Mapa Institucional de Riesgos 2020 - Rionegro

Probabilidad Impacto Nivel Probabilidad Impacto Nivel Probabilidad Impacto Nivel

Incumplimiento en la ejecución de la actividad

programada con los usuarios.Operativo

Deficiente estandarización de procedimientos y

actividades.

Inconformidad del usuario y pérdida de imagen institucional

2 Menor Baja

Los Subsecretarios de la dependencia, anualmente, revisarán y ajustarán las

acciones y procedimientos, para dar así cumplimiento a los programas del Plan municipal de desarrollo

vigente y a las actividades registradas en el SIG de calidad / MIPG, ajustes

que quedarán evidenciados en la

elaboración del Plan de acción correspondiente a

cada año calendario.

1 Menor Baja EvitarRevisión periódica de

procedimientos y actividades

Subsecretarios y equipos de trabajo. Anual 2021-01-01 2021-12-31 2021-02-02 No materializado 10/31/2019

A la fecha los controles han

sido efectivos y no se ha

materializado el riesgo

Desacierto en el diagnóstico y tratamiento de la actividad

objeto del acompañamiento.Operativo

Falta de actualizacion de la técnica del equipo de trabajo

Pérdida de credibilidad / Pérdidas

Económicas2 Moderado Moderada

Los Subsecretarios de la Dependencia, anualmente, analizarán los resultados

de los Indicadores de gestión establecidos y

evaluarán el acierto en los diagnósticos y tratamientos

de las actividades y programas ejecutados;

para realizar los planes de capacitación y

actualización a los equipos de trabajo, de acuerdo con las falencias halladas. La

evidencia se soportará con las planillas de asistencia a

las capacitaciones efectuadas.

1 Moderado Moderada Evitar

Convenios interistitucionales de

formación permanente, participación en eventos

de actualizacion de acuerdo a las

competencias laborales y profesionales de los

miembros del equipo de trabajo.





Demora en la prestación de los servicios Operativo

Insuficiente personal para la prestación del

servicio

Irregularidad en la prestación del servicio 4 Moderado Alta

De acuerdo con el Plan de acción trazado para cada

año calendario, anualmente, los

Subsecretarios de la Dependencia, coordinarán con antelación el proceso contractual que permita a

la Administración municipal contar con el personal en misión, en número y con tiempo suficiente, para nó generar trastornos en la

prestación de servicios a la comunidad; lo que quedará

evidenciado en los Convenios celebrados con

terceros para tal fín.

3 Moderado Alta Evitar

Adelantar con tiempo suficiente los procesos

de contratación de personal para no afectar

la prestación de los servicios.





Fecha de terminación

SEGUIMIENTO

Fecha

Evaluación Riesgo materializado Plan de contingencia

o nuevas acciones Evidencia Fecha

Mapa Institucional de Riesgos 2020Versión 7 código F-13SG01-09

Proceso Nombre del Riesgo Clasificación del Riesgo Causas Consecuencias

Riesgo Inherente Control Existente

Riesgo Residual Opción de manejo Observaciones

Dependencia Control InternoAcciones Preventivas Responsable de

la acción Periodo

SeguimientoFecha de

Inicio

DESARROLLO ECONÓMICO

Riesgo No. Causas P1 P2 P3

1 Factores externos al municipio (proveedores, grupos de interés) 7 6 8

2 Deficiente estandarización de procedimientos y actividades. 9 8 9

3 Selección del personal Técnico de forma inadecuada 6 6 8

4 Falta de actualizacion técnica del equipo de trabajo 6 7 6

5 Desinterés del profesional a cargo de la actividad 5 4 4

6 Incumplimiento por parte de los tutores 6 6 6

7Deserción de los usuarios a las capacitaciones ofrecidas por la subsecretaría

8 8 9

8 Insuficiente personal para la prestación del servicio 7 7 8

P1P2P3 Profesional de la Subsecretaria

Incumplimiento en la ejecución de la actividad programada con los usuarios

Desacierto en el diagnóstico y tratamiento de la actividad objeto del acompañamiento.

