Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
01. Alineación con el MIPG y Plan
Anticorrupción y de Atención al
Ciudadano
- FUNCIÓN PÚBLICA -
A partir de la dimensión de “Direccionamiento Estratégico y Planeación” se genera la Política de Administración de Riesgo, se definen los
siguientes aspectos:
Factores de Riesgo Principales (Análisis Interno y Externo) atendiendo el diagnóstico de capacidades y entornos.
Planeación Estratégica de la entidad.
Tabla de Impactos principales por cada uno de los 5 niveles (Acorde con la estrategia y los procesos críticos)
Plan Anticorrupción y de Atención al Ciudadano. (Componentes: Mapas de riesgo de corrupción, estrategias para trámites, rendición
de cuentas, servicio al ciudadano, así como transparencia y acceso a la Información), que pueden facilitar la construcción de acciones
para el mapa de riesgos de corrupción.
Articulación MIPG – Gestión del Riesgo
- FUNCIÓN PÚBLICA -
A partir de la dimensión de “Gestión con Valores para el Resultado” se definen los siguientes aspectos:
Estructura de Procesos, Procedimientos, Políticas, entre otras herramientas.
Instrumentos y herramientas relacionadas con las Tecnologías de la Información y las Comunicaciones para la mejora
de los procesos.
Articulación MIPG – Gestión del Riesgo
Primera línea
de defensa
- FUNCIÓN PÚBLICA -
Componentes: Segunda línea
Línea de defensa
1. Ambiente de control Estratégica
2. Evaluación del riesgo
3. Actividades de control
4. Información y comunicación Tercera línea
de defensa
5. Actividades de monitoreo
- FUNCIÓN PÚBLICA -
Estructura de Procesos, Aprobación Política de
Análisis de Capacidades y Procedimientos, Políticas, entre otras Administración del
Entornos. herramientas. Riesgo.
Caracterización de los grupos de valor Esquema Líneas de
y sus necesidades Defensa
Instrumentos y herramientas
Priorización de esas necesidades y su relacionadas con las Tecnologías de la
despliegue en las características de los Información y las Comunicaciones para
productos y servicios la mejora de los procesos.
Planeación Estratégica y su
despliegue hacia los procesos.
Plan Anticorrupción y de Atención al
ciudadano.
Política de Administración del Riesgo
Definiciones Básicas
Riesgo de Corrupción:
- FUNCIÓN PÚBLICA -
Activo:
Riesgo de Seguridad Digital: En el contexto de seguridad digital son
Combinación de amenazas y elementos tales como aplicaciones de la
vulnerabilidades en el entorno organización, servicios web, redes,
Seguridad Digital Hardware, información física o digital,
digital. Incluye aspectos del
ambiente físico, digital y las recurso humano, entre otros, que utiliza
personas. la organización para funcionar en el
entorno digital
- FUNCIÓN PÚBLICA -
Proceso efectuado por la Alta Dirección de la entidad y por todo el
personal para proporcionar a la administración un aseguramiento
razonable con respecto al logro de los objetivos.
Paso 1: Política Institucional de
Riesgos
Declaración de la Dirección y las intenciones generales de una organización con respecto a la
gestión del riesgo, (NTC ISO31000 Numeral 2.4). La gestión o Administración del riesgo establece
lineamientos precisos acerca del tratamiento, manejo y seguimiento a los riesgos.
- FUNCIÓN PÚBLICA -
informada de tomar un riesgo particular.
Comité Institucional de Coordinación de Control Metodología (Periodicidad,Tabla Impacto, Factores Definir procesos susceptibles de posibles
Interno de Riesgo), entre otros. actos de corrupción.
Tiempo para la revisión de los controles
modificados y los nuevos
- FUNCIÓN PÚBLICA -
Análisis de Objetivos Estratégicos Análisis de Objetivos de Proceso
La entidad debe analizar los objetivos Los objetivos de proceso deben ser
estratégicos e identificar los posibles riesgos que analizados con base en las características
afectan su cumplimiento y que puedan mínimas explicadas en el punto anterior,
ocasionar su éxito o fracaso. pero además, se debe revisar que los
mismos estén alineados con la Misión y la
Es necesario revisar que los objetivos Visión, es decir, asegurar que los objetivos
estratégicos se encuentren alineados con la
de proceso contribuyan a los objetivos
Misión y la Visión Institucional, así como,
estratégicos.
analizar su adecuada Formulación
(características SMART)
TALLER 1.
- FUNCIÓN PÚBLICA -
• Debe ser claro y por • Tenga en cuenta • De forma clara y
si solo debe dar que sea: sencilla que sea
cuenta de lo que se • Específicos entendible para
hace en el • Medibles todos
• Alcanzable
• Realistas
Paso 2: Identificación
del Riesgo – Análisis de Objetivos
La entidad debe analizar los objetivos estratégicos y revisar que se encuentren alineados con la
Misión y la Visión Institucional, así como, analizar su adecuada formulación, es decir, que
contengan las siguientes características mínimas:
- FUNCIÓN PÚBLICA -
Tomado de: https://www.questionpro.com/
Paso 2: Identificación
del Riesgo – Análisis de Objetivos
- FUNCIÓN PÚBLICA -
Identificar
Los objetivos deben
Un objetivo es un ser: Específicos,
enunciado que Recopilar Medibles,
expresa una acción alcanzable, realistas
por lo tanto debe y se deben evitar
Investigar frases subjetivas
iniciarse con un
verbo fuerte
Buscar
Registrar
Paso 2: Identificación
del Riesgo
En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus
causas y sus consecuencias.
