sig-p-07 administracion del riesgo b1
Transcripción
sig-p-07 administracion del riesgo b1
SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Versión: 01 2013/12/26 Página 1 de 11 1. OBJETIVO Definir el marco de referencia y la metodología para la administración de riesgos de la Entidad proporcionando una herramienta que permita identificar, analizar, valorar, generar política y monitorear los riesgos, para definir alternativas de mitigación de riesgos que puedan afectar los productos o servicios ofrecidos por la Entidad, permitiendo el fortalecimiento de la cultura del autocontrol y autoevaluación. 2. ALCANCE Este procedimiento aplica a todos los procesos del AGN en el marco del cumplimiento de la normatividad MECI: 1000. 3. REQUISITOS LEGALES (NORMOGRAMA) Y/O INSTITUCIONALES Los siguientes son los requisitos legales, normativos e institucionales que regulan la ejecución de las actividades asociadas a este procedimiento: 1. Ley 489 de 1988. 2. Ley 87 de 1993. Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones. 3. Decreto 1599 de 2005. Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano. 4. Decreto 2913 de 2007.Por el cual se modifica el Decreto 2621 de 2006. 5. Resolución 253 de 2009. Por la cual se unifica el Equipo del Sistema de Gestión de Calidad, MECI y Gestión Ambiental en el Equipo del Sistema Integrado de Gestión, para su implementación en el Archivo General de la Nación. 6. Resolución 217 de 2005. Por la cual se adopta el Modelo estándar de control interno MECI 1000: 2005 en el Archivo General de la Nación. 7. Estructura Básica Modelo Estándar de Control Interno MECI 1000-2005. 8. Guía para la Administración de Riesgos (DAFP) del Septiembre de 2011. 4. DEFINICIONES Administración del Riesgo: Comprende el conjunto de Elementos de Control que al interrelacionarse, permiten a la Entidad Pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pública auto-controlar aquellos eventos que pueden afectar el cumplimiento de sus objetivos institucionales. Amenaza: Es un ente o escenario interno o externo que puede hacer uso de la vulnerabilidad para generar un perjuicio o impacto negativo en la organización (materializar el riesgo), o los medios potenciales por los cuales las vulnerabilidades pueden ser explotadas u ocasionadas. Análisis de Riesgos: Elemento de Control, que permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad Pública para su aceptación y manejo. El análisis del riesgo depende de la información obtenida en la fase de Identificación de riesgos. Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, probabilidad e impacto. Asumir un riesgo: Riesgo residual que se mantiene luego de que el riesgo ha sido reducido o transferido. Calificación del riesgo: Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Versión: 01 2013/12/26 Página 2 de 11 Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Compartir o Transferir el riesgo: Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones. Consecuencia: el resultado de un evento expresado cualitativa o cuantitativamente, sea esté una pérdida, Perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso. Contexto estratégico: Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución. Control: acción o mecanismo definido para prevenir o reducir el impacto de los eventos que ponen en riesgo, la adecuada ejecución de las actividades y tareas requeridas para el logro de los objetivos de los procesos de una entidad. Controles correctivos: Conjunto de acciones tomadas para eliminar la(s) causa(s) que generaron el riesgo, en caso de materializarse. Controles preventivos: Disminuyen la probabilidad de ocurrencia o materialización del riesgo. Efecto del riesgo: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad. Evaluación del Riesgo: Permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad al mismo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento. Evento: incidente o situación, que ocurre en un lugar determinado durante un periodo de tiempo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser única o parte de una serie. Evitar el riesgo: Tomar las medidas encaminadas a prevenir su materialización. Factores de Riesgo: Manifestaciones o características medibles u observables de un proceso que indican la presencia de riesgo o tienden a aumentar la exposición; pueden ser internos o externos. Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo dado. Identificación del riesgo: Elemento de control, que posibilita conocer eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. Impacto: “resultado de un evento que afecta los objetivos. Un evento puede generar un rango de consecuencias, las cuales se pueden expresar cualitativa o cuantitativamente. Las consecuencias iniciales pueden escalar a través de efectos secundarios”1 Mapa de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada, sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias. Monitoreo: comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una actividad con el fin de identificar los posibles cambios. Política de administración de riesgos: Es el conjunto de “actividades coordinadas para dirigir y controlar una organización con respecto al riesgo”. 2 1 ICONTEC. Norma Técnica Colombiana NTC 31000. Gestión del Riesgo. Principios Directrices. Bogotá. 2011. Pág. 22 Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Versión: 01 2013/12/26 Página 3 de 11 Probabilidad: “la oportunidad de que algo suceda, medido o determinado de manera objetiva (basado en datos y hechos históricos) o subjetiva (bajo criterios de experiencia o experticia de quien analiza), utilizando términos generales o matemáticos (como la probabilidad numérica) o la frecuencia en un periodo de tiempo determinado”.3 Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). Riesgo: Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias. Riesgo Absoluto: El máximo riesgo sin los efectos mitigantes de la administración del riesgo. Riesgo de Corrupción: el riesgo de corrupción es la posibilidad de ocurrencia de una mala conducta o comportamiento que puede derivar en una acción corrupta. El enfoque del riesgo es preventivo, no reparativo, mediante su identificación es posible evitar la exposición al mismo y la presencia de los efectos indeseables que genera la corrupción. Una entidad es vulnerable a riesgos de corrupción cuando los factores que los configuran están presentes, su posibilidad de ocurrencia es alta y el daño que se puede causar con su presencia es elevado. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución. Riesgos de la Contratación:(en la contratación estatal) Se entiende como la variación de los costos en una ecuación contractual, que eventualmente puede dar lugar a cambios en el presupuesto inicial. En cuanto a los riesgos de desequilibrio económico. Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen; la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. Riesgo Inherente: Aquél al que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para modificar su probabilidad o impacto. Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo. Valoración del riesgo: Producto de confrontar los resultados de la evaluación del riesgo con los controles identificados. 5. CONDICIONES GENERALES Los principales elementos del proceso de gestión de riesgo, como se ilustra en la siguiente figura son: 2 3 ICONTEC. NTC 31000:2011 Gestión del Riesgo: Principios, Directrices. Bogotá. 2011. Numeral 2.2. Pág. 19. ICONTEC. Norma Técnica Colombiana NTC 31000. Gestión del Riesgo. Principios Directrices. Bogotá. 2011. Pág. 22 Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Versión: 01 2013/12/26 Página 4 de 11 Guía para la administración del riesgo. Septiembre de 2011. En el Archivo General de la Nación adelantamos el proceso orientados por la Norma Técnica Colombiana NTC 31000 y en atención a ello se diligencia la matriz de riesgo, archivo Excel, donde se identifican cada uno de los elementos presentados en la figura anterior. 5.1 CONTEXTO ESTRATÉGICO ORGANIZACIONAL. El contexto estratégico es necesario para definir los parámetros básicos dentro de los cuales debe administrarse los riesgos y así proveer una guía para las decisiones dentro del estudio de administración de riesgos. En este capítulo se establece el alcance del proceso de administración de riesgos; para el efecto debe considerarse las condiciones internas y externas (entorno) como fuentes de riesgo, dado a que pueden ser fuente (causas) de eventos que originan oportunidades o afectan negativamente el cumplimiento del objetivo de la Entidad o que generan una mayor vulnerabilidad frente a los riesgos. Esta actividad de analizar y determinar el contexto estratégico es una labor realizada conjuntamente por los Servidores Públicos del Archivo General de la Nación; el profesional 15 de la Oficina Asesora de Planeación, aporta elementos técnicos que faciliten el ejerció de la planeación estratégica. Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Versión: 01 2013/12/26 Página 5 de 11 Para llevar a cabo el Contexto Estratégico Organizacional en el AGN, se han establecido las siguientes fuentes de información: • DOFA (Debilidad y Fortaleza - condiciones interna y Amenazas y Oportunidades – Condiciones externa): Para esto el responsable del diligenciamiento del modelo para la elaboración del mapa de riesgos tomará en consideración las debilidades y amenazas; este texto será suministrado por el profesional 15 de la Oficina Asesora. • Factores de riesgos: Los factores de riesgos a tener en cuenta son los establecidos en la “Guía para administración del riesgo” que se encuentre vigente o el documento que haga sus veces, para esto el Servidor Público responsable de realizar la matriz de riesgos debe considerar cada uno de los factores de riesgos allí establecidos, esto lo realizara en el análisis de cada proceso. • Procesos: el Servidor Público responsable de realizar la elaboración del mapa de riesgos tendrá como base para la identificación de los procesos los definidos en el Manual SIG. • Modelo de elaboración mapa de riesgos AGN: La entidad ha definido para esto una plantilla denominada “Mapa de Riesgos del AGN” la cual se encuentra disponible en la carpeta compartida SIG. 5.2 IDENTIFICACIÓN DE RIESGO. Esta fase busca identificar los riesgos que se han de gestionar, usando un proceso sistemático bien estructurado ya que un riesgo no identificado en esta etapa puede ser excluido de un análisis posterior. El propósito es generar una lista de las fuentes de riesgos y de los eventos que pueden tener impacto en el logro de cada uno de los objetivos identificados en la planeación estratégica. Estos eventos pueden evitar, degradar retrasar o potenciar el logro de estos objetivos. Los enfoques empleados para identificar los riesgos incluyen listas de verificación, juicios basados en la experiencia y los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas, análisis de escenarios y técnicas de ingeniería de sistemas. El enfoque utilizado dependerá de la naturaleza de las actividades que se revisa, los tipos de riesgos, el contexto estratégico organizacional y el propósito del estudio de gestión de riesgo. Para la identificación de riesgos es necesario que la Entidad cuente con una estructura basada en procesos, esto en concordancia con lo definido en la normatividad MECI 1000:2005. Partiendo de la Matriz de Riesgos del AGN, el Servidor Público responsable de realizar la elaboración del mapa de riesgos debe diligenciar los siguientes campos: • Tipo de proceso: existen cuatro (4) tipo de procesos dentro de la Entidad los cuales son; Estratégicos, misionales, de apoyo y de evaluación y control. • Procesos: en este campo el Servidor Público responsable de realizar la elaboración del mapa de riesgos debe incluir el nombre del proceso a analizar de acuerdo con la estructura definida por el Director General de la Entidad. • Contexto estratégico – Factores y causas: Derivado del análisis realizado en el numeral 5.1 se realizará el Contexto Estratégico Organizacional para esto se identificaran los factores de riesgos (internos o externos) que apliquen al proceso, una vez identificados se definirá el riesgo y las causas que origina. • Numero: se debe determinar un número consecutivo de los riesgos identificados. • Riesgo y Descripción del Riesgo: en esta casilla se debe definir el nombre bajo el cual se hará referencia al riesgo identificado; la descripción del riesgo hace refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. • Consecuencias: Debe describirse en esta casilla los efectos de la ocurrencia del riesgos sobre los objetivos de la Entidad; generalmente se da sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental. Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. Versión: 01 2013/12/26 Página 6 de 11 SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Todas las casillas deben ser completamente diligencias y claramente descritas, esta actividad debe ser acompañada por el profesional 13 de la Oficina Asesora de planeación y el Subdirector, Jefe o Coordinador del grupo que haga parte del proceso o la persona que él delegue. 