PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 ELABORÓ: REVISÓ: APROBÓ: Profesional Oficina Asesora de Planeación Jefe Oficina Asesora de Planeación Jefe Oficina Asesora de Planeación FECHA: FECHA: FECHA: 08/08/2014 14/08/2014 22/08/2014 Administrar los riesgos institucionales mediante la identificación, clasificación, evaluación, valoración y seguimiento de los mismos OBJETIVO con el fin de prevenir y mitigar los eventos generados por su materialización. Inicia con la identificación del contexto estratégico de la Institución, continúa con la clasificación, evaluación y valoración, y finaliza ALCANCE con el seguimiento de la política de administración de riesgos. ÁMBITO DE APLICACIÓN Este procedimiento aplica para todos los procesos y subsistemas del Sistema Integrado de Gestión. DEFINICIONES Acciones: Mecanismos o estrategias a llevar a cabo para evitar, reducir, asumir o compartir el riesgo. Análisis de Riesgos: Establecimiento de la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Consecuencias: Constituyen los efectos de la ocurrencia del riesgo sobre los objetivos de la entidad. Contexto estratégico: Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de la institución. Las situaciones del entorno o externas pueden ser de carácter social, cultural, económico, tecnológico, político y legal, bien sean internacionales, nacionales o regionales según sea el caso de análisis. Las situaciones internas están relacionadas con la estructura, cultura organizacional, el modelo de operación, el cumplimiento de los planes y programas, los sistemas de información, los procesos y procedimientos y los recursos humanos y económicos con los que cuenta una entidad. Se deben establecer los objetivos, las estrategias, el alcance y los parámetros de las actividades de la entidad o de aquellos procesos donde se aplicará la metodología para poder iniciar el análisis de contexto estratégico. Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de ocurrencia del riesgo, el impacto de los riesgos y/o asegurar la continuidad del servicio en caso de llegarse a materializar el riesgo. Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental. Evaluación: Nivel en que se encuentra el riesgo, resultado de calificar el riesgo con base en la probabilidad y el impacto de éstos. Pág. 1 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 Impacto: Grado en que las consecuencias pueden generar pérdidas a la entidad si se llega a materializar el riesgo. Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad. Plan de Tratamiento: Conjunto de actividades asociadas, tales como las acciones preventivas, dirigidas a la mitigación del riesgo, donde se definen tiempos y responsables. Probabilidad: Frecuencia o factibilidad de ocurrencia del Riesgo. Responsables: Dependencias, áreas o funcionarios encargados de asegurar la ejecución de las acciones para el tratamiento de los riesgos. Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y, en general, con su compromiso ante la comunidad. Riesgo Estratégico: Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca en asuntos globales relacionados con la misión, el cumplimiento de los objetivos estratégicos y la clara definición de políticas, diseño y conceptualización de la entidad por parte de la alta gerencia. Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. Riesgos de Imagen: Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución. Riesgo Inherentes: Riesgo calificado confrontando el estado de los controles. Riesgos Operativos: Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional, de la definición de los procesos, de la estructura de la entidad y de la articulación entre dependencias. Riesgo Residual: Riesgo identificado sin tener en cuenta los controles Riesgos de Tecnología: Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades, actuales y futuras, y el cumplimiento de la misión. Valoración: Resultado de confrontar el riesgo con la calidad de los controles existentes. POLÍTICAS DE OPERACIÓN 1. La consolidación del mapa de riesgos institucional debe ser un trabajo participativo de las diferentes dependencias de la Entidad que integran los diferentes procesos 2. La Oficina Asesora de Planeación es el líder metodológico en la administración de riesgos, sin embargo cada jefe de dependencia es el responsable de la administración de los mismos en su área. 3. Se deben integrar en el mismo instrumento los riesgos de corrupción, riesgos de seguridad y Salud en el trabajo, riesgos de seguridad de la información e informáticos., 4. La revisión del mapa de procesos se realizará por lo menos una vez en el año, previa definición del plan de trabajo. Pág. 2 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 NORMAS REQUISITO LEGAL DIRECTRIZ DE CUMPLIMIENTO Artículo 73. La