ADMNISTRACIÓN DEL SISTEMA INTEGRADO ASPD03 DE GESTIÓN

Anuncio
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
ELABORÓ:
REVISÓ:
APROBÓ:
Profesional Oficina Asesora de Planeación Jefe Oficina Asesora de Planeación
Jefe Oficina Asesora de Planeación
FECHA:
FECHA:
FECHA:
08/08/2014
14/08/2014
22/08/2014
Administrar los riesgos institucionales mediante la identificación, clasificación, evaluación, valoración y seguimiento de los mismos
OBJETIVO
con el fin de prevenir y mitigar los eventos generados por su materialización.
Inicia con la identificación del contexto estratégico de la Institución, continúa con la clasificación, evaluación y valoración, y finaliza
ALCANCE
con el seguimiento de la política de administración de riesgos.
ÁMBITO DE
APLICACIÓN
Este procedimiento aplica para todos los procesos y subsistemas del Sistema Integrado de Gestión.
DEFINICIONES
Acciones: Mecanismos o estrategias a llevar a cabo para evitar, reducir, asumir o compartir el riesgo.
Análisis de Riesgos: Establecimiento de la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y
evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.
Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores se entienden
como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.
Consecuencias: Constituyen los efectos de la ocurrencia del riesgo sobre los objetivos de la entidad.
Contexto estratégico: Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan
negativamente el cumplimiento de la misión y objetivos de la institución. Las situaciones del entorno o externas pueden ser de carácter social,
cultural, económico, tecnológico, político y legal, bien sean internacionales, nacionales o regionales según sea el caso de análisis. Las situaciones
internas están relacionadas con la estructura, cultura organizacional, el modelo de operación, el cumplimiento de los planes y programas, los
sistemas de información, los procesos y procedimientos y los recursos humanos y económicos con los que cuenta una entidad. Se deben
establecer los objetivos, las estrategias, el alcance y los parámetros de las actividades de la entidad o de aquellos procesos donde se aplicará la
metodología para poder iniciar el análisis de contexto estratégico.
Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de ocurrencia del riesgo, el impacto de los riesgos y/o asegurar la
continuidad del servicio en caso de llegarse a materializar el riesgo.
Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.
Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los
bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de
información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Evaluación: Nivel en que se encuentra el riesgo, resultado de calificar el riesgo con base en la probabilidad y el impacto de éstos.
Pág. 1 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
Impacto: Grado en que las consecuencias pueden generar pérdidas a la entidad si se llega a materializar el riesgo.
Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin
de dar continuidad a los objetivos de la entidad.
Plan de Tratamiento: Conjunto de actividades asociadas, tales como las acciones preventivas, dirigidas a la mitigación del riesgo, donde se
definen tiempos y responsables.
Probabilidad: Frecuencia o factibilidad de ocurrencia del Riesgo.
Responsables: Dependencias, áreas o funcionarios encargados de asegurar la ejecución de las acciones para el tratamiento de los riesgos.
Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el
logro de sus objetivos.
Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y, en
general, con su compromiso ante la comunidad.
Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca en asuntos globales
relacionados con la misión, el cumplimiento de los objetivos estratégicos y la clara definición de políticas, diseño y conceptualización de la entidad
por parte de la alta gerencia.
Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los
estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.
Riesgo Inherentes: Riesgo calificado confrontando el estado de los controles.
Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la
definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias.
Riesgo Residual: Riesgo identificado sin tener en cuenta los controles
Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades, actuales y futuras, y el
cumplimiento de la misión.
Valoración: Resultado de confrontar el riesgo con la calidad de los controles existentes.
POLÍTICAS DE OPERACIÓN
1. La consolidación del mapa de riesgos institucional debe ser un trabajo participativo de las diferentes dependencias de la Entidad que integran
los diferentes procesos
2. La Oficina Asesora de Planeación es el líder metodológico en la administración de riesgos, sin embargo cada jefe de dependencia es el
responsable de la administración de los mismos en su área.