- FUNCIÓN PÚBLICA -
Establecimiento del Contexto Identificación del Riesgo
- FUNCIÓN PÚBLICA -
Paso 2: Identificación
del Riesgo
- FUNCIÓN PÚBLICA -
determinados en el contexto
Cuándo puede
3 suceder?
Determinar de acuerdo al desarrollo del proceso
Qué
4 consecuencias Determinar los posibles efectos por la
tendría su materialización del riesgo
materialización?
Evitar iniciar con palabras negativas como: “No…” “Que no…”, o Pregúntese si el riesgo identificado esta relacionado
con palabras que denoten un factor de riesgo (causa) tales como: directamente con las características del objetivo. Si la
“ausencia de”, “falta de”, “Poco(a)”,“ Escaso(a)”,“Insuficiente”, respuesta es “no” este puede ser la causa o la
“Deficiente”, “Debilidades en consecuencia.
TALLER 2.
Responda las siguientes preguntas frente a su objetivo?
Qué puede
1 suceder? 2 Cómo puede
Suceder?
- FUNCIÓN PÚBLICA -
Qué
3
Cuándo puede 4 consecuencias
suceder?
tendría su
materialización?
Paso 2: Identificación
del Riesgo
Para los riesgos de seguridad digital se requiere como requisito básico la identificación de los
Activos.
1 Pérdida de la confidencialidad
- FUNCIÓN PÚBLICA -
2 Pérdida de la integridad
3 Pérdida de la disponibilidad
Para los riesgos relacionados con posibles actos de corrupción tomar en cuenta la matriz para la
definición del riesgo de corrupción.
- FUNCIÓN PÚBLICA -
Los riesgos de corrupción se establecen sobre procesos. El riesgo debe
estar descrito de manera clara y precisa. Su redacción no debe dar lugar
a ambigüedades o confusiones con la causa generadora de los mismos.
Con el fin de facilitar la identificación de riesgos de corrupción y de evitar
que se presenten confusiones entre un riesgo de gestión y uno de
corrupción, se sugiere la utilización de la Matriz de definición de riesgo
de corrupción, que incorpora cada uno de los componentes de su
definición.
Determine con respecto a los siguientes procesos si el enunciado corresponde a Riesgo, Causa o Consecuencia
- FUNCIÓN PÚBLICA -
GESTIÓN HUMANA Planeación Inadecuada CAUSA
GESTIÓN FINANCIERA Emitir Estados financieros que no reflejen la realidad de la entidad RIESGO
GESTIÓN CONTRACTUAL Pérdida de recursos de la Entidad CONSECUENCIA
PLANEACIÓN INSTITUCIONAL Generación de lineamientos que no contribuye al logro del objetivo institucional RIESGO
Inadecuado funcionamiento de la plataforma tecnológica donde se realiza el seguimiento a la
PLANEACIÓN INSTITUCIONAL CAUSA
planeación
ATENCIÓN AL USUARIO Orientación técnica incompleta (sin fondo) RIESGO
GESTIÓN FINANCIERA Errores en los soportes de pago a proveedores CAUSA
Contratar los bienes, servicios u obras requeridos sin las especificaciones técnicas y de calidad
GESTIÓN CONTRACTUAL RIESGO
necesarias
GESTIÓN HUMANA Errores en la liquidación de nómina, seguridad social y/o parafiscal. RIESGO
ATENCIÓN AL USUARIO No contar con digiturno CAUSA
Paso 2: Identificación
del Riesgo - Causas
La identificación del riesgo se lleva a cabo determinando las
causas con base en el contexto interno, externo y del proceso
p
que pueden afectar el logro de los objetivos.
Políticos: Este apartado se refiere entre otras a políticas gubernamentales,
período gubernamental, elecciones, situación política de la región.
- FUNCIÓN PÚBLICA -
(D) DEBILIDADES
negativos internos)
(factores (O) OPORTUNIDADES (factores
positivos externos)
S Sociales: Abarca aspectos demográficos, población
desplazados, factores étnicos y religiosos, entre otros.
vulnerable,
T
MATRIZ DOFA Tecnológicos: Cubre la tecnología en la industria, la agricultura, los servicios
Identificación de factores y las Tics, adicional las tendencias tecnológicas asociadas con las políticas
de Estado, entre otros.
(F) FORTALEZAS (factores (A) AMENAZAS (factores negativos
positivos internos) externos)
E
Ecológicos: Uso de combustibles fósiles y su influencia en el cambio
climático, la contaminación del aire, suelo, tierra, agua, residuos, reciclaje,
energías renovables, entre otros.