5.3 ANÁLISIS DE RIESGO. El análisis del riesgo consiste en desarrollar el entendimiento del riesgo. Suministra una entrada para las decisiones sobre si es necesario tratar los riesgos y las estrategias de tratamiento del riesgo más adecuadas y eficaces en términos de costo. Los pasos claves en el análisis del riesgo son la determinación de: la probabilidad, sus consecuencias, clasificación del riesgo y estimación del nivel de riesgo, para el efecto se tendrá en cuenta la siguiente tabla: IMPACTO 2 3 4 5 4 6 8 10 6 9 12 15 8 12 16 20 10 15 20 25 1 < A 5 AÑOS RARO MODERADO 1 2 UN EVENTO < 5 AÑOS IMPROBABLE MENOR 2 3 UN EVENTO < 2 AÑOS POSIBLE Bajo impacto o efecto INSIGNIFICANTE 4 Altas consecuencias o efectos MAYOR 3 4 UN EVENTO < 1 AÑOS PROBABLE Efectos minimos Medianas consecuencias o efectos 4 5 MAS DE UN EVENTO < 1 AÑOS CASI SEGURO PROBABILIDAD 1 5 2 3 5 Desastrozas consecuencias o efectos CATASTROFICO Tabla 1. Matriz de calificación y análisis de los riesgos. El riesgo se analiza combinando el impacto con su probabilidad. Identificar los procesos, dispositivos o prácticas existentes que puedan actuar para minimizar los riesgos negativos o para potenciar los riesgos positivos y evaluar sus fortalezas y debilidades. La magnitud de las consecuencias de un evento, si ocurriera, y la posibilidad del evento y sus impactos asociados se evalúan en el contexto de la eficacia de las estrategias y controles existentes. El impacto y la probabilidad se combinan para producir un nivel de riesgo, el cual se puede estimar utilizando análisis y cálculos estadísticos, igualmente se puede hacer una estimación subjetiva que refleje el grado de creencia de que se producirá un evento o resultado particular. El análisis del riesgo se puede realizar con diversos grados de detalle dependiendo del riesgo, el propósito del análisis y la información o datos y recursos disponibles. El análisis puede ser cualitativo, cuantitativo o una combinación de ellos. En la práctica, el análisis cualitativo con frecuencia se emplea primero para obtener una indicación general del nivel del riesgo y revelar los principales aspectos del mismo. Posteriormente, puede ser necesario emprender un análisis más específico o cuantitativo sobre los principales aspectos de riesgo. Con base en la plantilla Mapa de Riesgos del AGN, el Servidor Público responsable de realizar el Mapa de riesgos debe diligenciar los siguientes campos: Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Versión: 01 2013/12/26 Página 7 de 11 • Probabilidad: Es la posibilidad de ocurrencia del riesgo, esta puede ser medida de 1 a 5 como se indica en la Tabla 1. Matriz de calificación y análisis de los riesgos, la cual está asociada a la frecuencia con que se presenta el evento, esta puede ser: raro, improbable, posible, probable y seguro. Para esto el Servidor Público asignado al diligenciamiento del modelo del mapa de riesgo debe formularse el siguiente cuestionamiento ¿Existe probabilidad de ocurrencia de riesgo? • Tipo de Impacto: Hace referencia a la clasificación del riesgo en las siguientes categorías: De corrupción, confidencialidad, credibilidad, legal y operativo. • Impacto: dentro de la metodología se contemplan las siguientes categorías: 1. Insignificante: el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen. 2. Menor: ese debe realizar un análisis del costo beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo. 3. Moderado: las consecuencias que se pueden generar con la presencia del riesgo pueden afectar en mediano grado la gestión de la entidad. 4. Mayor: las consecuencias que se pueden generar con la presencia del riesgo pueden afectar en gran medida el cumplimiento de los objetivos de la entidad. 5. Catastrófico: se considera como un riesgo enorme con alto grado de incumplimiento en metas y objetivos. Debe evitarse y la entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia. • Grado de exposición: Se identifica al consultar la matriz de evaluación y respuesta a los riesgos, haciendo el cruce entre la probabilidad y el impacto. 5.4 VALORACIÓN DEL RIESGO. La valoración del riesgo es el producto de confrontar los resultados del análisis del riesgo con los controles identificados, esto se hace con el objeto de establecer prioridades para su manejo y para la fijación de políticas. Para realizar la valoración de los controles es necesario tener en cuenta que se clasifican en: Preventivos: Son aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. Correctivos: Son aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable; también la modificación de las acciones que propiciaron su ocurrencia. El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica: • Describirlos (estableciendo si son preventivos o correctivos) • Indicar la periodicidad de la ejecución del control para determinar si los controles están documentados. Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la matriz de Calificación, Evaluación y Respuesta a los Riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado. 5.5 VALORACION DE LOS CONTROLES. El resultado obtenido a través de la valoración del riesgo es denominado también tratamiento del riesgo, ya que se “involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales acciones”, así el desplazamiento dentro de la Matriz de Evaluación y Calificación determinará finalmente la selección de las opciones de tratamiento del riesgo, así: • Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Versión: 01 2013/12/26 Página 8 de 11 ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. • Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles. • Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización. • Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el funcionario responsable del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto, se deberá considerar los siguientes aspectos como: • Viabilidad jurídica. • Viabilidad técnica. • Viabilidad institucional. • Viabilidad financiera o económica. • Análisis de costo-beneficio. Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina riesgo residual, este se define como aquel que permanece después que la dirección desarrolle sus respuestas a los riesgos. 5.6 ACCIONES DE MEJORAMIENTO Son un conjunto de mecanismos de verificación y evaluación, determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada área organizacional responsable, permitiendo emprender las acciones de mejoramiento del control requeridas. Se basa en una revisión periódica y sistemática de los procesos de la entidad para asegurar que los controles establecidos son aún eficaces y apropiados. 5.7MONITOREO Y REVISION El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas. El monitoreo debe estar a cargo de: • Los responsables de los procesos y • La Oficina de Control Interno. Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego del seguimiento y evaluación sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas. Los responsables son: ACTIVIDAD Proponer ajustes a los mapas de riesgos Sensibilizar a los Jefes responsables de los Procesos: RESPONSABLE Equipo MECI Jefe de la Oficina de Control Interno Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Subdirectores, Coordinadores, Jefes de oficina y al personal encargado del desarrollo del SIG del AGN sobre la metodología definida para la identificación y tratamiento de los Riesgos en el AGN, establecida en el presente Procedimiento. Revisar que la estructura organizacional vigente; esté actualizada de acuerdo al mapa de riesgos por procesos, implementar los controles y las acciones preventivas, verificar su efectividad, proponer cambios, velar por su adecuada documentación, por su socialización y aplicación al interior de su proceso. Versión: 01 2013/12/26 Página 9 de 11 Director General, Secretaría General, Subdirectores, Jefes de Oficina, y demás responsables de procesos. 6. DESARROLLO DEL PROCEDIMIENTO No. 1 2 DESCRIPCIÓN DE LA ACTIVIDAD Elaborar con la participación de todos los funcionarios del proceso al que pertenecen, el Mapa de Riesgos del Proceso, empleando la metodología establecida en este procedimiento. Revisar, ajustar y aprobar el Mapa de Riesgos del Proceso a su cargo y remitirlo a la Oficina Asesora de Planeación. REGISTRO Plantilla Mapa de Riesgos. RESPONSABLE Jefe Oficina Asesora de Planeación -Líderes de proceso y equipos de trabajo Mapa de Riesgos del Proceso. Funcionario Responsable del Proceso Mapa de riesgos del proceso Aprobado. Subdirector y Funcionarios Responsables de la Oficina Asesora de Planeación. 3 Revisar y dar el visto bueno al Mapa de Riesgos por Proceso definitivo, consolidar la información y presentarlo al Comité de Control Interno. 4 Convocar mediante correo electrónico a todo el nivel directivo para que se revise y apruebe el Mapa de Riesgos por Proceso. 5 Publicar en la carpeta compartida del SIG el Mapa de Riesgos por Proceso aprobado previa solicitud de la Oficina Asesora de planeación, para conocimiento de todos los funcionarios de la Entidad. Mapa de riesgos del proceso. Ejecutar las acciones correctivas, preventivas y de mejora, de acuerdo al resultado del análisis de los riesgos. Registro de Acciones Correctivas, Preventivas y de Mejora. Responsable del proceso en cada dependencia Mapa de Riesgos por procesos revisado y ajustado. Subdirectores, Jefes de oficina) y Profesionales Responsables de cada Proceso. Informe. Jefe Oficina de Control Interno. 