LINEAMIENTOS PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP Departamento Nacional de Planeación Bogotá, 2016 ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP TABLA DE CONTENIDO CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 2 de 35 Pág. 1 OBJETIVO ..................................................................................................................................... 3 2 ALCANCE...................................................................................................................................... 3 3 REFERENCIAS NORMATIVAS..................................................................................................... 3 4 DEFINICIONES ............................................................................................................................. 3 5 POLÍTICA INSTITUCIONAL DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS PROCESOS ........................................................................................................................................... 6 5.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos ...................................................................................................................................... 6 5.2 Los riesgos que se van a controlar. ........................................................................................ 7 5.3 Opciones de tratamiento de riesgos ....................................................................................... 7 5.4 Acciones para administrar los riesgos .................................................................................... 8 5.4.1 Tiempo y recursos .......................................................................................................... 8 5.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos ........................ 8 5.6 Recursos requeridos .............................................................................................................. 9 5.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos ...................................................................................................................................... 9 6 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO ............................................................ 10 6.1 Autocontrol ........................................................................................................................... 10 6.2 Evaluación Realizada por la Oficina de Control Interno ...................................................... 11 6.3 Aspectos a tener en cuenta durante el seguimiento y evaluación de la administración de riesgos11 6.4 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos ........ 12 7 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO ........................... 12 8 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP .............................................. 12 8.1 IDENTIFICACION DE RIESGOS ......................................................................................... 12 8.1.1 Priorización de riesgos ................................................................................................. 12 8.1.2 Estructura del formato para la identificación de riesgos ............................................... 13 8.2 ANÁLISIS Y VALORACIÓN DEL RIESGO ANTES DE CONTROLES (RIESGO INHERENTE) ................................................................................................................................... 19 8.3 MEDIDAS DE MITIGACION ................................................................................................. 23 8.3.1 Análisis Y Evaluación De Controles: ............................................................................ 25 8.3.2 Valoración De Riesgos Después De Controles (Riesgo Residual) ............................... 28 8.4 SEGUIMIENTO .................................................................................................................... 31 9 MATRICES DE LOS MAPAS DE RIESGO .................................................................................. 32 Mapa de riesgos institucional ........................................................................................................... 32 Mapa de riesgos de corrupción ........................................................................................................ 32 10 PRODUCTO O SERVICIO NO CONFORME .............................................................................. 32 10.1 Identificación de producto no conforme ................................................................................ 32 10.2 Tratamiento del producto no conforme ................................................................................. 33 10.2.1 Estructura la Matriz de Producto No Conforme ............................................................ 34 11 CONTROL DE CAMBIOS DE LOS DOCUMENTOS RELACIONADOS CON LA ADMINISTRACIÓN DE RIESGOS ....................................................................................................... 34 ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP 1 CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 3 de 35 OBJETIVO Establecer los parámetros para la administración de los riesgos relacionados a los procesos del DNP, su trazabilidad, registro y monitoreo, a través de la presentación de los criterios para la identificación, análisis, valoración, definición de acciones de mitigación y seguimiento a los riesgos en los procesos, que pueden afectar el cumplimiento de la misión y objetivos institucionales del DNP. Así como la presentación de las medidas de control y seguimiento de los riesgos enmarcados en las políticas de administración de riesgos adoptadas por la Entidad. 2 ALCANCE Esta guía debe ser aplicada por la autoridad, líderes y ejecutores de las actividades de los procesos del Departamento Nacional de Planeación, que son responsables de la documentación, aplicación, actualización y seguimiento a los mapas de riesgos para los procesos de la Entidad. 3 REFERENCIAS NORMATIVAS · Ley 87 de 1993 872 de 2003 · Ley 1474 de 2011. Artículo 73 · Decreto 1083 de 2015 · Resolución Interna 1788 de 2015 · Resolución interna 1838 de 2006 · Guía para la Administración de Riesgos del DAFP vigente · Norma Técnica Colombiana NTC-ISO 9001:2008 · Norma Técnica de Calidad en la Gestión Pública NTCGP-1000:2009 · Ley 4 DEFINICIONES · · · · Acción de riesgos: es la aplicación concreta de las opciones de tratamiento de riesgo. Administración de Riesgos: es el proceso continuo basado en el conocimiento, evaluación y manejo de los riesgos que mejora la toma de decisiones organizacionales. Análisis de riesgos: Permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo. Autoevaluación del control: Elemento de control que basado en un conjunto de mecanismos de verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada dependencia, permitiendo emprender las acciones de mejoramiento del control requeridas. (revisión periódica y sistemática de los procesos de la entidad para asegurar que los controles establecidos son eficaces). ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP · CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 4 de 35 Calificación del riesgo: establece el grado de exposición de la Entidad bajo criterios de probabilidad e impacto de los riesgos. · Categoría: cada uno de los grupos básicos en que puede incluirse o calificarse un riesgo. · Causas: son los medios, circunstancias y agentes generadores del riesgo. · Cliente: organización, entidad o persona que recibe un producto y/o servicio. · · · · · · · · Compartir el Riesgo: Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio. Control: proceso, política, dispositivo, práctica u otra acción existente para reducir la probabilidad de ocurrencia o el impacto que pueda generar la materialización del riesgo. Efectos: lo que podría generarse en la Entidad con la materialización de un riesgo. Es el resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso. Evento: hecho que una vez materializado genera desviaciones en el punto crítico de control, afectando el logro del objetivo del proceso o la gestión institucional. Impacto: magnitud de los efectos que puede ocasionar la materialización del riesgo. Indicador: expresión cuantitativa o cualitativa que permite establecer el estado del objeto a evaluar en un momento determinado, con relación a rangos establecidos. Mapa de riesgos: herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias. Monitorear: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una actividad con el fin de identificar posibles cambios. · Pérdida: Consecuencia negativa que trae consigo un evento. · Política de riesgo: identifica las opciones para tratar y manejar los riesgos: · · · Proceso: conjunto de actividades mutuamente relacionadas o que interactúan para generar valor, las cuales transforman elementos de entrada en resultados. Probabilidad: frecuencia con que se ha presentado o puede presentarse el riesgo. Punto Crítico de Control (PCC): es una actividad fundamental dentro del proceso, en la que se debe ejercer un control para prevenir la materialización de un riesgo. Toda actividad no es un punto crítico de control. