LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP

Transcripción

1 LINEAMIENTOS PARA LA ADMINISTRACIÓN DE Departamento Nacional de Planeación Bogotá, 2014

2 PAGINA: 2 de 44 TABLA DE CONTENIDO 1 OBJETIVO ALCANCE REFERENCIAS NORMATIVAS DOCUMENTOS ASOCIADOS DEFINICIONES POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS PROCESOS Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos Los riesgos que se van a controlar Opciones de tratamiento de riesgos Acciones para administrar los riesgos Tiempo y recursos Responsables de aplicar la Política Institucional de Tratamiento de Riesgos Recursos requeridos Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO Autocontrol Evaluación Realizada por la Oficina de Control Interno Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de riesgos Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP Identificación de riesgos Priorización de riesgos Estructura del formulario de identificación de riesgos Análisis y Valoración del riesgo antes de controles (riesgo inherente) Determinación y análisis de controles Estructura del formulario de determinación y análisis de controles Documentación del control Evaluación de controles Evaluación respecto a la probabilidad (sobre las causas y eventos generadores) Evaluación respecto al impacto (sobre los efectos) Valoración del riesgo después de controles (riesgo residual) Priorización de riesgos MATRICES DE LOS MAPAS DE RIESGO Mapa de riesgos del proceso Pág.

3 PAGINA: 3 de Mapa de riesgos institucional asociado a procesos Mapa de riesgos de corrupción PRODUCTO O SERVICIO NO CONFORME Identificación de producto no conforme Tratamiento del producto no conforme Estructura del formulario Tratamiento de Producto No Conforme CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA ADMINISTRACIÓN DE RIESGOS ANEXOS... 37

4 PAGINA: 4 de 44 1 OBJETIVO Establecer los parámetros para la administración de los riesgos relacionados a los procesos del DNP, su trazabilidad, registro y monitoreo, a través de la presentación de los criterios para la identificación, análisis, valoración, definición de acciones de mitigación y seguimiento a los riesgos en los procesos, que pueden afectar el cumplimiento de la misión y objetivos institucionales del DNP. Así como la presentación de las medidas de control y seguimiento de los riesgos enmarcados en la política de administración de riesgos adoptada por la Entidad. 2 ALCANCE Esta guía debe ser aplicada por la autoridad, líderes y ejecutores de las actividades de los procesos del Departamento Nacional de Planeación, que son responsables de la documentación, aplicación, actualización y seguimiento a los mapas de riesgos para los procesos de la Entidad. 3 REFERENCIAS NORMATIVAS Decreto 1599 de 2005 Decreto 2913 de 2007 Decreto 4110 de 2004 Decreto 4485 de 2009 Decreto 1537 de 2001 Ley 87 de 1993 Ley 872 de 2003 Ley 1474 de Artículo 73 Resolución interna 0758 de 2005 Resolución interna 0889 de 2005 Resolución interna 1393 de 2005 Resolución interna 1838 de 2006 Guía para la Administración de Riesgos del DAFP vigente Norma Técnica Colombiana NTC-ISO 9001:2008 Norma Técnica de Calidad en la Gestión Pública NTCGP-1000: DOCUMENTOS ASOCIADOS Proceso GC-AR Administración de Riesgos Proceso MC-AP Acciones Preventivas, Correctivas y de Mejora Subproceso SG-EV-AI Auditorías Internas de Calidad Subproceso SG-EV-EI Evaluaciones Independientes Guía metodológica para el seguimiento del sistema de gestión de calidad y el desempeño de los procesos RD-G01

5 PAGINA: 5 de 44 Lineamientos para la Elaboración y Control de Documentos de los Sistemas de Gestión del DNP DS-L01 Lineamientos para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora y/o Planes de Mejoramiento AP-L01 5 DEFINICIONES Acción de riesgos: es la aplicación concreta de las opciones de tratamiento de riesgo. Administración de Riesgos: es el proceso continuo basado en el conocimiento, evaluación y manejo de los riesgos que mejora la toma de decisiones organizacionales. Análisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo. Autoevaluación del control: Elemento de control que basado en un conjunto de mecanismos de verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada dependencia, permitiendo emprender las acciones de mejoramiento del control requeridas. (revisión periódica y sistemática de los procesos de la entidad para asegurar que los controles establecidos son eficaces). Calificación del riesgo: establece el grado de exposición de la Entidad bajo criterios de probabilidad e impacto de los riesgos. Categoría: cada uno de los grupos básicos en que puede incluirse o calificarse un riesgo. Causas: son los medios, circunstancias y agentes generadores del riesgo. Cliente: organización, entidad o persona que recibe un producto y/o servicio. Compartir el Riesgo: Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio. Control: proceso, política, dispositivo, práctica u otra acción existente para reducir la probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo. Efectos: lo que podría generarse en la Entidad con la materialización de un riesgo. Es el resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso. Evento: hecho que una vez materializado genera desviaciones en el punto crítico de control, afectando el logro del objetivo del proceso o la gestión institucional.

6 PAGINA: 6 de 44 Impacto: magnitud de los efectos que puede ocasionar la materialización del riesgo. Indicador: expresión cuantitativa o cualitativa que permite establecer el estado del objeto a evaluar en un momento determinado, con relación a rangos establecidos. Mapa de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias. Monitorear: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una actividad con el fin de identificar posibles cambios. Pérdida: Consecuencia negativa que trae consigo un evento. Política de riesgo: identifica las opciones para tratar y manejar los riesgos: Proceso: conjunto de actividades mutuamente relacionadas o que interactúan para generar valor, las cuales transforman elementos de entrada en resultados. Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo. Punto Crítico de Control (PCC): es una actividad fundamental dentro del proceso, en la que se debe ejercer un control para prevenir la materialización de un riesgo. Toda actividad no es un punto crítico de control. Registro: documento que presenta resultados obtenidos o proporciona evidencia de las actividades adelantadas. Responsables: rol o cargo encargado de adelantar las acciones propuestas. Responsable de liberación: rol o cargo que autoriza la entrega del producto o servicio al cliente. Riesgo: posibilidad de ocurrencia de aquella situación que puede afectar el logro de los objetivos institucionales, o la calidad de los productos o servicios ofrecidos por la Entidad. Riesgos Estratégicos: Están relacionados con la planificación, diseño y conceptualización de la Entidad por parte de la alta gerencia, en relación con su marco estratégico: misión, visión, cumplimiento de los objetivos estratégicos y la definición de políticas. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución. Riesgos Operativos: son los riesgos derivados del funcionamiento de los sistemas de gestión institucional, la definición y ejecución de los procesos, la operación de los sistemas de información y herramientas de apoyo a la gestión, de la estructura de la entidad y de los mecanismos de comunicación y articulación entre dependencias.

7 PAGINA: 7 de 44 Riesgos Financieros 1 : Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. Riesgos de Cumplimiento 2 : Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Tecnología 3 : Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. Herramienta de seguimiento: mecanismo para controlar que la ejecución de los procesos y los resultados obtenidos sean acordes con los requisitos, características o atributos establecidos, de manera que se pueden identificar o monitorear la materialización de riesgos. Subproceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados. El desarrollo de uno o varios subprocesos permite avanzar en el cumplimiento de los procesos. Valoración pura: grado de exposición al riesgo en un escenario sin controles. Valoración residual: grado de exposición al riesgo con la calificación de probabilidad e impacto aplicando los controles existentes. Zona de riesgo: es el nivel de exposición al riesgo, hallado mediante el cruce entre la probabilidad y el impacto. 6 POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS PROCESOS La política institucional para la administración de riesgos del DNP, establece las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos. Esta política refleja la posición de la dirección y establece las guías de acción para el tratamiento de los riesgos identificados. Para los riesgos de los procesos del Sistema de Gestión de Calidad, que después de la calificación de los controles (ver numeral 9.4 de este documento) se valoren como importantes ó inaceptables, serán atendidos de forma inmediata a través de acciones concretas, las cuales podrán ser opciones de tratamiento independientes, interrelacionadas o en conjunto, que permitan definir las actividades correspondientes a dichas opciones. 1 Guía para la administración del riesgo del Departamento Administrativo de la Función Pública cuarta edición páginas: ibidem 3 ibidem

