sig-p-07 administracion del riesgo b1

Transcripción

SIG-P-07 PROCEDIMIENTO ADMINISTRACIÓN DE RIESGOS
Versión: 01
2013/12/26
Página 1 de 11
1. OBJETIVO
Definir el marco de referencia y la metodología para la administración de riesgos de la Entidad proporcionando
una herramienta que permita identificar, analizar, valorar, generar política y monitorear los riesgos, para definir
alternativas de mitigación de riesgos que puedan afectar los productos o servicios ofrecidos por la Entidad,
permitiendo el fortalecimiento de la cultura del autocontrol y autoevaluación.
2. ALCANCE
Este procedimiento aplica a todos los procesos del AGN en el marco del cumplimiento de la normatividad MECI:
1000.
3. REQUISITOS LEGALES (NORMOGRAMA) Y/O INSTITUCIONALES
Los siguientes son los requisitos legales, normativos e institucionales que regulan la ejecución de las actividades
asociadas a este procedimiento:
1. Ley 489 de 1988.
2. Ley 87 de 1993. Por la cual se establecen normas para el ejercicio del control interno en las entidades y
organismos del Estado y se dictan otras disposiciones.
3. Decreto 1599 de 2005. Por el cual se adopta el Modelo Estándar de Control Interno para el Estado
Colombiano.
4. Decreto 2913 de 2007.Por el cual se modifica el Decreto 2621 de 2006.
5. Resolución 253 de 2009. Por la cual se unifica el Equipo del Sistema de Gestión de Calidad, MECI y Gestión
Ambiental en el Equipo del Sistema Integrado de Gestión, para su implementación en el Archivo General de la
Nación.
6. Resolución 217 de 2005. Por la cual se adopta el Modelo estándar de control interno MECI 1000: 2005 en el
Archivo General de la Nación.
7. Estructura Básica Modelo Estándar de Control Interno MECI 1000-2005.
8. Guía para la Administración de Riesgos (DAFP) del Septiembre de 2011.
4. DEFINICIONES
Administración del Riesgo: Comprende el conjunto de Elementos de Control que al interrelacionarse, permiten a
la Entidad Pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o
impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades
para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus
diferentes elementos le permite a la entidad pública auto-controlar aquellos eventos que pueden afectar el
cumplimiento de sus objetivos institucionales.
Amenaza: Es un ente o escenario interno o externo que puede hacer uso de la vulnerabilidad para generar un
perjuicio o impacto negativo en la organización (materializar el riesgo), o los medios potenciales por los cuales las
vulnerabilidades pueden ser explotadas u ocasionadas.
Análisis de Riesgos: Elemento de Control, que permite establecer la probabilidad de ocurrencia de los eventos
positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la
capacidad de la entidad Pública para su aceptación y manejo. El análisis del riesgo depende de la información
obtenida en la fase de Identificación de riesgos. Se han establecido dos aspectos a tener en cuenta en el análisis
de los riesgos identificados, probabilidad e impacto.
Asumir un riesgo: Riesgo residual que se mantiene luego de que el riesgo ha sido reducido o transferido.
Calificación del riesgo: Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que
puede causar la materialización del riesgo.
Este es un documento controlado; una vez se descargue o se imprima de la carpeta de compartidos SIG en Argenacodc se considera NO CONTROLADO.
Versión: 01
2013/12/26
Página 2 de 11
Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los
agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un
riesgo.
Compartir o Transferir el riesgo: Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones.
Consecuencia: el resultado de un evento expresado cualitativa o cuantitativamente, sea esté una pérdida,
Perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso.
Contexto estratégico: Son las condiciones internas y del entorno, que pueden generar eventos que originan
oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución.
Control: acción o mecanismo definido para prevenir o reducir el impacto de los eventos que ponen en riesgo, la
adecuada ejecución de las actividades y tareas requeridas para el logro de los objetivos de los procesos de una
entidad.
Controles correctivos: Conjunto de acciones tomadas para eliminar la(s) causa(s) que generaron el riesgo, en caso
de materializarse.
Controles preventivos: Disminuyen la probabilidad de ocurrencia o materialización del riesgo.