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP · · · · · · · · · · · · CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 5 de 35 Registro: documento que presenta resultados obtenidos o proporciona evidencia de las actividades adelantadas. Responsables: rol o cargo encargado de adelantar las acciones propuestas. Responsable de liberación: rol o cargo que autoriza la entrega del producto o servicio al cliente. Riesgo: posibilidad de ocurrencia de aquella situación que puede afectar el logro de los objetivos institucionales, o la calidad de los productos o servicios ofrecidos por la Entidad. Riesgos de Corrupción: Posibilidad de que por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio de lo privado. Riesgos Estratégicos: Están relacionados con la planificación, diseño y conceptualización de la Entidad por parte de la alta gerencia, en relación con su marco estratégico: misión, visión, cumplimiento de los objetivos estratégicos y la definición de políticas. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución. Riesgos Operativos: son los riesgos derivados del funcionamiento de los sistemas de gestión institucional, la definición y ejecución de los procesos, la operación de los sistemas de información y herramientas de apoyo a la gestión, de la estructura de la entidad y de los mecanismos de comunicación y articulación entre dependencias. Riesgos Financieros1: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. Riesgos de Cumplimiento2: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad. Riesgos de Tecnología3: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de la misión. Herramienta de seguimiento: mecanismo para controlar que la ejecución de los procesos y los resultados obtenidos sean acordes con los requisitos, características o atributos establecidos, de manera que se pueden identificar o monitorear la materialización de riesgos. Guía para la administración del riesgo del Departamento Administrativo de la Función Pública. 2011 cuarta edición. ibidem 3 ibidem 1 2 ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP · · · · 5 CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 6 de 35 Subproceso: conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados. El desarrollo de uno o varios subprocesos permite avanzar en el cumplimiento de los procesos. Valoración pura: grado de exposición al riesgo en un escenario sin controles. Valoración residual: grado de exposición al riesgo con la calificación de probabilidad e impacto aplicando los controles existentes. Zona de riesgo: es el nivel de exposición al riesgo, hallado mediante el cruce entre la probabilidad y el impacto. POLÍTICAS INSTITUCIONALES DE TRATAMIENTO DE RIESGOS ASOCIADOS A LOS PROCESOS Las políticas institucionales para la administración de riesgos del DNP, establecen las opciones para tratar y manejar los riesgos basadas en la valoración de los mismos. Estas políticas reflejan la posición de la dirección y establecen las guías de acción para el tratamiento de los riesgos identificados. El Departamento Nacional de Planeación se encuentra comprometido con la identificación y administración de los riesgos de los procesos del Sistema de Gestión de Calidad, para lo cual aquellos riesgos que después de la evaluación de los controles (ver numeral 8.3.2. de este documento) se valoren como importantes ó inaceptables, serán atendidos de forma inmediata a través de acciones concretas, las cuales podrán ser opciones de tratamiento independientes, interrelacionadas o en conjunto, que permitan definir las actividades correspondientes a dichas opciones. Para los riesgos de corrupción, las acciones que se deben tener en cuenta son: Evitar el Riesgo y Reducir el Riesgo, las cuales se explican en el capítulo 5.3 de este documento. Los riesgos en el DNP, se identifican en las actividades definidas como críticas en los procesos y se priorizan contemplando los principios de eficiencia, economía y objetividad para evitar afectación de las actividades que agregan valor en el desarrollo de los procesos y por tanto en los productos o servicios ofrecidos. 5.1 Objetivos de la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos Identificar y realizar análisis y control de los riesgos asociados a los puntos críticos de los procesos del DNP. Efectuar el control y seguimiento de los riesgos que después de la calificación de los controles se valoren como importantes o inaceptables, mediante la definición de acciones orientadas a evitar o reducir el riesgo. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 7 de 35 El cumplimiento de estos objetivos será consolidado mínimo una vez al año, por el Grupo de Planeación mediante comunicación escrita dirigida a Secretaria General como líder del proceso de Administración del Riesgo en el DNP. 5.2 Los riesgos que se van a controlar. La administración de riesgos en el DNP tendrá un carácter prioritario y estratégico, en el marco del modelo de operación por procesos. Los riesgos a los cuales se aplicarán controles, son los relacionados con las actividades identificadas como críticas, las cuales están definidas en todos los procesos como PCC (Punto Crítico de Control), porque requieren de especial atención debido a que su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso. Por lo anterior, se establece que la totalidad de riesgos identificados en los mapas de riesgos de los procesos estarán sujetos al seguimiento, monitoreo, control y ajuste mediante la aplicación del proceso de administración de riesgos del DNP. 5.3 Opciones de tratamiento de riesgos Teniendo en cuenta la valoración de riesgos después de controles (Capitulo 8.3.2.), se determinan las siguientes opciones de tratamiento para cada uno de los riesgos: Evitar el riesgo: tomar las medidas encaminadas para impedir su materialización. Es siempre la primera alternativa a considerar y se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o sustitución de actividades y/o de controles y acciones emprendidas. Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección), resultado de fortalecer o implementar controles. Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros u otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Asumir un riesgo: cuando el riesgo es aceptable o tolerable puede quedar un riesgo residual que se mantiene, en este caso el Líder del proceso acepta la pérdida residual. Estas opciones se definen para cada riesgo (ver cuadro 1), teniendo en cuenta la zona de ubicación en el Formulario “Matriz de valoración de riesgos después de controles” y las Políticas Institucionales de Tratamiento de Riesgos Asociados a los Procesos. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 8 de 35 Asumir Compartir o transferir COLOR Reducir ZONA DE RIESGO Evitar OPCIONES DE TRATAMIENTO DE RIESGOS Inaceptable Rojo X X X Importante Naranja X X X Tolerable Amarillo X X X X Aceptable Verde X Cuadro 1. Opciones de tratamiento de riesgos de acuerdo con la zona de ubicación Nota 1: Cuando no se definen acciones para riesgos ubicados en zona tolerable, la opción de tratamiento es asumir. 5.4 Acciones para administrar los riesgos Teniendo en cuenta la valoración de riesgos obtenida (en el caso en que los riesgos residuales se encuentren en nivel importante o inaceptable) y la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos (evitar, reducir o compartir), se realiza la formulación de las acciones correspondientes. Estas acciones se diligencian según lo establecido en el proceso de Acciones Preventivas, Correctivas y de Mejora, usando el formato “Solicitud de acciones preventivas, correctivas y de mejora”, según lo establecido en el “Lineamiento para la administración de los riesgos relacionados a los procesos del DNP”. 5.4.1 Tiempo y recursos Para la implementación de acciones y controles se tendrá como referente la viabilidad jurídica, financiera y la disponibilidad de recurso humano y tecnológico, así como el análisis costo/beneficio para el manejo o la administración del riesgo. 5.5 Responsables de aplicar la Política Institucional de Tratamiento de Riesgos La responsabilidad de la elaboración del mapa de riesgos por proceso, así como la aplicación de la política de riesgos del DNP, está a cargo de la autoridad, líderes y ejecutores de las actividades de cada uno de los procesos de la Entidad. La responsabilidad de acompañar en el desarrollo del proceso de administración de riesgos y la aplicación de la política de riesgos del DNP está a cargo del equipo de Calidad del Grupo de Planeación. El representante de la alta dirección es el encargado de velar por la elaboración de los mapas de riesgos asociados a los procesos del DNP y la aplicación de la política de administración de riesgo del DNP. