hoy

que dia es ho Guía para la administración del riesgo y el diseño de controles en entidades públicas VICEPRESIDENCIA - D O C U M E N T O O F I C I A L - 2 D E PA R TA M E N TO A D M I N I S T R AT I V O D E L A F U N C I Ó N P Ú B L I C A B O G OTÁ , C O L O M B I A O C T U B R E 2 0 1 8 - F U N C I Ó N P Ú B L I C A - 3 Presidencia de la República Alfonso Prada Gil Secretario General de la Presidencia de la República Andrés José Rugeles Pineda Secretario de Transparencia Ministerio de las Tecnologías de la Información y las Comunicaciones Sylvia Cristina Constaín Rengifo Ministra TIC Carlos Eduardo Rozo Bolaños Director de Gobierno Digital Departamento Administrativo de la Función Pública Fernando Antonio Grillo Rubiano Director María del Pilar García González Directora de Gestión y Desempeño Institucional Equipo de trabajo Presidencia de la República - Secretaria de Transparencia Martha Ligia Ortega Santamaría Ana Paulina Sabbagh Acevedo María Victoria Sepúlveda Rincón Ministerio de las Tecnologías de la Información y las Comunicaciones - Grupo Interno de Seguridad y Privacidad de la Información Juan Carlos Valenzuela Buitrago Senen Niño Gil Ángela Janeth Cortés Hernández Albert Cuesta Gómez Departamento Administrativo de la Función Pública Carrera 6 No 12-62, Bogotá, D.C., Colombia Conmutador: 739 5656 / 86 - Fax: 739 5657 Web: www.funcionpublica.gov.co eva@funcionpublica.gov.co Línea gratuita de atención al usuario: 018000 917770 Bogotá, D.C., Colombia. Departamento Administrativo de la Función Pública – Dirección de Gestión y Desempeño Institucional, Grupo de Análisis y Política Diana María Caldas Gualteros Dolly Amaya Caballero Eva Mercedes Rojas Valdés Myrian Cubillos Benavides Dorley Enrique León López Edwin Arley Giraldo Edición Carolina Mogollón Delgado Dirección de Gestión del Conocimiento Diseño y diagramación Susana Bonilla Guzmán Oficina Asesora de Comunicaciones - D O C U M E N T O O F I C I A L - 4 Contenido Presentación..........................................................................................................................................6 Objetivos.................................................................................................................................................7 Conceptos básicos..................................................................................................................................8 Antes de iniciar la metodología..........................................................................................................10 Acerca de la metodología ...................................................................................................................13 PA S O 1 . P O L Í T I C A A DMI N I S T R A C I Ó N D E R I E S G O S ..................................................14 PA S O 2 . I D E N T I F I C A C I Ó N D E R I E S G O S ..........................................................................17 2.1. Establecimiento del contexto..................................................................................................19 2.1.1. Contexto interno................................................................................................................16 2.1.2. Contexto externo...............................................................................................................19 2.1.3. Contexto del proceso........................................................................................................19 2.1.4. Identificación de activos de seguridad de la información............................................21 2.2. Identificación de riesgos - técnicas para la identificación de riesgos de gestión y corrupción..22 2.2.1. Técnicas para la redacción de riesgos............................................................................27 2.2.2. Tipología de riesgos..........................................................................................................28 PA S O 3 . VA L O R A C I Ó N D E R I E S G O S .................................................................................. 36 3.1. Análisis de riesgos....................................................................................................................37 3.1.1 Análisis de causas..............................................................................................................37 3.1.2. Cálculo de la probabilidad............................................................................................... 38 3.1.3. Análisis del impacto (riesgos de gestión y corrupción).............................................. 44 3.2. Evaluación de riesgos.............................................................................................................. 48 3.2.1. Análisis preliminar (riesgo inherente)........................................................................... 48 3.2.2. Valoración de los controles (diseño de controles)....................................................... 49 3.2.3. Nivel de riesgo (riesgo residual).................................................................................... 66 3.3. Monitoreo y revisión .................................................................................................................75 3.4. Seguimiento de riesgos de corrupción ..................................................................................87 Comunicación y consulta................................................................................................................ 88 Información, comunicación y reporte ........................................................................................... 90 Referencias......................................................................................................................................... 92 Anexos.................................................................................................................................................. 93 - F U N C I Ó N P Ú B L I C A - 5 Índice de tablas Tabla 1. Factores para cada categoría del contexto............................................................................. 20 Tabla 2. Criterios para calificar la probabilidad.................................................................................... 39 Tabla 3. Criterios para calificar el impacto - Riesgos de gestión......................................................40 Tabla 4. Criterios para calificar el impacto - Riesgos de seguridad digital .................................... 42 Tabla 5. Criterios para calificar el impacto - Riesgos de corrupción................................................ 46 Tabla 6. Análisis y evaluación de los controles para la mitigación de los riesgos........................ 60 Tabla 7. Peso o participación de cada variable en el diseño del control para la mitigación del riesgo...61 Tabla 8. Resultados de los posibles desplazamientos de la probabilidad y del impacto de los riesgos... 66 Índice de esquemas Esquema 1. Conocimiento y análisis de la entidad...................................................................11 Esquema 2. Metodología para la administración del riesgo....................................................13 Esquema 3. Estructuración de la política de administración de riesgos...............................14 Esquema 4. Aspectos a desarrollar en la identificación del riesgo........................................18 Esquema 5. Análisis del contexto externo, interno y del proceso..........................................19 Esquema 6. Redacción del riesgo................................................................................................27 Esquema 7. Valoración de riesgos ............................................................................................. 36 Esquema 8. Análisis de riesgos...................................................................................................37 Esquema 9. Riesgo antes y después de controles................................................................... 48 Esquema 10. Pasos para diseñar un control............................................................................. 49 Esquema 11. Valoración de los controles para la mitigación de los riesgos........................ 59 Esquema 12. Solidez del conjunto de controles ...................................................................... 64 Esquema 13. Consolidación del Plan de Tratamiento de Riesgos...........................................81 Esquema 14. Comunicación y consulta - aspecto transversal............................................... 89 Esquema 15. Responsabilidades por línea de defensa para la información, comunicación y reporte............................................................................................................................................. 90 - D O C U M E N T O O F I C I A L - 6 Presentación El Consejo Asesor del Gobierno nacional en materia de control interno consideró necesario unificar la metodología existente para la administración del riesgo de gestión y corrupción, con el fin de hacer más sencilla la utilización de esta herramienta gerencial para las entidades públicas y así, evitar duplicidades o reprocesos. Igualmente, en respuesta a las conclusiones emitidas por la Contraloría General de la República que, producto de su labor como ente de control fiscal durante las últimas vigencias, encontró una marcada debilidad en el ejercicio del control interno efectuado por las entidades públicas, tanto del orden nacional como territorial. Es decir, se hizo evidente la importancia de fortalecer la metodología para diseñar y aplicar controles que permitan asegurar el logro de los objetivos. También, con ocasión de la entrada en vigencia del Modelo Integrado de Planeación y Gestión (MIPG), que integra los Sistemas de Gestión de la Calidad y de Desarrollo Administrativo, crea un único Sistema de Gestión y, lo articula con el Sistema de Control Interno, el cual se actualiza y alinea con los mejores estándares internacionales, como son

lunes

que dias es hoy