Efecto del riesgo: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad.
Evaluación del Riesgo: Permite comparar los resultados de la calificación del riesgo, con los criterios definidos
para establecer el grado de exposición de la entidad al mismo; de esta forma es posible distinguir entre los riesgos
aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas
para su tratamiento.
Evento: incidente o situación, que ocurre en un lugar determinado durante un periodo de tiempo determinado.
Este puede ser cierto o incierto y su ocurrencia puede ser única o parte de una serie.
Evitar el riesgo: Tomar las medidas encaminadas a prevenir su materialización.
Factores de Riesgo: Manifestaciones o características medibles u observables de un proceso que indican la
presencia de riesgo o tienden a aumentar la exposición; pueden ser internos o externos.
Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha
ocurrido un evento en un tiempo dado.
Identificación del riesgo: Elemento de control, que posibilita conocer eventos potenciales, estén o no bajo el
control de la Entidad Pública, que ponen en riesgo el logro de su misión, estableciendo los agentes generadores,
las causas y los efectos de su ocurrencia.
Impacto: “resultado de un evento que afecta los objetivos. Un evento puede generar un rango de consecuencias,
las cuales se pueden expresar cualitativa o cuantitativamente. Las consecuencias iniciales pueden escalar a través
de efectos secundarios”1
Mapa de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada,
sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias.
Monitoreo: comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una actividad con el fin de
identificar los posibles cambios.
Política de administración de riesgos: Es el conjunto de “actividades coordinadas para dirigir y controlar una
organización con respecto al riesgo”. 2
1
ICONTEC. Norma Técnica Colombiana NTC 31000. Gestión del Riesgo. Principios Directrices. Bogotá. 2011. Pág. 22
Versión: 01
2013/12/26
Página 3 de 11
Probabilidad: “la oportunidad de que algo suceda, medido o determinado de manera objetiva (basado en datos y
hechos históricos) o subjetiva (bajo criterios de experiencia o experticia de quien analiza), utilizando términos
generales o matemáticos (como la probabilidad numérica) o la frecuencia en un periodo de tiempo
determinado”.3
Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención),
como el impacto (medidas de protección).
Riesgo: Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o
del proceso. Se expresa en términos de probabilidad y consecuencias.
Riesgo Absoluto: El máximo riesgo sin los efectos mitigantes de la administración del riesgo.
Riesgo de Corrupción: el riesgo de corrupción es la posibilidad de ocurrencia de una mala conducta o
comportamiento que puede derivar en una acción corrupta. El enfoque del riesgo es preventivo, no reparativo,
mediante su identificación es posible evitar la exposición al mismo y la presencia de los efectos indeseables que
genera la corrupción. Una entidad es vulnerable a riesgos de corrupción cuando los factores que los configuran
están presentes, su posibilidad de ocurrencia es alta y el daño que se puede causar con su presencia es elevado.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales,
contractuales, de ética pública y en general con su compromiso ante la comunidad.
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la
institución.
Riesgos de la Contratación:(en la contratación estatal) Se entiende como la variación de los costos en una
ecuación contractual, que eventualmente puede dar lugar a cambios en el presupuesto inicial. En cuanto a los
riesgos de desequilibrio económico.
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se
enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara
definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de
información institucional, de la definición de los procesos, de la estructura de la entidad y de la articulación entre
dependencias.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen; la ejecución
presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el
manejo sobre los bienes.
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus
necesidades actuales y futuras y el cumplimiento de la misión.
Riesgo Inherente: Aquél al que se enfrenta una entidad en ausencia de acciones por parte de la Dirección para
modificar su probabilidad o impacto.
Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.
Valoración del riesgo: Producto de confrontar los resultados de la evaluación del riesgo con los controles
identificados.
5. CONDICIONES GENERALES
Los principales elementos del proceso de gestión de riesgo, como se ilustra en la siguiente figura son:
2
3
ICONTEC. NTC 31000:2011 Gestión del Riesgo: Principios, Directrices. Bogotá. 2011. Numeral 2.2. Pág. 19.