8 PAGINA: 8 de 44 Para los riesgos de corrupción, las acciones que se deben tener en cuenta son: Evitar el Riesgo y Reducir el Riesgo, las cuales se explican en el capítulo 6.3 de este documento. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la República-Secretaría de Transparencia: Estrategias para la construcción del plan anticorrupción y atención al ciudadano Bogotá. 6.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos Efectuar el control y seguimiento de los riesgos que después de la calificación de los controles se valoren como importantes o inaceptables. Definir las acciones orientadas a evitar o reducir el riesgo mediante la adopción de medidas para impedir su materialización, o disminuir el impacto de su materialización. Fortalecer o implementar controles que eviten la materialización del riesgo o la afectación en el cumplimiento de los objetivos institucionales. El cumplimiento de estos objetivos será informado semestralmente, para verificar el avance y efectividad de las acciones propuestas y su impacto frente al riesgo asociado, así como el cumplimiento de las acciones. Esta labor será realizada por el Grupo de Planeación mediante comunicación escrita. 6.2 Los riesgos que se van a controlar. La administración de riesgos en el DNP tendrá un carácter prioritario y estratégico, en el marco del modelo de operación por procesos. Los riesgos a los cuales se aplicaran controles, son los relacionados con las actividades identificadas como críticas, las cuales están definidas en todos los procesos como PCC (Punto Crítico de Control), porque requieren de especial atención debido a que su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso. Por lo anterior, se establece que la totalidad de riesgos identificados en el mapa de riesgos institucional y por procesos estarán sujetos al seguimiento, monitoreo, control y ajuste mediante la aplicación del procedimiento de administración de riesgos del DNP. 6.3 Opciones de tratamiento de riesgos Teniendo en cuenta la valoración de riesgos después de controles, se determinan las siguientes opciones de tratamiento para cada uno de los riesgos: Evitar el riesgo: tomar las medidas encaminadas para impedir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o sustitución de actividades y/o de controles y acciones emprendidas. Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar controles.

9 PAGINA: 9 de 44 Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que se mantiene, en este caso el Líder del proceso acepta la pérdida residual. Estas opciones se definen para cada riesgo (ver cuadro 1), teniendo en cuenta la zona de ubicación en el Formulario Matriz de valoración de riesgos después de controles ver anexo 3 y la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos. OPCIONES DE TRATAMIENTO DE RIESGOS ZONA DE RIESGO COLOR Evitar Reducir Compartir o transferir Asumir Inaceptable Rojo X X X Importante Naranja X X X Tolerable Amarillo X X X X Aceptable Verde X Cuadro 1. Opciones de tratamiento de riesgos de acuerdo con la zona de ubicación Nota 13: Cuando no se definen acciones para riesgos ubicados en zona tolerable, la opción de tratamiento es asumir. 6.4 Acciones para administrar los riesgos Teniendo en cuenta la valoración de riesgos obtenida y la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos, se formulan las acciones asociadas a la(s) opción(es) de tratamiento de riesgos adoptada. Estas acciones se diligencian según lo establecido en el proceso de Acciones Preventivas, Correctivas y de Mejora, usando el formato Solicitud de acciones preventivas, correctivas y de mejora, según lo establecido en el Lineamiento para la administración de los riesgos relacionados a los procesos del DNP Tiempo y recursos Para la implementación de acciones y controles se tendrá como referente la viabilidad jurídica, financiera y la disponibilidad de recurso humano y tecnológico, así como el análisis costo/beneficio para el manejo o la administración del riesgo. 6.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos La responsabilidad de la elaboración del mapa de riesgos por proceso, así como la aplicación de la política de riesgos del DNP, está a cargo de la autoridad, líderes y ejecutores de las actividades de cada uno de los procesos de la Entidad.

10 PAGINA: 10 de 44 La responsabilidad de acompañar en el desarrollo del proceso de administración de riesgos y la aplicación de la política de riesgos del DNP está a cargo del equipo de administración de riesgos del Grupo de Planeación. El representante de la alta dirección es el encargado de velar por la elaboración de los mapas de riesgos asociados a los procesos del DNP y la aplicación de la política de administración de riesgo del DNP. Los responsables de los procesos (Autoridad, líder y responsables de actividades) serán los encargados de implementar los controles, verificar su efectividad, proponer cambios, velar por su adecuada documentación y por su socialización y aplicación al interior de su proceso. Así mismo, son los responsables de la formulación de las acciones pertinentes que permitan cumplir a cabalidad con la política de riesgos institucional. La revisión de los avances de las acciones derivadas de la administración de riesgos, así como la revisión de su eficacia, y la aplicación de la política institucional para el tratamiento de los riesgos asociados a procesos, está a cargo de la Oficina de Control interno. 6.6 Recursos requeridos En cada uno de los pasos de administración de riesgos se contemplaran los recursos necesarios para la definición, implementación y efectividad de las acciones que permitan un tratamiento adecuado de los riesgos. Para ello se involucraran a los procesos que tengan incidencia en el cálculo, aplicación o solicitud de los recursos. 6.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos La política de calidad será desarrollada mediante los ejercicios de revisión, actualización y seguimiento a los mapas de riesgos de la Entidad, de la siguiente manera, ver cuadro 2: DESARROLLO DE LA POLÍTICA A: Corto plazo 2015 Mediano Plazo Largo Plazo 2018 Documentación de los mapas de riesgo relacionados a proyectos. Revisión anual de los mapas de riesgos por procesos. (actividades de control: Aplicación y efectividad) Actualización bienal de los mapas de riesgos por procesos Revisión y actualización trimestral de los mapas de riesgos de corrupción. Documentación de los mapas de riesgo relacionados a activos de información. Documentación de los mapas de riesgo relacionados a otras actividades desarrolladas por el DNP. Implementación de herramientas tecnológicas o de información que aumente el nivel de confianza de los controles. Establecer una metodología de valoración de los riesgos para estimar aquellos que tienen Documentación de los mapas de riesgo relacionados con actividades desarrolladas por el DNP y el sector planeación.

11 PAGINA: 11 de 44 Documentación de los mapas impacto ambiental de riesgo relacionados con el programa de salud ocupacional. Documentación de los mapas de riesgo relacionados a proyectos. Implementación de una herramienta tecnológica para la administración de riesgos (herramienta informática) Cuadro 2. Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos 7 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO El seguimiento a la administración del riesgo se encuentra conformado por dos componentes: el primero mediante el autocontrol realizado por los ejecutores del proceso y el segundo mediante la evaluación realizada por la Oficina de Control Interno. 7.1 Autocontrol Es la actividad realizada por los implicados en el desarrollo y ejecución del proceso, donde se analizan y revisan los mapas de riesgos asociados a los procesos por lo menos una vez al año o cuando las circunstancias lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto estratégico, modificaciones o cambios relevantes en los procesos y/o procedimientos, o cualquier hecho externo o interno que afecte la operación de la entidad. La revisión se realiza teniendo en cuenta los siguientes aspectos: Correspondencia con el proceso y los puntos críticos de control definidos. Identificación de nuevos riesgos o eliminación cuando no sean significativos. Determinación de nuevas causas generadoras o efectos con la materialización de riesgos. Determinación de nuevos controles o ajuste en la evaluación de los mismos. Determinación de nuevas acciones de administración de riesgos o ajuste a las definidas. Implementación de las acciones definidas en el mapa de riesgos. Modificación del indicador de riesgos o herramienta de seguimiento. Actualización de la matriz de producto o servicio no conforme. Inclusión del Mapa de riesgos del proceso en el Mapa de riesgos institucional asociado a procesos. Los ajustes a los mapas de riesgos de acuerdo con las actualizaciones a que haya lugar, se realizan mínimo una vez cada dos años y deben solicitarse de acuerdo con lo establecido en los Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP DS-L01.