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 9 de 35 Los responsables de los procesos (Autoridad, líder y responsables de actividades) serán los encargados de implementar los controles, verificar su efectividad, proponer cambios, velar por su adecuada documentación y por su socialización y aplicación al interior de su proceso. Así mismo, son los responsables de la formulación de las acciones pertinentes que permitan cumplir a cabalidad con la política de riesgos institucional. La revisión de los avances de las acciones derivadas de la administración de riesgos, así como la revisión de su eficacia, y la aplicación de la política institucional para el tratamiento de los riesgos asociados a procesos, está a cargo de la Oficina de Control interno. 5.6 Recursos requeridos En cada uno de los pasos de administración de riesgos se contemplaran los recursos necesarios para la definición, implementación y efectividad de las acciones que permitan un tratamiento adecuado de los riesgos. Para ello se involucrarán a los procesos que tengan incidencia en el cálculo, aplicación o solicitud de los recursos. 5.7 Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos La política de calidad será desarrollada mediante los ejercicios de revisión, actualización y seguimiento a los mapas de riesgos de la Entidad, de la siguiente manera, ver cuadro 2: DESARROLLO DE LA POLÍTICA A: Corto plazo Mediano Plazo 2016-2017 Revisión anual de los mapas de Implementación de riesgos por procesos. herramientas tecnológicas o de información que aumente el Revisión de los mapas de nivel de confianza de los riesgos de corrupción cada controles. cuatro meses. Documentación de los mapas de riesgo relacionados a activos Establecer una metodología de de información. valoración de los riesgos para Identificar y documentar los estimar aquellos que tienen riesgos asociados a los impacto ambiental proyectos. Largo Plazo 2018 Identificación y documentación de los riesgos transversales del sector planeación. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 10 de 35 Documentación de los mapas de riesgo relacionados con el programa de salud y seguridad en el trabajo. Implementación de una herramienta tecnológica para la administración de riesgos (herramienta informática) Cuadro 2. Estrategias para desarrollar la Política Institucional de Tratamiento de Riesgos 6 SEGUIMIENTO A LA ADMINISTRACIÓN DEL RIESGO El seguimiento a la administración del riesgo se encuentra conformado por dos componentes: el primero mediante el autocontrol realizado por los ejecutores del proceso y el segundo mediante las auditorías internas realizadas por la Oficina de Control Interno. 6.1 Autocontrol Es la actividad realizada por los implicados en el desarrollo y ejecución del proceso, donde se analizan y revisan los mapas de riesgos asociados a los procesos una vez al año o cuando las circunstancias lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto estratégico, modificaciones o cambios relevantes en los procesos y/o subprocesos, o cualquier hecho externo o interno que afecte la operación de la entidad. La revisión se realiza teniendo en cuenta los siguientes aspectos: Correspondencia con el proceso y los puntos críticos de control definidos. Identificación de nuevos riesgos o eliminación cuando no sean significativos. Determinación de nuevas causas generadoras o efectos con la materialización de riesgos. Determinación de nuevos controles o ajuste en la evaluación de los mismos. Determinación de nuevas acciones de administración de riesgos o ajuste a las definidas. Modificación del indicador de riesgos o herramienta de seguimiento. Actualización de la matriz de producto o servicio no conforme. La revisión del Mapa de Riesgos no implica obligatoriamente su actualización, sin embargo en los casos en los que se identifique necesidad de ajustes, se debe solicitar su actualización, de acuerdo con lo establecido en el documento “Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP” DS-L01 (el cual hace parte del Macroproceso: Gestión de Calidad). Para los riesgos de la categoría de Corrupción, es necesario que permanentemente se revisen las causas que generan estos riesgos. En este sentido se debe realizar seguimiento a los mapas de riesgo de corrupción por lo menos tres veces al año con corte a 30 de abril, 31 de agosto y diciembre 31. Lo anterior, en cumplimiento con lo establecido en el documento de la Presidencia de la Republica-Secretaria de Transparencia: “Estrategias para la construcción del plan anticorrupción y atención al ciudadano”. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP 6.2 CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 11 de 35 Auditorías Internas Realizadas por la Oficina de Control Interno Las auditorías internas permiten detectar nuevos eventos de riesgos y oportunidades de mejora disminuyendo la probabilidad e impacto de los posibles riesgos asociados a los procesos de la Entidad, contribuyendo de esta manera a la identificación de riesgos, a través de la evaluación sobre efectividad del manejo de los riesgos, verificando la vigencia de los mapas de riesgos documentados y la efectividad de las acciones de mejora originadas por la administración de riesgos. El seguimiento adelantado por la Oficina de Control Interno a la administración de riesgos, se puede realizar a través de: Auditorías internas (Subprocesos: SG-EV-AI “Auditorías internas de calidad” y SG-EV-EI “Auditorías Internas”), Evaluación a la Gestión por Dependencias, revisión de la eficacia de las acciones preventivas, correctivas y de mejora – APCM originadas a partir de los mapas de riesgos (Proceso MC-AP “Acciones preventivas, correctivas y de mejora”), monitoreo de operaciones sensibles, entre otras. 6.3 Aspectos a tener en cuenta durante el seguimiento y auditoría interna de la administración de riesgos Durante el seguimiento realizado a los mapas de riesgo por parte de la autoridad, líderes y ejecutores de las actividades de los procesos del DNP, así como en la auditoría interna adelantada por la OCI, se pueden obtener evidencias para determinar si el sistema de administración del riesgo está funcionando y el proceso es eficaz, verificar el nivel de cumplimiento de los controles asociados a los riesgos y el tratamiento de los mismos. A continuación se relacionan algunos aspectos a tener en cuenta durante el desarrollo de los ejercicios mencionados: Verificar la correspondencia entre el proceso y el mapa de riesgos. Verificar el correcto diligenciamiento de los diferentes campos del mapa de riesgos del proceso auditado. Validar el desarrollo del proceso GC-AR “Administración de riesgos”, el cual hace parte del Macroproceso: Gestión de Calidad. Verificar que los controles internos definidos para tratar los riesgos existen, funcionan y son suficientes. Revisar la ejecución y eficacia de las acciones de administración de riesgos definidas. Verificar la materialización de riesgos y cuando aplique la generación de productos y/o servicios no conformes Verificar la aplicación de la Política Institucional de Tratamiento de Riesgos Asociados a los Procesos. Verificar las evidencias de la revisión del mapa de riesgos del proceso de acuerdo con la periodicidad establecida en el capítulo 6.1 de este documento. Identificar los hallazgos relacionados con la administración del riesgo. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP 6.4 CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 12 de 35 Revisión de la Eficacia de las Acciones formuladas a partir de los Mapas de Riesgos La Oficina de Control Interno realiza la auditoría interna de revisión de la eficacia de las acciones de mejora con origen en la administración de riesgos, enmarcada en los criterios establecidos en el documento: “Lineamientos para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora” AP-L01 y en el Proceso MC- AP “Acciones Preventivas, Correctivas y de Mejora”, que hacen parte del Macroproceso: Mejora Continua. 7 DIVULGACIÓN Y CAPACITACION DE LA ADMINISTRACIÓN DEL RIESGO La administración de riesgos debe ser un tema conocido por todos los funcionarios, contratistas y pasantes del DNP, para lo cual se utiliza la intranet de la Entidad para su publicación, los medios masivos de comunicación, reuniones de socialización y divulgación al interior de cada uno de los procesos. 8 METODOLOGÍA PARA ADMINISTRAR EL RIESGO EN EL DNP 8.1 IDENTIFICACION DE RIESGOS Permite conocer los riesgos que pueden afectar el logro del objetivo o la gestión de cada proceso documentado y sus características. El proceso de identificación del riesgo es iterativo y debe estar en permanente revisión y actualización, de acuerdo con la dinámica de los procesos de la Entidad. Este proceso es desarrollado en primera instancia por el equipo de trabajo que involucra el proceso (Autoridad, líder y responsables de las actividades) y en segunda instancia por el equipo de Calidad del Grupo de Planeación. La identificación de riesgos consiste en generar una lista de los eventos indeseados que puede tener impacto en las actividades del proceso al cual se le está documentando el mapa de riesgos, dichos eventos pueden impedir, degradar o retrasar el logro de los objetivos del proceso. La identificación de riesgos se realiza a partir de juicios por parte de los ejecutores de las actividades de los procesos, basados en su experiencia, los registros, diagramas de flujo, lluvia de ideas, análisis de sistemas y análisis de escenarios. Nota 2: En los casos en los cuales las actividades críticas de un proceso contemplen la realización de un subproceso o se remitan al mismo, cabe la posibilidad de que el mapa de riesgos se documente al subproceso relacionado, puesto que los riesgos del proceso pueden ser más evidentes dentro de las actividades que constituyen el subproceso. 