Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Probabilidad Impacto Nivel Probabilidad Impacto Nivel Probabilidad Impacto Nivel
Incumplimiento en la ejecución de la actividad
programada con los usuarios.Operativo
Deficiente estandarización de procedimientos y
actividades.
Inconformidad del usuario y pérdida de imagen institucional
2 Menor Baja
Los Subsecretarios de la dependencia, anualmente, revisarán y ajustarán las
acciones y procedimientos, para dar así cumplimiento a los programas del Plan municipal de desarrollo
vigente y a las actividades registradas en el SIG de calidad / MIPG, ajustes
que quedarán evidenciados en la
elaboración del Plan de acción correspondiente a
cada año calendario.
1 Menor Baja EvitarRevisión periódica de
procedimientos y actividades
Subsecretarios y equipos de trabajo. Anual 2021-01-01 2021-12-31 2021-02-02 No materializado 10/31/2019
A la fecha los controles han
sido efectivos y no se ha
materializado el riesgo
Desacierto en el diagnóstico y tratamiento de la actividad
objeto del acompañamiento.Operativo
Falta de actualizacion de la técnica del equipo de trabajo
Pérdida de credibilidad / Pérdidas
Económicas2 Moderado Moderada
Los Subsecretarios de la Dependencia, anualmente, analizarán los resultados
de los Indicadores de gestión establecidos y
evaluarán el acierto en los diagnósticos y tratamientos
de las actividades y programas ejecutados;
para realizar los planes de capacitación y
actualización a los equipos de trabajo, de acuerdo con las falencias halladas. La
evidencia se soportará con las planillas de asistencia a
las capacitaciones efectuadas.
1 Moderado Moderada Evitar
Convenios interistitucionales de
formación permanente, participación en eventos
de actualizacion de acuerdo a las
competencias laborales y profesionales de los
miembros del equipo de trabajo.
Subsecretarios y equipos de trabajo. Anual 2021-01-01 2021-12-31 2021-02-02 No materializado 10/31/2019
A la fecha los controles han
sido efectivos y no se ha
materializado el riesgo
Demora en la prestación de los servicios Operativo
Insuficiente personal para la prestación del
servicio
Irregularidad en la prestación del servicio 4 Moderado Alta
De acuerdo con el Plan de acción trazado para cada
año calendario, anualmente, los
Subsecretarios de la Dependencia, coordinarán con antelación el proceso contractual que permita a
la Administración municipal contar con el personal en misión, en número y con tiempo suficiente, para nó generar trastornos en la
prestación de servicios a la comunidad; lo que quedará
evidenciado en los Convenios celebrados con
terceros para tal fín.
3 Moderado Alta Evitar
Adelantar con tiempo suficiente los procesos
de contratación de personal para no afectar
la prestación de los servicios.
Subsecretarios y equipos de trabajo. Anual 2021-01-01 2021-12-31 2021-02-02 No materializado 10/31/2019
A la fecha los controles han
sido efectivos y no se ha
materializado el riesgo
Fecha de terminación
SEGUIMIENTO
Fecha
Evaluación Riesgo materializado Plan de contingencia
o nuevas acciones Evidencia Fecha
Mapa Institucional de Riesgos 2020Versión 7 código F-13SG01-09
Proceso Nombre del Riesgo Clasificación del Riesgo Causas Consecuencias
Riesgo Inherente Control Existente
Riesgo Residual Opción de manejo Observaciones
Dependencia Control InternoAcciones Preventivas Responsable de
la acción Periodo
SeguimientoFecha de
Inicio
DESARROLLO ECONÓMICO
Riesgo No. Causas P1 P2 P3
1 Factores externos al municipio (proveedores, grupos de interés) 7 6 8
2 Deficiente estandarización de procedimientos y actividades. 9 8 9
3 Selección del personal Técnico de forma inadecuada 6 6 8
4 Falta de actualizacion técnica del equipo de trabajo 6 7 6
5 Desinterés del profesional a cargo de la actividad 5 4 4
6 Incumplimiento por parte de los tutores 6 6 6
7Deserción de los usuarios a las capacitaciones ofrecidas por la subsecretaría
8 8 9
8 Insuficiente personal para la prestación del servicio 7 7 8
P1P2P3 Profesional de la Subsecretaria
Incumplimiento en la ejecución de la actividad programada con los usuarios
Desacierto en el diagnóstico y tratamiento de la actividad objeto del acompañamiento.
