E-LE-017 MAPA DE RIESGOS INSTITUCIONAL Versión 12 Acta de Mejoramiento 86 de junio 18 de 2015 Proceso E-CA-001 DIRECCIÓN DE PLANEACIÓN

Transcripción

1 RIESGO (Puede suceder...) Proyección y ejecución de los recursos asignados a inversión sin la suficiente rigurosidad Clasificación Riesgos Financiero Responsable Dirección de Planeación No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 Baja coordinación entre las áreas y/o inexperticia en el proceso de planeación técnica, contractual y financiera. 2 Baja coordinación entre las áreas y/o inexperticia en el proceso de planeación técnica, contractual y financiera. - Debilidad en la planificación detallada de las metas durante la formulación del proyecto de inversión - Inoportunidad en la actualización de los proyectos de inversión, que no permita al gerente del proyecto hacer coherente la disponibilidad de los recursos frente las metas físicas del proyecto. - Reiteradas modificaciones al plan de contratación avaladas por el Comité de Contratación, principalmente en precisión del objeto, modalidad de contratación y fechas - Bajo conocimiento y/o experticia de las áreas en los trámites y aplicación del marco normativo asociado a la etapa de planeación de la contratación en la SDP. - Necesidad de dinamizar la comunicación, participación y articulación del Comité de Contratación en la definición y seguimiento a la planeación contractual que incide en la proyección y ejecución de los recursos - Bajo conocimiento del marco normativo y falta de coordinación entre todas las áreas que participan tanto en el proceso de planeación de la contratación como en el proceso precontractual, en relación con los controles de los tiempos y los criterios de aceptación, que garanticen la radicación oportuna y de calidad a la Dirección de Gestión Contractual en los tiempos previstos en el plan de contratación. CAUSA RAÍZ: Inoportunidad en la actualización de los proyectos de inversión, que no permita al gerente del proyecto hacer coherente la disponibilidad de los recursos frente las metas físicas del proyecto. CAUSA RAÍZ: Bajo conocimiento del marco normativo y falta de coordinación entre todas las áreas que participan tanto en el proceso de planeación de la contratación como en el proceso precontractual, en relación con los controles de los tiempos y los criterios de aceptación, que garanticen la radicación oportuna y de calidad a la Dirección de Gestión Contractual en los tiempos previstos en el plan de contratación. Causa Raiz - Incremento de las reservas presupuestales o generación de pasivos exigibles - Ineficiencia en el cumplimiento de las metas y compromisos institucionales - Hallazgos y sanciones - Reducción presupuestal - Incremento de las reservas presupuestales o generación de pasivos exigibles - Ineficiencia en el cumplimiento de las metas y compromisos institucionales - Hallazgos y sanciones - Reducción presupuestal

2 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 4-Probable 4-Mayor E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Procedimiento A-PD-072 "Proyectos de inversión de la SDP" y documentación asociada, aplicados Retroalimentación de la Dirección de Planeación al documento de formulación de los proyectos de inversión. Análisis y recomendaciones de las Direcciones de Planeación, Gestión Financiera, Gestión Contractual y Gestión Humana en el Comité de Contratación. Informes de seguimiento a la ejecución presupuestal y de reservas emitidos por la Dirección de Gestión Financiera dirigidos a los responsables de rubro y gerentes de proyecto. Correctivo: Afecta Impacto Correctivo: Afecta Impacto VALORACIÓN DEL RIESGO Promedio controles 73 Disminuye en 1 casilla la calificación Inicial en probabilidad Promedio controles Impacto 80 Disminuye en 2 casillas la calificación Inicial en impacto Nuevo Resultado Nuevo Resultado Impacto 3-Posible 2-Menor Valoración del riesgo (Riesgo Residual ) M Moderada OPCIÓN DE MANEJO Opción de Manejo: Reducir el Riesgo Accion: Accion preventiva ID Plan de Mejoramiento: 1262

3 RIESGO (Puede suceder...) Manipulación dolosa de los registros y/o documentos de los procedimientos a cargo de la Dirección de Gestión Humana. Clasificación Riesgos de Corrupción Responsable Dirección de Gestión Humana No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 D: Uso y divulgación ineficiente de la información 1. Controles insuficientes o inadecuados. 2, Demora injustificada en la emisión de respuestas a las solicitudes o requerimientos de los interesados(as) Pagos no debidos de salarios, prestaciones y/o aportes Investigaciones penales, fiscales y/o disciplinarias. 2 D: Uso y divulgación ineficiente de la información 3. Incumplimiento de procedimientos así como de lo establecido en el Código Único Disciplinario. 1. Controles insuficientes o inadecuados. Causa Raiz Pagos no debidos de salarios, prestaciones y/o aportes Investigaciones penales, fiscales y/o disciplinarias.