ICONTEC. Norma Técnica Colombiana NTC 31000. Gestión del Riesgo. Principios Directrices. Bogotá. 2011. Pág. 22
Versión: 01
2013/12/26
Página 4 de 11
Guía para la administración del riesgo. Septiembre de 2011.
En el Archivo General de la Nación adelantamos el proceso orientados por la Norma Técnica Colombiana NTC
31000 y en atención a ello se diligencia la matriz de riesgo, archivo Excel, donde se identifican cada uno de los
elementos presentados en la figura anterior.
5.1 CONTEXTO ESTRATÉGICO ORGANIZACIONAL.
El contexto estratégico es necesario para definir los parámetros básicos dentro de los cuales debe administrarse
los riesgos y así proveer una guía para las decisiones dentro del estudio de administración de riesgos.
En este capítulo se establece el alcance del proceso de administración de riesgos; para el efecto debe
considerarse las condiciones internas y externas (entorno) como fuentes de riesgo, dado a que pueden ser fuente
(causas) de eventos que originan oportunidades o afectan negativamente el cumplimiento del objetivo de la
Entidad o que generan una mayor vulnerabilidad frente a los riesgos.
Esta actividad de analizar y determinar el contexto estratégico es una labor realizada conjuntamente por los
Servidores Públicos del Archivo General de la Nación; el profesional 15 de la Oficina Asesora de Planeación, aporta
elementos técnicos que faciliten el ejerció de la planeación estratégica.
Versión: 01
2013/12/26
Página 5 de 11
Para llevar a cabo el Contexto Estratégico Organizacional en el AGN, se han establecido las siguientes fuentes de
información:
• DOFA (Debilidad y Fortaleza - condiciones interna y Amenazas y Oportunidades – Condiciones externa):
Para esto el responsable del diligenciamiento del modelo para la elaboración del mapa de riesgos tomará
en consideración las debilidades y amenazas; este texto será suministrado por el profesional 15 de la
Oficina Asesora.
• Factores de riesgos: Los factores de riesgos a tener en cuenta son los establecidos en la “Guía para
administración del riesgo” que se encuentre vigente o el documento que haga sus veces, para esto el
Servidor Público responsable de realizar la matriz de riesgos debe considerar cada uno de los factores de
riesgos allí establecidos, esto lo realizara en el análisis de cada proceso.
• Procesos: el Servidor Público responsable de realizar la elaboración del mapa de riesgos tendrá como base
para la identificación de los procesos los definidos en el Manual SIG.
• Modelo de elaboración mapa de riesgos AGN: La entidad ha definido para esto una plantilla denominada
“Mapa de Riesgos del AGN” la cual se encuentra disponible en la carpeta compartida SIG.
5.2 IDENTIFICACIÓN DE RIESGO.
Esta fase busca identificar los riesgos que se han de gestionar, usando un proceso sistemático bien estructurado
ya que un riesgo no identificado en esta etapa puede ser excluido de un análisis posterior.
El propósito es generar una lista de las fuentes de riesgos y de los eventos que pueden tener impacto en el logro
de cada uno de los objetivos identificados en la planeación estratégica. Estos eventos pueden evitar, degradar
retrasar o potenciar el logro de estos objetivos.
Los enfoques empleados para identificar los riesgos incluyen listas de verificación, juicios basados en la
experiencia y los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas, análisis de escenarios y
técnicas de ingeniería de sistemas. El enfoque utilizado dependerá de la naturaleza de las actividades que se
revisa, los tipos de riesgos, el contexto estratégico organizacional y el propósito del estudio de gestión de riesgo.
Para la identificación de riesgos es necesario que la Entidad cuente con una estructura basada en procesos, esto
en concordancia con lo definido en la normatividad MECI 1000:2005.
Partiendo de la Matriz de Riesgos del AGN, el Servidor Público responsable de realizar la elaboración del mapa de
riesgos debe diligenciar los siguientes campos:
• Tipo de proceso: existen cuatro (4) tipo de procesos dentro de la Entidad los cuales son; Estratégicos,
misionales, de apoyo y de evaluación y control.