3. Se deben integrar en el mismo instrumento los riesgos de corrupción, riesgos de seguridad y Salud en el trabajo, riesgos de seguridad de la
información e informáticos.,
4. La revisión del mapa de procesos se realizará por lo menos una vez en el año, previa definición del plan de trabajo.
Pág. 2 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
NORMAS
REQUISITO LEGAL
DIRECTRIZ DE CUMPLIMIENTO
Artículo 73. La entidades de la rama ejecutiva deben elabora un Plan
Anticorrupción y de Atención al Ciudadano. Reglamentado por el Decreto
Nacional 2641 de 2012. Cada entidad del orden nacional, departamental y
municipal deberá elaborar anualmente una estrategia de lucha contra la
corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre
otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las
medidas concretas para mitigar esos riesgos, las estrategias anti trámites
Ley 1474 de 2011 “por la cual se dictan normas orientadas a fortalecer y los mecanismos para mejorar la atención al ciudadano.
los mecanismos de prevención, investigación y sanción de actos de
corrupción y la efectividad del control de la gestión pública.”
El Programa Presidencial de Modernización, Eficiencia, Transparencia y
Lucha contra la Corrupción señalará una metodología para diseñar y
hacerle seguimiento a la señalada estrategia.
Parágrafo. En aquellas entidades donde se tenga implementado un
sistema integral de administración de riesgos, se podrá validar la
metodología de este sistema con la definida por el Programa Presidencial
de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción.
Que mediante el numeral 2 del artículo 9 se establece que: “Cada Estado
Parte, de conformidad con los principios fundamentales de su
ordenamiento jurídico, adoptará las medidas necesarias para establecer
Ley 970 de 2005 “por medio de la cual se aprueba la "Convención de sistemas apropiados de contratación pública, basados en la transparencia,
las Naciones Unidas contra la Corrupción", adoptada por la Asamblea
la competencia y criterios objetivos de adopción de decisiones, que sean
General de las Naciones Unidas
eficaces, entre otras cosas, para prevenir la corrupción. Esos sistemas, en
cuya aplicación se podrán tener en cuenta valores mínimos apropiados,
deberán abordar, entre otras cosas:
d) Sistemas eficaces y eficientes de gestión de riesgos y control interno.”
Ley 872 de 2003 "por la cual se crea el sistema de gestión de la Las entidades de la rama ejecutiva deben, Identificar y diseñar, con la
Pág. 3 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
calidad en la Rama Ejecutiva del Poder Público y en otras entidades participación de los servidores públicos que intervienen en cada uno de los
prestadoras de servicios".
procesos y actividades, los puntos de control sobre los riesgos de mayor
probabilidad de ocurrencia o que generen un impacto considerable en la
satisfacción de las necesidades y expectativas de calidad de los usuarios
o destinatarios, en las materias y funciones que le competen a cada
entidad.
Principios de la función administrativa. La función administrativa se
Ley 489 de 1998 “por la cual se dictan normas sobre la organización y desarrollará conforme a los principios constitucionales, en particular los
funcionamiento de las entidades del orden nacional, se expiden las atinentes a la buena fe, igualdad, moralidad, celeridad, economía,
disposiciones, principios y reglas generales para el ejercicio de las imparcialidad, eficacia, eficiencia, participación, publicidad,
atribuciones previstas en los numerales 15 y 16 del artículo 189 de la responsabilidad y transparencia. Los principios anteriores se aplicarán,
Constitución Política.”
igualmente, en la prestación de servicios públicos, en cuanto fueren
compatibles con su naturaleza y régimen.
 Proteger los recursos de la organización buscando su adecuada
Ley 87 de 1993 “por la cual se establecen normas para el ejercicio del
administración ante posibles riesgos que los afectan.
control interno en las entidades y organismos del Estado y se dictan
 Definir y aplicar medidas para prevenir los riesgos, detectar y
otras disposiciones”
corregir las desviaciones que se presenten en la organización y
que puedan afectar el logro de los objetivos
Decreto 943 de 2014 “por la cual se modifica el Decreto 1599 de 2005, El cual se elaboró teniendo como referente tendencias internacionales
por medio del cual se adoptó el Modelo Estándar de Control Interno - existentes sobre la materia entre las que se pueden destacar el COSO
MECI- para el Estado Colombiano”
(Committee of Sponsoring Organizations of the Treadway Commission).