4 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 3-Posible 4-Mayor E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Aplicación del Procedimiento A-PD-008 Inducción y Reinducción de personal Todos los procedimientos del proceso de administración del talento humano que se encuentran documentados, tienen como punto de control que los documentos deben ser remitidos al responsable de historias laborales para que reposen en la respectiva carpeta. Procedimiento de emisión de certificaciones (A- PD-022)(Actividad 9: Revisar que la certificación contenga lo establecido en la historia laboral del (la) solicitante.) Seguridad de la información de la Base de datos que tiene restricciones de acceso a personal autorizado por la Dirección de Gestión Humana(PERNO) A-FO-282. Capacitaciones por parte de la Oficina de Control Interno Disciplinario, en las jornadas de inducción y re inducción en la entidad, donde se expongan temas relacionados con el manejo de documentos y las consecuencias disciplinarias y penales que conlleva la manipulación inadecuada de la información allí contenida. Divulgación de procedimientos y controles al personal del proceso en la inducción, a través de la Aplicación del Formato de inducción en el puesto de trabajo A-FO-205, en los aspectos funcionales actividad 5 relacionada con los responsabilidades del cargo VALORACIÓN DEL RIESGO Promedio controles 97 Disminuye en 2 casillas la calificación Inicial en probabilidad Promedio controles Impacto

5 Nuevo Resultado Nuevo Resultado Impacto 1-Raro 4-Mayor Valoración del riesgo (Riesgo Residual ) A Alta OPCIÓN DE MANEJO Opción de Manejo: Accion: Reducir el Riesgo Accion preventiva ID Plan de Mejoramiento: 1272 RIESGO (Puede suceder...) Deficiencias en el desarrollo proceso de contratación. Clasificación Riesgos de Corrupción Responsable Dirección de Gestión Contractual No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 Fortalecer la actividad de la Gestión Contractual en la SDP, adelantando en coordinación con las diferentes dependencias los procesos de selección de proponentes. Celebración, ejecución y liquidación de contratos, con el fin de garantizar que éstos se ajusten al marco legal y a los planes, programas y proyectos de la Secretaría. -Estudios previos deficientes o manipulados para beneficiar a un proponente en particular -Deficiencia en la identificación del bien o servicio -Falta de reglas claras para la adquisición -Deficiencia en las verificaciones de requisitos y/o evaluaciones técnicas -Imposibilidad de contratar o contratar con deficiencias en calidad -Inadecuada selección del contratista -Adquisición de Bienes, Productos o Servicios no acordes a las necesidades reales de la entidad

6 2 Fortalecer la actividad de la Gestión Contractual en la SDP, adelantando en coordinación con las diferentes dependencias los procesos de selección de proponentes. Celebración, ejecución y liquidación de contratos, con el fin de garantizar que éstos se ajusten al marco legal y a los planes, programas y proyectos de la Secretaría. Estudios previos deficientes o manipulados para beneficiar a un proponente en particular Causa Raiz Falta de selección objetiva del contratista

7 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 4-Probable 5-Catastrófico E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Control Procedimiento A-PD-169 "Verificar el cumplimiento de lo establecido en la normatividad vigente acuerdo a la modalidad de selección, y el Manual de Contratación de la SDP, entre ellos: (1) Que por la naturaleza del objeto a contratar, los riesgos correspondan al mismo. (2) Que de acuerdo con la naturaleza del objeto a contratar se soliciten los amparos, valores y vigencia de la garantía, conforme a la normatividad vigente. (3) Cumplir con lo establecido en la normatividad vigente de acuerdo a la modalidad de selección, y el Manual de Contratación de la SDP." Audiencia de estimación, tipificación y asignación de riesgos en licitaciones Diligenciamiento de la estimación, tipificación y asignación de riesgos previsibles en los formatos de solicitud contractual Asesoría jurídica en materia contractual Realizar ajustes al(os) formato(s) y/o procedimiento(s) con el fin de atender los hallazgos generados al proceso como resultado de las auditorias que realicen los entes de control internos o externos. Correctivo: Afecta Impacto

8 Control Procedimiento A-PD-134 "Verificar (i) se cuente con todos los documentos soportes requeridos según el contrato a celebrar y a la causal, (ii) los documentos presentados por el proponente en los casos que aplique estén suscritos por el mismo, (iii) la información (formación académica y experiencia) consignada en el Anexo Verificación de Requisitos de Idoneidad, Experiencia y Capacidad del Seleccionado y en el Formato Único de Hoja de Vida, corresponda a los documentos aportados por el proponente, (iv) que la fecha establecida en el Anexo Constancia de Idoneidad, sea posterior a la de los documentos aportados". Controles Procedimiento A-PD-180: "Verificar que la invitación pública contenga los requisitos establecidos en la normatividad vigente" y "Verificar el cumplimiento de los requisitos solicitados en la invitación, de acuerdo a su competencia y de conformidad a lo establecido en la normatividad vigente" Controles Procedimiento A-PD-138: "Verificar (i) que el proceso esté incluido en el Plan Anual de Adquisiciones (ii) que los estudios previos se ajusten a la normatividad vigente (iii) que los documentos estén completos", "Verificar que el proyecto de pliego de condiciones contenga los requisitos establecidos en la normatividad vigente", "Verificar que el proyecto cumpla con los requisitos solicitados en el A-FO-120" y "Verificar el cumplimiento de los requisitos solicitados en el pliego de condiciones, de acuerdo a su competencia y de conformidad a lo establecido en la normatividad vigente", Controles Procedimiento A-PD-133: "Verificar (i) que el proceso esté incluido en el Plan Anual de Adquisiciones (ii) que los estudios previos se ajusten a la normatividad vigente (iii) que los documentos estén completos", "Verificar que el proyecto de pliego de condiciones contenga los requisitos establecidos en la normatividad vigente", "Verificar que el proyecto cumpla con los requisitos solicitados en el A-FO-120", "Verificar que el Pliego contenga los requisitos establecidos y adopte (i) las observaciones aceptadas por la entidad", "Verificar el cumplimiento de los requisitos solicitados en el pliego de condiciones, de acuerdo a su competencia y de conformidad a lo establecido en la normatividad vigente" y "Verificar la información consignada en el Acta se ajuste al desarrollo del proceso contractual y a la decisión final del Comité."

