· Web viewEl Ministerio del Interior se compromete con la asignación de los recursos,...
Transcript of · Web viewEl Ministerio del Interior se compromete con la asignación de los recursos,...
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 1 de 15
FECHA VIGENCIA 24/09/2020
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS.Oficina Asesora de PlaneaciónSeptiembre 2020
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 2 de 15
FECHA VIGENCIA 24/09/2020
Tabla de contenido
Pág.1. OBJETIVO....................................................................................................................................32. ALCANCE.....................................................................................................................................33. CONDICIONES GENERALES..................................................................................................34. DEFINICIONES O GLOSARIO.................................................................................................35. DESCRIPCIÓN.............................................................................................................................56. BIBLIOGRAFIA..........................................................................................................................157. CONTROL DE CAMBIOS........................................................................................................158. CONTROL DE FORMALIZACIÓN.........................................................................................15
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 3 de 15
FECHA VIGENCIA 24/09/2020
1. OBJETIVOEstablecer e implementar los lineamientos generales e instrumentos requeridos para la administración y control de los riesgos que puedan afectar el logro de los objetivos institucionales y de proceso, con el propósito de minimizar posibles desviaciones y efectos nocivos para la entidad.
…2. ALCANCE
Los lineamientos de esta política de administración de riesgos, deben aplicarse por parte de los responsables de acuerdo con su rol definido en las líneas de defensa de manera transversal, a los objetivos estratégicos, procesos, planes, programas y proyectos de la Entidad, desde la identificación del contexto del riesgo hasta el seguimiento, tratamiento y comunicación de la información resultante de la administración de este; desarrollado mediante el instructivo vigente de "Metodología para la Administración de Riesgos”.
…3. CONDICIONES GENERALES
3.1 El Ministerio del Interior se compromete con la asignación de los recursos, condiciones, lineamientos, responsabilidades e instrumentos necesarios para la adecuada administración de los riesgos, asegurando de este modo, el logro de sus objetivos e iniciativas, y el acceso a los derechos de sus distintos grupos de valor, en el marco de la legalidad y la integridad; implementando las acciones necesarias para una efectiva administración del riesgo, que permitan su identificación, valoración, monitoreo, tratamiento y comunicación en coherencia con los roles que desempeña cada una de las líneas de defensa.
3.2 Una vez realizada la fase de valoración del riesgo después de definidos los controles se debe aplicar la opción de tratamiento. Esto se define a partir de datos cuantitativos del nivel de riesgo residual, de la importancia del riesgo, lo cual incluye el efecto que puede tener sobre la entidad, la probabilidad e impacto de este y la relación costo-beneficio de las medidas de tratamiento.
3.3 Las medidas de tratamiento de control a riesgos se deben aplicar a los riesgos ubicados en las zonas de riesgo moderado, alto y extremo.
3.4 El nivel de aceptación de los riesgos está ligado al resultado de la evaluación del diseño y ejecución de los controles, en este sentido, un riesgo puede ser aceptado cuando este se ubique en una zona baja dentro de la matriz de calor; para ello, debe presentar controles que en su conjunto tengan una calificación fuerte.
4. DEFINICIONES O GLOSARIO
Apetito de Riesgo: magnitud y tipo de riesgo que una organización está dispuesta a buscar o retener.
Causa: son todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo.
Consecuencia: hace referencia a los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 4 de 15
FECHA VIGENCIA 24/09/2020
Control: medida que modifica el riesgo (procesos, políticas, dispositivos, prácticas u otras acciones).
Factores: hace referencia a las categorías de análisis del contexto externo, interno y del proceso.
Fuente de Riesgo: elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo (NTC-ISO 31000:2018).
Gestión o Administración del Riesgo: actividades coordinadas para dirigir y controlar la organización con relación al riesgo.
Impacto: se entiende como las consecuencias que puede ocasionar a la organización la materialización del riesgo.
Iniciativas Estratégicas: hace referencia a los planes, programas y proyectos del Ministerio del Interior.
MECI: Modelo Estándar de Control Interno.
Medidas de control de riesgos: se orientan evitar o reducir la probabilidad de ocurrencia de eventos que pueden desviar el logro de los objetivos.