entidades de la rama ejecutiva deben elabora un Plan Anticorrupción y de Atención al Ciudadano. Reglamentado por el Decreto Nacional 2641 de 2012. Cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias anti trámites Ley 1474 de 2011 “por la cual se dictan normas orientadas a fortalecer y los mecanismos para mejorar la atención al ciudadano. los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.” El Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción señalará una metodología para diseñar y hacerle seguimiento a la señalada estrategia. Parágrafo. En aquellas entidades donde se tenga implementado un sistema integral de administración de riesgos, se podrá validar la metodología de este sistema con la definida por el Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción. Que mediante el numeral 2 del artículo 9 se establece que: “Cada Estado Parte, de conformidad con los principios fundamentales de su ordenamiento jurídico, adoptará las medidas necesarias para establecer Ley 970 de 2005 “por medio de la cual se aprueba la "Convención de sistemas apropiados de contratación pública, basados en la transparencia, las Naciones Unidas contra la Corrupción", adoptada por la Asamblea la competencia y criterios objetivos de adopción de decisiones, que sean General de las Naciones Unidas eficaces, entre otras cosas, para prevenir la corrupción. Esos sistemas, en cuya aplicación se podrán tener en cuenta valores mínimos apropiados, deberán abordar, entre otras cosas: d) Sistemas eficaces y eficientes de gestión de riesgos y control interno.” Ley 872 de 2003 "por la cual se crea el sistema de gestión de la Las entidades de la rama ejecutiva deben, Identificar y diseñar, con la Pág. 3 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 calidad en la Rama Ejecutiva del Poder Público y en otras entidades participación de los servidores públicos que intervienen en cada uno de los prestadoras de servicios". procesos y actividades, los puntos de control sobre los riesgos de mayor probabilidad de ocurrencia o que generen un impacto considerable en la satisfacción de las necesidades y expectativas de calidad de los usuarios o destinatarios, en las materias y funciones que le competen a cada entidad. Principios de la función administrativa. La función administrativa se Ley 489 de 1998 “por la cual se dictan normas sobre la organización y desarrollará conforme a los principios constitucionales, en particular los funcionamiento de las entidades del orden nacional, se expiden las atinentes a la buena fe, igualdad, moralidad, celeridad, economía, disposiciones, principios y reglas generales para el ejercicio de las imparcialidad, eficacia, eficiencia, participación, publicidad, atribuciones previstas en los numerales 15 y 16 del artículo 189 de la responsabilidad y transparencia. Los principios anteriores se aplicarán, Constitución Política.” igualmente, en la prestación de servicios públicos, en cuanto fueren compatibles con su naturaleza y régimen. Proteger los recursos de la organización buscando su adecuada Ley 87 de 1993 “por la cual se establecen normas para el ejercicio del administración ante posibles riesgos que los afectan. control interno en las entidades y organismos del Estado y se dictan Definir y aplicar medidas para prevenir los riesgos, detectar y otras disposiciones” corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos Decreto 943 de 2014 “por la cual se modifica el Decreto 1599 de 2005, El cual se elaboró teniendo como referente tendencias internacionales por medio del cual se adoptó el Modelo Estándar de Control Interno - existentes sobre la materia entre las que se pueden destacar el COSO MECI- para el Estado Colombiano” (Committee of Sponsoring Organizations of the Treadway Commission). Las entidades de la rama ejecutiva deben, establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfacción del Decreto 4485 de 2009 “por medio la de la cual se adopta la cliente y el logro de los objetivos de la entidad. actualización de la norma técnica de Calidad en la Gestión Pública.” Las entidades de la rama ejecutiva deben, identificar los riesgos de mayor probabilidad e impacto. Pág. 4 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 DESCRIPCIÓN DEL PROCEDIMIENTO ACTIVIDAD / TAREA id ¿QUÉ? 1 2 3 DESCRIPCIÓN ¿CÓMO? Dependiendo de la naturaleza del riesgo, se deben conformar grupos de trabajo, que pueden ser establecidos por procesos o por dependencias. Es importante tener en cuenta que en los grupos deben participar los líderes de proceso, los jefes de área y los Conformar grupos de profesionales que tengan incidencia directa en trabajo ejecución de los procesos. Para llevar a cabo las reuniones se debe definir la logística requerida en aspectos tales como lugar de la reunión, formatos