12 PAGINA: 12 de 44 Para los riesgos de la categoría de Corrupción, es necesario que permanentemente se revisen las causas que generan estos riesgos. En este sentido se debe realizar seguimiento a los mapas de riesgo de corrupción por lo menos tres veces al año con corte a 30 de abril, 31 de agosto y diciembre 31. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la Republica-Secretaria de Transparencia: Estrategias para la construcción del plan anticorrupción y atención al ciudadano Bogotá. Pág Evaluación Realizada por la Oficina de Control Interno Esta evaluación permite detectar nuevos eventos de riesgos y oportunidades de mejora que permiten disminuir la probabilidad e impacto de los posibles riesgos asociados a los procesos de la Entidad, contribuyendo de esta manera a la identificación de riesgos, a través de la evaluación sobre efectividad del manejo de los riesgos, verificando la vigencia de los mapas de riesgos documentados y la efectividad de las acciones de mejora originadas por la administración de riesgos. La evaluación adelantada por la Oficina de Control Interno a la administración de riesgos, se puede realizar a través de las evaluaciones independientes que adelante la Oficina tales como: Auditorías internas de calidad (Subproceso SG-EV-AI Auditorías internas de calidad ), Evaluaciones Independientes (subproceso SG-EV-EI Evaluaciones independientes ), Evaluación a la Gestion por Dependencias (subproceso SG-EV-EG ), revisión de la eficacia de las acciones preventivas, correctivas y de mejora APCM originadas a partir de los mapas de riesgos (Proceso MC-AP Acciones preventivas, correctivas y de mejora ), monitoreo de operaciones sensibles, entre otras. 7.3 Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de riesgos Durante el seguimiento realizado a los mapas de riesgo por parte de la autoridad, líderes y ejecutores de las actividades de los procesos del DNP, así como en la evaluación adelantada por la OCI, se pueden obtener evidencias para determinar si el sistema de administración del riesgo está funcionando, validar los reportes generados para los riesgos, revisar y evaluar la eficacia del proceso de administración del riesgo, evaluar los mecanismos y medios de comunicación, el nivel de conocimiento en riesgos, etc. A continuación se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los ejercicios mencionados: Verificar la correspondencia entre el proceso y el mapa de riesgos. Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos del proceso auditado. Vinculación del Mapa de riesgos del proceso al Mapa de riesgos institucional asociado a procesos. Validar el desarrollo del proceso GC-AR Administración de riesgos. Verificar que los controles internos definidos para tratar los riesgos existen, funcionan y son suficientes. Verificar la operatividad ejecución- de los controles identificados en el mapa de riesgos, según la periodicidad establecida en el mapa de riesgos en el formulario Controles, pestaña Evaluación de Controles. Ver anexo 4 Revisar la ejecución y eficacia de las acciones de administración de riesgos definidas.

13 PAGINA: 13 de 44 Verificar que el tratamiento de los riesgos es adecuado y efectivo. Verificar la materialización de riesgos que pueden generar productos y/o servicios no conformes Verificar la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos. Verificar las evidencias de la revisión del mapa de riesgos del proceso de acuerdo con la periodicidad establecida en el capítulo 7.1 de este documento. Identificar los hallazgos relacionados con la administración del riesgo. 7.4 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos La Oficina de Control Interno realiza la revisión de la eficacia de las acciones de mejora con origen en la administración de riesgos, enmarcada en los criterios establecidos en los Lineamientos para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora AP-L01 y en el Proceso MC- AP Acciones Preventivas, Correctivas y de Mejora. 8 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO La administración de riesgos debe ser un tema conocido por todos los funcionarios, contratistas y pasantes del DNP, para lo cual se utiliza la intranet de la Entidad para su publicación, los medios masivos de comunicación y la divulgación al interior de cada uno de los procesos. En cuanto a la capacitación, esta se realizará anualmente en la entidad y durante el desarrollo del proceso de administración de riesgos en cada área de la Entidad. 9 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP 9.1 Identificación de riesgos Permite conocer los riesgos que pueden afectar el logro del objetivo o la gestión de cada proceso documentado y sus características. El proceso de identificación del riesgo es iterativo y debe estar en permanente revisión y actualización, de acuerdo con la dinámica de los procesos de la Entidad. Este proceso es desarrollado en primera instancia por el equipo de trabajo que involucra el proceso (Autoridad, líder y responsables de las actividades) y en segunda instancia por el equipo de administración de riesgos del GP. La identificación de riesgos consiste en generar una lista de los eventos indeseados que puede tener impacto en las actividades del proceso al cual se le está documentando el mapa de riesgos, dichos eventos pueden impedir, degradar o retrasar el logro de los objetivos del proceso. La identificación de riesgos se realiza a partir de juicios por parte de los ejecutores de las actividades de los procesos, basados en su experiencia, los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas y análisis de escenarios. Nota 1: En los casos en los cuales las actividades críticas de un proceso contemplen la realización de un subproceso o se remitan al mismo, cabe la posibilidad de que el mapa de riesgos se documente al subproceso relacionado, puesto que los riesgos del proceso pueden ser más evidentes dentro de las actividades que constituyen el subproceso.

14 PAGINA: 14 de Priorización de riesgos Aunque en todas las actividades de un proceso se pueden presentar riesgos de diferente índole, es necesario priorizar las actividades a las cuales se les realizará el análisis de riesgos, para marcarlas como actividades críticas o Puntos Críticos de Control-PCC. Estas actividades han sido identificadas como PCC porque requieren de especial atención debido a que su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso. Cuando se identifican los riesgos asociados a las actividades PCC, se realiza nuevamente un análisis en donde se priorizan aquellos eventos indeseados que pueden evitar el cumplimiento de la actividad y por tanto la obtención de la salida: producto y/o servicio generado en la actividad crítica, señalada en el descriptor del proceso. Para la priorización de riesgos que se pueden presentar en una actividad PCC, se pueden analizar las respuestas a las siguientes preguntas: - La materialización del riesgo afecta el cumplimiento del objetivo del proceso (producto y/o servicio)? - La materialización del riesgo afecta la obtención de la salida (producto y/o servicio) de la actividad? - La materialización del riesgo afecta la realización de otras actividades subsiguientes a la señalada como PCC, es decir, detiene la realización del proceso en esa actividad? - Al materializarse ese riesgo, es necesario repetir la realización de actividades anteriores? - La materialización del riesgo impide el cumplimiento de alguna normativa? Una vez analizadas las preguntas, es importante validar cuantas respuestas son afirmativas, de manera que se seleccionen los riesgos cuyas respuestas, en su mayoría, son SI igual o mayor de 3 (=>3). Para los demás riesgos identificados, cuyas respuestas en su mayoría sean NO se excluyen del análisis del riesgo, es decir no son incluidos dentro de la priorización, por tratarse de riesgos, que aunque son eventos indeseados, no detienen la realización del proceso, no afectan la consecución de resultados y no representan mayor impacto sobre el objetivo. Igualmente, para adelantar una adecuada identificación de riesgos es necesario tener en cuenta, el análisis de indicadores, los mapas de riesgos anteriores, los resultados de las auditorías internas y externas de calidad, las evaluaciones independientes, los informes de seguimiento y evaluación a la gestión de las dependencias, los hallazgos de la auditoría gubernamental de la CGR, los procesos disciplinarios abiertos, los informes de quejas y reclamos y la retroalimentación de los clientes, entre otros. Estas fuentes de información permiten evidenciar la materialización de riesgos, por tanto es indispensable su análisis al momento de identificar posibles riesgos en los procesos. Lo anterior con el propósito de observar algún riesgo que se haya presentado con anterioridad, cuya evidencia se hubiese presentado en alguna de las fuentes mencionadas. No obstante, la declaración de la materialización de un riesgo en alguno de los ejercicios mencionados, no implica necesariamente su inclusión dentro del mapa, puesto que prima la priorización de los riesgos y el análisis de la autoridad y/o líder del proceso en cuanto a la pertinencia de incluir dichos riesgos.