8.1.1 Priorización de riesgos Aunque en todas las actividades de un proceso se pueden presentar riesgos de diferente índole, es necesario priorizar las actividades a las cuales se les realizará el análisis de riesgos, para marcarlas como actividades críticas o Puntos Críticos de Control-PCC. Estas actividades han sido identificadas como PCC porque requieren de especial atención debido a que su ejecución tiene un mayor impacto sobre el resultado final esperado del proceso. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 13 de 35 Cuando se identifican los riesgos asociados a las actividades PCC, se realiza nuevamente un análisis en donde se priorizan aquellos eventos indeseados que pueden evitar el cumplimiento de la actividad y por tanto la obtención de la salida: producto y/o servicio generado en la actividad crítica, señalada en el descriptor del proceso. Para la priorización de riesgos que se pueden presentar en una actividad PCC, se pueden analizar las respuestas a las siguientes preguntas: -¿La materialización del riesgo afecta el cumplimiento del objetivo del proceso (producto y/o servicio)? -¿La materialización del riesgo afecta la obtención de la salida (producto y/o servicio) de la actividad? -¿La materialización del riesgo afecta la realización de otras actividades subsiguientes a la señalada como PCC, es decir, detiene la realización del proceso en esa actividad? -¿Al materializarse ese riesgo, es necesario repetir la realización de actividades anteriores? -¿La materialización del riesgo impide el cumplimiento de alguna normativa? Una vez analizadas las preguntas, es importante validar cuantas respuestas son afirmativas, de manera que se seleccionen los riesgos cuyas respuestas, en su mayoría, son “SI” igual o mayor de 3 (=>3). Para los demás riesgos identificados, cuyas respuestas en su mayoría sean “NO” se excluyen del análisis del riesgo, es decir no son incluidos dentro de la priorización, por tratarse de riesgos, que aunque son eventos indeseados, no detienen la realización del proceso, no afectan la consecución de resultados y no representan mayor impacto sobre el objetivo. Igualmente, para adelantar una adecuada identificación de riesgos es necesario tener en cuenta, el análisis de indicadores, los mapas de riesgos anteriores, los resultados de las auditorías internas y externas de calidad, los informes de seguimiento y evaluación a la gestión de las dependencias, los hallazgos de la auditoría gubernamental de la CGR, los informes de quejas y reclamos y la retroalimentación de los clientes, entre otros. Estas fuentes de información permiten evidenciar la materialización de riesgos, por tanto es indispensable su análisis al momento de identificar posibles riesgos en los procesos. Lo anterior con el propósito de observar algún riesgo que se haya presentado con anterioridad, cuya evidencia se hubiese presentado en alguna de las fuentes mencionadas. No obstante, la declaración de la materialización de un riesgo en alguno de los ejercicios mencionados, no implica necesariamente su inclusión dentro del mapa, puesto que prima la priorización de los riesgos y el análisis de la autoridad y/o líder del proceso en cuanto a la pertinencia de incluir dichos riesgos. Nota 3: En los casos en los cuales se documente el mapa de riesgos de un subproceso, teniendo como referente la nota 2 de este documento, aplican las mismas condiciones de priorización, es decir se tiene en cuenta el objetivo del proceso y adicionalmente el objetivo del subproceso. 8.1.2 Estructura del formato para la identificación de riesgos La identificación de riesgos es desarrollada mediante el análisis y diligenciamiento de la siguiente información: ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 14 de 35 - No. ACTIVIDAD (PCC): Es el punto de partida para la identificación de riesgos, en este campo se relacionan el número de la actividad que en el descriptor del proceso se encuentra señalada como Punto Crítico de Control y sobre la cual se identifica el riesgo correspondiente. - ACTIVIDAD (PCC): En este campo se relacionan textualmente las actividades de los procesos que durante su documentación se han señalado como Puntos Críticos de Control (PCC), según lo dispuesto en el documento: Lineamientos para la Elaboración y Control de Documentos de los Sistemas de Gestión del DNP - DS-L01, capítulo 6.2.1 Documentación de Procesos. - CATEGORIA DE RIESGO4: Con base en las clasificaciones establecidas en la lista desplegable, se selecciona el grupo al que pertenece el riesgo a identificar. Estas categorías han sido priorizadas para administrar los riesgos más relevantes a los que están expuestos los procesos de la entidad. A continuación se relacionan las categorías establecidas en las que puede incluirse o clasificarse un riesgo, ver cuadro 3. Categorías de riesgos. En las columnas, “SE PUEDEN PRESENTAR POR” y “PUEDEN OCASIONAR” se exponen algunos ejemplos de causas y efectos respectivamente relacionados con el riesgo identificado según su categoría. CATEGORÍA SE PUEDE PRESENTAR POR: PUEDE OCASIONAR: 1. Decisiones Erróneas: se manifiestan en diferentes ámbitos: - Errores en la información que a) Estratégico: se materializa soportan las decisiones. cuando se definen lineamientos, políticas, - Errores de juicio. estrategias, directrices que no son adecuadas o - Aplicación errónea de criterios convenientes para la Entidad. o instrucciones para la realización de actividades. b) Operativo: corresponde a la escogencia de alternativas - Actos accidentales o mal impropias. intencionados de los funcionarios o de terceros. c) Financiero: está dado por la inapropiada asignación de recursos. 4 - Pérdida de credibilidad de la Entidad. - Pérdida de confianza en la Entidad. - Pérdidas económicas de la Entidad. - Quejas y reclamos de los clientes (internos y/o externos) Adaptación de la metodología AUDIRISK de la firma AUDISIS Ltda. y del Consejo Superior de la Judicatura. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CATEGORÍA SE PUEDE PRESENTAR POR: CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 15 de 35 PUEDE OCASIONAR: - Sanciones Legales. 2. Incumplimientos legales: se materializan con el no - Pérdidas económicas por acatamiento de la normativa - Ejecución de operaciones multas a la Entidad e desconociendo el marco legal externa o interna. incremento de costos en establecido. prórrogas y adiciones a presupuestos. - Actos accidentales o mal intencionados de los - Pérdida de credibilidad y funcionarios o de terceros. confianza por no cumplir con responsabilidades y tareas encomendadas. por 3. Incumplimientos de - Errores en la información que - Pérdidas económicas multas a la Entidad e compromisos: se soportan las decisiones. incremento de costos en materializan al pasar por alto las obligaciones o los - Asumir responsabilidades que prórrogas y adiciones a presupuestos. compromisos de la Entidad. exceden las capacidades de la Entidad y no se puedan realizar - Pérdida de credibilidad y oportuna o adecuadamente. confianza por no cumplir con responsabilidades y tareas - Actos accidentales o mal encomendadas. intencionados de los funcionarios o de terceros. - Quejas y reclamos de los clientes (internos y/o externos) 4. Daño de activos: se - Pérdida de la información. materializa con el abandono, uso inapropiado o colocar en - Accidentes y desastres - Pérdidas económicas por inferioridad de condiciones naturales. obsolescencia, reparación o los recursos físicos y reposición de instalaciones, tecnológicos de la Entidad. - Uso mal intencionado e equipos, accesorios y inapropiado. herramientas de trabajo. - Falta de idoneidad o - Fallas de hardware y software. capacitación en el manejo de recursos. - Detrimento de seguridad de los recursos que soportan la prestación de los servicios. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CATEGORÍA SE PUEDE PRESENTAR POR: CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 16 de 35 PUEDE OCASIONAR: 5. Hurto: se materializa con - Alteración y/o desviación de la - Pérdida de la información. la apropiación indebida, por información de las operaciones parte de un servidor o de y transacciones de la Entidad. - Pérdidas Económicas. terceros de propiedad física, financiera e intelectual de la - Sustracción deliberada de - Detrimento del patrimonio de la Entidad. activos. Entidad. 