Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 1 de 37
1. INTRODUCCION
La Agencia Nacional del Espectro (ANE) asume el compromiso de identificar, prevenir y
gestionar los riesgos de gestión, corrupción y seguridad digital que se puedan presentar
en la entidad y que afecten el cumplimiento de la misión y objetivos institucionales
relacionados con la planeación, atribución, vigilancia y control del Espectro Radioeléctrico
en Colombia, así como la satisfacción de las necesidades, expectativas y requisitos de los
clientes y partes interesadas.
La Administración de Riesgos de la Entidad tendrá un carácter prioritario y estratégico, y
estará fundamentada en el modelo de Gestión por Procesos, por lo que la identificación,
análisis, valoración, monitoreo y seguimiento de los riesgos se circunscribirán a los
objetivos estratégicos, a los objetivos de cada proceso y a la conformidad en la provisión
del servicio. La ANE, desde un enfoque preventivo, se compromete a gestionar de forma
anticipada las vulnerabilidades o eventos que puedan afectar el logro de los objetivos
institucionales y la satisfacción de los clientes.
Esta política se asume enmarcada en los parámetros del Modelo Integrado de Planeación
y Gestión, el Modelo Estándar de Control Interno en lo referente a las líneas de defensa,
la guía para la administración de riesgos -2018 emanada por el Departamento
Administrativo de Función Pública, la cual articula los riesgos de gestión, corrupción,
seguridad digital y la estructura del Sistema Integrado de Planeación y Gestión.
La gestión del riesgo de corrupción en la ANE se orienta a prevenir, eliminar y reducir la
ocurrencia de eventos en los que se use el poder para desviar la gestión de lo público
hacía un beneficio privado, mediante la construcción y fortalecimiento de una cultura de
rechazo a la corrupción y la corresponsabilidad con la gestión y administración de lo
público; la adecuada identificación, valoración y monitoreo periódico de los riesgos de
corrupción por parte de los líderes de los procesos, siguiendo las normas, directrices y
metodologías que sobre la materia expida el Gobierno Nacional
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 2 de 37
2. OBJETIVOS DE LA POLÍTICA
OBJETIVO GENERAL
Establecer los criterios y lineamientos para identificar, valorar, controlar, mitigar,
monitorear y hacer seguimiento a los riesgos de gestión, corrupción y seguridad digital a
los que está expuesta la Agencia Nacional del Espectro, con el propósito de generar una
cultura de prevención frente a la ocurrencia de hechos o situaciones que puedan afectar
el cumplimiento de la misión, los objetivos institucionales y la prestación del servicio; así
como la imagen, credibilidad y confianza de la ciudadanía en la gestión de la entidad.
OBJETIVOS ESPECÍFICOS
▪ Generar una cultura de prevención de riesgos de gestión, corrupción y seguridad digital
orientada a reducir y eliminar este tipo de riesgos en la entidad.
▪ Suministrar información a la Alta Dirección de la entidad con base en los resultados del
monitoreo periódico que se efectúe a los riesgos de gestión, corrupción y seguridad
digital, con el propósito de definir acciones efectivas que apunten a prevenir o a
controlar el riesgo.
▪ Identificar y administrar oportunamente los riesgos con el propósito de minimizar su
impacto negativo en la gestión institucional
▪ Contribuir a mejorar la eficiencia operacional mediante la mitigación de probabilidad e
impacto de eventos adversos.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 3 de 37
3. ALCANCE
Esta política aplica a todos los procesos que contempla el Sistema de Gestión de la
entidad, en la gestión de los siguientes riesgos:
▪ Riesgos de gestión: Posibilidad que suceda algún evento que tendrá un impacto
sobre el cumplimiento de los objetivos. Se expresa en términos de probabilidad y
consecuencia.
▪ Riesgos de corrupción: Posibilidad de que, por acción u omisión, se use el poder
para desviar la gestión de lo público hacia un beneficio privado.
▪ Riesgos de seguridad digital: Combinación de amenazas y vulnerabilidades en
el entorno digital, puede debilitar el logro de objetivos económicos y sociales, así
como afectar la soberanía nacional, la integridad territorial, el orden constitucional
y los intereses nacionales. Incluye aspectos relacionados con los controles físicos
y digitales.
4. TÉRMINOS APLICABLES A LA GESTIÓN DE RIESGOS
• Activo de Información: En relación con la seguridad de la información, se refiere a
cualquier información o elemento relacionado con el tratamiento de esta (software,
hardware, personas, infraestructura, información impresa o digital) que tenga valor para
la organización.