15 PAGINA: 15 de 44 Nota 2: En los casos en los cuales se documente el mapa de riesgos de un subproceso, teniendo como referente la nota 1 de este documento, aplican las mismas condiciones de priorización, es decir se tiene en cuanta el objetivo del proceso y adicionalmente el objetivo del subproceso Estructura del formulario de identificación de riesgos La etapa de identificación de riesgos es desarrollada en el aplicativo Identificador de Riesgos en el formulario titulado Identificación de riesgos, ver anexo 1, que consta de las siguientes pestañas: Información General: En esta pestaña se relaciona toda la información del mapa de riesgos, la cual permite realizar trazabilidad en cuanto a la documentación. Actualización y revisión del mapa de riesgos. Esta pestaña consta de los siguientes campos: - Macroproceso: En este espacio se relaciona el macroproceso al cual pertenece el proceso relacionado con el mapa de riesgos que se va a documentar. - Proceso: Se selecciona el proceso al cual se identificaran los riesgos - Código del proceso: Se relaciona el código del proceso al cual se identificaran los riesgos - Código del mapa: Se relaciona el código del mapa de riesgos - Estado: Se selecciona el estado en el cual se encuentra la versión del mapa de riesgos, la cual puede ser en actualización, aprobado o eliminado. - Versión: Se diligencia la versión del mapa de riesgos de acuerdo con el estado del mismo. - Dependencias: Se selecciona la(s) dependencia(s) que participa(n) en la ejecución de las actividades críticas y que tienen directa relación con los riesgos identificados y/o con los controles aplicados. - Responsable aprueba: Se diligencia el nombre y cargo de la persona que aprueba el mapa de riesgos. - Fecha aprueba: Responde a la fecha de aprobación del mapa - Estado de la revisión: se relaciona el estado en el cual queda el mapa una vez ha sido aprobado - Causa actualiza: se establecen las causas generales que motivan cambio de versión y actualización. Así mismo se pueden anotar aspectos generales de la revisión y notas de trabajo. Riesgos: En esta pestaña se relaciona información general del mapa de riesgos y se realiza la identificación de los riesgos y la valoración de los mismos antes de controles. Punto Crítico de Control (PCC): Es el punto de partida para la identificación de riesgos, en este campo se relacionan las actividades de los procesos que durante su documentación se han señalado como Puntos Críticos de Control (PCC), según lo dispuesto en los Lineamientos para la Elaboración y Control de Documentos de los Sistemas de Gestión del DNP, capitulo Documentación de Procesos. En esta misma casilla se relaciona además el número de la actividad.

16 PAGINA: 16 de 44 Categoría 4 : Con base en las clasificaciones establecidas en formulario, se selecciona el grupo al que pertenece el riesgo a identificar. Estas categorías han sido priorizadas para administrar los riesgos más relevantes a los que están expuestos los procesos de la entidad A continuación se relacionan las categorías establecidas en las que puede incluirse o clasificarse un riesgo, ver cuadro 1. Categorías de riesgos. En las columnas, SE PUEDEN PRESENTAR POR y PUEDEN OCASIONAR se relacionan algunos ejemplos de causas y efectos respectivamente relacionados con el riesgo identificado según su categoría. CATEGORÍA SE PUEDEN PRESENTAR POR: PUEDEN OCASIONAR: 1. Decisiones Erróneas: se manifiestan en diferentes ámbitos: - Errores en la información que soportan las decisiones. - Pérdida de credibilidad de la Entidad. a) Estratégico: se materializa cuando se definen lineamientos, políticas, estrategias, directrices que no son adecuadas o convenientes para la Entidad. b) Operativo: corresponde a la escogencia de alternativas impropias. c) Financiero: esta dado por la inapropiada asignación de recursos. 2. Incumplimientos legales: se materializan con el no acatamiento de la normativa externa o interna. - Errores de juicio. - Aplicación errónea de criterios o instrucciones para la realización de actividades. - Actos accidentales o mal intencionados de los funcionarios o de terceros. - Ejecución de operaciones desconociendo el marco legal establecido. - Actos accidentales o mal intencionados de los funcionarios o de terceros. - Pérdida de confianza en la Entidad. - Pérdidas económicas de la Entidad. - Quejas y reclamos de los clientes (internos y/o externos) - Sanciones Legales. - Pérdidas económicas por multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos. - Pérdida de credibilidad y confianza por no cumplir con responsabilidades y tareas encomendadas. 4 Adaptación de la metodología AUDIRISK de la firma AUDISIS Ltda. y del Consejo Superior de la Judicatura.

17 PAGINA: 17 de 44 CATEGORÍA SE PUEDEN PRESENTAR POR: PUEDEN OCASIONAR: 3. Incumplimientos de compromisos: se materializan al pasar por alto las obligaciones o los compromisos de la Entidad. 4. Daño de activos: se materializa con el abandono, uso inapropiado o colocar en inferioridad de condiciones los recursos físicos y tecnológicos de la Entidad. - Errores en la información que soportan las decisiones. - Asumir responsabilidades que exceden las capacidades de la Entidad y no se puedan realizar oportuna o adecuadamente. - Actos accidentales o mal intencionados de los funcionarios o de terceros. - Accidentes y desastres naturales. - Uso mal intencionado e inapropiado. - Falta de idoneidad o capacitación en el manejo de recursos. - Pérdidas económicas por multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos. - Pérdida de credibilidad y confianza por no cumplir con responsabilidades y tareas encomendadas. - Quejas y reclamos de los clientes (internos y/o externos) - Pérdida de la información. - Pérdidas económicas por obsolescencia, reparación o reposición de instalaciones, equipos, accesorios y herramientas de trabajo. - Fallas de hardware y software. 5. Hurto: se materializa con la apropiación indebida, por parte de un servidor o de terceros de propiedad física, financiera e intelectual de la Entidad. - Alteración y/o desviación de la información de las operaciones y transacciones de la Entidad. - Sustracción deliberada de activos. - Detrimento de seguridad de los recursos que soportan la prestación de los servicios. - Pérdida de la información. - Pérdidas Económicas. - Detrimento del patrimonio de la Entidad.

18 PAGINA: 18 de 44 CATEGORÍA SE PUEDEN PRESENTAR POR: PUEDEN OCASIONAR: 6. Fraude: se materializa al inducir a cometer un error para obtener una resolución contraria a la ley; así como evitar el cumplimiento de obligaciones impuestas. También al obtener mediante maniobras engañosas una ventaja en detrimento de alguien sustracción maliciosa que alguien hace a las normas de la ley o a las de un contrato en perjuicio de otro. 7. Inexactitud: se materializa al presentar datos o estimaciones equivocadas, incompletas, o desfiguradas. 8. Corrupción: Se entiende por riesgo de corrupción la posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de la entidad y en consecuencia del Estado, para la obtención de un beneficio en particular. 5 - Alteración y/o desviación de la información de las operaciones y transacciones de la Entidad. - Sustracción deliberada de activos. - Errores en la información que soportan las decisiones - Aplicación errónea de criterios o instrucciones para la realización de actividades. - Actos accidentales o mal intencionados de los funcionarios o de terceros. - Concentración de autoridad o excesos de poder - Archivos contables con vacíos de información - Toma de decisiones ajustadas a intereses particulares - Cobrar por un trámite - Tráfico de Influencias (Amiguismo, persona influyente) Cuadro 1. Categorías de riesgos - Pérdida de la información. - Pérdidas Económicas. - Detrimento del patrimonio de la Entidad. - Pérdida de credibilidad de la Entidad. - Pérdida de confianza en la Entidad. - Pérdidas económicas de la Entidad. - Decisiones erróneas - Pérdida de credibilidad de la Entidad. - Pérdida de confianza en la Entidad. - - Pérdida de transparencia y la probidad en la Entidad. - Pérdidas económicas de la Entidad. Posterior a la selección de la categoría, es necesario establecer una preposición que relacione la categoría con el evento, se recomienda utilizar las siguientes preposiciones según la categoría: Decisiones erróneas: al, durante, en, para, sobre. 5 Presidencia de la Republica. Secretaria de Transparencia. Estrategias para la construcción del plan anticorrupción y atención al ciudadano. Bogotá. Pág. 9