• Procesos: en este campo el Servidor Público responsable de realizar la elaboración del mapa de riesgos
debe incluir el nombre del proceso a analizar de acuerdo con la estructura definida por el Director General
de la Entidad.
• Contexto estratégico – Factores y causas: Derivado del análisis realizado en el numeral 5.1 se realizará el
Contexto Estratégico Organizacional para esto se identificaran los factores de riesgos (internos o externos)
que apliquen al proceso, una vez identificados se definirá el riesgo y las causas que origina.
• Numero: se debe determinar un número consecutivo de los riesgos identificados.
• Riesgo y Descripción del Riesgo: en esta casilla se debe definir el nombre bajo el cual se hará referencia al
riesgo identificado; la descripción del riesgo hace refiere a las características generales o las formas en que
se observa o manifiesta el riesgo identificado.
• Consecuencias: Debe describirse en esta casilla los efectos de la ocurrencia del riesgos sobre los objetivos
de la Entidad; generalmente se da sobre las personas o los bienes materiales o inmateriales con incidencias
importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de
bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Versión: 01
2013/12/26
Página 6 de 11
Todas las casillas deben ser completamente diligencias y claramente descritas, esta actividad debe ser
acompañada por el profesional 13 de la Oficina Asesora de planeación y el Subdirector, Jefe o Coordinador del
grupo que haga parte del proceso o la persona que él delegue.
5.3 ANÁLISIS DE RIESGO.
El análisis del riesgo consiste en desarrollar el entendimiento del riesgo. Suministra una entrada para las
decisiones sobre si es necesario tratar los riesgos y las estrategias de tratamiento del riesgo más adecuadas y
eficaces en términos de costo. Los pasos claves en el análisis del riesgo son la determinación de: la probabilidad,
sus consecuencias, clasificación del riesgo y estimación del nivel de riesgo, para el efecto se tendrá en cuenta la
siguiente tabla:
IMPACTO
2
3
4
5
4
6
8
10
6
9
12
15
8
12
16
20
10
15
20
25
1
< A 5 AÑOS
RARO
MODERADO
1
2
UN EVENTO
< 5 AÑOS
IMPROBABLE
MENOR
2
3
UN EVENTO
< 2 AÑOS
POSIBLE
Bajo impacto o efecto
INSIGNIFICANTE
4
Altas
consecuencias o
efectos
MAYOR
3
4
UN EVENTO
< 1 AÑOS
PROBABLE
Efectos minimos
Medianas consecuencias o efectos
4
5
MAS DE UN
EVENTO < 1
AÑOS
CASI SEGURO
PROBABILIDAD
1
5
2
3
5
Desastrozas
consecuencias o
efectos
CATASTROFICO
Tabla 1. Matriz de calificación y análisis de los riesgos.
El riesgo se analiza combinando el impacto con su probabilidad.
Identificar los procesos, dispositivos o prácticas existentes que puedan actuar para minimizar los riesgos negativos
o para potenciar los riesgos positivos y evaluar sus fortalezas y debilidades.
La magnitud de las consecuencias de un evento, si ocurriera, y la posibilidad del evento y sus impactos asociados
se evalúan en el contexto de la eficacia de las estrategias y controles existentes. El impacto y la probabilidad se
combinan para producir un nivel de riesgo, el cual se puede estimar utilizando análisis y cálculos estadísticos,
igualmente se puede hacer una estimación subjetiva que refleje el grado de creencia de que se producirá un
evento o resultado particular.
El análisis del riesgo se puede realizar con diversos grados de detalle dependiendo del riesgo, el propósito del
análisis y la información o datos y recursos disponibles. El análisis puede ser cualitativo, cuantitativo o una
combinación de ellos. En la práctica, el análisis cualitativo con frecuencia se emplea primero para obtener una
indicación general del nivel del riesgo y revelar los principales aspectos del mismo. Posteriormente, puede ser
necesario emprender un análisis más específico o cuantitativo sobre los principales aspectos de riesgo.