6. Fraude: se materializa al inducir a cometer un error para obtener una resolución contraria a la ley; así como - Pérdida de la información. evitar el cumplimiento de - Alteración y/o desviación de la obligaciones impuestas. información de las operaciones - Pérdidas Económicas. También al obtener mediante y transacciones de la Entidad. maniobras engañosas una - Detrimento del patrimonio de la ventaja en detrimento de - Sustracción deliberada de Entidad. alguien – sustracción activos. maliciosa que alguien hace a las normas de la ley o a las de un contrato en perjuicio de otro. - Errores en la información que - Pérdida de credibilidad de la soportan las decisiones Entidad. 7. Inexactitud: se materializa - Aplicación errónea de criterios - Pérdida de confianza en la al presentar datos o o instrucciones para la Entidad. estimaciones equivocadas, realización de actividades. incompletas, o desfiguradas. - Pérdidas económicas de la - Actos accidentales o mal Entidad. intencionados de los funcionarios o de terceros. - Decisiones erróneas ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CATEGORÍA SE PUEDE PRESENTAR POR: 8. Corrupción: Se entiende por riesgo de corrupción la posibilidad de que por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio de lo privado. - Concentración de autoridad o excesos de poder - Archivos contables con vacíos de información - Toma de decisiones ajustadas a intereses particulares - Cobrar por un trámite - Tráfico de Influencias (Amiguismo, persona influyente) CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 17 de 35 PUEDE OCASIONAR: - Pérdida de credibilidad de la Entidad. - Pérdida de confianza en la Entidad. - Pérdida de transparencia y la probidad en la Entidad. - Pérdidas económicas de la Entidad. Cuadro 3. Categorías de riesgos Posterior a la selección de la categoría, es necesario establecer una preposición que relacione la categoría con el evento, se recomienda utilizar las siguientes preposiciones según la categoría: Decisiones erróneas: al, durante, en, para, sobre. Incumplimientos legales: al, ante, con, durante, en. Incumplimientos de compromisos: al, ante, con, durante, en, hacia. Daño de activos: al, de, durante, en, para, sobre. Hurto: de, durante, en, mediante, para. Fraude: de, durante, en, mediante, para. Inexactitud: al, con, de, durante, en, para, sobre. Corrupción al, durante, por, en Nota 4: Se recomienda analizar cuidadosamente el uso de la preposición “por” ya que se podría asimilar el evento con una causa. - EVENTO: Se describe el hecho asociado al punto crítico de control que se está analizando, teniendo en cuenta la categoría de Riesgo y preposición escogida anteriormente, conformando de esta manera la situación indeseable (Riesgo) que requerimos prevenir en cuanto a su ocurrencia. Para identificar correctamente el evento, puede ser muy útil revisar en el descriptor del proceso la columna “descripción de la actividad” relacionada con la actividad identificada como critica. Ejemplo: CATEGORÍA DE RIESGO PREPOSICIÓN Decisiones erróneas Durante Inexactitud En EVENTO RIESGO La verificación y análisis de las presuntas irregularidades El diligenciamiento del formato Decisiones erróneas durante la verificación y análisis de las presuntas irregularidades Inexactitud en el diligenciamiento del formato ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CATEGORÍA DE RIESGO PREPOSICIÓN Incumplimientos legales Al Incumplimientos de compromisos En Daño de activos Hurto Fraude Corrupción Durante PAGINA: 18 de 35 EVENTO RIESGO Dar respuesta a una petición fuera de los términos establecidos por ley. La revisión oportuna de la iniciativa de elaboración del documento Conpes Al dar respuesta de una petición fuera de los términos establecidos por ley. Incumplimientos de compromisos en la revisión oportuna de la iniciativa de elaboración del documento Conpes Daño de activos durante la ejecución del mantenimiento y luego de este Hurto de bienes durante la verificación física de existencias Fraude durante la preparación de la baja o la entrega del bien Corrupción por la dilatación de los procesos con el propósito de obtener el vencimiento de términos o la prescripción de mismo. La ejecución del mantenimiento y luego de este Bienes durante la verificación física de existencias La preparación de la Durante baja o la entrega del bien La dilatación de los procesos con el propósito de obtener Por el vencimiento de términos o la prescripción de mismo. Cuadro 4. Categorías de riesgos: Ejemplos De CÓDIGO: AR-L02 VERSIÓN: 6 Nota 5: Es necesario priorizar los riesgos para el proceso. La priorización de cada riesgo depende de la incidencia del riesgo identificado en la ejecución de la actividad crítica, así como el efecto del riesgo dentro de la ejecución del proceso, la consecución del objetivo del mismo y el impacto en la entidad en cuanto al cumplimiento de los componentes del contexto estratégico del DNP. La priorización la realiza la autoridad o líder del proceso bajo criterios de experiencia, experticia o conocimiento de quien analiza, así como en datos y hechos históricos (cuando existan o aplique). Nota 6: A cada Punto Crítico de Control se le puede asociar más de un riesgo. - CLASE: De acuerdo con las definiciones de riesgos mencionadas en el capítulo 4 de este documento, se elige a cual clase pertenece el riesgo identificado (Estratégico, Imagen, Operativo, Financiero, Cumplimiento, Tecnológico). - CAUSAS: se enumeran los medios, circunstancias y/o agentes que generan el riesgo identificado o que propician su materialización. Estas causas pueden ser intrínsecas (internas) al ser atribuidas a personas, métodos, equipos, materiales e instalaciones, directamente ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 19 de 35 involucradas en el proceso, es decir debilidades de la entidad, o extrínsecas (externas) cuando provienen del entorno en el que se desarrolla el proceso, es decir amenazas. Las causas deben quedar discriminadas según corresponda en internas y externas. Nota 7: En la identificación de las causas de los riesgos cuya categoría sea corrupción, se busca “identificar un conjunto sistemático de situaciones que por sus características pueden originar prácticas corruptas” así mismo, es conveniente analizar los hechos de corrupción presentados en procesos similares de otras entidades. - EFECTOS: se enumeran las consecuencias asociadas a la materialización del riesgo que inciden en el objetivo del proceso, subprocesos asociados, a la dependencia que lidera el proceso o a la Entidad. Existen dos tipos de efectos, los inmediatos que afectan el desarrollo de actividades posteriores y los extremos que se relacionan con efectos legales, sanciones o afectación en la operación de la Entidad. Pueden agruparse en: Pérdidas económicas representadas en sobrecostos por reproceso, duplicidad o inactividad y detrimento del patrimonio, multas entre otras. Detrimento de la imagen constituido por la pérdida de credibilidad y confianza en el cumplimiento de la misión y tareas encomendadas. Sanciones legales constituidas por las sanciones que debe pagar la Entidad Afectación en la operación (misional y/o apoyo) de la entidad Nota 8: Los efectos no tienen relación uno a uno con las causas del riesgo, es decir, una o varias causas desencadenan el riesgo y la materialización del mismo ocasiona uno o varios efectos. 8.2 ANÁLISIS Y VALORACIÓN DEL RIESGO ANTES DE CONTROLES (RIESGO INHERENTE) Posterior a la identificación, se realiza el análisis del riesgo puro o inherente en donde se evalúan los riesgos sin considerar los controles que pudieran existir, analizando la naturaleza y la forma como se llevan a cabo las actividades en el proceso. Para ello, se determina la probabilidad de ocurrencia y el impacto de la materialización de cada riesgo identificado, en un escenario hipotético en donde los controles para prevenir o mitigar el riesgo no existen o no se aplican. PROBABILIDAD DE MATERIALIZACION: Se establece la frecuencia con la que se ha presentado o puede presentarse el riesgo cuando no existen controles. Se mide en términos de la factibilidad con la que el riesgo se podría llegar a materializar, teniendo en cuenta la presencia y exposición ante factores internos y externos. Es importante tener en cuenta el análisis de aspectos como: Número de veces que se realiza la actividad en un espacio de tiempo Número de personas que intervienen en la realización de la actividad Estadísticas (si se cuenta con ellas) de las materialización del riesgo Número de correcciones y acciones correctivas formuladas en el Balance de acciones de mejora (F-GP-24), relacionadas con la materialización del riesgo, el cual se encuentra publicado en el disco O para su consulta, ruta: O:\Planeacion Institucional\Documentos SGC. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 20 de 35 Los hallazgos de la auditoría gubernamental de la CGR Las acciones adelantadas respecto a la materialización del riesgo, que fueron registradas en el Consolidado de productos y/o servicios no conformes formato F-GP-34 (el cual hace parte del Macroproceso: Gestión de Calidad y que se encuentra publicado en el disco O, ruta: O:\Planeacion Institucional\Documentos SGC\Seguimiento SGC\PNC) De acuerdo con el análisis, se selecciona el grado de probabilidad con base en las siguientes categorías5, ver cuadro 5. Escalas de probabilidad: PROBABILIDAD REMOTA POCO PROBABLE ESCALA CALIFICACIÓN PROBABILÍSTICA DESCRIPCIÓN La eventualidad de ocurrencia es muy baja, casi nula. 0 – 19% 1 Podría ocurrir circunstancias excepcionales. 20 – 49% 2 sólo bajo muy PROBABLE Podría o no ocurrir en algún momento. 50% 3 OCASIONAL Puede ocurrir en algún momento o algunas veces. 51 – 79% 4 FRECUENTE La posibilidad de ocurrencia se da en la mayoría de las circunstancias. 80 – 100% 5 Cuadro 5. Escalas de probabilidad Es importante señalar que para la probabilidad de materialización de los riesgos de la categoría Corrupción, se consideran únicamente dos criterios OCASIONAL O FRECUENTE. IMPACTO DE LA MATERIALIZACION: Se establece la magnitud de los efectos ocasionados con la materialización del riesgo cuando no existen controles. De acuerdo con un análisis cualitativo, se selecciona el nivel con base en las siguientes categorías 6, Ver cuadro 6. Escalas de impacto. 5 6 Adaptación de la Norma Técnica Colombiana NTC 5254. Ibidem ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP BAJO Sobre la imagen Ante el personal que ejecuta la actividad critica. En lo económico IMPACTO Ningún costo o pérdidas financieras insignificantes Problemas menores con las metas. Existe posibilidad de reprogramar la actividad o ajustar el plan de trabajo. Afectación en la operación Incumplimientos legales En el manejo de archivos / activos En el cumplimient o de fechas, compromiso s pactados MUY BAJO En el cumplimiento de metas LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 21 de 35 MODERADO ALTO Ante el personal del área que lidera el proceso. Ante otras áreas de la Entidad Ante las entidades con las que interactúa la entidad. Ante el nivel nacional e internacional Incremento de costos menos del 5% Incremento de costos entre el 5% y 10% Incremento de costos entre el 10% y 20% Incremento de costos más del 20% Incumplimiento Restricciones de algunos para lograr aspectos de las las metas metas MUY ALTO Incumplimiento parcial de las metas Incumplimient o total de las Incumplimiento metas de algunas metas Más de 1 1 día a 1 semana semana a 1 mes Más de 1 mes a 3 meses Más de 3 meses a 6 meses Daños menores en el activo que no requieren reparación Daños menores en el activo a un bajo costo Implica reparación del activo a un costo moderado Implica reparación del activo costo elevado Ningún daño o daños menores Interrupción de labores menos de un 1 día Interrupción de actividades de 1 día a 1 semana No Aplica No Aplica Pérdida de credibilidad y confianza por no cumplir con responsabilidad. Interrupción de labores <1 día Interrupción de actividades de 1 día Interrupción de actividades de más de un1 día a 1 semana Interrupción de actividades de 1 semana a 1 mes Multas a la Entidad e incremento de costos en prórrogas y adiciones a presupuestos. Interrupción de actividades de más de 1 semana a 1 mes Más de 6 meses Daño severo, implica baja del activo Cese de labores por más de 1mes Sanciones Legales. Proceso disciplinario Cese de labores >1mes Cuadro 6. Escalas de impacto. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 22 de 35 Para el análisis del impacto de la materialización de los riesgos de la categoría Corrupción, siempre será calificado como MUY ALTO por la gravedad en los efectos que se generan. VALORACION ANTES DE CONTROLES: Se establece de acuerdo al nivel de probabilidad e impacto calificado para el riesgo, teniendo en cuenta la matriz de valoración del Gráfico 1 y las escalas definidas en el Cuadro 7. ZONA DE RIESGO INACEPTABLE IMPORTANTE TOLERABLE ACEPTABLE COLOR DESCRIPCIÓN Rojo Naranja Amarillo Se requiere una acción inmediata Se requiere una pronta atención Se administra con procedimientos normales de control Genera menores efectos que pueden ser fácilmente Verde remediados Cuadro 7. Escalas de valoración Gráfico 1. Matriz de valoración de riesgos ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP 8.3 CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 23 de 35 MEDIDAS DE MITIGACION CONTROLES QUE SE REALIZAN ACTUALMENTE: En esta sección, se busca determinar y evaluar las acciones que permiten reducir la probabilidad e impacto de la materialización de los riesgos. Consiste en documentar los controles que en la actualidad se realizan con el fin de prevenir o mitigar los efectos de posibles desviaciones en la actividad calificada como punto crítico de control. Es necesario que los funcionarios que participan en el análisis de riesgos, tengan conocimiento de la ejecución del proceso, así como de las herramientas informáticas utilizadas para el desarrollo de actividades, la normativa que reglamenta la actividad, los documentos asociados, registros etc., que se emplean para efectuar algún tipo de control. Es importante revisar si los controles identificados están documentados (proceso, normativa, etc), si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. Así mismo, es necesario conservar los registros que evidencian la aplicación del control para el correspondiente seguimiento. Algunos de estos controles pueden ser actividades incluidas en el mismo descriptor del proceso en la descripción de actividades o ser actividades propias del mismo. Así mismo, se debe tener en cuenta que los controles permiten prevenir la ocurrencia de eventos que ponen en riesgo la adecuada ejecución de los procesos, y cuando esto no es posible, desarrollar un plan de respaldo, o de contingencia. Nota 9: Los controles deben tener relación directa con las causas generadoras del riesgo identificado. Para ello es importante revisar que las actividades de control subsanen y/o prevengan los agentes generadores del riesgo identificado. Así mismo, es importante considerar las acciones de manera correctiva que se pueden adelantar para mitigar los efectos de un riesgo cuando se ha materializado. El control es una ACTIVIDAD, por tanto debe iniciar con un verbo, seguido del sustantivo que tenga que ver con el verbo utilizado, acompañado de la herramienta (si existe) que permite efectuar el control. X INCORRECTO CORRECTO Informes mensuales que incluyen Elaboración, seguimiento, revisión, o vencimientos. análisis de informes mensuales que incluyen vencimientos. Metodología de medición y análisis de Aplicación de la Metodología de medición desempeño municipal. y análisis de desempeño municipal en el análisis de información. Ejemplo 1: al escribir como control los Informes, estos por sí solos no efectúan el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se debería documentar allí seria: elaboración o seguimiento de informes mensuales que incluyen vencimientos. Por tanto el control efectuado es la actividad sobre una herramienta, en este caso los informes. Ejemplo 2: Al documentar que la Metodología de medición y análisis de desempeño municipal es el control, no se específica como se realiza el control o en que consiste, por ello, la metodología por sí ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 24 de 35 sola no efectúa el control en la actividad crítica, esta es la HERRAMIENTA que se utiliza para efectuar el control, por tanto lo que se debería documentar allí sería: aplicación de la metodología de medición y análisis de desempeño municipal en el análisis de información. Es importante revisar que los controles documentados son actividades RECURRENTES o PERIODICAS. Para el caso de un control relacionado con la realización de una capacitación, debe evaluarse si dicha capacitación tiene una periodicidad, es recurrente o si está programada, de lo contrario esta no podría considerarse como un control. TIPO DE CONTROL: Existen dos tipos de controles, en cuanto al efecto sobre el riesgo: • Preventivos: Son aquellas acciones encaminadas a eliminar las causas generadoras de un riesgo, de tal manera que eviten o disminuyan su ocurrencia o materialización. • Correctivos: Son aquellas acciones que permiten el restablecimiento de la actividad, después de ser detectado un evento no deseable. A través de estos controles se puede cambiar o modificar las acciones que propiciaron su ocurrencia y corregir los productos o servicios generados de la actividad critica antes de ser suministrados al cliente. Clases de control: Cada control identificado se selecciona de acuerdo a la siguiente clasificación: CLASES DE CONTROL Evaluación de desempeño Generación de alarmas (Sistemas, Aplicativos) Generación de informes de gestión o reportes Indicadores de gestión: Procesos, Proyectos Controles de Gestión Monitoreo de riesgos Seguimiento al cronograma, herramienta de gestión, bases de datos, sistemas o aplicativos Seguimiento al plan de acción de la dependencia