19 PAGINA: 19 de 44 Incumplimientos legales: al, ante, con, durante, en. Incumplimientos de compromisos: al, ante, con, durante, en, hacia. Daño de activos: al, de, durante, en, para, sobre. Hurto: de, durante, en, mediante, para. Fraude: de, durante, en, mediante, para. Inexactitud: al, con, de, durante, en, para, sobre. Corrupción al, durante, por, en Nota 3: Se recomienda analizar cuidadosamente el uso de la preposición por ya que se podría asimilar el evento con una causa. Evento: se describe el hecho asociado al punto crítico de control que se está analizando, teniendo en cuenta la categoría y preposición escogida, por lo general coincide con la ejecución de la actividad. Para identificar correctamente el evento, puede ser muy útil revisar en el descriptor del proceso la columna descripción de la actividad relacionada con la actividad identificada como critica. Riesgo: se define mediante la unión entre la categoría y el evento que lo materializa (categoría + preposición + evento). Ver cuadro 3. Categorías de riesgos Ejemplos: CATEGORÍA PREPOSICIÓN EVENTO RIESGO La verificación y Durante análisis de las presuntas irregularidades irregularidades Decisiones erróneas Inexactitud Incumplimientos legales Incumplimientos de compromisos Daño de activos Hurto Fraude En Al En Durante De Durante El diligenciamiento del formato Dar respuesta a una petición fuera de los términos establecidos por ley. La revisión oportuna de la iniciativa de elaboración del documento Conpes La ejecución del mantenimiento y luego de este Bienes durante la verificación física de existencias La preparación de la baja o la entrega del bien Decisiones erróneas durante la verificación y análisis de las presuntas Inexactitud en el diligenciamiento del formato Al dar respuesta de una petición fuera de los términos establecidos por ley. Incumplimientos de compromisos en la revisión oportuna de la iniciativa de elaboración del documento Conpes Daño de activos durante la ejecución del mantenimiento y luego de este Hurto de bienes durante la verificación física de existencias Fraude durante la preparación de la baja o la entrega del bien

20 PAGINA: 20 de 44 CATEGORÍA PREPOSICIÓN EVENTO RIESGO Corrupción Por La dilatación de los procesos con el propósito de obtener el vencimiento de términos o la prescripción de mismo. Corrupción por la dilatación de los procesos con el propósito de obtener el vencimiento de términos o la prescripción de mismo. Cuadro 3. Categorías de riesgos: Ejemplos Nota 4: Es necesario priorizar los riesgos para el proceso, colocar máximo 10. La priorización de cada riesgo depende de la incidencia del riesgo identificado en la ejecución de la actividad crítica, así como el efecto del riesgo dentro de la ejecución del proceso, la consecución del objetivo del mismo y el impacto en la entidad en cuanto al cumplimiento de los componentes del contexto estratégico del DNP. La priorización la realiza la autoridad o líder del proceso bajo criterios de experiencia, experticia o conocimiento de quien analiza, así como en datos y hechos históricos (cuando existan o aplique). Nota 5: A cada Punto Crítico de Control se le puede asociar más de un riesgo. Clase: De acuerdo con las definiciones de riesgos mencionadas en el capítulo 5 de este documento, se elige a cual clase pertenece el riesgo identificado. Causas: se enumeran los medios, circunstancias y/o agentes que generan el riesgo identificado o que propician su materialización. Estas causas pueden ser intrínsecas (internas) al ser atribuidas a personas, métodos, equipos, materiales e instalaciones, directamente involucradas en el proceso, es decir debilidades de la entidad, o extrínsecas (externas) cuando provienen del entorno en el que se desarrolla el proceso, es decir amenazas. En el formulario se discriminan las causas según corresponda en internas y externas. Nota 6 6 : En la identificación de las causas de los riesgos cuya categoría sea corrupción, se busca identificar un conjunto sistemático de situaciones que por sus características pueden originar prácticas corruptas así mismo, es conveniente analizar los hechos de corrupción presentados en procesos similares de otras entidades. Efectos: se enumeran las consecuencias asociadas a la materialización del riesgo que inciden en el objetivo del proceso, subprocesos asociados, a la dependencia que lidera el proceso o a la Entidad. Existen dos tipos de efectos, los inmediatos que afectan el desarrollo de actividades posteriores y los Extremos que se relacionan con efectos legales, sanciones o afectación en la operación de la Entidad. Pueden agruparse en: Pérdidas económicas representadas en sobrecostos por reproceso, duplicidad o inactividad y detrimento del patrimonio, multas entre otras. Detrimento de la imagen constituido por la pérdida de credibilidad y confianza en el cumplimiento de la misión y tareas encomendadas. 6 Ibídem

21 PAGINA: 21 de 44 Sanciones legales constituidas por las sanciones que debe pagar la Entidad Afectación en la operación (misional y/o apoyo) de la entidad Nota 7: Los efectos no tienen relación uno a uno con las causas del riesgo, es decir, una o varias causas desencadenan el riesgo y la materialización del mismo ocasiona uno o varios efectos. 9.2 Análisis y Valoración del riesgo antes de controles (riesgo inherente) Posterior a la identificación, se realiza la valoración del riesgo puro o inherente, el formulario de identificación en la pestaña: Valoración del riesgo antes de controles, ver anexo 2, en donde se evalúan los riesgos sin considerar los controles que pudieran existir, analizando la naturaleza y la forma como se llevan a cabo las actividades en el proceso. Para ello, se determina la probabilidad de ocurrencia y el impacto de la materialización de cada riesgo identificado, en un escenario hipotético en donde los controles para prevenir o mitigar el riesgo no existen o no se aplican. Probabilidad: Se establece la frecuencia con la que se ha presentado o puede presentarse el riesgo cuando no existen controles. Se mide en términos de la factibilidad con la que el riesgo se podría llegar a materializar, teniendo en cuenta la presencia y exposición ante factores internos y externos. Es importante tener en cuenta el análisis de aspectos como: Número de veces que se realiza la actividad en un espacio de tiempo Número de personas que intervienen en la realización de la actividad Estadísticas (si se cuenta con ellas) de las materialización del riesgo Número de correcciones y acciones correctivas formuladas en el balance de acciones de mejora F-GP-24, relacionadas con la materialización de riesgos. Los hallazgos de la auditoría gubernamental de la CGR, Las acciones adelantadas respecto a la materialización del riesgo, que fueron registradas en el Consolidado de productos y/o servicios no conformes formato F-GP-34 De acuerdo con el análisis, se selecciona el grado de probabilidad con base en las siguientes categorías 7, ver cuadro 4. Escalas de probabilidad: PROBABILIDAD REMOTA POCO PROBABLE PROBABLE MUY PROBABLE- POSIBLE DESCRIPCIÓN La eventualidad de ocurrencia es muy baja, casi nula. Podría ocurrir sólo bajo circunstancias muy excepcionales. Podría o no ocurrir en algún momento. Puede ocurrir en algún momento o algunas veces. ESCALA PROBABILÍSTICA CALIFICACIÓN 0 19% % 2 50% % 4 7 Adaptación de la Norma Técnica Colombiana NTC 5254.