Con base en la plantilla Mapa de Riesgos del AGN, el Servidor Público responsable de realizar el Mapa de riesgos
debe diligenciar los siguientes campos:
Versión: 01
2013/12/26
Página 7 de 11
• Probabilidad: Es la posibilidad de ocurrencia del riesgo, esta puede ser medida de 1 a 5 como se indica en
la Tabla 1. Matriz de calificación y análisis de los riesgos, la cual está asociada a la frecuencia con que se
presenta el evento, esta puede ser: raro, improbable, posible, probable y seguro. Para esto el Servidor
Público asignado al diligenciamiento del modelo del mapa de riesgo debe formularse el siguiente
cuestionamiento ¿Existe probabilidad de ocurrencia de riesgo?
• Tipo de Impacto: Hace referencia a la clasificación del riesgo en las siguientes categorías: De corrupción,
confidencialidad, credibilidad, legal y operativo.
• Impacto: dentro de la metodología se contemplan las siguientes categorías:
1. Insignificante: el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras
medidas de control diferentes a las que se poseen.
2. Menor: ese debe realizar un análisis del costo beneficio con el que se pueda decidir entre reducir el
riesgo, asumirlo o compartirlo.
3. Moderado: las consecuencias que se pueden generar con la presencia del riesgo pueden afectar en
mediano grado la gestión de la entidad.
4. Mayor: las consecuencias que se pueden generar con la presencia del riesgo pueden afectar en gran
medida el cumplimiento de los objetivos de la entidad.
5. Catastrófico: se considera como un riesgo enorme con alto grado de incumplimiento en metas y
objetivos. Debe evitarse y la entidad debe diseñar planes de contingencia, para protegerse en caso de su
ocurrencia.
• Grado de exposición: Se identifica al consultar la matriz de evaluación y respuesta a los riesgos, haciendo el
cruce entre la probabilidad y el impacto.
5.4 VALORACIÓN DEL RIESGO.
La valoración del riesgo es el producto de confrontar los resultados del análisis del riesgo con los controles
identificados, esto se hace con el objeto de establecer prioridades para su manejo y para la fijación de políticas.
Para realizar la valoración de los controles es necesario tener en cuenta que se clasifican en:
Preventivos: Son aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o
materialización.
Correctivos: Son aquellos que permiten el restablecimiento de la actividad, después de ser detectado un evento
no deseable; también la modificación de las acciones que propiciaron su ocurrencia.
El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica:
• Describirlos (estableciendo si son preventivos o correctivos)
• Indicar la periodicidad de la ejecución del control para determinar si los controles están documentados.
Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber
con exactitud cuántas posiciones dentro de la matriz de Calificación, Evaluación y Respuesta a los Riesgos
es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado.
5.5 VALORACION DE LOS CONTROLES.
El resultado obtenido a través de la valoración del riesgo es denominado también tratamiento del riesgo, ya que
se “involucra la selección de una o más opciones para modificar los riesgos y la implementación de tales
acciones”, así el desplazamiento dentro de la Matriz de Evaluación y Calificación determinará finalmente la
selección de las opciones de tratamiento del riesgo, así:
• Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera
alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por
mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por
Versión: 01
2013/12/26
Página 8 de 11
ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos,
desarrollo tecnológico, etc.
• Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad medidas de
prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el
método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y
difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles.
• Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras
organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten
distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo,
la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación
segura, en vez de dejarla concentrada en un solo lugar, la tercerización.
• Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual
que se mantiene, en este caso, el funcionario responsable del proceso simplemente acepta la pérdida
residual probable y elabora planes de contingencia para su manejo.
Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios
finales, por lo tanto, se deberá considerar los siguientes aspectos como:
• Viabilidad jurídica.
• Viabilidad técnica.
• Viabilidad institucional.
• Viabilidad financiera o económica.
• Análisis de costo-beneficio.
Una vez implantadas las acciones para el manejo de los riesgos, la valoración después de controles se denomina
riesgo residual, este se define como aquel que permanece después que la dirección desarrolle sus respuestas a los
riesgos.