Las entidades de la rama ejecutiva deben, establecer controles sobre los
riesgos identificados y valorados que puedan afectar la satisfacción del
Decreto 4485 de 2009 “por medio la de la cual se adopta la cliente y el logro de los objetivos de la entidad.
actualización de la norma técnica de Calidad en la Gestión Pública.”
Las entidades de la rama ejecutiva deben, identificar los riesgos de mayor
probabilidad e impacto.
Pág. 4 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
DESCRIPCIÓN DEL PROCEDIMIENTO
ACTIVIDAD / TAREA
id
¿QUÉ?
1
2
3
DESCRIPCIÓN
¿CÓMO?
Dependiendo de la naturaleza del riesgo, se
deben conformar grupos de trabajo, que
pueden ser establecidos por procesos o por
dependencias. Es importante tener en cuenta
que en los grupos deben participar los líderes
de proceso, los jefes de área y los
Conformar grupos de
profesionales que tengan incidencia directa en
trabajo
ejecución de los procesos.
Para llevar a cabo las reuniones se debe
definir la logística requerida en aspectos tales
como lugar de la reunión, formatos a utilizar,
ayudas audiovisuales y plan de trabajo.
El levantamiento y validación de los riesgos
debe obedecer a un plan de trabajo, las
reuniones serán presididas y orientadas por un
profesional de la Oficina Asesora de
Planeación, quien debe solicitar de manera
Realizar reunión para
activa la participación del líder de los procesos
la identificación de
y los servidores asistentes.
riesgos
Una vez ha sido instaurado el taller, se
procede a aplicar la metodología que se
relaciona a partir de la actividad 3 del presente
procedimiento.
Esta actividad corresponde a la identificación
Identificar el Contexto
de los factores internos y externos a la Entidad
estratégico
que pueden generar riesgos que afecten el
ÁREA
PARTICI
PANTE
REGISTRO
Profesional
Todas las
áreas de
la
Entidad
Lista de asistencia
(Código ASFT04)
Superintende
nte Nacional
de Salud
Todas las
áreas de
la
Contexto
Estratégico
(Código ASFT08)
ÁREA
RESPONSABLE
CARGO
Oficina Asesora
de Planeación
Profesional
Oficina Asesora
de Planeación
Todas las áreas
de la Entidad
Pág. 5 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
cumplimiento de sus objetivos. El análisis se
realiza a partir del conocimiento de situaciones
del entorno de la Entidad, tanto de carácter
social, económico, cultural, de orden público,
político, legal y/o cambios tecnológicos,
ambientales, entre otros; y las particularidades
internas de la entidad como la asignación
presupuestal, las competencias del personal,
los procesos internos, seguridad y salud en el
trabajo, entre otros.
4
5
El producto de esta actividad es el
diligenciamiento
del
Formato
Contexto
Estratégico ASFT08
Una vez ha sido definido los insumos
necesarios a partir del análisis del contexto
estratégico, se debe aplicar la metodología
denominada metalenguaje, de modo tal que a
través de esta se identifiquen tanto los riesgos,
Identificar los Riesgos como las causas que lo originan y los efectos
del proceso
negativos que ocasionarían la materialización
de los mismos.
El producto de esta actividad es el
diligenciamiento del Formato identificación de
riesgos ASFT09.
En esta actividad se debe calificar el riesgo
identificado con base en la probabilidad de
Analizar y evaluar los ocurrencia y el impacto, teniendo en cuenta las
riesgos
causas enunciadas y la tabla de Calificación
de Probabilidad y el impacto del riesgo
definido, para tal fin se debe tomar como
Oficina Asesora
de Planeación
Entidad
Jefes de
áreas
Servidores
de la Entidad
Todas las áreas
de la Entidad
Oficina Asesora
de Planeación
Superintende
nte Nacional
de Salud,
Jefes de
áreas
Todas las
áreas de
la
Entidad
Identificación del
riesgo (código
ASFT09)
Todas las
áreas de
la
Entidad
Análisis de
Riesgos (código
ASFT10)
Servidores
de la Entidad
Todas las áreas
de la Entidad
Oficina Asesora
de Planeación
Superintende
nte Nacional
de Salud,
Jefes de
áreas
Pág. 6 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
referencia obligatoria las tablas relacionadas
en la Guía Básica de Administración del
Riesgo expedida por el Departamento
Administrativo de la Función Público
identificada con el código ASDE01.