L
Legales: Legislación cambiante, legislación sobre empleo, licencias,
propiedad industrial, entre otros.
Paso 2: Identificación
del Riesgo - Causas Una vez realizado el análisis de Defina porqué se genera el
Contexto riesgo?
CONTEXTO ESTRATÉGICO
PROCESO: GESTIÓN CONTRACTUAL
OBJETIVO: Adquirir con oportunidad y calidad técnica los bienes y servicios requeridos por la entidad para su
continua operación.
FACTORES FACTORES
CAUSAS CAUSAS
EXTERNOS INTERNOS
- FUNCIÓN PÚBLICA -
Nuevas regulaciones y
Carencia de controles en el
Normatividad requerimientos en materia Procedimientos
procedimiento de contratación
contractual.
Inadecuadas políticas de
Políticas
operación
Paso 2: Identificación
del Riesgo
Análisis de Causas
Nro CAUSAS (amenazas y debilidades) P1 P2 P3 P4 P5 P6 Tot Prom
Los objetivos estratégicos y de proceso se desarrollan a través
de actividades, pero no todas tienen la misma importancia, por 1 Insuficiente capacitación del 10 8 9 7 10 9 53 8,8
tanto se debe establecer cuáles de ellas contribuyen personal de contratos.
mayormente al logro de los objetivos y estas son las actividades
críticas o factores claves de éxito; estos factores se deben tener 2 Fallas en la radicación de 1 6 2 6 5 6 26 4,3
- FUNCIÓN PÚBLICA -
proveedores
4 Inadecuadas políticas de 7 9 7 8 7 10 48 8,0
Priorización de Causas operación
5 Desconocimiento de la 6 4 3 1 2 1 17 2,8
CRITERIOS DE PRIORIZACIÓN normatividad contractual
• En esta matriz se deben incluir todas las debilidades y
6 Débil gestión de adquisiciones 2 1 5 2 1 2 13 2,2
amenazas identificadas en el establecimiento del
contexto 7 Desconocimiento de los 8 7 10 9 8 7 49 8,2
• Cada integrante priorizará en orden de importancia de cambios en la regulación
menor a mayor las causas utilizando una escala donde 1 contractual
es la de menor importancia y «N» la de mayor 8 Alteraciones de orden publico. 4 2 6 3 3 5 23 3,8
importancia dependiendo del número de causas.
9 Carencia de controles en el 9 10 8 10 9 8 54 9,0
• Un integrante del grupo debe organizar en la tabla las procedimiento de contratación
calificaciones y calcular el promedio aritmético de cada
causa, siendo las de mayor promedio las causas raíz. 10 Normograma desactualizado 4 2 6 3 3 5 23 3,8
Paso 2: Identificación
del Riesgo Ejemplo
Proceso Contratación:
Objetivo “Adquirir con oportunidad y calidad técnica los bienes y
servicios requeridos por la entidad para su continua operación”
hechos que se han materializado o se cuenta con un historial de 3 Posible El evento podrá ocurrir en algún momento Al menos 1 vez en los
últimos 2 años.
situaciones o eventos asociados al riesgo, y factibilidad implica
2 Improbable El evento puede ocurrir en algún momento Al menos 1 vez en los
analizar la presencia de factores internos y externos que pueden últimos 5 años.
propiciar el riesgo, se trata en este caso de un hecho que no se ha 1 Rara vez El evento puede ocurrir solo en No se ha presentado en
circunstancias excepcionales (poco los últimos 5 años.
comunes o anormales)
presentado pero es posible que suceda.
Importante
El análisis de frecuencia deberá ajustarse dependiendo del proceso y de la
disponibilidad de datos históricos sobre al evento o riesgo identificado. En caso de
no contar con datos históricos, se trabajará de acuerdo con la experiencia de los
funcionarios que desarrollan el proceso y de sus factores internos y externos.
(Revisar matriz de análisis de priorización de probabilidad).
Paso 3: valoración del riesgo
Criterios para calificar el Impacto – Riesgos de Gestión
Nivel Impacto (consecuencias) Cuantitativo Impacto (consecuencias) Cualitativo
- Impacto que afecte la ejecución presupuestal en un valor ≥50% - Interrupción de las operaciones de la Entidad por más de cinco (5) días.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%. - Intervención por parte de un ente de control u otro ente regulador.
CATASTRÓFICO
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total - Pérdida de Información crítica para la entidad que no se puede recuperar.
de la entidad en un valor ≥50% - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente ejecución presupuestal.
regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad. - Imagen institucional afectada en el orden nacional o regional por actos o hechos de
corrupción comprobados.
- Impacto que afecte la ejecución presupuestal en un valor ≥20% - Interrupción de las operaciones de la Entidad por más de dos (2) días.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%. - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.
- FUNCIÓN PÚBLICA -
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total - Sanción por parte del ente de control u otro ente regulador.
de la entidad en un valor ≥20% - Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las
MAYOR
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente metas de gobierno.
regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad. - Imagen institucional afectada en el orden nacional o regional por incumplimientos en la
prestación del servicio a los usuarios o ciudadanos.