5.6 ACCIONES DE MEJORAMIENTO
Son un conjunto de mecanismos de verificación y evaluación, determina la calidad y efectividad de los controles
internos a nivel de los procesos y de cada área organizacional responsable, permitiendo emprender las acciones
de mejoramiento del control requeridas. Se basa en una revisión periódica y sistemática de los procesos de la
entidad para asegurar que los controles establecidos son aún eficaces y apropiados.
5.7MONITOREO Y REVISION
El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su
implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores
que pueden estar influyendo en la aplicación de las acciones preventivas.
El monitoreo debe estar a cargo de:
• Los responsables de los procesos y
• La Oficina de Control Interno.
Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo
manejo del riesgo.
La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego del seguimiento y
evaluación sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.
Los responsables son:
ACTIVIDAD
Proponer ajustes a los mapas de riesgos
Sensibilizar a los Jefes responsables de los Procesos:
RESPONSABLE
Equipo MECI
Jefe de la Oficina de Control Interno
Subdirectores, Coordinadores, Jefes de oficina y al personal
encargado del desarrollo del SIG del AGN sobre la metodología
definida para la identificación y tratamiento de los Riesgos en el
AGN, establecida en el presente Procedimiento.
Revisar que la estructura organizacional vigente; esté
actualizada de acuerdo al mapa de riesgos por procesos,
implementar los controles y las acciones preventivas, verificar
su efectividad, proponer cambios, velar por su adecuada
documentación, por su socialización y aplicación al interior de
su proceso.
Versión: 01
2013/12/26
Página 9 de 11
Director General, Secretaría General,
Subdirectores, Jefes de Oficina, y demás
responsables de procesos.
6. DESARROLLO DEL PROCEDIMIENTO
No.
1
2
DESCRIPCIÓN DE LA ACTIVIDAD
Elaborar con la participación de todos los
funcionarios del proceso al que pertenecen, el Mapa
de Riesgos del Proceso, empleando la metodología
establecida en este procedimiento.
Revisar, ajustar y aprobar el Mapa de Riesgos del
Proceso a su cargo y remitirlo a la Oficina Asesora de
Planeación.
REGISTRO
Plantilla Mapa de
Riesgos.
RESPONSABLE
Jefe Oficina Asesora de
Planeación -Líderes de
proceso y equipos de
trabajo
Mapa de Riesgos del
Proceso.
Funcionario Responsable
del Proceso
Mapa de riesgos del
proceso Aprobado.
Subdirector y
Funcionarios
Responsables de la
Oficina Asesora de
Planeación.
3
Revisar y dar el visto bueno al Mapa de Riesgos por
Proceso definitivo, consolidar la información y
presentarlo al Comité de Control Interno.
4
Convocar mediante correo electrónico a todo el nivel
directivo para que se revise y apruebe el Mapa de
Riesgos por Proceso.
5
Publicar en la carpeta compartida del SIG el Mapa de
Riesgos por Proceso aprobado previa solicitud de la
Oficina Asesora de planeación, para conocimiento de
todos los funcionarios de la Entidad.
Mapa de riesgos del
proceso.
Ejecutar las acciones correctivas, preventivas y de
mejora, de acuerdo al resultado del análisis de los
riesgos.
Registro de Acciones
Correctivas,
Preventivas y de
Mejora.
Responsable del proceso
en cada dependencia
Mapa de Riesgos por
procesos revisado y
ajustado.
Subdirectores, Jefes de
oficina) y Profesionales
Responsables de cada
Proceso.
Informe.
Jefe Oficina de Control
Interno.
6
7
8
Efectuar la valoración periódica del Mapa de Riesgos
como resultado de las acciones y controles
implementados y reportar las modificaciones a las
Oficinas de Planeación y Control Interno.
Presentar el reporte del seguimiento y el estado de
implementación de las acciones propuestas para la
Administración del Riesgo en el Comité de Control
Interno.
Correo electrónico.
Mapa de riesgos por
proceso.
Jefe Oficina Asesora de
Planeación
Responsable Oficina
Asesora de Planeación
Comunicaciones
Versión: 01
2013/12/26
Página 10 de 11
No.
9
10
DESCRIPCIÓN DE LA ACTIVIDAD
Revisar y adoptar las acciones de mejora necesarias
con base en el informe presentado por la Oficina de
Control Interno.