9 Controles Procedimiento A-PD-132: "Verificar (i) que el proceso esté incluido en el Plan Anual de Adquisiciones (ii) que los estudios previos se ajusten a la normatividad vigente y a lo señalado en el Plan de Contratación (iii) que los documentos estén completos", "Verificar que el proyecto de pliego de condiciones contenga los requisitos establecidos en la normatividad vigente", "Verificar que el proyecto cumpla con los requisitos solicitados en el A-FO-120", "Verificar que el Pliego contenga los requisitos establecidos y adopte (i) las observaciones aceptadas por la entidad y (ii) conclusiones de la Audiencia Pública de Riesgos", "Verificar el cumplimiento de los requisitos solicitados en el Pliego de Condiciones y Adendas (Cuando aplique)", "Verificar la información consignada en el Acta se ajuste al desarrollo del proceso contractual y a la decisión final del Comité" Controles Procedimiento A-PD-128: "Incluir las condiciones y obligaciones y demás requisitos establecidos", "Verificar que el proyecto cumpla con lo establecido en la normativa vigente", "Verificar las condiciones legales y reglamentarias propias de la garantía única aportada por el contratista, así como el cumplimiento de porcentaje y vigencia de los amparos exigidos", "Verificar que la información consignada este acorde con la documentación aportada y cumpla con lo requerido", "Verificar el cumplimiento de las obligaciones pactadas, de los bienes y/o de los servicios y/o productos recibidos", "Verificar que la modificación incluya lo establecido en el formato de solicitud y con la normativa vigente." Controles Procedimiento A-PD-114: "Verificar: (i) Cumplimiento del objeto contractual, (ii) Entrega de los productos contratados (en caso de consultoría o adquisición de bienes), (iii) Cumplimiento de las obligaciones pactadas, (iv) Pago de aportes al Sistema General de Seguridad Social (Salud, pensión) Sistema General de Riesgos Laborales, Parafiscales (cuando aplique). Realizar la calificación final del bien, producto o servicio recibido", "Verificar que el documento se suscriba y tramite dentro del plazo legal establecido en la normatividad vigente y el Manual de Contratación",

10 VALORACIÓN DEL RIESGO Promedio controles 98 Disminuye en 2 casillas la calificación Inicial en probabilidad Promedio controles Impacto 90 Disminuye en 2 casillas la calificación Inicial en impacto Nuevo Resultado Nuevo Resultado Impacto 2-Improbable 3-Moderado Valoración del riesgo (Riesgo Residual ) M Moderada OPCIÓN DE MANEJO Opción de Manejo: Accion: Reducir el Riesgo Accion preventiva ID Plan de Mejoramiento: 1275 RIESGO (Puede suceder...) Falta de insumos para la generación de los productos del proceso Clasificación Riesgo Estratégico Responsable Subsecretaría de Planeación Socieconómica No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 F: Fuente de información estratégica, confiable y oportuna para la toma de decisiones de política pública del Distrito Capital A: Presupuesto insuficiente que impide alcanzar metas propuestas Demora en la información solicitada a otras dependencias o entidades y que son insumos para el desarrollo de las metas y objetivos del proceso. Causa Raiz Retraso en la formulación, implementación, ejecución, seguimiento y evaluación de las políticas públicas y/o los instrumentos de planeación Imposibilidad de territorializar las políticas públicas Sanciones legales. Insatisfacción de los usuarios Dificultad en el seguimiento del cumplimiento de las metas del PDD Dificultad en la medición del avance de las metas del plan de desarrollo. Demora en la entrega de informes y rendición de cuentas

11 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 4-Probable 4-Mayor E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Dar prioridad a las alertas generadas por SIPA sobre el vencimiento de las solicitudes de los usuarios. Revisar el cumplimiento de las metas del POA a través del SIIP VALORACIÓN DEL RIESGO Promedio controles 85 Disminuye en 2 casillas la calificación Inicial en probabilidad Promedio controles Impacto Nuevo Resultado Nuevo Resultado Impacto 2-Improbable 4-Mayor Valoración del riesgo (Riesgo Residual ) A Alta OPCIÓN DE MANEJO Opción de Manejo: Accion: Reducir el Riesgo Accion preventiva ID Plan de Mejoramiento: 1266

12 RIESGO (Puede suceder...) Dificultad del posicionamiento e impelmentación de la política pública LGBTI. Clasificación Riesgo Estratégico Responsable Subsecretaría de Planeación Socieconómica No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 O:Liderazgo en la formulación y el seguimiento de las políticas públicas desde los enfoques diferenciales Resistencia para la implementación de las estrategias de cambio cultural y ambientes laborales inclusivos al interior de la SDP. Aspectos específicos de la población objeto de la política como autoreconocimiento de su identidad y oposición a algunas acciones encaminadas a cambios culturales. Incumplimiento en los objetivos de la Política Pública LGBTI Se violen los derechos de la población objetivo 2 O:Liderazgo en la formulación y el seguimiento de las políticas públicas desde los enfoques diferenciales Resistencia cultural de funcionarios de otras entidades con responsabilidades en la implementación de la política LGBTI Oposición de grupos sociales a la política pública LGBTI Causa Raiz Incumplimiento en los objetivos de la Política Pública LGBTI Se violen los derechos de la población objetivo