- Impacto que afecte la ejecución presupuestal en un valor ≥5% - Interrupción de las operaciones de la Entidad por un (1) día.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%. - Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total reguladores o una demanda de largo alcance para la entidad.
MODERADO
de la entidad en un valor ≥5% - Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente - Reproceso de actividades y aumento de carga operativa.
regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad. - Imagen institucional afectada en el orden nacional o regional por retrasos en la
prestación del servicio a los usuarios o ciudadanos.
- Investigaciones penales, fiscales o disciplinarias.
- Impacto que afecte la ejecución presupuestal en un valor ≥1% - Interrupción de las operaciones de la Entidad por algunas horas.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%. - Reclamaciones o quejas de los usuarios que implican investigaciones internas
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total disciplinarias.
MENOR
de la entidad en un valor ≥1% - Imagen institucional afectada localmente por retrasos en la prestación del servicio a los
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente usuarios o ciudadanos.
regulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5% - No hay interrupción de las operaciones de la entidad.
INSIGNIFICANTE
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%. - No se generan sanciones económicas o administrativas.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total - No se afecta la imagen institucional de forma significativa.
de la entidad en un valor ≥0,5%
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente
regulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.
- FUNCIÓN PÚBLICA -
Afectación ≥X% del presupuesto anual de la entidad
MENOR 2 Afectación leve de la disponibilidad
Afectación leve del Medio Ambiente requiere de ≥X días de
Afectación leve de la confidencialidad
recuperación
Afectación moderada de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación ≥X% de la población
Afectación moderada de la disponibilidad de la información
Afectación ≥X% del presupuesto anual de la entidad
MODERADO 3 debido al interés particular de los empleados y terceros
Afectación leve del Medio Ambiente requiere de ≥X
Afectación moderada de la confidencialidad de la
semanas de recuperación
información debido al interés particular de los empleados y
terceros
Afectación grave de la integridad de la información debido al
Afectación ≥X% de la población
interés particular de los empleados y terceros
Afectación ≥X% del presupuesto anual de la entidad
Afectación grave de la disponibilidad de la información
MAYOR 4 Afectación importante del Medio Ambiente que requiere de
debido al interés particular de los empleados y terceros
≥X meses de recuperación
Afectación grave de la confidencialidad de la información
debido al interés particular de los empleados y terceros
Afectación muy grave de la integridad de la información
debido al interés particular de los empleados y terceros
Afectación ≥X% de la población
Afectación muy grave de la disponibilidad de la información
CATASTRÓFICO 5 Afectación ≥X% del presupuesto anual de la entidad
debido al interés particular de los empleados y terceros
Afectación muy grave del Medio Ambiente que requiere de
Afectación muy grave confidencialidad de la información
≥X años de recuperación
debido al interés particular de los empleados y terceros
- FUNCIÓN PÚBLICA -
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida X
del bien o servicios o los recursos públicos?
9 ¿Generar pérdida de información de la Entidad? X
10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? X
11 ¿Dar lugar a procesos sancionatorios? X
12 ¿Dar lugar a procesos disciplinarios? X
13 ¿Dar lugar a procesos fiscales? X
Nivel de
14 ¿Dar lugar a procesos penales? Impacto X
15 ¿Generar pérdida de credibilidad del sector? MAYOR X
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? X
17 ¿Afectar la imagen regional? X
Importante 18 ¿Afectar la imagen nacional? X
Se debe diligenciar una tabla de estas por 19 ¿Genera daño ambiental X
cada riesgo de corrupción identificado. Responder afirmativamente de UNO a CINCO pregunta(s) genera un impacto Moderado.
10
Los niveles de impacto Insignificante y Responder afirmativamente de SEIS a ONCE preguntas genera un impacto Mayor.
Responder afirmativamente de DOCE a DIECIOCHO preguntas genera un impacto Catastrófico.
Menor no aplica para riesgos de
MODERADO Genera medianas consecuencias sobre la entidad
corrupción.
MAYOR Genera altas consecuencias sobre la entidad.
Paso 3: valoración del riesgo
Mapa de Calor
Se toma la calificación de probabilidad (resultante de la tabla Matriz de
priorización de probabilidad), en el ejemplo: probable y la calificación de impacto,
para nuestro ejemplo: mayor; ubique la calificación de probabilidad en la fila y la
de impacto en la columnas correspondientes, establezca el punto de cruce de
las dos y este punto corresponderá al nivel de riesgo, que para el ejemplo es
nivel extremo – color rojo R1así el riesgo inherente..
determinando
Paso 3: valoración del riesgo
Importante
Aunque se utilice el mismo mapa de calor , para los riesgos de gestión y de
corrupción, a estos últimos sólo les aplican las columnas de impacto Moderado,
Mayor y Catastrófico.
Tratamiento del riesgo
Es la respuesta establecida por la Primer Línea de Defensa para la mitigación de
los diferentes riesgos. Ningún riesgo de corrupción podrá ser aceptado.