a utilizar, ayudas audiovisuales y plan de trabajo. El levantamiento y validación de los riesgos debe obedecer a un plan de trabajo, las reuniones serán presididas y orientadas por un profesional de la Oficina Asesora de Planeación, quien debe solicitar de manera Realizar reunión para activa la participación del líder de los procesos la identificación de y los servidores asistentes. riesgos Una vez ha sido instaurado el taller, se procede a aplicar la metodología que se relaciona a partir de la actividad 3 del presente procedimiento. Esta actividad corresponde a la identificación Identificar el Contexto de los factores internos y externos a la Entidad estratégico que pueden generar riesgos que afecten el ÁREA PARTICI PANTE REGISTRO Profesional Todas las áreas de la Entidad Lista de asistencia (Código ASFT04) Superintende nte Nacional de Salud Todas las áreas de la Contexto Estratégico (Código ASFT08) ÁREA RESPONSABLE CARGO Oficina Asesora de Planeación Profesional Oficina Asesora de Planeación Todas las áreas de la Entidad Pág. 5 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 cumplimiento de sus objetivos. El análisis se realiza a partir del conocimiento de situaciones del entorno de la Entidad, tanto de carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, ambientales, entre otros; y las particularidades internas de la entidad como la asignación presupuestal, las competencias del personal, los procesos internos, seguridad y salud en el trabajo, entre otros. 4 5 El producto de esta actividad es el diligenciamiento del Formato Contexto Estratégico ASFT08 Una vez ha sido definido los insumos necesarios a partir del análisis del contexto estratégico, se debe aplicar la metodología denominada metalenguaje, de modo tal que a través de esta se identifiquen tanto los riesgos, Identificar los Riesgos como las causas que lo originan y los efectos del proceso negativos que ocasionarían la materialización de los mismos. El producto de esta actividad es el diligenciamiento del Formato identificación de riesgos ASFT09. En esta actividad se debe calificar el riesgo identificado con base en la probabilidad de Analizar y evaluar los ocurrencia y el impacto, teniendo en cuenta las riesgos causas enunciadas y la tabla de Calificación de Probabilidad y el impacto del riesgo definido, para tal fin se debe tomar como Oficina Asesora de Planeación Entidad Jefes de áreas Servidores de la Entidad Todas las áreas de la Entidad Oficina Asesora de Planeación Superintende nte Nacional de Salud, Jefes de áreas Todas las áreas de la Entidad Identificación del riesgo (código ASFT09) Todas las áreas de la Entidad Análisis de Riesgos (código ASFT10) Servidores de la Entidad Todas las áreas de la Entidad Oficina Asesora de Planeación Superintende nte Nacional de Salud, Jefes de áreas Pág. 6 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 referencia obligatoria las tablas relacionadas en la Guía Básica de Administración del Riesgo expedida por el Departamento Administrativo de la Función Público identificada con el código ASDE01. Servidores de la Entidad Adicionalmente, se establece el nivel de riesgos de acuerdo con la calificación otorgada por la Matriz de Evaluación de Riesgos establecida en la Guía Básica de Administración del Riesgo expedida por el Departamento Administrativo de la Función Público identificada con el código ASDE01. El producto de esta actividad es el diligenciamiento del Formato Análisis de riesgos identificado con el código ASFT10. En esta actividad se debe confrontar los resultados del análisis y evaluación del riesgo con los controles identificados previamente, esto se hace con el objetivo de establecer prioridades paras un manejo adecuado y para la fijación de políticas. 6 Valorar los riesgos Es necesario tener claridad sobre los puntos de control existentes en los procesos de la Entidad, los cuales permiten obtener información para efectos de tomar decisiones en la forma de administrar los riesgos. Todas las áreas de la Entidad Oficina Asesora de Planeación Superintende nte Nacional de Salud, Jefes de áreas Todas las áreas de la Entidad Valoración de Riesgo (código ASFT11) Servidores de la Entidad Con el fin de identificar, valorar, tratar el manejo de los controles y los riesgos se debe Pág. 7 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 tomar como referente la Guía Básica de Administración del Riesgo expedida por el Departamento Administrativo de la Función Público identificada con el código ASDE01. 