Servidores
de la Entidad
Adicionalmente, se establece el nivel de
riesgos de acuerdo con la calificación otorgada
por la Matriz de Evaluación de Riesgos
establecida
en
la
Guía
Básica
de
Administración del Riesgo expedida por el
Departamento Administrativo de la Función
Público identificada con el código ASDE01.
El producto de esta actividad es el
diligenciamiento del Formato Análisis de
riesgos identificado con el código ASFT10.
En esta actividad se debe confrontar los
resultados del análisis y evaluación del riesgo
con los controles identificados previamente,
esto se hace con el objetivo de establecer
prioridades paras un manejo adecuado y para
la fijación de políticas.
6
Valorar los riesgos
Es necesario tener claridad sobre los puntos
de control existentes en los procesos de la
Entidad, los cuales permiten obtener
información para efectos de tomar decisiones
en la forma de administrar los riesgos.
Todas las áreas
de la Entidad
Oficina Asesora
de Planeación
Superintende
nte Nacional
de Salud,
Jefes de
áreas
Todas las
áreas de
la
Entidad
Valoración de
Riesgo (código
ASFT11)
Servidores
de la Entidad
Con el fin de identificar, valorar, tratar el
manejo de los controles y los riesgos se debe
Pág. 7 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
tomar como referente la Guía Básica de
Administración del Riesgo expedida por el
Departamento Administrativo de la Función
Público identificada con el código ASDE01.
7
8
El producto de esta actividad es el
diligenciamiento del formato Valoración de
Riesgos identificado con el código ASFT11.
En reunión con la participación de las áreas y
los líderes de proceso, se debe construir la
matriz mapa de riesgos identificada con el
código ASFT12. Es importante destacar que
este documento integrará los diferentes tipos
de riesgos: institucional, de gestión, corrupción
y los de cada uno de los subsistemas del
Sistema Integrado de Gestión. Para soportar
Estructurar el mapa
su estructuración se debe tomar como
de riesgos
referentes la Guía Básica de Administración
del Riesgo expedida por el Departamento
Administrativo de la Función Público
identificado con el código ASDE01 y el
documento denominado “Estrategias para la
construcción del Plan Anticorrupción y de
Atención al Ciudadano” identificado con el
código ASDE02.
Una vez se ha diligenciado la matriz de
administración del riesgo código ASFT12, se
procede a la redacción de la Política de
Formular la política
Administración de Riesgos, ésta consiste en
identificar las opciones para tratar y manejar
los riesgos con base en la valoración de los
mismos, permiten tomar decisiones adecuadas
Todas las áreas
de la Entidad
Oficina Asesora
de Planeación
Superintende
nte Nacional
de Salud
Jefes de
áreas
Todas las
áreas de
la
Entidad
Matriz mapa de
riesgos (código
ASFT12)
Todas las
áreas de
la
Entidad
Política de
Administración del
Riesgo (código
ASPO06)
Servidores
de la Entidad
Todas las áreas
de la Entidad
Superintende
nte Nacional
de Salud,
Oficina Asesora
de Planeación
Jefes de
áreas
Pág. 8 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
y fijar los lineamientos, que va a transmitir la
posición del Superintendente nacional de
Salud y se establecen las guías de acción
necesarias a todos los servidores de la
entidad. En la formulación de esta política se
deben tener en cuenta los siguientes aspectos:
directrices que se esperan logar, los objetivos
para el cumplimiento de las mismas, plan
gerencial para la ejecución de las directrices.
La Política de Administración del Riesgo será
identificada mediante código ASPO03.