6 7 8 Efectuar la valoración periódica del Mapa de Riesgos como resultado de las acciones y controles implementados y reportar las modificaciones a las Oficinas de Planeación y Control Interno. Presentar el reporte del seguimiento y el estado de implementación de las acciones propuestas para la Administración del Riesgo en el Comité de Control Interno. Correo electrónico. Mapa de riesgos por proceso. Jefe Oficina Asesora de Planeación Responsable Oficina Asesora de Planeación Comunicaciones Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. Versión: 01 2013/12/26 Página 10 de 11 SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS No. 9 10 DESCRIPCIÓN DE LA ACTIVIDAD Revisar y adoptar las acciones de mejora necesarias con base en el informe presentado por la Oficina de Control Interno. Archivar los soportes documentales generados. REGISTRO Acta del Comité de Control Interno. Mapa de Riesgos, anexos. Documentación soporte de su gestión. RESPONSABLE Comité de Control Interno. Auxiliar Administrativo. 7. IDENTIFICACIÓN DE CAMBIOS Los cambios en este documento se identifican en la siguiente tabla: VIGENCIA 14-08-08 10-12-09 09-04-10 VERSIÓN 1 2 3 2010-05-25 4 2011-11-22 5 2013-12-26 01 IDENTIFICACIÓN DE CAMBIOS Emisión Actualización del procedimiento Actualización del procedimiento y responsables Se cambia el formato de fecha y se incluye frase de control de documentos del SIG Se incorpora en los requisitos legales la Guía de Administración del Riesgo emitida por el Departamento Administrativo de la Función Pública, se ajustan las condiciones generales, se incorporan las definiciones de DAFP y GAR en el Glosario del procedimiento, se cambiaron las actividades del procedimiento de acuerdo a la guía del DAFP y se actualizan los registros a utilizar, es decir, se fusionaron los formatos 233 y 234 en uno solo. La actualización de este procedimiento nace como parte del proceso de ajuste documental del SIG, de necesidades de aclaración de algunos aspectos y de actualizar los nombres de los actores que se describen en el mismo, entre otros. En principio se solicita el ajuste del documento en cuento a su forma (letra, encabezados, títulos) los cuales fueron redefinidos dentro del procedimiento Control de documento SIG-P-01. 1. Se asigna SIG-P-07. 2. Se actualizan los roles y responsabilidades. 3. Se ajusta el objetivo. 4. Se ajusta el alcance. 5. Se agrega los siguientes a los requisitos legales: Ley 489 de 1988, Ley 87 de 1993, Decreto 1599 de 2005, Decreto 2913 de 2007, Resolución 253 de 2009, Resolución 217 de 2005, Estructura Básica Modelo Estándar de Control Interno MECI 1000-2005, Guía para la Administración de Riesgos (DAFP) del Septiembre de 2011". 6. Se agrega las siguientes definiciones Administración del Riesgo, Amenza, Análisis de riesgos, Asumir un Riesgo, Calificación del Riesgo, Causas (factores internos o externos), Compartir o Transferir el Riesgo, Consecuencia, Contexto RESPONSABLE Jefe OPA Jefe OPA Jefe OPA Jefe OPA Jefe OPA Jefe de la Oficina de Planeación Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO. SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS Versión: 01 2013/12/26 Página 11 de 11 estratégico, Control, Controles preventivos, Efecto del Riesgo, Evaluación del Riesgo, Evento, Evitar el riesgo, Factores de riesgo, Frecuencia, Identificación del riesgo, Impacto, Mapa de riesgos, Monitoreo, Política de administración de riesgos, Probabilidad, Reducir el riesgo, Riesgo, Riesgo Absoluto, Riesgo de Corrupción, Riesgos de cumplimiento, Riesgos de Imagen, Riesgos de la contratación, Riesgo Estratégico, Riesgos Operativos, Riesgos Financieros, Riesgos de Tecnología, Riesgo Inherente, riesgo Residual, Valoración del Riesgo. 7. Se cambian las condiciones generales. 8. Se cambian la descripción de actividades en su totalidad. 9. Se cambia toda la descripción de las actividades descritas en el ítem "Desarrollo del procedimiento”. Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO.
Documentos relacionados
SIG-P-08 INDICADORES DE GESTIÓN 1. OBJETIVO Describir la
Este procedimiento aplica a todos los procesos del Sistema Integrado de Gestión del Archivo General de la Nación. 3. REQUISITOS LEGALES (NORMOGRAMA) Y/O INSTITUCIONALES Los siguientes son los requi...
Más detalles