- FUNCIÓN PÚBLICA -
medida que afecte la
probabilidad o el impacto impacto del riesgo, o ambos;
del riesgo. por lo general conlleva a la
implementación de controles.
OPCIONES DE
TRATAMIENTO
Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no es necesario poner controles y el riesgo puede ser aceptado. Esto
debería aplicar para riesgos inherentes en la zona de calificación de riesgo bajo.
- FUNCIÓN PÚBLICA -
ACEPTAR
No se adopta ninguna medida que afecte la
probabilidad o el impacto del riesgo.
La aceptación del riesgo puede ser una opción viable en la entidad, para los riesgos bajos, pero también
pueden existir escenarios de riesgos a los que no se les puedan aplicar controles y por ende, se acepta el
riesgo. En ambos escenarios debe existir un seguimiento continuo del riesgo.
Evitar el Riesgo
Cuando los escenarios de riesgo identificado se consideran demasiados extremos, se puede tomar una decisión para evitar el riesgo, mediante la
cancelación de una actividad o conjunto de actividades.
- FUNCIÓN PÚBLICA -
EVITAR
Se abandonan las actividades que dan lugar al riesgo,
decidiendo no iniciar o no continuar con la actividad
que causa el riesgo.
NO HAY RIESGOS
DESPUES DE
MEDIDA DE
TRATAMIENTO
Desde el punto de vista de los responsables de la toma de decisiones, este tratamiento es simple, la menos
arriesgada y menos costosa, pero es un obstáculo para el desarrollo de las actividades de la entidad y por lo
tanto hay situaciones donde no es una opción.
Compartir el Riesgo
Cuando es muy difícil para la entidad reducir el riesgo a un nivel aceptable, o se carece de conocimientos necesarios para gestionarlo, el riesgo puede ser
compartido con otra parte interesada que pueda gestionarlo con mas eficacia. Cabe señalar que normalmente no es posible transferir la responsabilidad del
riesgo.
RIESGO MEDIDA DE TRATAMIENTO
ANTES DE
MEDIDA DE
TRATAMIENTO
- FUNCIÓN PÚBLICA -
COMPARTIR RIESGO
DESPUES DE
Se reduce la probabilidad o el impacto del riesgo, MEDIDA DE
transfiriendo o compartiendo una parte del riesgo. TRATAMIENTO
Los dos principales métodos de compartir o transferir parte del riesgo son por ejemplo: seguros y
tercerización. Estos mecanismos de transferencia de riesgos deberían estar formalizados a través de un
acuerdo contractual.
Reducir el Riesgo
El nivel de riesgo debería ser administrado mediante el establecimiento de controles, de modo que el riesgo residual se pueda reevaluar como
algo aceptable para la entidad. Estos controles disminuyen normalmente la probabilidad y/o el impacto del riesgo.
- FUNCIÓN PÚBLICA -
REDUCIR
Se adoptan medidas para reducir la probabilidad o el
impacto del riesgo, o ambos; esto conlleva a la
implementación de controles. RIESGO
DESPUES DE
MEDIDA DE
TRATAMIENTO
Deberían seleccionarse controles apropiados y con una adecuada segregación de funciones, permitiendo
que el tratamiento al riesgo adoptado, logre la reducción prevista sobre el riesgo.
Taller 3
Valoración del Riesgo – Evaluación Controles
- FUNCIÓN PÚBLICA -
Paso 3: Valoración del riesgo – Tratamiento del
Riesgo
- FUNCIÓN PÚBLICA -
ACTIVIDADES DE CONTROL
DOCUMENTADAS EN
Políticas Procedimientos
CLASIFICACIÓN DE LAS
ACTIVIDADES DE CONTROL
- FUNCIÓN PÚBLICA -
CONTROLES PREVENTIVOS CONTROLES DETECTIVOS
Revisión al cumplimiento de los requisitos Realizar una conciliación bancaria, para verificar
contractuales, en el proceso de selección del EJEMPLO que los saldos en libros corresponden con los
contratista o proveedor. saldos en Bancos.
Diseño de Controles PASO
Debe tener definido el responsable de realizar la actividad de
control.
1
PASO
Debe tener una periodicidad definida para su ejecución.
2
- FUNCIÓN PÚBLICA -
PASO
VARIABLES A EVALUAR Debe indicar cuál es el propósito del control.
PARA EL ADECUADO 3
DISEÑO DE PASO
CONTROLES Debe establecer el cómo se realiza la actividad de control.
4
PASO
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
5
PASO
Debe dejar evidencia de la ejecución del control.
6
PASO
Debe tener definido el responsable de realizar la actividad de
control.
1
- FUNCIÓN PÚBLICA -
Cuando un control se hace de manera manual (ejecutado por Cuando el control lo hace un sistema o una aplicación de manera
personas) es importante establecer el cargo responsable de su automática a través de un sistema programado, es importante
El Profesional de Contratación
El Auxiliar de Cartera. El aplicativo de nomina.
El Coordinador de Operaciones. EJEMPLO El aplicativo de contratación.
El aplicativo de activos fijos
La Coordinadora de Nomina.