Medidas de financiamiento de riesgos: están relacionadas con la opción de a aceptar, compartir o transferir el riesgo a través de la implementación de contratos de seguro y/o tercerización. En el caso de aceptar, implica hacerse cargo, responsabilizarse y asumir las consecuencias en el momento en que llegase a materializarse el riesgo.
MIPG: Modelo Integrado de Planeación y Gestión.
Probabilidad: se entiende como la posibilidad de ocurrencia del riesgo. Esta puede ser medida con criterios de frecuencia o factibilidad.
Riesgos de gestión: posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los objetivos. Se expresa en términos de probabilidad y consecuencias.
Riesgos de corrupción: posibilidad que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.
Riesgos de seguridad digital: combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.
Riesgo Inherente: es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto.
Riesgo Residual: nivel de riesgo que permanece luego de tomar sus correspondientes medidas de tratamiento.
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 5 de 15
FECHA VIGENCIA 24/09/2020
5. DESCRIPCIÓN …
5.1 Estructura para la Administración de Riesgos
5.1.1 Metodología a utilizar
Comprende, los lineamientos de la política de administración de riesgos, el establecimiento del contexto interno y externo, la identificación del riesgo, la valoración del riesgo y la comunicación y consulta. El desarrollo de las diferentes etapas que se presentan a continuación, se describe en el instructivo vigente de “Metodología para la Administración de Riesgos”.
Ilustración 1: Gestión de los riesgos
Fuente: DAFP, 2018. Guía para la Administración del Riesgo y diseño de controles en entidades públicas
Vr. 02; 10/09/2020
Met
odol
ogía
par
a la
Ad
min
itrac
ión
de R
iesg
o
Política de administración de riesgos
Lineamientos de la política
Identificación de riesgos
Establecimiento del contexto
Identificación de riesgos
Valoración de riesgos
Análisis del Riesgo
Evaluación de Riesgo
Monitoreo y revisión
Seguimiento
Comunicación y consultaPublicación de
información de la gestión de riesgo
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 6 de 15
FECHA VIGENCIA 24/09/2020
5.1.2 Herramientas para la Gestión del Riesgo
El Ministerio del Interior cuenta con la matriz de Gestión de Riesgos y Mapa de Riesgos, como herramienta asociada al instructivo “Metodología para la Administración de Riesgos”. En esta se gestionan los riesgos de gestión, corrupción y seguridad digital, desde el establecimiento del contexto hasta el respectivo seguimiento de acuerdo con la periodicidad establecida en el siguiente numeral.
5.1.3 Análisis de Riesgos
El análisis de riesgos se orienta hacia la determinación de la probabilidad e impacto de ocurrencia del riesgo si no hubiese controles que lo prevengan o mitiguen, ubicándole en una Zona de Riesgo Inherente.
Calificación de la probabilidad
Por probabilidad se entiende la posibilidad de ocurrencia del riesgo, esta puede ser medida con criterios de frecuencia o factibilidad. A continuación, se describen los criterios para calificar la probabilidad:
Tabla 1. Criterios probabilidad - Frecuencia
Fuente: Función Pública, 2018
Tabla 2. Criterios probabilidad - Factibilidad
Factibilidad Probabilidad ConsolidadaParticipante 1 Participante 2 Participante 3 Participante 4
Improbable Posible Casi Seguro Rara vez Posible
Fuente: Función Pública, 2018
Vr. 02; 10/09/2020
Criterios para calificar la probabilidad
Nivel Descriptor Descripción Frecuencia
5 Casi seguro Se espera que el evento ocurra en la mayoría de las circunstancias. Más de 1 vez al año.
4 Probable Es viable que el evento ocurra en la mayoría de las circunstancias.
Al menos 1 vez en el último año.
3 Posible El evento podrá ocurrir en algún momento. Al menos 1 vez en los últimos 2 años.
2 Improbable El evento puede ocurrir en algún momento. Al menos 1 vez en los últimos 5 años.
1 Rara vezEl evento puede ocurrir solo en circunstancias excepcionales (poco comunes o anormales).
No se ha presentado en los últimos 5 años.