13 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 4-Probable 4-Mayor E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Seguimiento de las actividades del plan de acción a través del módulo de la política pública LGBTI Seguimiento de la política pública a través de la herramienta virtual - tablero de control VALORACIÓN DEL RIESGO Promedio controles 90 Disminuye en 2 casillas la calificación Inicial en probabilidad Promedio controles Impacto Nuevo Resultado Nuevo Resultado Impacto 2-Improbable 4-Mayor Valoración del riesgo (Riesgo Residual ) A Alta OPCIÓN DE MANEJO Opción de Manejo: Accion: Reducir el Riesgo Accion preventiva ID Plan de Mejoramiento: 1267

14 RIESGO (Puede suceder...) Contradicción entre políticas y/ o instrumentos de planeación. Clasificación Riesgo Estratégico Responsable Subsecretaría de Planeación Socieconómica No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 D: Falta de liderazgo interinstitucional Desarticulación entre las áreas y entidades que participan en el proceso de formulación e implementación de las políticas públicas y/o instrumentos de planeación. Causa Raiz Limitada credibilidad de los ciudadanos en el Gobierno Distrital. No se reduce y/o soluciona la problemática encontrada No se genera el impacto deseado en la población objeto de la política. Falta de Transversalización de las políticas publica Uso ineficiente de los recursos públicos 2 D: Falta de liderazgo interinstitucional Carecer de visión estratégica por falta de experticia de los funcionarios que asumen las actividades propias de la gestión de las políticas públicas y/o instrumentos de planeación. Políticas e instrumentos poco pertinentes frente a los temas de interes público No se genera el impacto deseado en la población objeto de la política. Falta de Transversalización de las políticas pública

15 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 3-Posible 4-Mayor E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Participar en los espacios de coordinación Intra e interinstitucional (comités, mesas de trabajo, comisiones, etc.), donde se gestionan las políticas públicas e instrumentos de planeación VALORACIÓN DEL RIESGO Promedio controles 70 Disminuye en 1 casilla la calificación Inicial en probabilidad Promedio controles Impacto Nuevo Resultado Nuevo Resultado Impacto 2-Improbable 4-Mayor Valoración del riesgo (Riesgo Residual ) A Alta OPCIÓN DE MANEJO Opción de Manejo: Reducir el Riesgo Accion: Accion preventiva ID Plan de Mejoramiento: 1268

16 RIESGO (Puede suceder...) Deficiencia en la información de gestión reportada en los sistemas de información de la entidad. Clasificación Riesgos Operativo Responsable Oficina de Control Interno No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 D: Uso y divulgación ineficiente de la información Falta de control por parte de los Directivos, sobre los auto-reportes realizados como seguimiento a la gestión para cada área y proceso de la entidad. 1. Falta de capacitación a los enlaces y los funcionarios en general en el tema específico de reportes en los sistemas de información y las herramientas de gestión. 2. Deficiencias en las herramientas tecnológicas de la entidad. 3. Deficiencia en la seguridad de los sistemas de información de gestión de la entidad. 1. Reportes o información inadecuada entregada a las instancias internos y externos. 2. Falta de contundencia en los informes de auditoría emitidos por la OCI. 3. Identificación de conclusiones equivocadas basadas en datos erróneos. 4. Incumplimiento en los cronogramas pactados dentro de los planes de auditoria, generando alargamiento de los tiempos de auditoria en visitas de campo y/o mesas de trabajo. 2 D: Uso y divulgación ineficiente de la información Falta de control por parte de los Directivos, sobre los auto-reportes realizados como seguimiento a la gestión para cada área y proceso de la entidad. Causa Raiz 1. Reportes o información inadecuada entregada a las instancias internos y externos. 2. Falta de contundencia en los informes de auditoría emitidos por la OCI. 3. Identificación de conclusiones equivocadas basadas en datos erróneos. 4. Incumplimiento en los cronogramas pactados dentro de los planes de auditoria, generando alargamiento de los tiempos de auditoria en visitas de campo y/o mesas de trabajo.

17 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 4-Probable 5-Catastrófico E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles 3. Lineamientos para la gestión del Plan Operativo Anual POA y los Indicadores de Gestión de la SDP. Actividades No. 20, 21 y 22 del procedimiento S- PD-005 Gestión del Plan de Mejoramiento. Reporte de seguimiento elaborado por la Oficina de Control Interno en la herramienta SIIP. Correctivo: Afecta Impacto VALORACIÓN DEL RIESGO Promedio controles 70 Disminuye en 1 casilla la calificación Inicial en probabilidad Promedio controles Impacto 60 Disminuye en 1 casilla la calificación Inicial en impacto Nuevo Resultado Nuevo Resultado Impacto 3-Posible 4-Mayor Valoración del riesgo (Riesgo Residual ) E Extrema OPCIÓN DE MANEJO Opción de Manejo: Reducir el Riesgo Accion: Accion preventiva ID Plan de Mejoramiento: 1276