Demora en la prestación de los servicios

Secretaria de Desarrollo EconómicoSubsecret. Desarrollo Agropecuario

Total Promedio

21 7.00

26 8.67

20 6.67

19 6.33

13 4.33

18 6.00

25 8.33

22 7.33

Profesional de la Subsecretaria

Secretaria de Desarrollo EconómicoSubsecret. Desarrollo Agropecuario

NIVEL DESCRIPTOR DESCRIPCIÓN FRECUENCIA

4 Probable

Es viable que el evento ocurra en la

mayoría de las circunstancias.

Al menos 1 vez en el último año

Criterios para evaluar la probabilidad

5 Casi seguro

Se espera que el evento ocurra en la

mayoría de las circunstancias.

Más de 1 vez al año

3 PosibleEl evento podrá ocurrir en algún

momento

Al menos 1 vez en los últimos 2 años.

2 ImprobableEl evento puede ocurrir en algún

momento

Al menos 1 vez en los últimos 5 años.

1 Rara vez

El evento puede ocurrir solo en circunstancias

excepcionales (poco comunes o anormales).

No se ha presentado en los últimos 5 años.

Fuente: Guía de Riesgos V3-2014, DAFP.

NIVEL

CATASTRÓFICO

MAYOR

MODERADO

MENOR

INSIGNIFICANTE

FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.

IMPACTO (Consecuencias) CUANTITATIVO

Impacto que afecte la ejecución presupuestal en un valor ≥ 50%.

Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 50%.Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 50%.

Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 50% del presupuesto general de la entidad.


Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 20%.

Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 20%.


Impacto que afecte la ejecución presupuestal en un valor ≥5%.

Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 10%.

Pago de indemnizaciones a terceros por acciones legales que pueden afectar el

presupuesto total de la entidad en un valor ≥ 5%.



Pérdida de cobertura en la prestación de los servicios de la entidad ≥5 %.

Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 1%.Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 1% del presupuesto general de la entidad.

Impacto que afecte la ejecución presupuestal en un valor ≥ 0,5%.Pérdida de cobertura en la prestación de los servicios de la entidad ≥ 1%.Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥ 0,5%.

CRITERIOS PARA CALIFICAR EL IMPACTO – RIESGOS DE GESTIÓN

Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥ 0,5% del presupuesto general de la entidad.

FUENTE: Adaptado de Instituto de Auditores Internos. COSO ERM. Agosto 2004.

IMPACTO (Consecuencias) CUALITATIVO

Interrupción de las operaciones de la Entidad por más de cinco (5) días.

Intervención por parte de un ente de control u otro ente regulador.

Pérdida de la información crítica para la entidad que no se puede recuperar.

Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal.

Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.Interrupción de las operaciones de la Entidad por más de dos (2) días.Pérdida de información crítica que puede se recuperada de forma parcial o incompleta.

Sanción por parte del ente de control u otro ente regulador.

Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno.

Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.

Interrupción de las operaciones de la Entidad por un (1) día.Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad.

Inoportunidad en la información ocasionando retrasos en la atención a los usuarios.

Reproceso de actividades y aumento de carga operativa.

Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos.Investigaciones penales, fiscales o disciplinarias.

Interrupción de las operaciones de la Entidad por algunas horas.Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias.Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.

No hay interrupción de las operaciones de la entidad.No se generan sanciones económicas o administrativas.

No se afecta la imagen institucional de forma significativa.

CRITERIOS PARA CALIFICAR EL IMPACTO – RIESGOS DE GESTIÓN

5 Casi seguro

1 Rara Vez

1 2 3

Insignificante Menor Moderado

4 Probable

3 Posible

PROBABILIDAD

MAPA DE CALOR

IMPACTO

2 Improbable

4 5

Mayor Catastrófico

NIVEL O ZONA DE RIESGO MODERADA

NIVEL O ZONA DE RIESGO BAJA

NIVEL O ZONA DE RIESGO ALTA

NIVEL O ZONA DE RIESGO EXTREMA

NIVEL O ZONA DE RIESGO MODERADA

NIVEL O ZONA DE RIESGO BAJA

NIVEL O ZONA DE RIESGO ALTA

NIVEL O ZONA DE RIESGO EXTREMA

CONTROLES

Cuando un control se hace de manera manual (ejecutado por personas) importante establecer el cargo responsable de su realización.