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 7 de 15
FECHA VIGENCIA 24/09/2020
Calificación del Impacto
Por impacto se entiende las consecuencias que puede ocasionar a la entidad la materialización del Riesgo. A continuación se describen las tablas de calificación del impacto para los riesgos de gestión, corrupción y seguridad digital:
Tabla 3. Criterios para calificación de impacto – Riesgos de Gestión
Nivel Impacto (consecuencias) cuantitativo Impacto (consecuencias) cualitativo
Cat
astr
ófic
o
- Impacto que afecte la ejecución presupuestal en un valor ≥50%.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50%.
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.
- Interrupción de las operaciones de la entidad por más de cinco (5) días.
- Intervención por parte de un ente de control u otro ente regulador.
- Pérdida de información crítica para la entidad que no se puede recuperar.
- Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal.
- Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.
May
or
- Impacto que afecte la ejecución presupuestal en un valor ≥20%.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥20%.
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.
- Interrupción de las operaciones de la entidad por más de dos (2) días.
- Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.
- Sanción por parte del ente de control u otro ente regulador. - Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno.
- Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 8 de 15
FECHA VIGENCIA 24/09/2020
Nivel Impacto (consecuencias) cuantitativo Impacto (consecuencias) cualitativo
Mod
erad
o
- Impacto que afecte la ejecución presupuestal en un valor ≥5%.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥5%.
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.
- Interrupción de las operaciones de la entidad por un (1) día.
- Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad.
- Inoportunidad en la información, ocasionando retrasos en la atención a los usuarios.
- Reproceso de actividades y aumento de carga operativa.
- Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos.
- Investigaciones penales, fiscales o disciplinarias.
Men
or
- Impacto que afecte la ejecución presupuestal en un valor ≥1%.
- Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥1%.
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥1% del presupuesto general de la entidad
- Interrupción de las operaciones de la entidad por algunas horas.
- Reclamaciones o quejas de los usuarios, que implican investigaciones internas disciplinarias.
- Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.
Insi
gnifi
cant
e
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5%. - Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%.
- Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥0,5%.
- Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥0,5% del presupuesto general de la entidad.
- No hay interrupción de las operaciones de la entidad.
- No se generan sanciones económicas o administrativas.
- No se afecta la imagen institucional de forma significativa.
Fuente: Función Pública, 2018
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 9 de 15
FECHA VIGENCIA 24/09/2020
Tabla 4. Criterios para calificación de impacto – Riesgos de Corrupción
N° Pregunta Si el riesgo se materializa podría… Respuesta Sí No
1 ¿Afecta al grupo de funcionario del proceso?
2 ¿Afecta el cumplimiento de metas y objetivos de la dependencia?
3 ¿Afecta el cumplimiento de metas y objetivos de la dependencia?
4 ¿Afecta el cumplimiento de la misión del sector al que pertenece la Entidad?
5 ¿Generan pérdida de confianza de la Entidad, afectando su reputación?
6 ¿Generar pérdida de recursos económicos?
7 ¿Afectar la generación de los productos o la prestación de servicios?
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien, servicios o recursos públicos?
9 ¿Generar pérdida de la información de la entidad?
10 ¿Generar intervención de los órganos de control, de la fiscalía u otro ente?
11 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la la pérdida del bien, servicios o recursos públicos?
12 ¿Dar lugar a procesos sancionatorios?
13 ¿Dar lugar a procesos fiscales?
14 ¿Dar lugar a procesos penales?
15 ¿Generar pérdida de credibilidad del sector?
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17 ¿Afectar la imagen regional?
18 ¿Afectar la imagen nacional?
19 ¿Generar daño ambiental?
Total de respuestas afirmativas
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 10 de 15
FECHA VIGENCIA 24/09/2020
N° Pregunta Si el riesgo se materializa podría… Respuesta Sí No
Responder afirmativamente de una (1) a cinco (5) preguntas genera un impacto moderado (genera medianas consecuencias sobre la entidad).Responder afirmativamente de seis (6) a once (11) preguntas genera un impacto mayor (Genera altas consecuencias sobre la entidad).Responder afirmativamente de doce (12) a diecinueve (19) preguntas genera un impacto catastrófico (Genera consecuencias desastrosas para la entidad).