18 RIESGO (Puede suceder...) Adulteración o sustracción documental Clasificación Riesgos de Corrupción Responsable Dirección de Recursos Físicos y Gestión Documental No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 D: Limitación de recursos técnicos, físicos y humanos para cumplir las funciones 2 D: Limitación de recursos técnicos, físicos y humanos para cumplir las funciones Falta de controles o controles inadecuados en la custodia de la documentación. Incumplimiento del procedimiento A-PD-052 Acceso a los servicios de gestión documental. Incumplimiento de las Politicas de Gestión Documental Los documentos que componen el archivo no se encuentran digitalizados. Comportamientos inadecuados del servidor publico en ejercicio de la función pública Comportamientos inadecuados del servidor publico en ejercicio de la función pública. Causa Raiz Investigaciones de carácter legal, disciplinarias y jurídicas. Generación de hallazgos por parte de entes de control Toma de decisiones erradas por parte de la administración. Investigaciones de carácter legal, disciplinarias y jurídicas. Generación de hallazgos por parte de entes de control Toma de decisiones erradas por parte de la administración

19 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 4-Probable 4-Mayor E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Registro de préstamo y circulación de material archivístico, bibliográfico y cartográfico, A-FO- 048, A-FO-50, A-FO-051, A-FO-052, A-FO-053 y A-FO-065 Registro de movimientos y desplazamientos de las y los usuarios (cámaras de vigilancia) Reconstrucción de expedientes, A-PD-172 Restitución de planos Aplicación de las Tablas de Retención Documental y control de registros, A-PD-145 Políticas de gestión documental y de información, A-LE-007 Acceso a los servicios de gestión documental, APD-052 Políticas para la administración y control de las comunicaciones oficiales, A-LE-004 Instructivo para la conformación documental de los expedientes de licencias urbanísticas tramitadas por los curadores urbanos del Distrito Capital: Guía 5, A-IN-004 Correctivo: Afecta Impacto Correctivo: Afecta Impacto VALORACIÓN DEL RIESGO Promedio controles 91 Disminuye en 2 casillas la calificación Inicial en probabilidad Promedio controles Impacto 75 Disminuye en 1 casilla la calificación Inicial en impacto Nuevo Resultado Nuevo Resultado Impacto 2-Improbable 3-Moderado Valoración del riesgo (Riesgo Residual ) M Moderada

20 OPCIÓN DE MANEJO Opción de Manejo: Accion: Reducir el Riesgo Accion preventiva ID Plan de Mejoramiento: 1512 RIESGO (Puede suceder...) Favorecer el interés particular sobre el interés general en la definición del marco normativo y los instrumentos de planeación territorial. Clasificación Riesgos de Corrupción Responsable Subsecretaría de Planeación Territorial No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia 1 Influencia de servidores en la toma de decisiones a favor de intereses particulares, en virtud de la experticia de los funcionarios en el manejo de la norma y/ o la falta de conocimiento de ésta por parte de los usuarios asi como del conocimiento de decisiones que toma la entidad previo a su oficialización. No aportar desde la planeación territorial y la gestión de sus instrumentos en la construcción de un territorio que contribuya a la reducción de la segregación socio espacial y a la mitigación de los efectos del cambio climático. Mala imagen para la entidad que se podria presentar como corrupta. Desconfianza al interior de los equipos de trabajo. Enriquecimiento ilicito Actos administrativos viciados 2 Oferta de incentivos y/o interés de lucro indebido, asi como coorelación de fuerzas políticas desfavorables. Causa Raiz Sanciones legales. No aportar desde la planeación territorial y la gestión de sus instrumentos en la construcción de un territorio que contribuya a la reducción de la segregación socio espacial y a la mitigación de los efectos del cambio climático. Mala imagen para la entidad que se podria presentar como corrupta. Desconfianza al interior de los equipos de trabajo. Enriquecimiento ilicito Actos administrativos viciados Sanciones legales.

21 3 Inadecuada aplicación de las directrices de gestión documental para conformar expedientes en el marco de los procedimientos, que se podría evidenciar tanto en la pérdida, sustracción, adulteración, deterioro o tráfico del patrimonio documental, como en la no inclusión de los registros asociados. 4 Complejidad normativa y procedimental que dificulta la gestión intra e interinstitucional para la toma de decisiones en beneficio del interés general 5 Facilidad de interacción entre los funcionarios y los usuarios que permite el intercambio de información sin seguir los conductos regulares dispuestos para tal fin. Causa Raiz Causa Raiz Causa Raiz No aportar desde la planeación territorial y la gestión de sus instrumentos en la construcción de un territorio que contribuya a la reducción de la segregación socio espacial y a la mitigación de los efectos del cambio climático. Mala imagen para la entidad que se podria presentar como corrupta. Desconfianza al interior de los equipos de trabajo. Enriquecimiento ilicito Actos administrativos viciados Sanciones legales. No aportar desde la planeación territorial y la gestión de sus instrumentos en la construcción de un territorio que contribuya a la reducción de la segregación socio espacial y a la mitigación de los efectos del cambio climático. Mala imagen para la entidad que se podria presentar como corrupta. Desconfianza al interior de los equipos de trabajo. Enriquecimiento ilicito Actos administrativos viciados Sanciones legales. No aportar desde la planeación territorial y la gestión de sus instrumentos en la construcción de un territorio que contribuya a la reducción de la segregación socio espacial y a la mitigación de los efectos del cambio climático. Mala imagen para la entidad que se podria presentar como corrupta. Desconfianza al interior de los equipos de trabajo. Enriquecimiento ilicito Actos administrativos viciados Sanciones legales.