Demora en la prestación de los servicios
Secretaria de Desarrollo EconómicoSubsecret. Desarrollo Agropecuario
Total Promedio
21 7.00
26 8.67
20 6.67
19 6.33
13 4.33
18 6.00
25 8.33
22 7.33
Profesional de la Subsecretaria
Secretaria de Desarrollo EconómicoSubsecret. Desarrollo Agropecuario
NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA
4 Probable
Es viable que el evento ocurra en la
mayoría de las circunstancias.
Al menos 1 vez en el último año
Criterios para evaluar la probabilidad
5 Casi seguro
Se espera que el evento ocurra en la
mayoría de las circunstancias.
Más de 1 vez al año
3 PosibleEl evento podrá ocurrir en algún
momento
Al menos 1 vez en los últimos 2 años.
2 ImprobableEl evento puede ocurrir en algún
momento
Al menos 1 vez en los últimos 5 años.
1 Rara vez
El evento puede ocurrir solo en circunstancias
excepcionales (poco comunes o anormales).
No se ha presentado en los últimos 5 años.
Fuente: Guía de Riesgos V3-2014, DAFP.
NIVEL
CATASTRÓFICO
MAYOR
MODERADO
MENOR
INSIGNIFICANTE
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.
IMPACTO (Consecuencias) CUANTITATIVO
Impacto que afecte la ejecución presupuestal en un valor ≥ 50%.
Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 50%.Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 50%.
Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 50% del presupuesto general de la entidad.
Impacto que afecte la ejecución presupuestal en un valor ≥ 20%.
Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 20%.
Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 20%.
Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 20% del presupuesto general de la entidad.
Impacto que afecte la ejecución presupuestal en un valor ≥5%.
Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 10%.
Pago de indemnizaciones a terceros por acciones legales que pueden afectar el
presupuesto total de la entidad en un valor ≥ 5%.
Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 5% del presupuesto general de la entidad.
Impacto que afecte la ejecución presupuestal en un valor ≥ 1%.
Pérdida de cobertura en la prestación de los servicios de la entidad ≥5 %.
Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 1%.Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 1% del presupuesto general de la entidad.
Impacto que afecte la ejecución presupuestal en un valor ≥ 0,5%.Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 1%.Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 0,5%.
CRITERIOS PARA CALIFICAR EL IMPACTO – RIESGOS DE GESTIÓN
Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 0,5% del presupuesto general de la entidad.
FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.
IMPACTO (Consecuencias) CUALITATIVO
Interrupción de las operaciones de la Entidad por más de cinco (5) días.
Intervención por parte de un ente de control u otro ente regulador.
Pérdida de la información crítica para la entidad que no se puede recuperar.
Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal.
Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.Interrupción de las operaciones de la Entidad por más de dos (2) días.Pérdida de información crítica que puede se recuperada de forma parcial o incompleta.
Sanción por parte del ente de control u otro ente regulador.
Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno.
Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.
Interrupción de las operaciones de la Entidad por un (1) día.Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad.
Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.
Reproceso de actividades y aumento de carga operativa.
Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos.Investigaciones penales, fiscales o disciplinarias.
Interrupción de las operaciones de la Entidad por algunas horas.Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias.Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.
No hay interrupción de las operaciones de la entidad.No se generan sanciones económicas o administrativas.
No se afecta la imagen institucional de forma significativa.