Fuente: Función Pública, 2018
Tabla 5. Criterios para calificación de impacto – Riesgos de Seguridad Digital
Nivel Impacto (consecuencias) cuantitativo Impacto (consecuencias) cualitativo
Cat
astr
ófic
o
- Afectación ≥20% de los usuarios y/o beneficiarios.
- Afectación ≥50% del presupuesto anual de la entidad.
- Afectación muy grave del medio ambiente que requiere de ≥1 año de recuperación.
- Afectación muy grave de la integridad de la información debido al interés particular de los empleados y terceros.
- Afectación muy grave de la disponibilidad de la información debido al interés particular de los empleados y terceros.
- Afectación muy grave de la confidencialidad de la información debido al interés particular de los empleados y terceros.
May
or
- Afectación ≥10% de los usuarios y/o beneficiarios.
- Afectación ≥20% del presupuesto anual de la entidad.
- Afectación importante del medio ambiente que requiere de ≥6 meses de recuperación.
- Afectación grave de la integridad de la información debido al interés particular de los empleados y terceros.
- Afectación grave de la disponibilidad de la información debido al interés particular de los empleados y terceros.
- Afectación grave de la confidencialidad de la información debido al interés particular de los empleados y terceros.
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 11 de 15
FECHA VIGENCIA 24/09/2020
Nivel Impacto (consecuencias) cuantitativo Impacto (consecuencias) cualitativo
Mod
erad
o
- Afectación ≥5% de los usuarios y/o beneficiarios.
- Afectación ≥5% del presupuesto anual de la entidad.
Afectación leve del medio ambiente requiere de ≥4 semanas de recuperación.
- Afectación moderada de la integridad de la información debido al interés particular de los empleados y terceros.
- Afectación moderada de la disponibilidad de la información debido al interés particular de los empleados y terceros.
Afectación moderada de la confidencialidad de la información debido al interés particular de los empleados y terceros.
Men
or
- Afectación ≥1% de los usuarios y/o beneficiarios.
- Afectación ≥1% del presupuesto anual de la entidad.
Afectación leve del medio ambiente requiere de ≥15 días de recuperación.
- Afectación leve de la integridad.
- Afectación leve de la disponibilidad.
- Afectación leve de la confidencialidad
Insi
gnifi
cant
e
- Afectación ≥19% de los usuarios y/o beneficiarios.
- Afectación ≥0.5% del presupuesto anual de la entidad.
- No hay afectación medioambiental.
- Sin afectación de la integridad.
- Sin afectación de la disponibilidad.
- Sin afectación de la confidencialidad.
Fuente: Función Pública, 2018
5.1.4 Periodicidad para el monitoreo, revisión y seguimiento de los riesgos
El monitoreo y revisión de los riesgos corresponde a la Primera Línea de Defensa como un seguimiento constante a la gestión del riesgo y a la efectividad de los controles establecidos. Por otra parte, el monitoreo y revisión realizado por la Oficina Asesora de Planeación – OAP se lleva a cabo en los siguientes cortes:
- Primer monitoreo: Con corte al 30 de abril. En esa medida, la publicación deberá surtirse dentro de los cuatro (04) primeros días del mes de mayo.
- Segundo monitoreo: Con corte al 31 de agosto. La publicación deberá surtirse dentro de los cuatro (04) primeros días del mes de septiembre.
- Tercer monitoreo: Con corte al 31 de diciembre. La publicación deberá surtirse dentro de los cuatro (04) primeros días del mes de enero.
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 12 de 15
FECHA VIGENCIA 24/09/2020
El Jefe de Control Interno o quien haga sus veces, debe adelantar seguimiento al Mapa de Riesgos. En este sentido es necesario que adelante seguimiento a la gestión del riesgo, verificando la efectividad de los controles. Por consiguiente, de acuerdo con la normatividad, se deberá realizar tres seguimientos a los riesgos de gestión, corrupción, seguridad digital y demás tipologías, de acuerdo con lo siguiente:
- Primer seguimiento: Con corte al 30 de abril. En esa medida, la publicación deberá surtirse dentro de los diez (10) primeros días del mes de mayo.
