacionados con la mision y el cumplimiento de los objetivos estratégicos, la dafinioion de politcas, cisero y conceptuaizacién de la Intitucion por el Concejo de Almirantes. Riesgo que esocia ala cuslficacion, competencia ydisponibilded del personel requerido BERGA! para la realizacién de las actividades claves de la Institucion. ‘Son los eventos que, por accién u omision, mediante el uso indebido del poder, de los’ CORRUPCION | | recursos 0 de /a informacién, lesionen jos intereses de la Institucion y en consecuencia| del estado, para la obtencién de un beneficio particular. Estén relacionados con la capacidad tecnolgica de la Institucién para satisfacer sus! TECNOLOGIA | [necesidades actuals flues, ‘Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de| GEenoa informacién institucional, de la definicién de los procesos, la estructura de la Insttucion| ya articulacién entre dependencias. No deben confundirse con los iesgos relacionados} Con el cumpimiento de la misién institucional (pracesos misionales) ‘Se asocian con la capacidad de Ia Institucién para cumplir con los requisites legales, NORMATIVOS | | contractuales, de ética publica y en general con su compromiso ante la comunidad__INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES laneacién institucional ‘Autoridad: JPLAN ARMAQS | cédigo: PLAIN-IT-308-JPLAN-VO7 | Rige a partir do: 1/08/2023 | Pagina: 10 de 36 CLASIFIACION DELRIES DESCRIPCION i ASUNTOS Riesgos asociedos a les posibles causas y efectos presentados durante el sjercicio MILITARES milter. IMAGEN Y Relacionado con la percepcién, expectativa y confianza por parte de los grupos de REPUTACION interés ce la institucion. SEGURIDAD DE] [Relacionado con la politca de seguridad digital se vincula al modelo de seguridad y LA privacidad de la informacién y los tres principales riesgos son: pérdida de la INFORMAGION | _|confidenciaidad, pérdida de la integridad y pérdida de la disponibilidad. RIESGO Es el efecto dartoso sobre los recursos pibicos, ls bientes 0 los intereses patrimoniales FISCAL de naturaleza pablica, a causa de un evento potencial” ‘Fuerte: Jefatura de Planeacin Naval 4.2. VALORACION DEL RIESGO La valoracion de riesgos pretende establecer la probabilidad de ocurrencia del riesgo y el nivel de Consecuencia o impacto, con el fin de estimar la zona de riesgo inicial (riesgo inherente) y la zona de riesgo final (riesgo residual). Para este propésito, la actividad requiere la ejecucién de 02 etapas (analisis y evaluacion del riesgo). 4.2.1. Analisis del riesgo: En este punto se pretende establecer la zona inicial del riesgo (riesgo inherente), con el fin de efectuar los contrastes frente a los niveles de aceptacion establecidos en la "Matriz de Calor’ consignada en la “Politica institucional de Riesgos' y determinando su probabilidad e impacto, asi 4.2.1.4 Determinar la probabilidad: La probabilidad es la posibilidad de ocurrencia de un Fiesgo determinada en términos de frecuencia o factbilidad. Para efectos de este analisis, la probabllidad de ocurrencia estar asociade a la exposicién al riesgo del proceso 0 actividad que se esié analizando. De este modo, la probabilidad inherente Ser el niimero de veces que se pasa por el punto de riesgo en el periodo de 1 atio, Como referente, a continuacin se muestra una tabla de actividades tipicas relacionadas con la gestién institucional, bajo las cuales se definen las escalas de probabilidad Tabia 6, Ejempo relaciin de octvidades vs rive de probabiidad. 