CRITERIOS PARA CALIFICAR EL IMPACTO – RIESGOS DE GESTIÓN
5 Casi seguro
1 Rara Vez
1 2 3
Insignificante Menor Moderado
4 Probable
3 Posible
PROBABILIDAD
MAPA DE CALOR
IMPACTO
2 Improbable
4 5
Mayor Catastrófico
NIVEL O ZONA DE RIESGO MODERADA
NIVEL O ZONA DE RIESGO BAJA
NIVEL O ZONA DE RIESGO ALTA
NIVEL O ZONA DE RIESGO EXTREMA
NIVEL O ZONA DE RIESGO MODERADA
NIVEL O ZONA DE RIESGO BAJA
NIVEL O ZONA DE RIESGO ALTA
NIVEL O ZONA DE RIESGO EXTREMA
CONTROLES
Cuando un control se hace de manera manual (ejecutado por personas) importante establecer el cargo responsable de su realización.
El profesional de contratación. El auxiliar de cartera. El coordinador de operaciones. La coordinadora de nómina. Cuando el control lo hace un sistema o una aplicación de manera a través de un sistema programado, es importante establecer como responsable de ejecutar el control al sistema o aplicación. El sistema SAP. El aplicativo de nómina. El aplicativo de contratación.
Hay controles que no tienen una periodicidad específica como, por ejemplo, los controles que se ejecutan en el proceso de contratación de proveedores sóejecutan cuando se contratan proveedores. La periodicidad redactada de tal forma que indique: que cada vez que se desarrolla la actividad se ejecuta el control.
Hay controles que no tienen una periodicidad específica como, por ejemplo, los controles que se ejecutan en el proceso de contratación de proveedores sóejecutan cuando se contratan proveedores. La periodicidad redactada de tal forma que indique: que cada vez que se desarrolla la se ejecuta el control.
El profesional de contratación, Cada vez que se va a realizar un contrato, verifica a través de una lista de chequeo que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación. En caso de encontrar información faltante, solicita al proveedor por correo la información y poder continuar con el proceso de contratación. Evidencia: la lista de chequeo diligenciada, la información de la carpeta del cliente y los correos a que hubo lugar en donde solicitó la información faltante (en los casos que aplique).
El auxiliar de cartera verifica mensualmente que los valores recaudados en ‘Banco’ correspondan con los saldos adeudados por los clientes, édicha información directamente del portal bancario e identifica las cuentas por cobrar, es decir, pendientes de pago y que fueron canceladas según los extractos bancarios revisados. En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago: liste las cuentas pendientes de pago, realice llamadas a los clientes y solicite la fecha para el pago de las mismas. Evidencia: el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario. El sistema SAP, Cada vez que se va a realizar un pago, valida que el proveedor al cual se le va a girar el pago no esté reportado en listas restrictivas, comparando el número de identificación tributaria (NIT) o cédula con la información cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiación del terrorismocaso de encontrar coincidencias el sistema no permite realizar el pago.Evidencia: Programación interna del aplicativo y el reporte de coincidencia con listas restrictivas. Generalmente se encuentran más controles que disminuyen directamente la probabilidad que el impacto. Si no existieran controles para disminuir la probabilidad del riesgo, el impacto de un riesgo por el número de eventos que se llegarían a materializar sería mayor, en nuestro ejemplo, si no existiera el control “verificar que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación para poder asignar un contrato”, el número de contratos que se incumplirían sería mayor, por tal razón, y para efectos de la elaboración de la matriz al momento de evaluar si los controles ayudan a disminuir el impacto o la probabilidad, estos controles se calificarán teniendo en cuenta que de manera indirecta disminuyen también el impacto.
(ejecutado por personas) es
Cuando el control lo hace un sistema o una aplicación de manera automática portante establecer como
específica como, por ejemplo, los proveedores sólo se
debe quedar que cada vez que se desarrolla la actividad
o, por ejemplo, los e contratación de proveedores sólo se
debe quedar que cada vez que se desarrolla la actividad
Cada vez que se va a realizar un contrato, verifica a través de una lista de chequeo que la información suministrada
establecidos de En caso de encontrar información faltante, solicita al
proveedor por correo la información y poder continuar con el proceso de Evidencia: la lista de chequeo diligenciada, la información de
y los correos a que hubo lugar en donde solicitó la
El control debe iniciar con un cargo responsable o un sistema o aplicación. Evitar asignar áreas de manera general o nombres de personas. El control debe estar asignado a un cargo específico.