Validación de información por parte de un sistema o aplicativo Controles Operativos Aplicación de listas de chequeo, formatos Aplicación de: lineamientos, Manuales, guías, procesos, instructivos, (Internos y/o Externos) Capacitación del personal Validación de información por parte de una persona o comité (Conciliación, revisión, comparación, inspección) Verificación de firmas Copias de seguridad, contingencias y respaldo Custodia Apropiada ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 25 de 35 Envío de comunicaciones escritas informando o solicitando información Generación de registros controlados Niveles de autorización: Revisión jefes inmediatos, superiores Pólizas Realización de llamadas o visitas Segregación de funciones Solicitud o recepción de concepto, asesoría o acompañamiento de otras dependencias Uso de consecutivos Control de términos Controles Legales 8.3.1 Normas Claras y Aplicadas Análisis Y Evaluación De Controles: Cada uno de los controles es evaluado frente a criterios de probabilidad e impacto, generando una valoración, tal como se explica a continuación; UBICACIÓN: Se debe indicar el lugar en medio físico o magnético, donde se encuentran los soportes de cumplimiento del control. PONDERACION: Los controles definidos para un mismo riesgo son ponderados de acuerdo con su grado de incidencia frente al riesgo identificado. CRITERIOS PARA EVALUAR EL CONTROL FRENTE A LA PROBABILIDAD: Se obtiene diligenciando el siguiente cuestionario, teniendo en cuenta las herramientas para ejercer cada control y el seguimiento realizado, ver Cuadro 8. PARÁMETROS CRITERIOS No. HERRAMIENTAS PARA EJERCER EL CONTROL 1 2 PREGUNTA OPCIONES DE RESPUESTAS Y PUNTAJES La Algunas mayoría veces SI NO Parcialmente Siempre de las (muestra) veces ¿Posee una herramienta 20 para ejercer el control? ¿Esta sistematizada o 20 es una aplicación? No Aplica 0 0 ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP PARÁMETROS CRITERIOS 3 4 5 COMPETENCIA DE QUIEN EJERCE EL CONTROL 6 DOCUMENTACIÓN DEL CONTROL 7 FRECUENCIA DE APLICACIÓN DEL CONTROL 8 ¿Existen manuales, instructivos, guías, etc. para 5 el manejo del sistema o aplicación? ¿Se ha documentado el mapa de riesgos del 10 sistema o aplicación según el SGSI? ¿Están definidos los responsables 10 de la ejecución del control? ¿Se ha capacitado a los responsables de ejercer el 10 control, respecto a cómo se debe realizar? ¿Existen manuales, instructivos, guías, etc. que 5 detalle cómo se realiza las actividades del control? ¿El control se aplica todas las veces que se realiza la actividad crítica (PCC)? CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 26 de 35 OPCIONES DE RESPUESTAS Y PUNTAJES 0 Redistribuy e puntaje de 10 en las preguntas 1 a 3 cuando la respuesta sea SI 0 0 5 0 0 20 10 5 Cuadro 8. Criterios para evaluar el control frente a la probabilidad Cuando no existe una herramienta para ejercer el control, es decir la respuesta a la pregunta número 1 es NO, no se realizan las preguntas de la 2 a la 4 y se resta 55 puntos de la calificación total (100 puntos). Estos 55 puntos corresponden a 35 puntos que se obtendrían si la respuesta a las preguntas 2 a la 4 fuera afirmativa (SI), en caso de que hubiera herramienta, al no existir la herramienta no se ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 27 de 35 puntúa estos aspectos. Los otros 20 puntos que se restan, son aquellos que se otorgan cuando existe una herramienta que permita efectuar el control. La puntuación de la probabilidad para cada control se obtiene multiplicando el puntaje obtenido por la ponderación asignada. Para realizar la valoración de los riesgos de la categoría de Corrupción, se adiciona la pregunta: ¿En el tiempo que lleva implementada la herramienta ha demostrado ser efectiva?, la cual asigna una puntuación adicional así, ver cuadro 9: PARÁMETROS CRITERIOS OPCIONES DE RESPUESTAS Y PUNTAJES SI FRECUENCIA DE APLICACIÓN DEL CONTROL PREGUNTA NO Nunca ha ocurrido el riesgo desde que se implementa el control La implementación del control ha evitado la ocurrencia del riesgo en el último año El riesgo aun ocurre con frecuencia, aunque en menor medida a que si no existiera el control 10 5 0 Cuadro 9. Criterio adicional para evaluar el control frente a la probabilidad para los riesgos de la categoría de Corrupción. Esta puntuación redistribuye los pesos de las calificaciones otorgadas en las 8 preguntas relacionadas en el cuadro 8, disminuyendo 1 punto para cada pregunta de la 1 a la 8, a excepción de la pregunta 4, en la cual se hace reducción de 3 puntos. Nota 10: La pregunta número 9, se habilita únicamente para los riesgos de la categoría de Corrupción y redistribuye los pesos porcentuales solo para estos riesgos. CRITERIOS PARA EVALUAR EL CONTROL FRENTE AL IMPACTO: Se obtiene diligenciando el siguiente cuestionario para el conjunto de controles, teniendo en cuenta la mitigación de la materialización del riesgo bajo criterios de cubrimiento y administración, ver cuadro 10. Criterios para evaluar el conjunto de controles frente al impacto: PARAMETROS RESPUESTA PUNTAJE CRITERIOS PUNTAJE ¿Cubre todos ¿Cuenta con SI NO Parcialmente los efectos del copias de 40 0 20 riesgo? seguridad, pólizas Sí 20 ¿Se revisan y de seguro, planes mantienen 40 0 20 de respaldo o actualizadas? planes de contingencia? No 0 Cuadro 10. Criterios para evaluar el conjunto de controles frente al impacto ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 28 de 35 Nota 11: En caso que la respuesta sea “SI” es necesario especificar cuál mecanismo se cumple para tal fin. Es importante resaltar que un plan de contingencia es todo tipo de actividad que se puede llevar a cabo para minimizar el impacto del riesgo materializado. La puntuación del impacto para el conjunto de controles se obtiene mediante la sumatoria de los puntajes obtenidos. De no contar con copias de seguridad, pólizas de seguro, planes de respaldo o planes de contingencia, se deshabilitan las preguntas relacionadas con los criterios y la calificación asignada es cero. 8.3.2 Valoración De Riesgos Después De Controles (Riesgo Residual) Utiliza la evaluación de los controles para reducir la probabilidad e impacto que se determinó en la valoración del riesgo antes de controles. Determina el riesgo no cubierto por los controles establecidos. Reducción de la probabilidad Al obtener el promedio de la evaluación de los controles respecto a la probabilidad, se determina el número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información: ver cuadro 11. Disminución de la probabilidad con la calificación del riesgo: CALIFICACIÓN DE CUADRANTES A DISMINUIR EN CONTROLES LA PROBABILIDAD 91-100 3 cuadrantes 76- 90 2 cuadrantes 51-75 1 cuadrantes 0-50 0 cuadrantes Cuadro 11. Disminución de la probabilidad con la calificación del riesgo Reducción del impacto Al obtener la evaluación de los controles respecto al impacto, se determina el número de cuadrantes a disminuir para cada riesgo de acuerdo con la siguiente información, ver cuadro 12. Disminución de la probabilidad con la calificación del riesgo: CALIFICACIÓN DE CUADRANTES A DISMINUIR EN CONTROLES EL IMPACTO 91-100 2 cuadrantes 76- 90 1 cuadrante 0-75 0 cuadrantes Cuadro 12. Disminución del impacto con la calificación del riesgo ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 29 de 35 Zona de riesgo: Se obtiene a partir del cruce entre la probabilidad e impacto, determinada por el número de cuadrantes a disminuir, luego de la valoración de los controles. Priorización de riesgos Al obtener la valoración de los riesgos después de controles, se define cuáles requieren acciones inmediatas. Con el fin de determinar cuantitativamente la priorización de riesgos, se asociaron valores numéricos a cada una de las escalas de probabilidad y ocurrencia definidas, de la siguiente manera: VALOR 5 4 3 2 1 PROBABILIDAD Frecuente Ocasional Probable Poco probable Remota VALOR 5 4 3 2 1 IMPACTO Muy alto Alto Moderado Bajo Muy bajo La multiplicación entre estos valores genera la siguiente calificación: ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 30 de 35 Asignando las prioridades en orden decreciente con la calificación se obtiene: Prioridades de cuadrantes con la calificación en la valoración de riesgos después de controles. Priorizando el impacto en calificaciones iguales, se organizan así: Prioridades de cuadrantes para calificaciones iguales en la valoración de riesgos después de controles”. Al aplicar el semáforo de zonas de riesgo se obtiene el orden de las prioridades para el tratamiento, pasando de la zona inaceptable a aceptable – rojo a naranja respectivamente -. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 31 de 35 Prioridades de cuadrantes para zonas de riesgo en la matriz de valoración de riesgos después de controles” ADMINISTRACION DEL RIESGO Una vez realizado la priorización de riesgos y la evaluación de controles obteniendo el riesgo residual se debe identificar la opción para el tratamiento de estos riesgos de acuerdo a lo descrito en el numeral 5.3 de este lineamiento. 