22 PAGINA: 22 de 44 PROBABILIDAD CASI CIERTO- SEGURO DESCRIPCIÓN La posibilidad de ocurrencia se da en la mayoría de las circunstancias. Cuadro 4. Escalas de probabilidad ESCALA PROBABILÍSTICA CALIFICACIÓN % 5 Es importante señalar que para la probabilidad de materialización de los riesgos de la categoría Corrupción, se consideran únicamente dos criterios CASI CIERTO-SEGURO y MUY PROBABLE- POSIBLE Nota 8: Para la probabilidad de los riesgos de la categoría de Corrupción, el formulario presenta de manera condicional en la lista desplegable únicamente las dos opciones permitidas para este tipo de riesgos. Lo anterior en cumplimiento con lo establecido en el documento de la Presidencia de la República-Secretaría de Transparencia: Estrategias para la construcción del plan anticorrupción y atención al ciudadano Bogotá. Pág. 11. Impacto antes de controles: Se establece la magnitud de los efectos ocasionados con la materialización del riesgo cuando no existen controles. De acuerdo con un análisis cualitativo, se selecciona el nivel con base en las siguientes categorías 8, Ver cuadro 5. Escalas de impacto. IMPACTO Sobre la imagen INSIGNIFICAN TE Ante el personal que ejecuta la actividad critica. BAJO MODERADO ALTO MUY ALTO Ante el personal del área que lidera el proceso. Ante otras áreas de la Entidad Ante las entidades con las que interactúa la entidad. Ante el nivel nacional e internacional En lo económico Ningún costo o pérdidas financieras insignificantes Incremento de costos menos del 5% Incremento de costos entre el 5% y 10% Incremento de costos entre el 10% y 20% Incremento de costos más del 20% En el cumplimiento de metas Problemas menores con las metas. Existe posibilidad de reprogramar la actividad o ajustar el plan de trabajo. Restriccione s para lograr las metas Incumplimiento de algunos aspectos de las metas Incumplimiento parcial de las metas Incumplimiento de algunas metas Incumplimiento total de las metas 8 Ibidem

23 PAGINA: 23 de 44 IMPACTO INSIGNIFICAN TE BAJO MODERADO ALTO MUY ALTO En el cumplimiento de fechas, compromisos pactados 1 día a 1 semana Más de 1 semana a 1 mes Más de 1 mes a 3 meses Más de 3 meses a 6 meses Más de 6 meses En el manejo de archivos / activos Incumplimientos legales Daños menores en el activo que no requieren reparación Ningún daño o daños menores No Aplica Daños menores en el activo a un bajo costo Interrupción de labores menos de un 1 día No Aplica Implica reparación del activo a un costo moderado Interrupción de actividades de 1 día a 1 semana Pérdida de credibilidad y confianza por no cumplir con responsabilidad. Implica reparación del activo costo elevado Interrupción de actividades de 1 semana a 1 mes Multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos. Daño severo, implica baja del activo Cese de labores por más de 1mes Sanciones Legales. Proceso disciplinario Afectación en la operación Interrupción de labores <1 día Interrupción de actividades de 1 día Interrupción de actividades de más de un1 día a 1 semana Interrupción de actividades de más de 1 semana a 1 mes Cese de labores >1mes Cuadro 5. Escalas de impacto. Para el análisis del impacto de la materialización de los riesgos de la categoría Corrupción, este es considerado como único, siendo este INACEPTABLE por la gravedad en los efectos que se generan. Nota 9: Para la determinación del impacto de la materialización de los riesgos de la categoría de Corrupción, el formulario presenta de manera condicional en la lista desplegable únicamente la opción MUY ALTO, derivando una valoración del riesgo como INACEPTABLE. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la República-Secretaría de Transparencia: Estrategias para la construcción del plan anticorrupción y atención al ciudadano Bogotá. Pág. 12. Zona de riesgo: se relaciona en el link Ver Grafica en donde el riesgo identificado es ubicado según la valoración. Ver Cuadro 6. Escalas de valoración.

24 PAGINA: 24 de 44 ZONA DE RIESGO COLOR DESCRIPCIÓN INACEPTABLE Rojo Se requiere una acción inmediata IMPORTANTE Naranja Se requiere una pronta atención TOLERABLE Amarillo Se administra con procedimientos normales de control ACEPTABLE Verde Genera menores efectos que pueden ser fácilmente remediados Cuadro 6. Escalas de valoración En el link Ver Grafica se visualiza la matriz de valoración de riesgos de la siguiente manera: Grafico 1. Matriz de valoración de riesgos 9.3 Determinación y análisis de controles Esta etapa busca determinar y evaluar las acciones que permiten reducir la probabilidad e impacto de la materialización de los riesgos. Consiste en documentar las acciones que en la actualidad se realizan con el fin de prevenir o mitigar los efectos de posibles desviaciones en la actividad relacionada como punto crítico de control.

25 PAGINA: 25 de 44 Es necesario que los funcionarios que participan en el análisis de riesgos, tengan conocimiento de la ejecución del proceso, así como de las herramientas informáticas utilizadas para el desarrollo de actividades, la normativa que reglamenta la actividad, los documentos asociados, registros etc., que se emplean para efectuar algún tipo de control. Es importante tener en cuenta que los controles permiten prevenir la ocurrencia de eventos que ponen en riesgo la adecuada ejecución de los procesos, y cuando esto no es posible, desarrollar un plan de respaldo, o de contingencia. Existen dos tipos de controles: en la probabilidad y sobre el impacto, lo anterior deriva su clasificación en dos tipos; preventivos y correctivos. A continuación se describe en que consiste cada uno de ellos. Preventivos: Son aquellas acciones encaminadas a eliminar las causas generadoras de un riesgo, de tal manera que eviten o disminuyan su ocurrencia o materialización. Correctivos: Son aquellas acciones que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable. A través de estos controles se puede cambiar o modificar las acciones que propiciaron su ocurrencia y corregir los productos o servicios generados de la actividad critica antes de ser suministrados al cliente. Es importante revisar si los controles están documentados (proceso, normativa, etc), si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Así mismo, es necesario conservar los registros que evidencian la aplicación del control y conservarlos para su efectivo seguimiento. Algunos de estos controles pueden ser actividades incluidas en el mismo descriptor del proceso en la descripción de actividades o ser actividades propias del mismo Estructura del formulario de determinación y análisis de controles La etapa de determinación y análisis de controles se desarrolla en el formulario Controles-Análisis, ver Anexo 4, que contiene los siguientes campos: Punto Crítico de Control: relaciona la actividad crítica documentada en el formulario de Identificación de riesgos. Riesgo: relaciona el riesgo identificado en el formulario Identificación de riesgos Control: se despliega una lista de tipos de controles que pueden ser aplicados. De esta lista se selecciona el control que más se relacione con las actividades que se realizan. Nombre: se diligencian las acciones que apuntan a prevenir la ocurrencia del riesgo identificado, que se aplican sobre las causas y el evento mismo que lo materializa y/o las acciones que permiten el restablecimiento de la actividad y los productos y/o servicios generado, es decir las actividades de corrección que se adelantan para resarcir los efectos de la materialización del riesgo. Ubicación: Se diligencia la ruta o el lugar de evidencia de la ejecución o disposición del control. Tipo: Se relaciona la clasificación del control, el cual puede ser preventivo o correctivo.

26 PAGINA: 26 de 44 Nota 10: Las acciones que se realicen para efectuar control, deben tener relación directa con las causas generadoras del riesgo identificado. Para ello es importante revisar que las actividades de control subsanen y/o prevengan los agentes generadores del riesgo identificado. Así mismo, es importante considerar las acciones de manera correctiva que se pueden adelantar para mitigar los efectos de un riesgo cuando se ha materializado Documentación del control El control es una ACTIVIDAD, por tanto en el espacio nombre debe ir un sustantivo que tenga que ver con el verbo utilizado, acompañado de la herramienta (si existe) que permite efectuar el control. X INCORRECTO Informes mensuales que incluyen vencimientos. Metodología de medición y análisis de desempeño municipal. CORRECTO Elaboración, seguimiento, revisión, o análisis de informes mensuales que incluyen vencimientos. Aplicación de la Metodología de medición y análisis de desempeño municipal en el análisis de información. Ejemplo 1: al escribir como control los Informes, estos por sí solos no efectúan el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se debería documentar allí seria: elaboración o seguimiento de informes mensuales que incluyen vencimientos. Por tanto el control efectuado es la actividad sobre una herramienta, en este caso los informes. Ejemplo 2: Al documentar que la Metodología de medición y análisis de desempeño municipal es el control, no se específica como se realiza el control o en que consiste, por ello, la metodología por sí sola no efectúa el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se debería documentar allí sería: aplicación de la metodología de medición y análisis de desempeño municipal en el análisis de información. Asimismo, es importante revisar que los controles documentados son actividades RECURRENTES o PERIODICAS. Para el caso de un control relacionado con la realización de una capacitación, debe evaluarse si dicha capacitación tiene una periodicidad, es recurrente o si está programada, de lo contrario esta no podría considerarse como un control. Nota 11: Cuando no es posible implementar controles para prevenir la ocurrencia del riesgo, debería elaborarse un plan de contingencia o de respaldo para minimizar los efectos o pérdidas que se generen por la materialización del riesgo, tal es el caso de pólizas y otros mecanismos de protección esencialmente económicos. Cuando se han implementado dichas medidas estas son relacionadas en la pestaña controles en el campo Evaluación impacto descrito en el capítulo de este documento.