PASO
Debe tener una periodicidad definida para su ejecución.
2
El control debe tener una periodicidad especifica para su ejecución (diario, mensual,
trimestral, anual) .
- FUNCIÓN PÚBLICA -
Su ejecución debe ser consistente y oportuna para la mitigación del riesgo, se debe evaluar si
con la periodicidad aplicada se previene o detecta de manera oportuna el riesgo
EJEMPLO
PASO
Debe indicar cuál es el propósito del control.
3
Para qué se realiza el control? (Verificar, validar, conciliar, comparar, revisar, cotejar,
detectar)
- FUNCIÓN PÚBLICA -
realizar un contrato verifica que la información
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación.
PASO
Debe establecer el cómo se realiza la actividad de control.
4
El profesional de Contratación cada vez que se va a realizar un contrato verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor.
PASO
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
5
- FUNCIÓN PÚBLICA -
de manera oportuna los correctivos o aclaraciones a las diferencias presentadas u
observaciones.
El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación.
Esta evidencia ayuda a que se pueda revisar la misma información por parte de un
tercero y llegue a la misma conclusión de quien ejecutó el control.
Se pueda evaluar que el control realmente fue ejecutado de acuerdo a los parámetros
establecidos en el diseño.
- FUNCIÓN PÚBLICA -
El profesional de Contratación cada vez que se va a realizar un contrato, verifica que la información suministrada
por el proveedor corresponda con los requisitos establecidos de contratación, a través de una lista de chequeo
donde están los requisitos de información y la revisión con la información física suministrada por el proveedor. En
caso de encontrar información faltante, requiere al proveedor a través de correo para el suministro de la
información y poder continuar con el proceso de contratación. Como evidencia deja Lista de Chequeo diligenciada
con la información de la carpeta del cliente, y correos solicitando la información faltante en los casos que aplique.
Paso 3: Valoración del riesgo – Diseño de Controles
- FUNCIÓN PÚBLICA -
DISEÑO EJECUCIÓN
Que cumpla con los 6 aspectos El control se ejecuta como fue diseñado y
explicados de manera consistente.
- FUNCIÓN PÚBLICA -
¿ La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación
2. Periodicidad Oportuna Inoportuna
del riesgo o a detectar la materialización del riesgo de manera oportuna?
¿Las actividades que se desarrollan en el control realmente buscan por si
Prevenir
3. Propósito sola prevenir o detectar las causas que pueden dar origen al riesgo, ejemplo No es un control
Detectar
Verificar, Validar Cotejar, Comparar, Revisar (…)?
4. Cómo se realiza la actividad de ¿La fuente de información que se utiliza en el desarrollo del control es
Confiable No confiable
control información confiable que permita mitigar el riesgo.
No se investigan ni
¿Las observaciones , desviaciones o diferencias identificadas como Se investigan y
5. Qué pasa con las observaciones o se resuelven
resultados de la ejecución del control son investigadas y resueltas de manera resuelven
desviaciones oportunamente
oportuna? oportunamente
- FUNCIÓN PÚBLICA -
Inoportuna 0
Prevenir 15
3. Propósito Detectar 10
No es un control 0
Ejecución
4. Cómo se realiza la Confiable 15
actividad de control Rango
No Confiable 0 Opción de Respuesta al Criterio de
Calificación de la
Evaluación
5. Qué pasa con las Se investigan y resuelven oportunamente 15 Ejecución
observaciones o
desviaciones No se investigan ni resuelven oportunamente 0 El control se ejecuta de manera
Fuerte consistente por parte del
Completa 10 responsable
6. Evidencia de Ejecución El control se ejecuta algunas veces
Incompleta 5 Moderado
del Control por parte del responsable
No Existe 0 El control no se ejecuta por parte del
Débil
responsable
Diseño
EJEMPLO Criterio de Evaluación
Opción de Respuesta al Criterio de
Evaluación
Peso en la Evaluación
del Diseño del control
Asignado (Califica 15) 15
1. Asignación del Responsable
No asignado (Califica 0)
Adecuado (Califica 15) 15
2. Segregación y autoridad del
responsable Inadecuado (Califica 0)
El profesional de Contratación cada vez que se va a 2. Periodicidad
Oportuna (Califica 15) 15
realizar un contrato, verifica que la información Inoportuna (Califica 0)
Prevenir (Califica 15) 15
suministrada por el proveedor corresponda con los Detectar (Califica 10)
3. Propósito
requisitos establecidos de contratación, a través de No es un control (Califica 0)
- FUNCIÓN PÚBLICA -
una lista de chequeo donde están los requisitos de
4. Cómo se realiza la actividad de Confiable (Califica 15) 15
información y la revisión con la información física control No Confiable (Califica 0)
suministrada por el proveedor. En caso de encontrar
Se investigan y resuelven oportunamente 15
información faltante, requiere al proveedor a través de 5. Qué pasa con las observaciones o (Califica 15)