22 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 4-Probable 5-Catastrófico E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Revision de la conformación y organización del expediente físico o digital de acuerdo con las directrices del sistema integrado de gestión, en el marco de los productos, servicios o metas relacionadas con la planeación territorial y gestión de sus instrumentos. Identificación de las posibilidades de simplificacion normativa y procedimental que optimicen la gestión administrativa en dónde se toman decisiones enmarcadas en la planeación territorial y la gestión de sus instrumentos. Socialización e implementación del formato de visibilización de consulta VALORACIÓN DEL RIESGO Promedio controles 67 Disminuye en 1 casilla la calificación Inicial en probabilidad Promedio controles Impacto Nuevo Resultado Nuevo Resultado Impacto 3-Posible 5-Catastrófico Valoración del riesgo (Riesgo Residual ) E Extrema OPCIÓN DE MANEJO Opción de Manejo: Reducir el Riesgo Accion: Accion preventiva ID Plan de Mejoramiento: 1270

23 RIESGO (Puede suceder...) Falta de disponibilidad de la información de la SDP Clasificación Riesgos de Seguridad de la Información Responsable Subsecretaría de Información y Estudios Estratégicos No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia

24 1 a) Averia o daño en equipos, sobre los cuales no se dispone de una copia de respaldo de su información de manera periódica (copias de respaldo o sitio alterno) (Causa-Raíz (a), (n)) b) No asignación o deficiente presupuesto para adquisición y mantenimiento de infraestructura tecnológica y suministros (energía, espacio físico y gabinetes, herramientas seguridad). c) No continuidad y sostenibilidad del mantenimiento preventivo o correctivo. d) Fallas en sistemas de suministros (energía, aire acondicionado) o en la infraestructura tecnológica (servidores, equipos de red) ocasionada por desastres naturales, daños industriales, fallas técnicas o daños intencionales, dependencia de terceros. (Causa-Raíz (b)) e) Deficientes de equipos tecnológicos (almacenamiento) que permitan ubicar la información digital importante para la Entidad o respaldar los medios impresos a formato digital (sistemas de escaneo) y/o que permitan la recuperación de sus copias de respaldo en caso de una falla parcial o total de la infraestructura tecnológica. (Causa-Raíz (b)) f) Deficiencia de espacio físico e inadecuada utilización del mobiliario para custodiar la información en medio impreso (archivo gestión). (Causa-Raíz (b)) g) Falta de conocimiento o incumplimiento de los lineamientos o los procedimientos para la conformación, administración y custodia de la información. h) Carencia de conocimiento sobre las herramientas dispuestas por la Entidad para la ubicación de información importante para las áreas que se respalda periódicamente (carpetas compartidas). (Causa-Raíz (n)) i) Falta de conocimiento sobre las políticas o procedimientos para la generación de copias de respaldo de la información digital (p.e: correo, Pcs, sistemas de información). j) Insuficiencia de conocimiento o incumplimiento de procedimientos relacionados con la desvinculación de personal para la entrega de información institucional. (Causa-Raíz (n)) k) Falta de conocimiento o incumplimiento de los lineamientos o los procedimientos para la circulación y préstamos de expedientes (internos y externos) en diferentes ciclos de su vida útil entre dependencias y partes externas. l) Carencia de conocimiento sobre la administración de herramientas obsoletas y sin soporte (Ej.: Portal). (Causa-Raíz (n)) m) Ataques externos o internos a la infraestructura donde se almacena la información de la Entidad. (Causa-Raíz (b)) n) -Desconocimiento de políticas, herramientas, lineamientos y procedimientos relacionados con la disponibilidad de la información como son la generación de copias de respaldo de la información digital (p.e: correo, Pcs, sistemas de información), la desvinculación de personal para la entrega de información institucional, la conformación, custodia y almacenamiento de la información. -Hacinamiento en los puestos de trabajo por disposición de información impresa en los mismos. -Mala imagen ante el usuario y toma de decisiones inoportunas y/o erradas. -Llamados de atención, quejas, demandas y sanciones. -Repetición del trabajo por la necesidad de invertir tiempo y recursos en la reconstrucción/restauración de la información. -Deterioro de la información en medio impreso. -Pérdida de la memoria institucional. Indisponibilidad de la información. -Pérdidas económicas (por pérdida de demandas).

25 2 b) No asignación o deficiente presupuesto para adquisición y mantenimiento de infraestructura tecnológica y suministros (energía, espacio físico y gabinetes, herramientas seguridad). c) No continuidad y sostenibilidad del mantenimiento preventivo o correctivo. g) Falta de conocimiento o incumplimiento de los lineamientos o los procedimientos para la conformación, administración y custodia de la información. i) Falta de conocimiento sobre las políticas o procedimientos para la generación de copias de respaldo de la información digital (p.e: correo, Pcs, sistemas de información). k) Falta de conocimiento o incumplimiento de los lineamientos o los procedimientos para la circulación y préstamos de expedientes (internos y externos) en diferentes ciclos de su vida útil entre dependencias y partes externas. n) -Desconocimiento de políticas, herramientas, lineamientos y procedimientos relacionados con la disponibilidad de la información como son la generación de copias de respaldo de la información digital (p.e: correo, Pcs, sistemas de información), la desvinculación de personal para la entrega de información institucional, la conformación, custodia y almacenamiento de la información. Causa Raiz -Hacinamiento en los puestos de trabajo por disposición de información impresa en los mismos. -Mala imagen ante el usuario y toma de decisiones inoportunas y/o erradas. -Llamados de atención, quejas, demandas y sanciones. -Repetición del trabajo por la necesidad de invertir tiempo y recursos en la reconstrucción/restauración de la información. -Deterioro de la información en medio impreso. -Pérdida de la memoria institucional. Indisponibilidad de la información. -Pérdidas económicas (por pérdida de demandas).