El profesional de contratación. El auxiliar de cartera. El coordinador de operaciones. La coordinadora de nómina. Cuando el control lo hace un sistema o una aplicación de manera a través de un sistema programado, es importante establecer como responsable de ejecutar el control al sistema o aplicación. El sistema SAP. El aplicativo de nómina. El aplicativo de contratación.

Hay controles que no tienen una periodicidad específica como, por ejemplo, los controles que se ejecutan en el proceso de contratación de proveedores sóejecutan cuando se contratan proveedores. La periodicidad redactada de tal forma que indique: que cada vez que se desarrolla la actividad se ejecuta el control.

Hay controles que no tienen una periodicidad específica como, por ejemplo, los controles que se ejecutan en el proceso de contratación de proveedores sóejecutan cuando se contratan proveedores. La periodicidad redactada de tal forma que indique: que cada vez que se desarrolla la se ejecuta el control.

El profesional de contratación, Cada vez que se va a realizar un contrato, verifica a través de una lista de chequeo que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación. En caso de encontrar información faltante, solicita al proveedor por correo la información y poder continuar con el proceso de contratación. Evidencia: la lista de chequeo diligenciada, la información de la carpeta del cliente y los correos a que hubo lugar en donde solicitó la información faltante (en los casos que aplique).

El auxiliar de cartera verifica mensualmente que los valores recaudados en ‘Banco’ correspondan con los saldos adeudados por los clientes, édicha información directamente del portal bancario e identifica las cuentas por cobrar, es decir, pendientes de pago y que fueron canceladas según los extractos bancarios revisados. En caso de observar cuentas de cobro que a la fecha no se ha recibido el pago: liste las cuentas pendientes de pago, realice llamadas a los clientes y solicite la fecha para el pago de las mismas. Evidencia: el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario. El sistema SAP, Cada vez que se va a realizar un pago, valida que el proveedor al cual se le va a girar el pago no esté reportado en listas restrictivas, comparando el número de identificación tributaria (NIT) o cédula con la información cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiación del terrorismocaso de encontrar coincidencias el sistema no permite realizar el pago.Evidencia: Programación interna del aplicativo y el reporte de coincidencia con listas restrictivas. Generalmente se encuentran más controles que disminuyen directamente la probabilidad que el impacto. Si no existieran controles para disminuir la probabilidad del riesgo, el impacto de un riesgo por el número de eventos que se llegarían a materializar sería mayor, en nuestro ejemplo, si no existiera el control “verificar que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación para poder asignar un contrato”, el número de contratos que se incumplirían sería mayor, por tal razón, y para efectos de la elaboración de la matriz al momento de evaluar si los controles ayudan a disminuir el impacto o la probabilidad, estos controles se calificarán teniendo en cuenta que de manera indirecta disminuyen también el impacto.

(ejecutado por personas) es

Cuando el control lo hace un sistema o una aplicación de manera automática portante establecer como

específica como, por ejemplo, los proveedores sólo se

debe quedar que cada vez que se desarrolla la actividad

o, por ejemplo, los e contratación de proveedores sólo se

debe quedar que cada vez que se desarrolla la actividad

Cada vez que se va a realizar un contrato, verifica a través de una lista de chequeo que la información suministrada

establecidos de En caso de encontrar información faltante, solicita al

proveedor por correo la información y poder continuar con el proceso de Evidencia: la lista de chequeo diligenciada, la información de

y los correos a que hubo lugar en donde solicitó la

El control debe iniciar con un cargo responsable o un sistema o aplicación. Evitar asignar áreas de manera general o nombres de personas. El control debe estar asignado a un cargo específico.