correo para el suministro de la información y poder desviaciones No se investigan ni resuelven
continuar con el proceso de contratación. Como oportunamente (Califica 0)
evidencia deja Lista de Chequeo diligenciada con la Completa (Califica 10) 10
información de la carpeta del cliente, y correos 6. Evidencia de Ejecución del Control Incompleta (Califica 5)
No Existe (Califica 0)
solicitando la información faltante en los casos que TOTAL
aplique. Evaluación Final del Control 100
Tipo Control: Preventivo Rango Calificación del Diseño Opción de Respuesta al Criterio de Evaluación
Directamente ataca probabilidad de Fuerte Calificación entre 96 y 100
ocurrencia del riesgo e indirectamente Moderado Calificación entre 86 y 95
ataca el impacto Débil Calificación entre 0 y 85
EJEMPLO
Ejecución
El profesional de Contratación cada vez que se va a
Rango Calificación de la
realizar un contrato, verifica que la información Ejecución
Opción de Respuesta al Criterio de Evaluación
suministrada por el proveedor corresponda con los El control se ejecuta de manera consistente por
requisitos establecidos de contratación, a través de Fuerte
parte del responsable
- FUNCIÓN PÚBLICA -
una lista de chequeo donde están los requisitos de El control se ejecuta algunas veces por parte del
Moderado
información y la revisión con la información física responsable
suministrada por el proveedor. En caso de encontrar Débil El control no se ejecuta por parte del responsable
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder
continuar con el proceso de contratación. Como
evidencia deja Lista de Chequeo diligenciada con la
información de la carpeta del cliente, y correos
solicitando la información faltante en los casos que
aplique.
Solidez del Control Integralmente (Diseño y Ejecución)
Peso del diseño individual El Control se ejecuta de manera Solidez individual de cada control Aplica acciones para
o promedio de los consistente por los responsables. Fuerte:100 Moderado:50 fortalecer el Control
Controles. (DISEÑO) (EJECUCION) Debil:0 Si / NO
Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte NO
Fuerte Moderado ( Algunas veces) Fuerte + Moderado = Moderado SI
- FUNCIÓN PÚBLICA -
Calificación Entre 96 y 100 Débil (No se ejecuta) Fuerte + Débil = Débil SI
Fuerte (Siempre se ejecuta) Moderado + Fuerte = Moderado SI
Moderado Moderado (Algunas veces) Moderado + Moderado = Moderado SI
Calificación Entre 86 y 95
Débil (No se ejecuta) Moderado + Débil = Débil SI
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil SI
Débil
Entre 0 y 85 Moderado (Algunas veces) Débil + Moderado = Débil SI
Débil (No se ejecuta) Débil + Débil = Débil SI
EJEMPLO
Solidez del Control Integralmente (Diseño y Ejecución)
Peso del diseño
Solidez individual de cada
individual o El Control se ejecuta de manera
control Fuerte:100
El profesional de Contratación cada vez que se va a promedio de los consistente por los responsables.
Moderado:50
Controles. (EJECUCION)
realizar un contrato, verifica que la información Debil:0
(DISEÑO)
suministrada por el proveedor corresponda con los
requisitos establecidos de contratación, a través de Fuerte (Siempre se ejecuta) Fuerte + Fuerte = Fuerte
- FUNCIÓN PÚBLICA -
una lista de chequeo donde están los requisitos de Moderado ( Algunas veces)
Fuerte Fuerte + Moderado =
información y la revisión con la información física Calificación Entre Moderado
suministrada por el proveedor. En caso de encontrar 95 y 100 Débil (No se ejecuta) Fuerte + Débil = Débil
información faltante, requiere al proveedor a través de
correo para el suministro de la información y poder Fuerte (Siempre se ejecuta) Moderado + Fuerte =
continuar con el proceso de contratación. Como Moderado
evidencia deja Lista de Chequeo diligenciada con la Moderado
Calificación Entre Moderado (Algunas veces) Moderado + Moderado =
información de la carpeta del cliente, y correos
86 y 94 Moderado
solicitando la información faltante en los casos que
Débil (No se ejecuta) Moderado + Débil = Débil
aplique.
Fuerte (Siempre se ejecuta) Débil + Fuerte = Débil
Débil
Entre 0 y 85 Moderado (Algunas veces) Débil + Moderado = Débil
Débil (No se ejecuta) Débil + Débil = Débil
Solidez del Control Integralmente (Diseño y Ejecución)
- FUNCIÓN PÚBLICA -
Causa 2 Control 3 Débil Fuerte Débil (0) controles?
- FUNCIÓN PÚBLICA -
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Riesgos de
Moderado No disminuye Directamente 0 1 corrupción
- FUNCIÓN PÚBLICA -
disminuir Impacto desplaza en el eje de desplaza en el eje de
controles. probabilidad
la Probabilidad Impacto
Fuerte Directamente Directamente 2 2
Fuerte Directamente Indirectamente 2 1
Fuerte Directamente No Disminuye 2 0
Fuerte No disminuye Directamente 0 2
Moderado Directamente Directamente 1 1
Moderado Directamente Indirectamente 1 0
Moderado Directamente No Disminuye 1 0
Moderado No disminuye Directamente 0 1
Resultados del Mapa de Riesgo Residual.