27 PAGINA: 27 de Evaluación de controles Los controles definidos son ponderados de acuerdo con su grado de incidencia frente al riesgo identificado. Los controles son evaluados frente a criterios de probabilidad e impacto. Para realizar esta evaluación se utiliza el formulario Controles en la pestaña: evaluación de controles. Ver anexo Evaluación respecto a la probabilidad (sobre las causas y eventos generadores) Se obtiene diligenciando el siguiente cuestionario, teniendo en cuenta las herramientas para ejercer cada control y el seguimiento realizado, ver Cuadro 8. PARÁMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES HERRAMIENTAS PARA EJERCER EL CONTROL COMPETENCIA DE QUIEN EJERCE EL CONTROL No. PREGUNTA SI NO Parcialmente Siempre Posee una herramienta para ejercer el control? Esta sistematizada o es una aplicación? Existen manuales, instructivos, guías, etc. para el manejo del sistema o aplicación? Se ha documentado el mapa de riesgos del sistema o aplicación según el SGSI? Están definidos los responsables de la ejecución del control? La mayoría de las veces Algunas veces (muestra) No Aplica Redistribuye puntaje de 10 en las preguntas 1 a 3 cuando la respuesta sea SI

28 PAGINA: 28 de 44 DOCUMENTACIÓN DEL CONTROL FRECUENCIA DE APLICACIÓN DEL CONTROL 6 Se ha capacitado a los responsables de ejercer el control, respecto a cómo se debe realizar? 10 0 Existen manuales, instructivos, guías, etc. 7 que detalle 5 0 cómo se realiza las actividades del control? El control se aplica todas 8 las veces que se realiza la actividad crítica (PCC)? Cuadro 8. Criterios para evaluar el control frente a la probabilidad Cuando no existe una herramienta para ejercer el control, es decir la respuesta a la pregunta número 1 es NO, no se realizan las preguntas de la 2 a la 4 y se resta 55 puntos de la calificación total (100 puntos). Estos 55 puntos corresponden a 35 puntos que se obtendrían si la respuesta a las preguntas 2 a la 4 fuera afirmativa (SI), en caso de que hubiera herramienta, al no existir la herramienta no se puntúa estos aspectos. Los otros 20 puntos que se restan, son aquellos que se otorgan cuando existe una herramienta que permita efectuar el control. La puntuación de la probabilidad para cada control se obtiene multiplicando el puntaje obtenido por la ponderación asignada. Para realizar la valoración de los riesgos de la categoría de Corrupción, se adiciona la pregunta: En el tiempo que lleva implementada la herramienta ha demostrado ser efectiva?, la cual asigna una puntuación adicional así, ver cuadro 9: PARÁMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES FRECUENCIA DE APLICACIÓN DEL CONTROL PREGUNTA Nunca ha ocurrido el riesgo desde que se implementa el control SI La implementación del control ha evitado la ocurrencia del riesgo entre 1=>3 años La implementación del control ha evitado la ocurrencia del riesgo en el último año NO El riesgo aun ocurre con frecuencia, aunque en menor medida a que si no existiera el control

29 PAGINA: 29 de 44 Cuadro 9. Criterio adicional para evaluar el control frente a la probabilidad para los riesgos de la categoría de Corrupción. Esta puntuación redistribuye los pesos de las calificaciones otorgadas en las 8 preguntas relacionadas en el cuadro 6, en una relación de 1 punto para cada pregunta de la 1 a la 8, a excepción de la pregunta 4, en la cual se hace reducción de 3 puntos. Nota 12: La pregunta número 9, se habilita únicamente para los riesgos de la categoría de Corrupción y redistribuye los pesos porcentuales solo para estos riesgos Evaluación respecto al impacto (sobre los efectos) Se obtiene diligenciando el siguiente cuestionario para el conjunto de controles, teniendo en cuenta la mitigación de la materialización del riesgo bajo criterios de cubrimiento y administración, ver cuadro 8. Criterios para evaluar el conjunto de controles frente al impacto: PARAMETROS RESPUESTA PUNTAJE CRITERIOS PUNTAJE Cubre todos los efectos del riesgo? Cuenta con copias de seguridad, pólizas de seguro, planes de respaldo o planes de contingencia? Sí 20 Se revisan y mantienen actualizadas? SI NO Parcialmente No 0 Cuadro 8. Criterios para evaluar el conjunto de controles frente al impacto La puntuación del impacto para el conjunto de controles se obtiene mediante la sumatoria de los puntajes obtenidos. De no contar con copias de seguridad, pólizas de seguro, planes de respaldo o planes de contingencia, se deshabilitan las preguntas relacionadas con los criterios y la calificación asignada es cero. 9.5 Valoración del riesgo después de controles (riesgo residual) Utiliza la evaluación de los controles para reducir la probabilidad e impacto que se determinó en la valoración del riesgo antes de controles Sección Determina el riesgo no cubierto por los controles establecidos. Reducción de la probabilidad Al obtener el promedio de la evaluación de los controles respecto a la probabilidad, se determina el número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información: ver cuadro 8. Disminución de la probabilidad con la calificación del riesgo:

30 PAGINA: 30 de 44 CALIFICACIÓN DE CONTROLES CUADRANTES A DISMINUIR EN LA PROBABILIDAD cuadrantes cuadrantes cuadrantes cuadrantes Cuadro 9. Disminución de la probabilidad con la calificación del riesgo Reducción del impacto Al obtener la evaluación de los controles respecto al impacto, se determina el número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información, ver cuadro 9. Disminución de la probabilidad con la calificación del riesgo: CALIFICACIÓN DE CONTROLES CUADRANTES A DISMINUIR EN EL IMPACTO cuadrantes cuadrante cuadrantes Cuadro 10. Disminución del impacto con la calificación del riesgo Zona de riesgo: se relaciona en el link Ver Grafica y se obtiene a partir del cruce entre la probabilidad e impacto, determinada por el número de cuadrantes a disminuir, luego de la valoración de los controles. En la matriz de valoración de riesgos se estima la nueva ubicación del riesgo (residual), la cual se visualiza como se presentó anteriormente en el numeral 6.3 de este documento. 9.6 Priorización de riesgos Al ubicar los riesgos en el Formulario Matriz de valoración de riesgos después de controles se define cuáles requieren acciones inmediatas. Ver anexo 3. Con el fin de determinar cuantitativamente la priorización de riesgos, se asociaron valores numéricos a cada una de las escalas de probabilidad y ocurrencia definidas, de la siguiente manera: VALOR PROBABILIDAD VALOR IMPACTO 5 Frecuente 5 Muy alto 4 Ocasional 4 Alto 3 Probable 3 Moderado 2 Poco probable 2 Bajo 1 Remota 1 Muy bajo La multiplicación entre estos valores genera la siguiente calificación:

31 PAGINA: 31 de 44 Calificación de los cuadrantes en la Matriz de valoración de riesgos después de controles Asignando las prioridades en orden decreciente con la calificación se obtiene: Prioridades de cuadrantes con la calificación en la Matriz de valoración de riesgos después de controles.