- Segundo seguimiento: Con corte al 31 de agosto. La publicación deberá surtirse dentro de los diez (10) primeros días del mes de septiembre.
- Tercer seguimiento: Con corte al 31 de diciembre. La publicación deberá surtirse dentro de los diez (10) primeros días del mes de enero.
El seguimiento adelantado por la Oficina de Control Interno se deberá publicar en la página web de la entidad o en un lugar de fácil acceso para el ciudadano.
5.1.5 Medidas de Tratamiento de Riesgo
El tratamiento o respuesta dada al riesgo, se enmarca en las siguientes categorías:
a. Evitar: cuando el comportamiento del riesgo se considera demasiado extremo se deben tomar las acciones pertinentes para abandonar, no iniciar o no continuar con las acciones o actividades que lo generan o sustituyendo la actividad por otra en donde haya menos exposición o las posibles pérdidas sean menores.
b. Reducir: definir y aplicar medidas de tratamiento orientadas a minimizar la probabilidad de ocurrencia y/o materialización del riesgo a través de la implementación de controles preventivos y/o detectivos apropiados o pertinentes. Además de los controles se deben señalar las responsabilidades de tal manera que el tratamiento adoptado logre la reducción del riesgo prevista. Para mitigar y tratar los riesgos de seguridad digital, se sugiere consultar y aplicar como mínimo los controles previstos en el anexo “Lineamientos para la gestión del riesgo de seguridad digital en entidades públicas” – Guía para la Administración del riesgo y el diseño de controles en entidades públicas.2018.
c. Compartir: los riesgos en los cuales la entidad carezca de capacidad necesaria para su gestión, pueden ser compartidos o transferidos mediante la aplicación de medidas como contratos de seguros y tercerización; por ejemplo, actividades como: seguro de vehículo, vigilancia, aseo, entre otras que la entidad considere pertinente; lo anterior a fin de reducir la probabilidad o el impacto de su posible materialización.
d. Aceptar: los riesgos de gestión y de seguridad digital que se ubiquen dentro de una zona baja después de evaluados sus controles, deben contar con un monitoreo y seguimiento continuo, dado que pueden quedar riesgos residuales. En cuanto a los riesgos de corrupción, estos son excluidos de esta medida de manejo o control.
En la siguiente tabla se indican las opciones de tratamiento del riesgo de acuerdo con la zona de riesgo:
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 13 de 15
FECHA VIGENCIA 24/09/2020
Tabla 6. Opciones de tratamiento de acuerdo con zona de riesgo
Zona de riesgo Semáforo Evitar Reducir Compartir Aceptar
Extremo Rojo X X XNingún riesgo de corrupción podrá ser aceptado
Alto Naranja X X X
Moderado Amarillo X X X
Bajo Verde X
Fuente: Construcción propia 2019
5.1.6 Líneas de Responsabilidad frente a la gestión del riesgo.
Las responsabilidades se definen mediante la línea estratégica y las tres líneas de defensa las cuales se encuentran definidas en la siguiente tabla:
Tabla 7. Responsabilidades
Líneas de Defensa Responsables Operatividad
Línea estratégicaAlta Dirección y Comité Institucional de Coordinación de Control Interno.
Define el marco general para la gestión del riesgo y el control y supervisa su cumplimiento, para esto establece y aprueba la Política para la Administración del Riesgo del Ministerio del Interior y se asegura de su permeabilización en todos los niveles de la organización pública, de tal forma que se conozca claramente los niveles de responsabilidad y autoridad que posee cada una de las tres líneas de defensa frente a la gestión de riesgo.
1ª. Línea de Defensa
Líderes de proceso y sus equipos (En general servidores públicos de todos los niveles de la organización).
Desarrollar e implementar procesos de control y gestión de riesgos a través de su identificación, análisis, valoración, monitoreo y acciones de mejora, reportando a la segunda línea sus avances o dificultades.
2ª. Línea de Defensa
Media y Alta Gerencia: Jefes de planeación o quienes hagan sus veces, coordinadores de equipos de trabajo, comités de riesgos (donde existan), comité de contratación, áreas financieras, Oficina de Información Pública del Interior - OIP, entre otros que generen información para el Aseguramiento de la operación.