26 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 5-Casi Seguro 4-Mayor E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Control ISO27001 A "Respaldo de la información": - Procedimiento de copias de respaldo y recuperación A-PD-092 Control ISO27001 A "Mantenimiento de equipos": -Procedimiento Soporte y atención en la mesa de ayuda A-PD-089. Control ISO27001 A "Seguimiento y revisión de los servicios de los proveedores": -Manual de contratación A-IN-005. Control ISO27001 A "Servicios de Suministro": - Suministro de servicios de energía, aire acondicionado, agua. Control ISO27001 A "Seguridad del cableado": - Cableado de energía eléctrica y telecomunicaciones. Control ISO27001 A Seguridad de oficinas, despachos y recursos": -Uso de carnet para acceso a las áreas de la entidad, identificación y reporte de visitantes por parte de la vigilancia privada, acompañamiento a los usuarios hasta los puestos de atención - Disposición de áreas adecuadas y suficientes para el almacenamiento y custodia de documentos análogos de acuerdo con las necesidades de las áreas. Correctivo: Afecta Impacto

27 Control ISO27001 A "Política para la seguridad de la información": - Política de seguridad de la información E-LE Normas de seguridad de la información A-IN Aplicación de las tablas de retención documental y control de registros A-PD-145 -Políticas de protección de datos personales A- LE-289 -Administración y control de las comunicaciones oficiales A-PD-050 -Política para la administración y control de las comunicaciones oficiales A-LE-004 -Políticas y directrices de gestión documental A- LE-007 -Política de gestión de carpetas compartidas E- LE-027 Control ISO27001 A "Toma de conciencia, educación y formación en la seguridad de la información" - Procedimiento "Inducción y re inducción del personal - A-PD-008" (Jornadas de Inducción y re inducción periódicas, que incluyen contenidos relacionados con la gestión documental, la utilización de los servicios informáticos y seguridad de la información). - Manual de inducción y jornadas de inducción y re inducción A-IN Directiva 003 de 2013 Dirección de Asuntos Disciplinarios de la Alcaldía (apoyado en Campaña para fomentar el conocimiento de funciones de la Entidad ). -Comunicación generada por la Subsecretaría de Información y Estudios Estratégicos para mantener la información actualizada (Planes de mejoramiento). -Jornadas de Sensibilización del Sistema Integrado de Gestión. - Procedimiento "Control de documentos del Sistema Integrado de Gestión A-PD-088" - Sensibilización a través de campañas de seguridad de la información, realizadas en el 2013 y Control ISO27001 A "Terminación o cambio de responsabilidades de empleo": - Desvinculación laboral de un servidor público A- PD-021, - Entrega de bienes y documentos al cese de la vinculación laboral A-FO

28 VALORACIÓN DEL RIESGO Promedio controles 72 Disminuye en 1 casilla la calificación Inicial en probabilidad Promedio controles Impacto 90 Disminuye en 2 casillas la calificación Inicial en impacto Nuevo Resultado Nuevo Resultado Impacto 4-Probable 2-Menor Valoración del riesgo (Riesgo Residual ) A Alta OPCIÓN DE MANEJO Opción de Manejo: Accion: Reducir el Riesgo Accion preventiva ID Plan de Mejoramiento: 1509 RIESGO (Puede suceder...) Pérdida de la integridad de la información de la SDP (integridad) Clasificación Riesgos de Seguridad de la Información Responsable Subsecretaría de Información y Estudios Estratégicos No. Factor de riesgo (Contexto Estratégico) CONTEXTO E IDENTIFICACIÓN DEL RIESGO Tipo causa (interna/externa) Efecto / Concecuencia