• Amenaza: Causa potencial de un incidente no deseado que aprovecha una
vulnerabilidad y que puede provocar daños a un sistema o a la organización
• Riesgo: Efecto de la incertidumbre sobre los objetivos.
• Gestión del riesgo: actividades coordinadas para dirigir y controlar una organización
respecto al riesgo.
• Política para la gestión del riesgo: declaración de la Dirección y las intenciones
generales de una organización con respecto a la gestión del riesgo.
• Plan para la gestión del riesgo: esquema dentro del marco de referencia para la
gestión del riesgo que especifica el enfoque, los componentes y los recursos de la
gestión que se van a aplicar para la gestión del riesgo.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 4 de 37
• Dueño del riesgo: persona con la responsabilidad de rendir cuentas y la autoridad
para gestionar el riesgo.
• Establecimiento del contexto: definición de los parámetros internos y externos que
han de tomar en consideración cuando se gestiona el riesgo, y establecimiento del
alcance y los criterios del riesgo. En el caso de la entidad esta actividad se desarrolla
mediante la aplicación de la matriz DOFA.
• Contexto externo: ambiente externo en el cual la organización busca alcanzar sus
objetivos.
• Contexto interno: ambiente interno en el cual la organización busca alcanzar los
objetivos.
• Valoración del riesgo: proceso global de identificación del riesgo, análisis del riesgo y
evaluación del riesgo.
• Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o
más amenazas.
• Identificación del riesgo: proceso para encontrar, reconocer y describir el riesgo.
• Fuente del riesgo: elemento que solo o en combinación tiene el potencial intrínseco
de originar un riesgo.
• Evento: presencia o cambio de un conjunto particular de circunstancias.
• Consecuencia: resultado de un evento.
• Probabilidad: oportunidad de que algo suceda.
• Análisis del riesgo: proceso para comprender la naturaleza del riesgo.
• Criterios del riesgo: términos de referencia frente a los cuales se evalúa la
importancia de un riesgo.
• Nivel del riesgo: magnitud de un riesgo expresada en términos de las consecuencias
y de su probabilidad.
• Evaluación del riesgo: proceso de comparación de los resultados del análisis del
riesgo con los criterios del riesgo, para determinar si éste, su magnitud o ambos son
aceptables.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 5 de 37
• Tratamiento del riesgo: proceso para modificar el riesgo, el cual puede implicar:
o Evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó
o Tomar el riesgo con el fin de perseguir una oportunidad
o Retirar a fuente del riesgo
o Cambiar la probabilidad
o Cambiar las consecuencias
o Compartir el riesgo con una o varias partes
• Control: medida que modifica un riesgo.
• Riesgo residual: riesgo resultante después del tratamiento del riesgo
• Monitoreo del riesgo: verificación, supervisión, observación crítica o determinación
continua del estado del riesgo con el fin de identificar los cambios.
• Revisión: acción que se emprende para determinar la idoneidad, conveniencia y
eficacia del riesgo.
• Riesgo Inherente: es aquel al que se enfrenta una entidad en ausencia de acciones
de la dirección para modificar su probabilidad o impacto
• Impacto: Se entiende como las consecuencias que puede ocasionar a la organización
la materialización del riesgo
• Gestión del Riesgo: proceso efectuado por la alta dirección de la entidad y por todo el
personal para proporcionar a la administración un aseguramiento razonable con
respecto al logro de los objetivos
ROLES, RESPONSABILIDADES Y AUTORIDADES DE LA GESTIÓN DE RIESGOS
• Alta Dirección:
Para el éxito de la implementación de una adecuada Administración del Riesgo, es
indispensable el compromiso asumido por equipo directivo de la entidad. En esta medida,
corresponde al Comité Directivo lo siguiente:
✓ Definir y aprobar la política de gestión del riesgo de la entidad.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 6 de 37
✓ Asignar obligaciones y responsabilidades en los niveles respectivos dentro de la
organización.
✓ Gestionar el riesgo y propiciar una cultura de identificación y prevención de riesgos,
con la participación de los funcionarios, contratistas y partes interesadas.
✓ Proveer los recursos necesarios para implementar y mantener en funcionamiento la
gestión de riesgos en la entidad.
✓ Velar porque se implementen las metodologías de administración del riesgo.
✓ Comunicar los beneficios de la gestión de riesgos en la entidad.
✓ Hacer seguimiento al mapa de riesgos, garantizando que existan indicadores para
medir la gestión del riesgo y promoviendo la prevención de este en concordancia con
el perfil de riesgo aceptado para la Entidad.
✓ Tomar decisiones sobre los planes de manejo de riesgos materializados.