Archivar los soportes documentales generados.
REGISTRO
Acta del Comité de
Control Interno.
Mapa de Riesgos,
anexos.
Documentación
soporte de su gestión.
RESPONSABLE
Comité de Control
Interno.
Auxiliar Administrativo.
7. IDENTIFICACIÓN DE CAMBIOS
Los cambios en este documento se identifican en la siguiente tabla:
VIGENCIA
14-08-08
10-12-09
09-04-10
VERSIÓN
1
2
3
2010-05-25
4
2011-11-22
5
2013-12-26
01
IDENTIFICACIÓN DE CAMBIOS
Emisión
Actualización del procedimiento
Actualización del procedimiento y responsables
Se cambia el formato de fecha y se incluye frase de control de
documentos del SIG
Se incorpora en los requisitos legales
la Guía de
Administración del Riesgo emitida por el Departamento
Administrativo de la Función Pública, se ajustan las
condiciones generales, se incorporan las definiciones de DAFP
y GAR en el Glosario del procedimiento, se cambiaron las
actividades del procedimiento de acuerdo a la guía del DAFP y
se actualizan los registros a utilizar, es decir, se fusionaron los
formatos 233 y 234 en uno solo.
La actualización de este procedimiento nace como parte del
proceso de ajuste documental del SIG, de necesidades de
aclaración de algunos aspectos y de actualizar los nombres de
los actores que se describen en el mismo, entre otros. En
principio se solicita el ajuste del documento en cuento a su
forma (letra, encabezados, títulos) los cuales fueron
redefinidos dentro del procedimiento Control de documento
SIG-P-01.
1. Se asigna SIG-P-07.
2. Se actualizan los roles y responsabilidades.
3. Se ajusta el objetivo.
4. Se ajusta el alcance.
5. Se agrega los siguientes a los requisitos legales:
Ley 489 de 1988, Ley 87 de 1993, Decreto 1599 de 2005,
Decreto 2913 de 2007, Resolución 253 de 2009, Resolución
217 de 2005, Estructura Básica Modelo Estándar de Control
Interno MECI 1000-2005, Guía para la Administración de
Riesgos (DAFP) del Septiembre de 2011".
6. Se agrega las siguientes definiciones Administración del
Riesgo, Amenza, Análisis de riesgos, Asumir un Riesgo,
Calificación del Riesgo, Causas (factores internos o externos),
Compartir o Transferir el Riesgo, Consecuencia, Contexto
RESPONSABLE
Jefe OPA
Jefe OPA
Jefe OPA
Jefe OPA
Jefe OPA
Jefe de la Oficina
de Planeación
Versión: 01
2013/12/26
Página 11 de 11
estratégico, Control, Controles preventivos, Efecto del Riesgo,
Evaluación del Riesgo, Evento, Evitar el riesgo, Factores de
riesgo, Frecuencia, Identificación del riesgo, Impacto, Mapa de
riesgos, Monitoreo, Política de administración de riesgos,
Probabilidad, Reducir el riesgo, Riesgo, Riesgo Absoluto,
Riesgo de Corrupción, Riesgos de cumplimiento, Riesgos de
Imagen, Riesgos de la contratación, Riesgo Estratégico,
Riesgos Operativos, Riesgos Financieros,
Riesgos de
Tecnología, Riesgo Inherente, riesgo Residual, Valoración del
Riesgo.
7. Se cambian las condiciones generales.
8. Se cambian la descripción de actividades en su totalidad.
9. Se cambia toda la descripción de las actividades descritas
en el ítem "Desarrollo del procedimiento”.

sig-p-07 administracion del riesgo b1

Transcripción

Documentos relacionados

SIG-P-08 INDICADORES DE GESTIÓN 1. OBJETIVO Describir la

Titulo: Aplicación de los SIG a la Ingeniería Civil I Número de

CRITERIOS PARA VALORAR LA PROBABILIDAD DE OCURRENCIA

APLICACION DE SIG EN EL AMBITO DE GESTION URBANA

http://bafutura.edublogs.org Los SIG y la dimensión territorial del