Una vez realizado el análisis y evaluación de los controles para la mitigación de los
riesgos, procedemos a la elaboración del mapa de riesgo residual (después de los
controles ).
- FUNCIÓN PÚBLICA -
e impacto como se muestra en la siguiente gráfica:
diligenciad realice un
contratación Para cada contrato, verifica que la a con la contrato
información suministrada por el informació
proveedor corresponda con los n de la
- FUNCIÓN PÚBLICA -
requisitos establecidos de carpeta
contratación, a través de una lista de del cliente,
chequeo donde están los requisitos y correos
de información y la revisión con la solicitando
información física suministrada por el la
proveedor informació
n faltante
Improbable
en los
Moderado
Moderado
Operativo
casos que
aplique
Inadecuadas políticas de
operación
03. Rol de las líneas de defensa
dentro de la gestión del riesgo
El monitoreo y revisión de la gestión de riesgos, esta alineada con la dimensión de MIPG de Control Interno, que se desarrolla con el MECI a través
de un esquema de asignación de responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como sigue:
LÍNEA ESTRATÉGICA
A cargo de la Alta Dirección y Comité Institucional de Coordinación de Control Interno
Este nivel analiza los riesgos y amenazas institucionales al cumplimiento de los planes estratégicos, tendrá la responsabilidad de definir
el marco general para la gestión del riesgo (política de administración del riesgo) y garantiza el cumplimiento de los planes de la entidad.
- FUNCIÓN PÚBLICA -
1ª. Línea de Defensa 2ª. Línea de Defensa 3ª. Línea de Defensa
• Media y Alta Gerencia: Jefes de planeación o
• A cargo de la Oficina de Control Interno,
• Controles de Gerencia Operativa quienes hagan sus veces, coordinadores de
Auditoría Interna o quién haga sus veces
(Líderes de proceso y sus equipos). equipos de trabajo, comités de riesgos (donde
existan), comité de contratación, áreas
• La función de la auditoría interna, a través
• La gestión operacional se encarga del financieras, de TIC, entre otros que generen
de un enfoque basado en el riesgo,
mantenimiento efectivo de controles información para el Aseguramiento de la
proporcionará aseguramiento objetivo e
internos, ejecutar procedimientos de operación.
• independiente sobre la eficacia de
riesgo y el control sobre una base del día Asegura que los controles y procesos de
gobierno, gestión de riesgos y control
a día. La gestión operacional identifica, gestión del riesgo de la 1ª Línea de Defensa
interno a la alta dirección de la entidad,
evalúa, controla y mitiga los riesgos. sean apropiados y funcionen correctamente,
incluidas las maneras en que funciona la
supervisan la implementación de prácticas de
primera y segunda línea de defensa.
gestión de riesgo eficaces.
Línea Estratégica
Formular la Política de Administración del Riesgo y supervisar su cumplimiento, determinar los niveles de la aceptación o tolerancia al riesgo.
Generar lineamientos y dar a conocer cambios en el entorno (interno y externo) que puedan afectar el logro de los objetivos.
Revisión del adecuado desdoblamiento de los objetivos institucionales a los objetivos de procesos, que han servido de base para llevar a cabo la identificación de los
riesgos.
- FUNCIÓN PÚBLICA -
controles a los riesgos; elaborar, hacer seguimiento
evaluación del riesgo y la efectividad de los
y actualizar el mapa de riesgos de su proceso. Elaborar informes consolidados acorde con los estándares de
controles, en cumplimiento de su rol “Evaluación
reporte definidos por la Alta Dirección en los temas clave
de la Gestión del Riesgo”.
establecidos, con especial énfasis la gestión del riesgo y su
Oficinas de Planeación o quienes hacen sus impacto frente al logro de los objetivos. Alertar sobre la probabilidad de riesgo de fraude
veces: o corrupción en las áreas auditadas
Definir mecanismos que permitan dar a conocer y Monitorear los riesgos definidos como aceptables en la Política
profundizar en los servidores la política de de Riesgos Institucional y generar las alertas al Comité Evaluar la efectividad y la aplicación de
riesgos, su metodología y correcta aplicación. Institucional de Coordinación de Control Interno sobre posibles controles, planes de contingencia y actividades
cambios en los factores de riesgo analizados. de monitoreo vinculadas a los cambios que
Asesorar a los líderes de los procesos y sus pueden afectar el Sistema de Control Interno
equipos en la identificación de riesgos a los Líderes de Proceso para el cumplimiento de los objetivos.
procesos, acorde con la política de riesgos Generar reportes a la Oficina Asesora de Planeación, así como
establecida. a la OCI en relación con materializaciones de riesgo, a fin de
tomar las acciones correspondientes.
Trabajar de forma coordinada con la OCI de la
entidad para la incorporación de mejoras a la Informar oportunamente a la Oficina Asesora de Planeación
gestión del riesgo en la entidad. sobre cambios en los factores internos o externos que afecten la
identificación de riesgos del proceso.
¡Gracias!