Los controles deben tener una periodicidad específica. Si queda a criterio la periodicidad de la realización del control, tendríamos un problema en el diseño del control.
El control debe tener un propósito (verificar, valicotejar, comparar, revisar, etc.materialización del riesgo.
Para la adecuada mitigación de los riesgos no basta con que un control esté bien diseñado, el control debe ejecuresponsables tal como se diseñó. Porque un control que no se ejecute, o un control que se ejecute y esté mal diseñado, no va a contribuir a la mitigación del riesgo.
La solidez del conjunto de controlespromedio aritmético simple de los controles por cada riesgo.
Si la solidez del conjunto de los controles es débil,
que los valores recaudados en os adeudados por los clientes, éste toma
dicha información directamente del portal bancario e identifica las cuentas por cobrar, es decir, pendientes de pago y que fueron canceladas según los
En caso de observar cuentas de cobro que el pago: liste las cuentas pendientes de pago,
realice llamadas a los clientes y solicite la fecha para el pago de las mismas. Evidencia: el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario.
valida que el é reportado en listas
restrictivas, comparando el número de identificación tributaria (NIT) o cédula con la información cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiación del terrorismo. En
encontrar coincidencias el sistema no permite realizar el pago. interna del aplicativo y el reporte de coincidencia
disminuyen directamente la que el impacto. Si no existieran controles para disminuir la
probabilidad del riesgo, el impacto de un riesgo por el número de eventos que se a mayor, en nuestro ejemplo, si no existiera el control
“verificar que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación para poder asignar un
a mayor, por tal razón, evaluar si los
ayudan a disminuir el impacto o la probabilidad, estos controles se de manera indirecta disminuyen también el
Si la solidez del conjunto de los controles es débil,nuirá ningún cuadrante de impacto o riesgo.
Tratándose de riesgos de corrupcióndisminución de probabilidad. Es decir, el desplazamiento
En el caso de riesgos de corrupciónaceptados.
Control - Fuerte (bien diseñado y que siempre se ejecutadisminuye de manera directa la probabilidad e indirectamente el Impacto. Una política por sí sola no es un control.
Los controles se despliegan a través de los documentados.
La actividad de control debe por sí sola causa del riesgo y ejecutarse como parte del día a día de las operaciones.
Se deben seleccionar actividades de control preventivas y detectivas que por sí solas ayuden a la mitigación de las causas que originan los riesgos.
El control debe iniciar con un cargo responsable o
Evitar asignar áreas de manera general o nombres de personas. El control debe estar asignado a un cargo específico.
Los controles deben tener una periodicidad
da a criterio la periodicidad de la realización del control, tendríamos
El control debe tener un propósito (verificar, validar, cotejar, comparar, revisar, etc.), para mitigar la causa de la
Para la adecuada mitigación de los riesgos no basta con que un control esté bien diseñado, el control debe ejecutarse por parte de los
Porque un control que no se ejecute, o un control que se ejecute y esté mal diseñado, no va a contribuir a la mitigación del riesgo.
troles se obtiene calculando el simple de los controles por cada riesgo.
Si la solidez del conjunto de los controles es débil, este no dismi-
Si la solidez del conjunto de los controles es débil, este no dismi-nuirá ningún cuadrante de impacto o probabilidad asociado al
riesgos de corrupción únicamente hay Es decir, para el impacto no opera
riesgos de corrupción, estos no pueden ser
señado y que siempre se ejecuta), de manera directa la probabilidad e
Una política por sí sola no es un control.
Los controles se despliegan a través de los procedimientos
debe por sí sola mitigar o tratar la del riesgo y ejecutarse como parte del día a día de las
actividades de control preventivas y que por sí solas ayuden a la mitigación de las