8.4 SEGUIMIENTO En cumplimiento a la política de administración del riesgo todos los riesgos cuya valoración después de controles se encuentre en nivel: inaceptable o importante o para los riesgos de corrupción, se debe formular una acción orientada a la mitigación de dichos riesgos; dando cumplimiento al “Lineamiento para la Formulación y Seguimiento de Acciones Preventivas, Correctivas y de Mejora – AP-L01” (el cual hace parte del Macroproceso: Mejora Continua). Una vez formulada la acción y registrada en el Balance de acciones, el código correspondiente debe ser registrado en el campo ACCIONES. De igual forma se debe registrar: Responsable (indicando el cargo correspondiente) de la administración de cada una de los riesgos identificados para el proceso (es el encargado de implementar los controles, verificar su seguimiento, efectividad y proponer cambios). Mecanismo de seguimiento, necesario para identificar y/o monitorear la materialización de riesgos, tales como: auditorías internas, herramienta de seguimiento del proceso (siempre y cuando aplique para esta verificación), implementación de las acciones para la administración de riesgos, indicador de gestión del proceso (siempre y cuando aplique para esta verificación), revisión del mapa de riesgos (autocontrol por parte de la autoridad o líder del proceso). ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP 9 CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 32 de 35 MATRICES DE LOS MAPAS DE RIESGO Las matrices de los mapas de riesgo documentados serán publicadas por el Grupo de Planeación una vez recibida la aprobación correspondiente. Mapa de riesgos institucional Contiene el consolidado de los riesgos a los cuales están expuestos los procesos de la Entidad, permitiendo conocer la aplicación de las Políticas Institucionales de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se elabora con la información de todos los mapas de riesgos documentados para los procesos y se ajusta con la actualización de los mismos a medida que se requiera a través del formato F-GP-11 Mapa de riesgos institucional, el cual se publica en la Intranet de la Entidad como parte del campo: MECI, en el elemento: Administración de Riesgos, del módulo: Control de Planeación y Gestión. Mapa de riesgos de corrupción Contiene la consolidación de los riesgos de la categoría Corrupción a los cuales están expuestos los procesos de la Entidad, permitiendo conocer la aplicación de las Políticas Institucionales de Tratamiento de Riesgos Asociados a los Procesos a través de las opciones de tratamiento definidas. Este documento se ajusta con la actualización que se derive luego de las revisiones realizadas a estos riesgos en el marco del seguimiento descrito en el capítulo 6 de este documento, los cuales atienden los dispuesto por la Presidencia de la Republica en el documento “Estrategias para la construcción del plan anticorrupción y atención al ciudadano”. Este consolidado se publica en la Intranet como parte del MECI y en la página Web de la Entidad (DNP/Gestión/Planeación Estratégica Institucional) a través del formato F-GP-35 Consolidación riesgos de corrupción. 10 PRODUCTO O SERVICIO NO CONFORME La no conformidad que se presenta en un producto o servicio prestado por el DNP, está directamente asociada con la materialización de los riesgos identificados para el proceso misional que genera el producto o servicio. Por esta razón se ha identificado, para todos los productos y/o servicios del DNP una matriz de productos y/o servicio, en la cual están definidos las variables y atributos que deben cumplir los productos y servicios generados por el DNP en cada uno de los procesos. Esta matriz establece además, el responsable del producto y/o servicio (según actividad descrita en el proceso) y a quien va dirigido, es decir, los clientes (según actividad descrita en el proceso). 10.1 Identificación de producto no conforme La identificación de productos no conformes se realiza de acuerdo con el esquema presentado a continuación. El Gráfico 2 representa las etapas más relevantes del tratamiento del producto no conforme, el cual esta descrito al detalle en el documento “Lineamiento para el control y tratamiento de productos y/o servicios no conformes del DNP” (AR-L01), el cual hace parte del Macroproceso: Gestión de Calidad. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 33 de 35 10.2 Tratamiento del producto no conforme Antes de la materialización de un riesgo que pueda incidir en la conformidad de un producto y/o servicio, se deben identificar las actividades de corrección que se van a ejecutar en caso tal que al materializarse un riesgo se obtenga un producto y/o servicio no conforme. Esta identificación de actividades o acciones de corrección se realiza únicamente para los productos y/o servicios (finales e intermedios, de acuerdo con el PCC) de los procesos misionales contenidos en los macroproceso de: Planeación de Mediano y Largo Plazo, Finanzas Públicas, Gestión y Coordinación, Monitoreo al SGR y Seguimiento control y evaluación de PPPP. Una vez se haya identificado la materialización de un riesgo que como consecuencia genere un producto y/o servicio no conforme, se identifican las acciones posteriores a la materialización del riesgo en la “Matriz de producto o servicio no conforme” con su respectivo registro de acciones tomadas posteriormente. Nota 12: Para asegurar el tratamiento completo, se debe diligenciar la Matriz de Producto o Servicio No Conforme, relacionando todos los riesgos del proceso misional, identificados en los diferentes PCC del mismo, teniendo en cuenta que el tratamiento del producto y/o servicio no conforme se debe realizar tanto sobre el producto y/o servicio final como parcial. Gráfico 2. Etapas relevantes del tratamiento del producto no conforme ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 34 de 35 10.2.1 Estructura la Matriz de Producto No Conforme El tratamiento de producto o servicio no conforme se encuentra en la “Matriz de Producto o servicio No Conforme” cuyos campos se describen a continuación: Punto Crítico de Control: Se incluye la actividad del proceso definida como punto crítico de control asociado al riesgo que puede generar el producto o servicio no conforme. Producto y/o Servicio Actividad PCC: Se identifica el resultado de la actividad señalada en el proceso como crítica, en la cual la materialización de alguno de los riesgos, provoque la no conformidad. Responsable de la Liberación del Producto: persona que autoriza la entrega del producto al cliente (Según actividad descrita en el proceso). Cliente Actividad: se indica la organización, entidad o persona que recibe el producto y/o servicio (Según actividad descrita en el proceso). Riesgo Asociado: relaciona el riesgo identificado en el proceso. Incidencia del producto y/o servicio no conforme: Señala la relación directa del riesgo identificado en el proceso en cuanto a su incidencia en el producto o servicio generado por el proceso o su objetivo. Acción: se enumeran las acciones que se van a ejecutar, cuando se identifique la materialización del riesgo, para garantizar que el productos o servicio generado por la actividad sea conforme respecto a las variables y atributos que debe cumplir. Responsable de la ejecución: Se indica el cargo del funcionario que debe ejecutar la acción planteada como tratamiento de producto o servicio no conforme, cuando este se materialice. Registro: documenta la posible forma de evidenciar acción tomada posteriormente, ejemplo: comunicación escrita dirigida a la entidad que genera la información, solicitando la aclaración de datos que presenten inconsistencias. 11 CONTROL DE CAMBIOS DE ADMINISTRACIÓN DE RIESGOS LOS DOCUMENTOS RELACIONADOS CON LA El cambio de versión en un mapa de riesgos por proceso, se realiza de acuerdo con el documento: “Lineamientos para la elaboración y control de documentos de los sistemas de gestión del DNP” (DSL01), el cual hace parte del Macroproceso: Gestión de Calidad. La actualización que se realice a los Mapas de Riesgos de los procesos, debe contemplar la actualización inmediata del Mapa de Riesgos Institucional y el Mapa de Riesgos de corrupción en caso que aplique. ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP LINEAMIENTO PARA LA ADMINISTRACIÓN DE RIESGOS EN LOS PROCESOS DEL DNP CÓDIGO: AR-L02 VERSIÓN: 6 PAGINA: 35 de 35 En el caso específico del mapa de riesgos de corrupción, se llevará un control de los cambios y las versiones de este documento, teniendo en cuenta los cambios que surjan de las revisiones que se deben realizar con plazo: 30 de abril, 30 de agosto y 31 de diciembre., Fecha aprobación: 21 de Enero de 2016 Revisó: ______________________________ Karol Mayerly Rodriguez Cabrera Coordinadora Grupo de Planeación Aprobó: ______________________________ Edgar Antonio Gomez Álvarez Secretario General Representante de la Alta Dirección ESTE DOCUMENTO ES FIEL COPIA DEL ORIGINAL, QUE REPOSA EN EL GRUPO DE PLANEACIÓN DEL DNP