Asegura que los controles y los procesos de gestión de riesgos implementados por la primera línea de defensa, estén diseñados y funcionen correctamente.
Líneas de Defensa Responsables OperatividadVr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 14 de 15
FECHA VIGENCIA 24/09/2020
3ª. Línea de DefensaA cargo de la Oficina de Control Interno, Auditoría Interna o quién haga sus veces.
Proporcionará a través de la auditoría independiente información sobre la efectividad del Sistema de Control Interno, con un enfoque basado en el riesgo e incluidas la manera en que funciona la primera y segunda línea de defensa.
Fuente: Construcción propia 2020
5.2 Comunicación
Esta estrategia de comunicación busca socializar e interiorizar en todos los servidores públicos y terceros que presten sus servicios al Ministerio del Interior, de los distintos niveles de responsabilidad, sobre la importancia de la gestión del riesgo así:
Nivel institucional: La Oficina Asesora de Planeación liderará las acciones tendientes a la consolidación, socialización y comunicación de la gestión de riesgos en el Ministerio del Interior; este consolidado atenderá a las necesidades de información de los grupos interesados y se publicará en la página web de la Entidad de acuerdo a lo programado en el Plan Anticorrupción y Atención al Ciudadano. Así mismo, de acuerdo con los niveles de responsabilidad establecido en las líneas de defensa, el monitoreo y revisión por parte de la primera y segunda línea de defensa y, seguimiento por parte de la tercera línea de defensa.
Nivel de procesos: Teniendo en cuenta las responsabilidades sobre una base del día a día estará a cargo de los líderes de proceso y consiste en realizar la divulgación de los mapas de riesgos por proceso al interior de sus respectivos equipos de trabajo.
Vr. 02; 10/09/2020
MINISTERIO DEL INTERIOR
PROCESOPLANEACIÓN,
DIRECCIONAMIENTO ESTRATÉGICO Y
COMUNICACIONESVERSIÓN 02
ESPECIFICACIÓN
POLÍTICA DE ADMINISTRACIÓN DE RIESGOS
PÁGINA 15 de 15
FECHA VIGENCIA 24/09/2020
6. BIBLIOGRAFIA
DAFP. (2018). Guía para la administración del riesgo y el diseño de controles en entidades públicas. Bogotá: Departamento Administrativo de la Función Pública.
DNP. (2018). Lineamientos para la gestión integral de riesgos en el DNP. Bogotá: Departamento Administrativo Nacional de Planeación.
Mejía Quijano, R. C. (2017). Administración de riesgos: Un enfoque empresarial. Medellín: Universidad EAFIT.
NTC-ISO 31000. (2018). Gestión del riesgo. Principios y directrices. Icontec Internacional.
Decreto 2641 de 2012. Por el cual se reglamentan los artículos 73 y 76 de la Ley 1474 de 2011.
7. CONTROL DE CAMBIOS
VERSIÓN DESCRIPCIÓN DE CAMBIOS FECHA
02
La Política de Riesgos para la presente versión se modificó en los siguientes aspectos:
1. Con el fin de armonizar la Política de Administración de Riesgos, con la Guía para la Administración de los riesgos del Departamento Administrativo de la Función Pública, se incluyen las tablas para calificación de la probabilidad e impacto de los riesgos de gestión, corrupción y seguridad digital, a su vez se redefine la tabla de las Líneas de Defensa frente a la gestión del riesgo.
2. El presente documento se actualiza teniendo en cuenta lo establecido en el Manual de Manejo de la Información Documentada Versión 03 y la plantilla documento interno especificación Versión 02.
24/09/2020
….8. CONTROL DE FORMALIZACIÓN
ELABORÓ REVISÓ APROBÓ
LUIS JAIRO OTÁLVARO PROFESIONAL OAP
ANGÉLICA MARÍA PATIÑOCOORDINADOR GMC - OAP
EDNA PAOLA NAJARJEFE OFICINA ASESORA DE
PLANEACIÓNValidado a través del correo
[email protected] con fecha del 24/09/2020
Vr. 02; 10/09/2020