✓ Revisar y evaluar de manera periódica los resultados los informes periódicos que
presente el responsable del Sistema de Gestión de Calidad sobre la gestión del
riesgo en la entidad, a fin de tomar las decisiones que permitan minimizar la
probabilidad de ocurrencia y el impacto en caso de que se materialicen.
✓ Pronunciarse sobre la evaluación periódica de la gestión de riesgos que realicen los
órganos de control.
• Dueños de procesos:
Es el responsable de la gestión del riesgo del proceso que lidera conforme a lo
establecido en la siguiente tabla:
Proceso Responsable de la gestión de riesgos
Direccionamiento estratégico Director General / Profesional con funciones
de planeación
Comunicaciones y participación
ciudadana
Profesional con funciones de líder de
comunicaciones / Profesional con funciones
de líder oficina de proyectos
Disponibilidad de espectro Subdirector de Gestión y Planeación
Técnica del Espectro
Gestión del conocimiento e innovación Profesional con funciones de líder de
gestión del conocimiento
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 7 de 37
Gestión internacional Asesor con funciones de líder de
participación internacional
Uso legal del espectro Subdirector de Vigilancia y Control
Atención cliente Profesional con funciones de planeación
Gestión contractual Subdirector de Soporte Institucional
Gestión de recursos físicos Subdirector de Soporte Institucional
Gestión de tecnologías y seguridad de la
información
Asesor de TI
Gestión documental Asesor de TI
Gestión financiera Subdirector de Soporte Institucional
Gestión jurídica Asesor jurídico
Talento Humano Subdirector de Soporte Institucional
Evaluación independiente Jefe de Control Interno
Medición, análisis y mejora Profesional con funciones de planeación
Los dueños de proceso tienen a su cargo las siguientes funciones:
✓ Adelantar las acciones necesarias para la identificación, análisis, valoración,
tratamiento, monitoreo, revisión y seguimiento de los riesgos de gestión, corrupción y
seguridad digital del proceso, mediante un ejercicio participativo con su equipo de
trabajo y de autocontrol y seguimiento permanente; aprobar dicha información y la
documentación asociada.
✓ Identificar y clasificar los activos de información de su proceso. Evaluar y actualizar los
controles de los riesgos.
✓ Realizar un seguimiento permanente a los riesgos identificados y reportar los informes
y los resultados de los indicadores y mecanismos de monitoreo de los riesgos de
acuerdo con la periodicidad definida, en los formatos o herramientas dispuestos para
tal fin, y en los comités primarios.
✓ Analizar los resultados del monitoreo y tomar las acciones preventivas, correctivas y de
mejora para mitigar la ocurrencia y el impacto de los riesgos.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 8 de 37
✓ Reportar la información relacionada con la materialización de los riesgos, así como las
cuantías de pérdida o recuperación por este concepto en el FOR_Reporte de
Materialización de Riesgos.
✓ Suministrar la información requerida para actualizar los riesgos, y para facilitar y
complementar las revisiones realizadas por los órganos de control.
✓ Delegar a un colaborador que haga las veces de suplente y asuma sus funciones
frente a la gestión de riesgos, en los casos en que sea necesario.
Nota: En el caso de que el Responsable de Riesgo se ausente temporal o
definitivamente, la persona encargada de suplir sus funciones, de manera formal o no
formal, asumirá estas responsabilidades y deberá asegurar su cumplimiento.
• Líder de Gestión de Riesgos de la entidad
Esta función se encuentra a cargo del profesional con funciones de planeación, quien
tiene a su cargo el liderazgo del Sistema Integrado de Gestión y en cuya cabeza se
encuentran las siguientes funciones:
✓ Definir los instrumentos, metodologías y procedimientos internos tendientes a la
gestión efectiva de los riesgos de la ANE y proponer sus correspondientes
actualizaciones y modificaciones
✓ Desarrollar los modelos de valoración del riesgo.
✓ Coordinar con los líderes de los procesos las actividades necesarias para la
aplicación y desarrollo de las metodologías para la administración de los riesgos de
gestión, corrupción y seguridad digital.
✓ Desarrollar los programas de capacitación y divulgación relacionados con la gestión
del riesgo en la ANE, capacitar y asesorar a los funcionarios en el diseño e
implementación del componente de administración del riesgo y coordinar con el
responsable de comunicaciones la divulgación, comunicación y publicación de los
respectivos Mapas de Riesgos.