7 PROBABILIOAD. ee: LA ACTIVIE FRENTE AL RIESGO “esngl (rive apenb iad oe weteras do || iformacin) Noi En mater ce tecrotogi se bene Olea Casi certere fncuerta hora de funconemiento= ver || Capactaciones especialzedas || Semanal] Probab ~~ Novedades de némina Mensval Moderade ‘Reunion ce endisis estategico — TTmesral_—_| | improbable Planeacon estategica Anwal Rare eo Guia pera ta Adrinstacn det Resg0 ve dso de convls en enades pbs, Vern 6, revembre de 2022, pisina 12ai INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES Autoridad: JPLAN s Proceso: PlanescinInttuciona Rige a partir de: 31/08/2023 BRMaRe (Cédigo: PLAIN-IT-308-JPLAN-VO7 Pagina: 11 de 36 FRECUENCIA DE | [_ PROBABILIDAD ACHE TAAGTIVIND | | FRENTE AL RIESGO Desarrollo de operaciones fuvales | Dera Casi certera Mantenimiento y soporte Diare Casi certera| Tvestigaciones administativaé Trmestal Moderaga Investigaciones discipinerias Mensuai Probable ‘atividades de entrega de aimacén Dara Casi centers Procesos contractuales Proyectos Tensual Probable Servicios de transporte administratvo Dara Moderada Solicitud de PAC Mensual Moderada Précuctos de inteigencia Diario Casi cortera ‘Teniendo en cuenta el ejemplo de la tabla anterior, para analizar la probabilidad frente al riesgo de cada actividad en la Institucién, se establece la siguiente tabla de criterio para definir el nivel de probabllidad, Table 7 Citerioe para dein el nivel de probablsed Eaccocnsencu La actividad que conlleva al nesgo se elecuta maximo 2 ‘veces al af, ‘Fuente: Jefaura de Pianeacion Naval yt) eee tec) La actividad que conlleva al iesgo se ejecuta de 3.8 24 ‘veces al afo, ‘veces al afo, La actividad que conieva al iesgo se ejecuta de 24a 500 veces al ao. {La actividad que conlleva al esgo se ejecuta de 500 @ aoe $5000 veces al ano, La actividad que conlleva al riesgo se ejecuta mas de 5000 re Fuente: Gula para la acministracbn del res90 76] alse7o de Contoles en eniidades publics. Version 6 4.2.1.2 Determinar el impacto: El impacto es la consecuencia econémica (financiera) 0 reputacional (imagen), que se puede producir cuando un evento potencial se presenta. En estas condiciones, la Armada Nacional estabiece la siguiente tabla de criterios para determinar el impacto. eae Beenie Menor a 10 SMLMV El lesgo afecta la imagen de algun area de la Institucion, Entre 10 y 50 SMLMV Entre 60 y 100 SMLMV Entre 100 y 500 SMLMV Mayor a 500 SMLMV El riesgo afecia Ia imagen de Ta Instiucion inlemamente, de conocimiento general nivel fo proveedores._ El riesgo afecta la imagen de la Insiucién con algunos usuarios de relevancia frente al logro de 08, eda a imagen de Ta I efecto publictario sostonido a nivel de sector ‘administrative, nivel dapartamental 0 municipal Elriesgo afectalamagen de la Institucion a nivel nacional, con efecto publctaro sostenigo a nivel pals.a __INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES, Proceso: Planeacién institucional ‘Autoridad: JPLAN 9 ARMARG (Codigo: PLAIN-IT-308-JPLAN-VO7 Rige a partir de: 31/08/2023 Pagina: 12 de 36 Fuente: Gula para la aéministractén de riesgo y el diseo de controls en entidedes pablicas. Version 6, NOTA: Frente al andlisis de probabilidad e impacto, el lider del proceso define cuantas veces desarrolla la actividad de acuerdo con la informacién estadistica 0 el impacto que ger cor nera en rela rrespondiente, con los andlisis del proceso, y a través de le tabia anterior ubica el nivel Acontinuacién, se presenta un ejemplo de andlisis del riesgo con respecto al impacto Tabla 9. Ejomplo andi de ie Planer y adqut los bienes y servos MEET T Gon kc peeires se coed prods at] pang). | pimennal px iia sacn el pies cai pe fens roguador debdo ala OBJETIVO Jecsenment, prveccon S682] IDENTIFICADO | sctustsn de lees y snicos sn eect genoa, de. conformidae con tcieomentn 60 oa cacuetos namabiged vigene tre FRECUENCIA ts ctvida relacionads con contatosse| CALCUL : ELA |leva a cabo 420 voces al mes = 5040| AFECTACION |©! riesgo alecta la imagen de le ACTIVIDAD |vecou al ato. REPUTACIONAL Fiera 6 Phneacion Naval Aplicando los criterios de probabilidad e impacto tenemos como resultado la siguiente tabla. Eten eae Menor 2 10 SMV I riesgo afecta fa imagen de ‘algin area del insttucion. La actividad que conleva | Fiesgo se elecuiade 3224| 40% nie 50 y 300 SMUMy, La actwidad que coniteva a! ‘iesgo se ejecuta de £00 a Ene 10 50 SMLMV Entre 100 y 500 SMLMV Elvisago afedia la imagen de a Inettuciéninfernamente, de [corocrmiento general rivel ‘ato mando. ylo Institue. Erneago alec magen de Ta Insitucén con efecto publictario sostonido a nivel de. secter administrative, rivel| ‘epartamerial o municipal El iesgo afacta fa magan da la Instueén a nivel naconal, con efecto publictario sostenido a ‘casi certera 100% Impacto inherente: Moderado 60% sol pate. J Fuente: Jefatura de Planeacion NavalINSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES Ss Proceso: Planeaci6n institucional ‘Autoridad: JPLAN QRMARA | Cédigo: PLAIN-IT-308-UPLAN-VO7 | Rige a partir de: 31/08/2023 | Pagina: 13 de 36, 4.2.2. Evaluacién del riesgo: A partir del andlisis de la probabilidad de ocurrencia del riesgo y sus consecuencias 0 impactos, se busca determinar la zona de riesgo inicial (riesgo inherente), el cual trata de determinar los niveles de severidad a través de una combinacién entre probabilidad e impacto, y se definen 4 zonas de severidad en la matriz de calor (extremo, alto, moderado y bajo), Como se muestra en la siguiente figura. Figura 3. Matiz de calor (iveles de severidad del ris ee iii Ei Beet) Muy Alta 100% Ata 80% Media 60% Bi 40% Muy Baja 20% Menor ~~ Woderado Mayor Catastco 40% 100% “Fuente: Guia para la adrninisracion del riesQo y el disefo de controles en entidades pablcas: Version 6 rate 1g a atid capa carrie es ro Ty anes ae ae La Poubhied detect ecteers eatin, Pomterto"S| — gueggg _eosecrl ponte ¥ saat BsETWO Snir poyeccih y opre| pp AESEO [SH ey cece 2 sponse Bata nla ADO eo vgrce, do conermied can sin al eumpimieto’ de | normatividad vigente. eremaaeaeoee PROBAILIDAD TWPACTO ROBABLIGAD | MUY ALTA 100% IMEAGTO. | _ WODERADO oor Fu, El pean do mats dcr pr lo dtennact dees. oar) impacto el resutado| ZONADE RIESGO ‘ALTA, PROBABILIDAD Menor Moderado Mayor —-Catastrofico 40% oO% 20% 100% Fuente: Jefatura de Planeacibn NavalINSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES ig Proceso Planer nsttcona tora: JPLAN ARMAQE | cédigo: PLAIN-IT-308-JPLAN-VO7 | Rige a partir de: 31/08/2023 | Pagina: 14 de 36 : Un control se define como la medida que permite reducir 0 mmitigar el riesgo, y su valoracién se debe realizar a través de mesas de trabajo con los lideres de procesos, teniendo en cuenta que son los responsables de implementar y monitorear los controles. De acuerdo con la metodologia del DAFP se establecen los siguientes puntos para la valoracion de los controles: a, Estructura para la descripcién del control: Con el fin de relacionar caracteristicas de tipologia y otros atributos de valoracién del control, la Armada Nacional determina la siguiente estructura como requisito para el establecimiento de controles en cada uno de los riesgos relacionados: Responsable de ejecutar_el_control: Identificar el cargo de! funcionario que ejecutaré el control. En caso de que sean controles automaticos, se identificard el sistema de informacién o aplicativo que realiza la actividad, 1 - Aceién: Mediante uso de verbos, indicar la accién que debe realizar el responsable de ejecutar el control Complemento: Relacionar los detalles que permitan identificar claramente el objeto del control Figura 8. Ejomplo structure do control aplicado a riesgo de proceso. RESPONSABLE ACCION ‘COMPLEMENTO | Fa eit de Planet Naval b. Tipologia de controles y los procesos: Para comprender la tipologia de controles y su incidencia, es necesario remitinos a las tres etapas de operacién en el ciclo de un proceso. scale de afectacién de contoles Alertas Revista Bajos Tempranas__ Fondos Fuente: Jefature de Planeacién Navelsa INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES oS Proceso: Pianeacién institucional Autoridad: JPLAN BRMERE (Cédigo: PLAIN-IT-308-JPLAN-VO7 Rige a partir de: 31/08/2023 | Pagina: 15 de 36 Tabla 12. Ejemplo eplicacion de a tpotogta de la Figura 5. EJEMPLO CONTROL, TIPOLOGIA "EI Supervisor de conirato verfica que la ejecucién del contrato se | Ciclo del proceso: Interacoion desarrole acorde con lo establecido en las especticaciones - técnicas a través del informe mensual dirigido @ la oficina de Tipologia: Control detective Contratacion para su registro y sequimiento’ Escalaafectada: | Probabilidad Fuente: Jetaura de Pianeacién Naval ¢. Anélisis y evaluacién de controles: Para establecer la funcionalidad de los controles, la Armada Nacional determina as escalas de atributos de eficiencia y de informacion con sus respectivos valores Ponderables para efectuar la evaluacién cuantitativa y cualitativa, de acuerdo con lo establecido en la siguiente tabla, Tabla 13. Atributos de efciencie controes. ATRIBUTOS DE EFICIENCIA PREVENTIVO TIPO DETECTIVO CORRECTIVO AUTOMATICO IMPLEMENTACION MANUAL, Va hacia las causas del riesgo, aseguran et resultado final esperado. Detecta que algo ocurre y devuelve 2 proceso a los controles preventivos. Se pueden generar reprocesos, Permiten reducir ol ‘materializacién del riesgo. Tienen un costo ‘en su implementacion Son actividades de procesamiento de validacién de informacion, que se ejecutan por un sistema ylo aplicatvo de manera automética. Son la personas para su realizacién Controles que son ejecutados por una Persona y tienen implicit el error humano. 25% 15% impacto oe la 10% 25% intervencién de 15% “Fuenie: Gula para le adminisiracion del iesgo vel disefo de controles en enidedes pUblcas. Version @eA ARMARA __ INSTRUCTIVO PARA LA GESTION DE RIESGOS INSTITUCIONALES. laneacién Institucional (Cédigo: PLAIN-IT-308-JPLAN-VO7 ‘Autoridad: JPLAN Tabla 14. Atbutos informatives de controles. ATRIBUTOS INFORMATIVOS. | Faente: Guia para a adrinistraciin del iesgo vel Controles que estén documentados en e proceso, ya sea en manuales, : POCUMENTADO — procedimientos, flyograma o cualquier iat ‘tro documento propio del proceso. ei Identiica los controles que, pese a que se sin sjecutan en el proceso, no se encuentran F DOCUMENTAR —soportados en ningin documento propio del proceso El control se aplica siempre que se realiza i ' CONTINUA la ectvided que conleva el riesgo oO El control se aplica aleatoriamente la ALEATORIA —ctividad que conlleva el riesgo. s ora CON 5) contol deja un registio que permite SEEN REGISTRO evidencar a ejecucion del control Leeda sin 1 control no deja registro de la ejecucion i air SN REGISTRO del NOTA: Los atributos informativos solo permiten darle formalidad el control y su fin es el de conocer el entorno del control y complementar el analisis con elementos cualitativos; sin ‘embargo, estos no tienen un valor numérico ni incidencia directa en su efectividad, En la siguiente matriz de calor se muestra cual es el movimiento en el eje de probabilidad y en el eje de impacto de acuerdo con los tipos de controles. Figure fovimionto en la mattis de calor acarde con el tpo de control Controles => Atacan Corrective el impacto IMPACTO Controies “eon” proventvos ey" Fisecwos EQ ge 2 LAs Sie Atacan Re 40% probated EM) sy ci Ea Leve 20% Menor 40% Maderedo ‘60% Mayor 20% Catastotce 100% Fuonio: Gula para le adminisvacén dol riesgo y el dsafo de contoles en ertlades publeas. Version 6