Los controles deben tener una periodicidad específica. Si queda a criterio la periodicidad de la realización del control, tendríamos un problema en el diseño del control.

El control debe tener un propósito (verificar, valicotejar, comparar, revisar, etc.materialización del riesgo.

Para la adecuada mitigación de los riesgos no basta con que un control esté bien diseñado, el control debe ejecuresponsables tal como se diseñó. Porque un control que no se ejecute, o un control que se ejecute y esté mal diseñado, no va a contribuir a la mitigación del riesgo.

La solidez del conjunto de controlespromedio aritmético simple de los controles por cada riesgo.

Si la solidez del conjunto de los controles es débil,

que los valores recaudados en os adeudados por los clientes, éste toma

dicha información directamente del portal bancario e identifica las cuentas por cobrar, es decir, pendientes de pago y que fueron canceladas según los

En caso de observar cuentas de cobro que el pago: liste las cuentas pendientes de pago,

realice llamadas a los clientes y solicite la fecha para el pago de las mismas. Evidencia: el listado de cuentas por cobrar pendientes de pago con los compromisos acordados con los clientes y el extracto bancario.

valida que el é reportado en listas

restrictivas, comparando el número de identificación tributaria (NIT) o cédula con la información cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiación del terrorismo. En

encontrar coincidencias el sistema no permite realizar el pago. interna del aplicativo y el reporte de coincidencia

disminuyen directamente la que el impacto. Si no existieran controles para disminuir la

probabilidad del riesgo, el impacto de un riesgo por el número de eventos que se a mayor, en nuestro ejemplo, si no existiera el control

“verificar que la información suministrada por el proveedor corresponda con los requisitos establecidos de contratación para poder asignar un

a mayor, por tal razón, evaluar si los

ayudan a disminuir el impacto o la probabilidad, estos controles se de manera indirecta disminuyen también el

Si la solidez del conjunto de los controles es débil,nuirá ningún cuadrante de impacto o riesgo.

Tratándose de riesgos de corrupcióndisminución de probabilidad. Es decir, el desplazamiento

En el caso de riesgos de corrupciónaceptados.

Control - Fuerte (bien diseñado y que siempre se ejecutadisminuye de manera directa la probabilidad e indirectamente el Impacto. Una política por sí sola no es un control.

Los controles se despliegan a través de los documentados.

La actividad de control debe por sí sola causa del riesgo y ejecutarse como parte del día a día de las operaciones.

Se deben seleccionar actividades de control preventivas y detectivas que por sí solas ayuden a la mitigación de las causas que originan los riesgos.

El control debe iniciar con un cargo responsable o

Evitar asignar áreas de manera general o nombres de personas. El control debe estar asignado a un cargo específico.

Los controles deben tener una periodicidad

da a criterio la periodicidad de la realización del control, tendríamos

El control debe tener un propósito (verificar, validar, cotejar, comparar, revisar, etc.), para mitigar la causa de la

Para la adecuada mitigación de los riesgos no basta con que un control esté bien diseñado, el control debe ejecutarse por parte de los

Porque un control que no se ejecute, o un control que se ejecute y esté mal diseñado, no va a contribuir a la mitigación del riesgo.

troles se obtiene calculando el simple de los controles por cada riesgo.

Si la solidez del conjunto de los controles es débil, este no dismi-

Si la solidez del conjunto de los controles es débil, este no dismi-nuirá ningún cuadrante de impacto o probabilidad asociado al

riesgos de corrupción únicamente hay Es decir, para el impacto no opera

riesgos de corrupción, estos no pueden ser

señado y que siempre se ejecuta), de manera directa la probabilidad e

Una política por sí sola no es un control.

Los controles se despliegan a través de los procedimientos

debe por sí sola mitigar o tratar la del riesgo y ejecutarse como parte del día a día de las

actividades de control preventivas y que por sí solas ayuden a la mitigación de las

Documents

Mapa Institucional de Riesgos 2020 - Rionegro