✓ Hacer seguimiento al comportamiento de los riesgos a través de los resultados de
monitoreo, y al registro de eventos de riesgo materializados.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 9 de 37
✓ Monitorear el perfil de riesgo de la ANE e informar su evolución a la alta dirección y
otros órganos pertinentes.
• Oficial de Seguridad
✓ Asesorar a los dueños de proceso en la identificación de activos de información y la
gestión de sus riesgos de seguridad digital asociados.
✓ Brindar acompañamiento al Líder de Gestión de Riegos de la entidad en la
capacitación del personal de la entidad en identificación, clasificación de activos y
gestión de riesgos de seguridad digital.
✓ Hacer seguimiento a las acciones establecidas para la gestión de riesgos de
seguridad digital y comunicar a la alta dirección.
✓ Asesorar a la alta dirección en la toma de decisiones sobre el riesgo residual.
• Asesor de Control Interno:
✓ Hacer seguimiento a las acciones establecidas en los planes de manejo de riesgos y
emitir reportes periódicamente.
✓ Comunicar y presentar, luego del seguimiento y evaluación, sus resultados y
propuestas de mejoramiento (acciones correctivas y/o de mejora) y tratamiento a las
situaciones detectadas, a los dueños de los procesos.
✓ Verificar y evaluar la elaboración, el seguimiento y el control del Mapa de Riesgos de
Corrupción con la periodicidad establecida en la Guía para la gestión del riesgo de
corrupción de la Presidencia de la República.
✓ Evaluar periódicamente la efectividad y cumplimiento de todas y cada una de las
etapas y los elementos de la administración del riesgo, con el fin de determinar las
deficiencias y sus posibles soluciones; e informar los resultados de la evaluación al
responsable del Sistema de Gestión de Calidad.
✓ Realizar una revisión periódica del registro de eventos de riesgo materializados y
mantener informado de esto al director de la entidad.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 10 de 37
• Funcionarios y contratistas de la entidad
Son responsables de cumplir con los controles que se han establecido para la gestión de
riesgos de la entidad y específicamente de cada proceso. Así mismo, son responsables
de informar al líder del proceso cualquier novedad frente a los riesgos para que se tomen
las acciones a que haya lugar.
5. METODOLOGIA DE GESTIÓN DEL RIESGO DE LA ENTIDAD
A continuación, se describen las actividades que deben ser implementadas en la entidad
para garantizar la gestión del riesgo. Es importante mencionar que los riesgos de cada
proceso deben identificarse por parte del líder de este en el “formato de riesgos por
proceso” que puede ser consultado en la intranet > S.I.G. > proceso Medición, análisis y
mejora > Formatos.
5.1. Entendimiento de la organización y de su contexto
Antes de iniciar el análisis de la gestión del riesgo, es necesario evaluar y entender el
contexto, tanto externo como interno, de la organización. En la ANE, este análisis se
realiza a través de la matriz DOFA (Debilidades, oportunidades, fortalezas y amenazas).
La evaluación del contexto externo de la organización puede incluir entre otros:
a) El ambiente social, cultural, político, legal, reglamentario, financiero, tecnológico,
económico y competitivo, bien sea internacional o nacional.
b) Impulsores clave y tendencias que tienen impacto en los objetivos de la
organización.
c) Relaciones con partes externas involucradas.
La evaluación del contexto interno puede incluir entre otros:
a) Gobierno, estructura organizacional, funciones y responsabilidades.
b) Políticas, objetivos y estrategias que se han implementado para lograrlos.
c) Capacidades, entendidas en términos de recursos y conocimiento (Ej. Capital,
tiempo, personas, procesos, sistemas y tecnologías).
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 11 de 37
d) Sistemas de información, flujos de información y procesos de toma de decisiones.
e) Cultura de la organización.
f) Normas, directrices y modelos adoptados por la organización.
g) Forma y extensión de las relaciones contractuales.
5.2. Establecer el contexto para la gestión del riesgo
En cada proceso se debe establecer el alcance, el objetivo y los recursos necesarios para
adelantar la gestión del riesgo. Esta información deberá ser registrada en el formato
“formato de riesgos por proceso” que puede ser consultado en la intranet > S.I.G. >
proceso Medición, análisis y mejora > Formatos.
Posteriormente, deberá diligenciarse la matriz DOFA, conforme a lo explicado en el
anterior numeral.
5.3. Identificación y clasificación de activos de información
Se deben identificar los activos de información del proceso y clasificarlos según su índice
de información clasificada y reservada para definir la criticidad del mismo, para lo anterior,
se debe diligenciar el formato riesgos por proceso en la hoja “Inventario de activos de un.”
conforme a lo definido en el documento Lineamientos de Gestión de Activos que puede
ser consultado en la intranet > S.I.G. > proceso Gestión de tecnologías y seguridad de la
información > Seguridad y privacidad de la información > Documentos de Soporte.