29 1 - Limitación de recursos técnicos, físicos y humanos para cumplir las funciones - Inadecuada distribución de cargas y bajo nivel de coordinación entre las áreas -Uso y divulgación ineficiente de la información a) Desactualización de información dispuesta en los sistemas de información (Causa-Raíz (b), (f), (i), (j)). b) Insuficiente apropiación por parte de las áreas a cargo en el suministro oportuno de información presentada a través de los sistemas de información, de acuerdo con las necesidades de los usuarios. c) Tardía o incompleta especificación de requerimientos, para dar manejo a las necesidades de las áreas, en cuanto a la actualización de la información y los sistemas de información que las procesan y su disposición al público. (Causa-Raíz ((f)). d) Escasa participación de los usuarios de las aplicaciones en la etapa de pruebas y durante la etapa de puesta en producción que demora la apropiación del área usuaria sobre la herramienta. (Causa-Raíz (b), (f)) e) Utilización de herramientas obsoletas o no administradas por la Dirección de Sistemas, con escasas medidas de seguridad para proteger la información dispuesta en ellos (Causa-Raíz (i)). f) No aplicación, desconocimiento o inexistencia de procedimientos y lineamientos de seguridad de la información (políticas, procedimientos tales como gestión de usuarios, adquisición, desarrollo y mantenimiento de sistemas de información, lineamientos de trazabilidad, asignacion de roles y demás controles de seguridad sobre aplicaciones). g) Insuficiente transferencia de conocimiento entre los usuarios que actualizan la información que se retiran parcial o totalmente de la Entidad y la persona que lo reemplaza. (Causa-Raíz (b)) h) Escasa documentación sobre el uso y administración de los sistemas de información dispuestos en la Entidad. (Causa-Raíz (f)) i) Deficiente presupuesto para el desarrollo, actualización y mantenimiento de sistemas de información j) Insuficientes recursos humanos para realizar las actividades de desarrollo, actualización y mantenimiento de sistemas de información y de actualización de la información sobre dichos sistemas. k) Modificación indebida de la información de la SDP (Causa raíz (f), (i), (l), (m), (o)) l) Deficiencia de espacio físico e inadecuada utilización de mobiliario para custodiar la información en medio impreso (Ej.: archivo gestión). m) Falta de conocimiento o incumplimiento de los lineamientos o los procedimientos para la conformación, administración y custodia de la información (Ej.: expedientes). n) Acceso indebido de agentes interesados en el ocultamiento de información o dilación de las actualizaciones de la información. (Causa- Raíz (f) ) o) Ataques externos/interno a la infraestructura de la SDP. - Suministro de información de baja calidad (desactualizada, incompleta, inconsistente, inoportuna) que genera falsas expectativas ante los usuarios, toma de decisiones errada y gestión inadecuada e inoportuna. - Qejas, sanciones o procesos disciplinarios a los funcionarios. - Dificultades en el cumplimiento de normas técnicas y legales, de lineamientos, de metas, objetivos y planes en general. - Pérdidas económicas (por pérdida de demandas).

30 2 - Limitación de recursos técnicos, físicos y humanos para cumplir las funciones - Inadecuada distribución de cargas y bajo nivel de coordinación entre las áreas -Uso y divulgación ineficiente de la información b) Insuficiente apropiación por parte de las áreas a cargo en el suministro oportuno de información presentada a través de los sistemas de información, de acuerdo con las necesidades de los usuarios. f) No aplicación, desconocimiento o inexistencia de procedimientos y lineamientos de seguridad de la información (políticas, procedimientos tales como gestión de usuarios, adquisición, desarrollo y mantenimiento de sistemas de información, lineamientos de trazabilidad, asignacion de roles y demás controles de seguridad sobre aplicaciones). i) Deficiente presupuesto para el desarrollo, actualización y mantenimiento de sistemas de información j) Insuficientes recursos humanos para realizar las actividades de desarrollo, actualización y mantenimiento de sistemas de información y de actualización de la información sobre dichos sistemas. l) Deficiencia de espacio físico e inadecuada utilización de mobiliario para custodiar la información en medio impreso (Ej.: archivo gestión). m) Falta de conocimiento o incumplimiento de los lineamientos o los procedimientos para la conformación, administración y custodia de la información (Ej.: expedientes). o) Ataques externos/interno a la infraestructura de la SDP. Causa Raiz - Suministro de información de baja calidad (desactualizada, incompleta, inconsistente, inoportuna) que genera falsas expectativas ante los usuarios, toma de decisiones errada y gestión inadecuada e inoportuna. - Qejas, sanciones o procesos disciplinarios a los funcionarios. - Dificultades en el cumplimiento de normas técnicas y legales, de lineamientos, de metas, objetivos y planes en general. - Pérdidas económicas (por pérdida de demandas).

31 CALIFICACIÓN Y EVALUACIÓN DEL RIESGO Resultado Resultado Impacto Evaluación del riesgo 5-Casi Seguro 4-Mayor E Extrema VALORACIÓN DE CONTROLES Control TIpo de control Posee una herramienta para ejercer control Existen manuales, instructivos o procedimientos para el manejo de la herramienta En el tiempo que lleva la herramienta ha demostrado ser efectiva Estan definos los responsables de la control y del seguimiento La frecuencia de control y seguimiento es adecuada Total Valoración Controles Control ISO27001 A "Política para la seguridad de la información": - Política de seguridad de la información E-LE Normas de seguridad de la información A-IN-013 Control ISO27001 A "Toma de conciencia, educación y formación en la seguridad de la información" - Procedimiento "Inducción y reinducción del personal - A-PD-008" (Jornadas de Inducción y reinducción periódicas, que incluyen contenidos relacionados con la gestión documental, la utilización de los servicios informáticos y seguridad de la información). - Manual de inducción y jornadas de inducción y reinducción A-IN Directiva 003 de 2013 Dirección de Asuntos Disciplinarios de la Alcaldía (apoyado en Campaña para fomentar el conocimiento de funciones de la Entidad ). -Comunicación generada por la Subsecretaría de Información y Estudios Estratégicos para mantener la información actualizada (Planes de mejoramiento). -Jornadas de Sensibilización del Sistema Integrado de Gestión. - Procedimiento "Control de documentos del Sistema Integrado de Gestión A-PD-088" - Sensibilización a través de campañas de seguridad de la información, realizadas en el 2013 y Controles ISO27001 A.14.1 "Requisitos de seguridad de los sistemas de información", A "Pruebas de seguridad de los sistemas", A "Pruebas de aceptación de sistemas", A "Protección de datos de prueba": Desarrollo, instalación y mantenimiento de aplicaciones A-PD