9
10
La Oficina Asesora de Planeación deberá
liderar la socialización de la Política de
Socializar
y Administración de Riesgos, para lo cual se
comunicar la Política soportará en la Oficina Asesora de
de administración del Comunicaciones Estratégicas e Imagen
Riesgo
Institucional, en tal sentido, y de manera
conjunta, se definirán las respectivas
estrategias.
Evaluación
seguimiento
Una vez diseñado y validado el plan para
administrar los riesgos, en el mapa de riesgos,
es necesario monitorearlo teniendo en cuenta
que estos nunca dejan de representar una
amenaza para la organización.
y
El monitoreo es esencial para asegurar que las
acciones se están llevando a cabo y evaluar la
eficiencia en su implementación adelantando
revisiones sobre la marcha para evidenciar
todas aquellas situaciones o factores que
pueden estar influyendo en la aplicación de las
Servidores
de la Entidad
Oficina Asesora
de Planeación
Oficina Asesora
de
Comunicaciones
Estratégicas e
Imagen
Institucional
Oficina de Control
Interno
Todas las áreas
de la Entidad
Jefes de
áreas
Todas las
áreas de
la
Entidad
Listas de
asistencia
(Código ASFT04)
Todas las
áreas de
la
Entidad
Informe de
Auditoría Integral
(código IGFT07)
Profesional
Jefes de
áreas, jefes
de oficina,
Secretario
General.
Pág. 9 de 11
PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
acciones preventivas.
El monitoreo debe estar a cargo de: Los
responsables de los procesos y La Oficina de
Control Interno. Su finalidad principal será la
de aplicar y sugerir los correctivos y ajustes
necesarios para asegurar un efectivo manejo
del riesgo.
La Oficina de Control Interno dentro de su
función asesora comunicará y presentará
luego del seguimiento y evaluación sus
resultados y propuestas de mejoramiento y
tratamiento a las situaciones detectadas, el
resultado de este seguimiento se verá en el
Informe de Auditoría Integral, código IGFT07.
PUNTOS DE CONTROL
ID NOMBRE DE LA ACTIVIDAD
MÉTODO DE CONTROL
FRECUENCIA
RESPONSABLE
/ TAREA
Cada vez que Profesional
Realizar reunión para la
2
Verificar la asistencia de los participantes.
se
realice Oficina Asesora
identificación de riesgos
reunión.
de Planeación
Profesional
10 Inspección y seguimiento
Se realizara mediante auditoria.
Una vez al año
Oficina Asesora
de Planeación
Profesional
Revisar y actualizar el mapa de Diligenciar e Formato Mapa de Riesgos
7
Una vez al año
Oficina Asesora
riesgos y planes de tratamiento ASFT12
de Planeación
REGISTRO
Lista de asistencia
(Código ASFT04)
Formato
Mapa
Riesgos ASFT12
de
Formato
Mapa
Riesgos ASFT12
de
ANÁLISIS DE TIEMPO
Los tiempos determinados para este procedimiento son: para la elaboración del mapa de riesgos un (1) mes; y para la revisión anual un (1) mes.
DOCUMENTOS DE REFERENCIA
Pág. 10 de 11




PROCESO
ADMNISTRACIÓN DEL SISTEMA INTEGRADO
DE GESTIÓN
CÓDIGO
ASPD03
PROCEDIMIENTO
ADMNISTRACIÓN DE RIESGOS
VERSIÓN
1
Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP), septiembre de 2011.
Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014.
Informe COSO 2009 (Committee of Sponsoring Organizations of the Treadway Commission).
NTC ISO-31000:2011 Gestión del Riesgo Principios y Directrices
CONTROL DE CAMBIOS
ASPECTOS QUE
CAMBIARON EN EL
DOCUMENTO
DETALLES DE LOS CAMBIOS
EFECTUADOS
RESPONSABLE DE LA SOLICITUD
DEL CAMBIO
FECHA DEL
CAMBIO
DD/MM/AAAA
VERSIÓN
Pág. 11 de 11
Documentos relacionados
Descargar