Una vez finalizado la identificación y clasificación de activos, se deberá dar inicio al
diligenciamiento de la hoja de “descripción de riesgos”, incluida en el formato “riesgos por
proceso”.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 12 de 37
5.4 Identificación del Riesgo
La identificación del riesgo se realiza determinando las causas con base en el contexto
interno, externo y del proceso que pueden afectar el logro de los objetivos. Algunas
causas externas no controlables por la entidad se podrán evidenciar en el análisis del
contexto, para ser tenidas en cuenta en el análisis y valoración del riesgo.
A partir de este contexto se identifíca el riesgo, el cual estará asociado a aquellos eventos
o situaciones que pueden entorpecer el normal desarrollo de los objetivos del proceso o
estratégicos.
Las preguntas claves para la identificación del riesgo permiten determinar:
¿Qué puede Suceder? Identificar la afectación del cumplimiento del objetivo estratégico
o del proceso según sea el caso.
¿Cómo puede Suceder? Establecer las causas a partir de los factores determinados en
el contexto
¿Cuándo puede Suceder? determinar de acuerdo al desarrollo del proceso.
¿Qué Consecuencias Tendría su Materialización? Determinar los posibles efectos de
materialización del riesgo.
Para los riesgos de seguridad digital se identificará la vulnerabilidad, la cual corresponde
a la debilidad o brecha del activo de información que causa su exposición y que puede ser
aprovechado por una amenaza interna o externa a la entidad.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 13 de 37
A continuación, un ejemplo de vulnerabilidades:
• Riesgo No: corresponde a un número consecutivo que permite dar mayor claridad al
formato.
• Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el
normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. En
este campo debe indicarse cuál es el riesgo identificado, una vez se identifican las
causas. Un riesgo puede tener relacionadas una o varias causas.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 14 de 37
• Clase de riesgo: Los riesgos identificados deben ser clasificados conforme a la
siguiente tipificación:
a) Riesgo Estratégico: Se asocia con la forma en que se administra la entidad. El
manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión
y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad por parte de la alta gerencia.
b) Riesgos de imagen: Están relacionados con la percepción y la confianza de las partes
interesadas hacia la institución.
c) Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa
como técnica de la entidad, incluye riesgos provenientes de deficiencias en los
sistemas de información, en la definición de los procesos, en la estructura de la entidad
y la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades
de corrupción e incumplimiento de los compromisos institucionales.
d) Riesgos Financieros: Se relacionan con el manejo de los recursos de la entidad, que
incluye la ejecución presupuestal, la elaboración de los estados financieros, los pagos,
los manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad.
De la eficiencia y transparencia en el manejo de los recursos, así como de su
interacción con las demás áreas, dependerá en gran parte el éxito o fracaso de toda
entidad.
e) Riesgos de Cumplimiento: Se asocian con la capacidad de la entidad para cumplir
con los requisitos legales, contractuales, de ética pública y, en general, con su
compromiso ante la comunidad.
f) Riesgos de Tecnología: Se asocian con la capacidad de la entidad para que la
tecnología disponible satisfaga sus necesidades actuales y futuras y soporte el
cumplimiento de la misión.
g) Riesgos de corrupción: Probabilidad de que en una entidad pública los funcionarios
abusen del poder delegado para obtener un beneficio particular.
h) Riegos de Seguridad Digital: posibilidad de combinación de amenazas y
vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 15 de 37
y sociales, afectar la soberanía nacional, la integridad territorial, el orden constitucional
y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital
y las personas.
• Identificación del activo de seguridad de la información (Aplica únicamente para
riesgos de seguridad digital): Se debe seleccionar los activos de información que se
relacionan con el riesgo o que tiene la vulnerabilidad y amenaza asociada.
• Amenazas (Aplica únicamente para riegos de seguridad digital): Conforme a la
vulnerabilidad detectada se deben identificar la causa potencial que se aprovecha de la
misma.
A continuación, un ejemplo de amenazas:
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 16 de 37
5.4. Análisis Del Riesgo
Este análisis busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de
sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para
establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del
riesgo dependerá de la información obtenida en el formato de identificación de riesgos y la
disponibilidad de datos históricos y aportes de los servidores de la entidad.
• Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo; la cual puede
ser medida con criterios de frecuencia, si se ha materializado (por ejemplo: Número de
veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya
materializado.