32 PAGINA: 32 de 44 Priorizando el impacto en calificaciones iguales, se organizan así: Prioridades de cuadrantes para calificaciones iguales en la Matriz de valoración de riesgos después de controles. Al aplicar el semáforo de zonas de riesgo se obtiene el orden de las prioridades para el tratamiento, pasando de la zona inaceptable a aceptable rojo a naranja respectivamente -. Prioridades de cuadrantes para zonas de riesgo en la matriz Matriz de valoración de riesgos después de controles

33 PAGINA: 33 de MATRICES DE LOS MAPAS DE RIESGO Las matrices de los mapas de riesgo documentados serán consolidadas en archivos en Excel y publicadas por el Grupo de Planeación Mapa de riesgos del proceso Contiene una síntesis de las etapas desarrolladas para la Administración de riesgos, presentando los riesgos a los cuales está expuesto un proceso, y la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. El formato Mapa de riesgos del proceso, es el resultado de las anteriores etapas de administración de riesgos del proceso. Este formulario es exportado por el aplicativo de identificación de riesgos, constituyendo un archivo en Excel el cual es publicado en la intranet de la Entidad. Este formato constituye un reporte del mapa de riesgos consolidado para cada proceso, el cual es actualizado cada vez que se requiera y según los tiempos establecidos para la revisión y actualización de los mapas, descritos en el capítulo 7 de este documento. Este formato está incluido dentro del SGC con el código F-GP Mapa de riesgos institucional asociado a procesos Contiene el consolidado de los riesgos (excepto los de la categoría de corrupción) a los cuales están expuestos los procesos de la Entidad, permitiendo conocer la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se elabora con la información de todos los mapas de riesgos documentados para los procesos y se ajusta con la actualización de los mismos a medida que se requiera. Este consolidado es exportado por el aplicativo de identificación de riesgos, constituyendo un archivo en Excel el cual es publicado en la intranet de la Entidad y en la página Web, de acuerdo con los tiempos establecidos para el seguimiento a la administración de riesgos presentada en el capítulo 7 de este documento. Este formato está incluido dentro del SGC con el código F-GP Mapa de riesgos de corrupción Contiene la consolidación de los riesgos de la categoría Corrupción a los cuales están expuestos los procesos de la Entidad, permitiendo conocer la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se ajusta con la actualización que se derive luego de las revisiones realizadas a estos riesgos en el marco del seguimiento descrito en el capítulo 7 de este documento, los cuales atienden los dispuesto por la Presidencia de la Republica-Secretaria de Transparencia en el documento Estrategias para la construcción del plan anticorrupción y atención al ciudadano Bogotá. Este consolidado es exportado por el aplicativo de identificación de riesgos, constituyendo un archivo en Excel el cual es publicado en la intranet de la Entidad y en la página Web. Este formato está incluido dentro del SGC con el código F-GP-35.

34 PAGINA: 34 de PRODUCTO O SERVICIO NO CONFORME La no conformidad que se presenta en un producto o servicio prestado por el DNP, está directamente asociada con la materialización de los riesgos identificados para el proceso que genera el producto o servicio. Por esta razón se ha identificado, para todos los productos y/o servicios del DNP una ficha de productos y/o servicio, en la cual están definidos las variables y atributos que deben cumplir los productos y servicios generados por el DNP en cada uno de los procesos. Esta ficha establece además, el mecanismo de seguimiento y/o medición de la variable o atributo de cada producto y/o servicio, así como su responsable del producto y/o servicio (según actividad descrita en el proceso) y a quien va dirigido, es decir, los clientes (según actividad descrita en el proceso). Este formato está incluido dentro del SGC con el código F-GP Identificación de producto no conforme La identificación de productos no conformes se realiza de acuerdo con el esquema presentado a continuación. El Grafico 2 representa las etapas más relevantes del tratamiento del producto no conforme, el cual esta descrito al detalle en el documento Lineamiento para el control y tratamiento de productos y/o servicios no conformes del DNP AR-L Tratamiento del producto no conforme Antes de la materialización de un riesgo que pueda incidir en la conformidad de un producto y/o servicio, se deben identificar las actividades de corrección que se van a ejecutar en caso tal que al materializarse un riesgo se obtenga un producto y/o servicio no conforme. Esta identificación de actividades o acciones de corrección se realiza únicamente para los productos y/o servicios (finales e intermedios, de acuerdo con el PCC) de los procesos misionales contenidos en los macroproceso de: Planeación de Mediano y Largo Plazo, Finanzas Públicas, Gestión y Coordinación, Monitoreo y Seguimiento control y evaluación de PPPP. Una vez se haya identificado la materialización de un riesgo que como consecuencia genere un producto y/o servicio no conforme, se identifican las acciones posteriores a la materialización del riesgo en el formulario Matriz de producto o servicio no conforme con su respectivo registro de acciones tomadas posteriormente. Ver anexo 6. Nota 14: En los casos en los cuales la actividad identificada como PCC no sea la actividad generadora del producto y/o servicio final identificado en las fichas de productos y/o servicios, es necesario realizar el diligenciamiento del formato Matriz de producto o servicio no conforme, haciendo la aclaración que se trata de un producto final y por tanto diligenciar los campos de este formato.

35 PAGINA: 35 de 44 Grafico 2. Etapas relevantes del tratamiento del producto no conforme Estructura del formulario Tratamiento de Producto No Conforme La etapa de producto o servicio no conforme es desarrollada en el formulario Tratamiento de Producto No Conforme, ver anexo 6.

36 PAGINA: 36 de 44 Producto y/o servicio: Se identifica el resultado de la actividad señalada como crítica, en la cual la materialización de alguno de los riesgos, provoque la no conformidad. Así mismo, es importante documentar el tratamiento Cliente: se indica la organización, entidad o persona que recibe el producto y/o servicio (Según actividad descrita en el proceso). Responsable de liberación: persona que autoriza la entrega del producto al cliente (Según actividad descrita en el proceso). Riesgo: relaciona el riesgo o riesgos identificados en el formulario Identificación de riesgos asociados al proceso. Acción: se enumeran las acciones que se van a ejecutar, una vez el riesgo se ha materializado, para garantizar que el productos o servicio generado por la actividad sea conforme respecto a las variables y atributos que debe cumplir, los cuales están establecidos en la ficha del producto o servicio. La documentación se realiza enumerada, iniciando con un verbo infinitivo y haciendo las aclaraciones correspondientes cuando haya lugar. Registro: documenta la posible forma de evidenciar la naturaleza de la no conformidad y de cualquier acción tomada posteriormente, ejemplo: comunicación escrita dirigida a la entidad que genera la información, solicitando la aclaración de datos que presenten inconsistencias. 12 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA ADMINISTRACIÓN DE RIESGOS El cambio de versión en un mapa de riesgos por proceso, se realiza de acuerdo con los Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP DS-L01, y afecta la versión actual de los siguientes documentos. Mapa de riesgos institucional Mapa de riesgos de corrupción (cuando aplique) En el caso específico del mapa de riesgos de corrupción, se llevará un control de los cambios y las versiones de este documento, teniendo en cuenta los cambios que surjan de las revisiones que se deben realizar, según las fechas establecidas en el numeral 7.1, de este documento. Para esto se utilizará el formato Matriz de Control de Cambios MCC-01.

37 PAGINA: 37 de 44 Anexo 1. Formulario Identificación de riesgos 13 ANEXOS

38 PAGINA: 38 de 44 Anexo 2. Formulario Valoración del riesgo antes de controles

39 PAGINA: 39 de 44 Anexo 3. Formulario Valoración del riesgo antes de controles

40 PAGINA: 40 de 44 Anexo 4. Formulario Controles-Análisis

41 PAGINA: 41 de 44 Anexo 5. Formulario Controles en la pestaña: evaluación de controles

42 PAGINA: 42 de 44

43 PAGINA: 43 de 44 Anexo 6. Formulario Tratamiento de Producto No Conforme