7 8 El producto de esta actividad es el diligenciamiento del formato Valoración de Riesgos identificado con el código ASFT11. En reunión con la participación de las áreas y los líderes de proceso, se debe construir la matriz mapa de riesgos identificada con el código ASFT12. Es importante destacar que este documento integrará los diferentes tipos de riesgos: institucional, de gestión, corrupción y los de cada uno de los subsistemas del Sistema Integrado de Gestión. Para soportar Estructurar el mapa su estructuración se debe tomar como de riesgos referentes la Guía Básica de Administración del Riesgo expedida por el Departamento Administrativo de la Función Público identificado con el código ASDE01 y el documento denominado “Estrategias para la construcción del Plan Anticorrupción y de Atención al Ciudadano” identificado con el código ASDE02. Una vez se ha diligenciado la matriz de administración del riesgo código ASFT12, se procede a la redacción de la Política de Formular la política Administración de Riesgos, ésta consiste en identificar las opciones para tratar y manejar los riesgos con base en la valoración de los mismos, permiten tomar decisiones adecuadas Todas las áreas de la Entidad Oficina Asesora de Planeación Superintende nte Nacional de Salud Jefes de áreas Todas las áreas de la Entidad Matriz mapa de riesgos (código ASFT12) Todas las áreas de la Entidad Política de Administración del Riesgo (código ASPO06) Servidores de la Entidad Todas las áreas de la Entidad Superintende nte Nacional de Salud, Oficina Asesora de Planeación Jefes de áreas Pág. 8 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 y fijar los lineamientos, que va a transmitir la posición del Superintendente nacional de Salud y se establecen las guías de acción necesarias a todos los servidores de la entidad. En la formulación de esta política se deben tener en cuenta los siguientes aspectos: directrices que se esperan logar, los objetivos para el cumplimiento de las mismas, plan gerencial para la ejecución de las directrices. La Política de Administración del Riesgo será identificada mediante código ASPO03. 9 10 La Oficina Asesora de Planeación deberá liderar la socialización de la Política de Socializar y Administración de Riesgos, para lo cual se comunicar la Política soportará en la Oficina Asesora de de administración del Comunicaciones Estratégicas e Imagen Riesgo Institucional, en tal sentido, y de manera conjunta, se definirán las respectivas estrategias. Evaluación seguimiento Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización. y El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las Servidores de la Entidad Oficina Asesora de Planeación Oficina Asesora de Comunicaciones Estratégicas e Imagen Institucional Oficina de Control Interno Todas las áreas de la Entidad Jefes de áreas Todas las áreas de la Entidad Listas de asistencia (Código ASFT04) Todas las áreas de la Entidad Informe de Auditoría Integral (código IGFT07) Profesional Jefes de áreas, jefes de oficina, Secretario General. Pág. 9 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 acciones preventivas. El monitoreo debe estar a cargo de: Los responsables de los procesos y La Oficina de Control Interno. Su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. La Oficina de Control Interno dentro de su función asesora comunicará y presentará luego del seguimiento y evaluación sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas, el resultado de este seguimiento se verá en el Informe de Auditoría Integral, código IGFT07. PUNTOS DE CONTROL ID NOMBRE DE LA ACTIVIDAD MÉTODO DE CONTROL FRECUENCIA RESPONSABLE / TAREA Cada vez que Profesional Realizar reunión para la 2 Verificar la asistencia de los participantes. se realice Oficina Asesora identificación de riesgos reunión. de Planeación Profesional 10 Inspección y seguimiento Se realizara mediante auditoria. Una vez al año Oficina Asesora de Planeación Profesional Revisar y actualizar el mapa de Diligenciar e Formato Mapa de Riesgos 7 Una vez al año Oficina Asesora riesgos y planes de tratamiento ASFT12 de Planeación REGISTRO Lista de asistencia (Código ASFT04) Formato Mapa Riesgos ASFT12 de Formato Mapa Riesgos ASFT12 de ANÁLISIS DE TIEMPO Los tiempos determinados para este procedimiento son: para la elaboración del mapa de riesgos un (1) mes; y para la revisión anual un (1) mes. DOCUMENTOS DE REFERENCIA Pág. 10 de 11 PROCESO ADMNISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN CÓDIGO ASPD03 PROCEDIMIENTO ADMNISTRACIÓN DE RIESGOS VERSIÓN 1 Guía para la Administración del Riesgo del Departamento Administrativo de la Función Pública (DAFP), septiembre de 2011. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014. Informe COSO 2009 (Committee of Sponsoring Organizations of the Treadway Commission). NTC ISO-31000:2011 Gestión del Riesgo Principios y Directrices CONTROL DE CAMBIOS ASPECTOS QUE CAMBIARON EN EL DOCUMENTO DETALLES DE LOS CAMBIOS EFECTUADOS RESPONSABLE DE LA SOLICITUD DEL CAMBIO FECHA DEL CAMBIO DD/MM/AAAA VERSIÓN Pág. 11 de 11