Con la finalidad de medir la probabilidad de los riesgos, la entidad ha establecido los
siguientes criterios:
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 17 de 37
Nivel Descriptor Descripción Frecuencia
5 Casi seguro
Se espera que el evento ocurra en la mayoría de las circunstancias
Mas de 1 vez al año.
4 Probable Es viable que el evento ocurra en la mayoría de las circunstancias
Al menos 1 vez en el último año.
3 Posible El evento podrá ocurrir en algún momento
Al menos 1 vez en los últimos 2 años.
2 Improbable El evento puede ocurrir en algún momento
Al menos 1 vez en los últimos 5 años.
1 Rara vez El evento puede ocurrir solo en circunstancias excepcionales (poco comunes o anormales)
No se ha presentado en los últimos 5 años.
Con base en la anterior tabla, el líder del proceso deberá estimar el nivel de
probabilidad en el que se encuentra el riesgo evaluado.
• Impacto: Se entiende como las consecuencias que puede ocasionar a la organización
la materialización del riesgo. Los criterios establecidos en la entidad para la medición
del impacto son:
Criterios para calificar el Impacto – Riesgos de Gestión
Nivel Impacto (consecuencias) Cuantitativo
Impacto (consecuencias) Cualitativo
CA
TA
ST
RÓ
FIC
O
- Impacto que afecte la ejecución presupuestal en un valor ≥50% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥50%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥50% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥50% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por más de cinco (5) días. - Intervención por parte de un ente de control u otro ente regulador. - Pérdida de Información crítica para la entidad que no se puede recuperar. - Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal. - Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 18 de 37
MA
YO
R
- Impacto que afecte la ejecución presupuestal en un valor ≥20% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥20%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥20% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥20% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por más de dos (2) días. - Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta. - Sanción por parte del ente de control u otro ente regulador. - Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno. - Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios o ciudadanos.
MO
DE
RA
DO
- Impacto que afecte la ejecución presupuestal en un valor ≥5% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥10%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥5% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥5% del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por un (1) día. - Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad. - Inoportunidad en la información ocasionando retrasos en la atención a los usuarios. - Reproceso de actividades y aumento de carga operativa. - Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos. - Investigaciones penales, fiscales o disciplinarias.
ME
NO
R
- Impacto que afecte la ejecución presupuestal en un valor ≥1% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥5%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor ≥1% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥1%del presupuesto general de la entidad.
- Interrupción de las operaciones de la Entidad por algunas horas. - Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias. - Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos.
INS
IGN
IFIC
AN
TE
- Impacto que afecte la ejecución presupuestal en un valor ≥0,5% - Pérdida de cobertura en la prestación de los servicios de la entidad ≥1%. - Pago de indemnizaciones a terceros por acciones legales que pueden afectar el
- No hay interrupción de las operaciones de la entidad. - No se generan sanciones económicas o administrativas. - No se afecta la imagen institucional de forma significativa.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 19 de 37
presupuesto total de la entidad en un valor ≥0,5% - Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor ≥0,5%del presupuesto general de la entidad.
Con base en la anterior tabla, el líder del proceso deberá estimar el nivel de impacto
asociado al riesgo evaluado.
Criterios para calificar el Impacto – Riesgos de Seguridad Digital CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL
NIVEL
VALOR DEL
IMPACTO
CRITERIOS DE IMPACTO PARA RIESGOS DE SEGURIDAD DIGITAL
Impacto (consecuencias) Cuantitativo
Impacto (consecuencias) Cualitativo
INSIGNIFICANTE 1
Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad No hay Afectación medioambiental
Sin afectación de la integridad Sin afectación de la disponibilidad Sin afectación de la confidencialidad
MENOR 2
Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación leve del Medio Ambiente requiere de ≥X días de recuperación
Afectación leve de la integridad Afectación leve de la disponibilidad Afectación leve de la confidencialidad
MODERADO 3
Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación leve del Medio Ambiente requiere de ≥X semanas de recuperación
Afectación moderada de la integridad de la información debido al interés particular de los empleados y terceros Afectación moderada de la disponibilidad de la información debido al interés particular de los empleados y terceros Afectación moderada de la confidencialidad de la información debido al interés particular de los empleados y terceros
MAYOR 4
Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación importante del Medio Ambiente que requiere de ≥X meses de recuperación
Afectación grave de la integridad de la información debido al interés particular de los empleados y terceros Afectación grave de la disponibilidad de la información debido al interés particular de los empleados y terceros
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 20 de 37
Afectación grave de la confidencialidad de la información debido al interés particular de los empleados y terceros
CATASTRÓFICO 5
Afectación ≥X% de la población Afectación ≥X% del presupuesto anual de la entidad Afectación muy grave del Medio Ambiente que requiere de ≥X años de recuperación
Afectación muy grave de la integridad de la información debido al interés particular de los empleados y terceros Afectación muy grave de la disponibilidad de la información debido al interés particular de los empleados y terceros Afectación muy grave confidencialidad de la información debido al interés particular de los empleados y terceros
• Zona de riesgo: La zona de riesgo se establecerá identificando en la siguiente matriz
la probabilidad por el impacto para riesgos de gestión y seguridad digital:
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 21 de 37
Para riesgos de corrupción no aplicarán las escalas de impacto insignificante y
menor, conforme a lo anterior la matriz de probabilidad e impacto para riesgos de
corrupción se muestra a continuación.
5.6 Evaluación del Riesgo
Identificación de los Controles: en esta parte se documenta el listado y descripción de los controles existentes para mitigar el escenario de riesgo descrito previamente.
En lo posible iniciar la descripción de los controles con las palabras:
Se tiene … Se cuenta con … Se ejecutan … Se realizan … Se da seguimiento a … Se está …
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 22 de 37
Ejemplos de Controles
A continuación, el líder de proceso junto con su equipo de trabajo deberá identificar y
registrar los controles a implementar para mitigar el riesgo. Cada causa debe tener como
mínimo un control.
• Descripción del control: Documentar los controles que se adelantan en el proceso
con el fin de mitigar los riesgos. En el control se debe indicar qué se hace, cómo se
hace y quién lo hace.
• Evaluación del diseño de controles: se debe calificar los siete criterios para que el
sistema evalúe el diseño de cada uno de los controles.
• Evaluación de ejecución del control: Se deben calificar la ejecución del control para
cada uno de los controles
• Calificación de solidez del conjunto de controles: Calificado el diseño y ejecución
de todos los controles el sistema calculará la calificación conjunta de los controles.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 23 de 37
• Control ayuda a mitigar la probabilidad: Se debe seleccionar si los controles ayudan
en la disminución de la probabilidad para que el sistema calcule los puntos a disminuir
en probabilidad del riesgo.
• Control ayuda a mitigar el impacto: Se debe seleccionar si los controles ayudan en
la disminución del impacto para que el sistema calcule los puntos a disminuir en
impacto del riesgo.
Valoración de los Controles
Fuente: Presentación Gestión de Riesgo DAFP
Para la valoración, la guía de Gestión de Riesgo emitida por el DAFP, establece una tabla de parámetros y criterios en donde se otorgan puntajes dependiendo de la evaluación del control, estos dependen de las respuestas seleccionadas, para cada columna hay un listado de respuestas a seleccionar.
Esta valoración de controles se efectúa automáticamente en la herramienta de acuerdo con las respuestas dadas e identificando previamente el tipo de control y si este afecta probabilidad o impacto según sea el caso.
En la herramienta se deben diligenciar las columnas correspondientes a:
• Controles • Descripción del control • Evidencia • ¿Afecta Probabilidad? • ¿Afecta Impacto?
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 24 de 37
Análisis y Evaluación de los Controles
Para valorar cada uno de los controles es necesario escoger alguna de las opciones mostradas en la siguiente tabla:
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 25 de 37
Criterios de Valoración de Controles
Criterio de Evaluación Opción de Respuesta al Criterio de Evaluación Peso en la Evaluación del Diseño del control
1. Asignación del Responsable
Asignado 15
No asignado 0
2. Segregación y autoridad del responsable
Adecuado 15
Inadecuado 0
2. Periodicidad Oportuna 15
Inoportuna 0
3. Propósito
Prevenir 15
Detectar 10
No es un control 0
4. Cómo se realiza la actividad de control
Confiable 15
No Confiable 0
5. Qué pasa con las observaciones o desviaciones
Se investigan y resuelven oportunamente 15
No se investigan ni resuelven oportunamente 0
6. Evidencia de Ejecución del Control
Completa 10
Incompleta 5
Diseño
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 26 de 37
Ejecución
Rango Calificación de la Ejecución
Opción de Respuesta al Criterio de Evaluación
Fuerte El control se ejecuta de manera consistente por parte del responsable
Moderado El control se ejecuta algunas veces por parte del responsable
Débil El control no se ejecuta por parte del responsable
5.7 Valoración del Riesgo (Residual)
Una vez realizado el análisis y evaluación de los controles para la mitigación de los
riesgos, se procede a la valoración residual (después de controles)
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 27 de 37
5.8 Tratamiento de los Riesgos
El tratamiento del riesgo consiste en seleccionar y aplicar las medidas más adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daños intrínsecos, o bien aprovechar las ventajas que pueda reportarnos.
Acorde al valor final del riesgo, es decir el Riesgo Residual (riesgo después de controles), se debe definir la aceptación, mitigación o transferencia del riesgo, El DAFP plantea las siguientes definiciones para las medidas de respuesta contempladas:
Asumir el riesgo: luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.
Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles.
Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
Compartir o transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 28 de 37
6. ACCIONES TOMADAS PARA ABORDAR LOS RIESGOS O MEJORAR LOS
CONTROLES
Una vez finalizado el análisis y la valoración del riesgo, se deberán establecer las
actividades que anualmente se desarrollarán con el objetivo de abordar los riesgos o
mejorar los controles.
Para cada una de las actividades se deberá definir:
- Fechas de inicio y de terminación
- Acciones por desarrollar
- Responsable
- Indicadores y mecanismos de monitoreo
- Evidencias, registros o soportes
7. ESTRATEGIAS PARA EL DESARROLLO DE LA POLÍTICA
La política de administración del riesgo se desarrollará mediante un ejercicio periódico de
formulación, actualización, revisión, monitoreo y seguimiento a los mapas de riesgos de
gestión por procesos, corrupción y seguridad digital, teniendo en cuenta los siguientes
criterios:
▪ La identificación, análisis y valoración de riesgos se hará con enfoque basado en
procesos y activos de información para seguridad digital.
▪ El análisis del contexto estratégico de la entidad es la base para la identificación del
riesgo que suministra información sobre las condiciones internas y del entorno que
pueden generar eventos que originan oportunidades o afectan negativamente el
cumplimiento de la misión, objetivos de la entidad y la adecuada prestación del
servicio.
▪ La administración del riesgo requiere del compromiso y responsabilidad de la alta
Dirección de la ANE, por lo que estará a cargo de los líderes de los procesos la
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 29 de 37
gestión de los mapas de riesgos de la entidad, así como su monitoreo y revisión
permanente.
▪ Los resultados del monitoreo, revisión y seguimiento a los mapas de riesgos serán
tema de estudio y revisión en las reuniones de Comité Primario que se adelanten en
las diferentes dependencias de la ANE junto con los líderes de los procesos y sus
equipos de trabajo.
▪ Los Mapas de riesgos serán divulgados a todo involucrado en el proceso.
▪ En el evento de que se materialice el riesgo, se debe reportar y formular el
correspondiente plan de mejoramiento, según el procedimiento establecido para tal
fin y evidenciar su nueva valoración en el Mapa de Riesgos.
▪ Para los Riesgos de Contratación Estatal se tendrá en cuenta el “Manual para la
Identificación y cobertura del Riesgo en los procesos de Contratación” establecido por
la Agencia Nacional de Contratación Colombia Compra Eficiente.
▪ Se fortalece el enfoque preventivo en la administración del Riesgo a través del
mejoramiento continuo de las estrategias que se desarrollan para gestionar los
riesgos a los que se encuentra expuesta la entidad.
▪ Se adelantarán revisiones periódicas de los mapas de riesgos para su actualización
permanente. Los cambios que se deriven de estas actualizaciones serán presentados
al Comité Institucional de Desarrollo Administrativo.
8. ACCIONES PARA DESARROLLAR LA POLÍTICA
Las metodologías para la identificación, análisis y valoración, control, monitoreo y
seguimiento de los riesgos, tanto de gestión, corrupción y seguridad digital, establecen el
marco de acción para implementar, desarrollar y mantener en el tiempo la política de
gestión de riesgo de la Agencia Nacional del Espectro – ANE.
A continuación, se relacionan las principales acciones que se contemplan para desarrollar
la política de administración del riesgo:
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 30 de 37
Actividad Tiempo Recursos
Responsables
y Talento
Humano
requerido
Formular, revisar,
aprobar y ajustar
la política para la
Administración de
Riesgos de la
entidad
Una vez al año
Metodología para
gestión de riesgos
(Guía para para la
administración del
riesgo de
corrupción y
procedimiento
Gestión del riesgo
de corrupción)
Comité
Directivo
Divulgar la
Política de
Administración
del Riesgo y las
metodologías.
Una vez se
aprueben la
Política y los
mapas de riesgos
de Gestión, Mapa
de Riegos de
corrupción y mapa
de riesgos de
seguridad digital
por los procesos.
Política aprobada
Profesional
con funciones
de planeación.
Elaborar, revisar y
actualizar el Mapa
de riesgos de
gestión por
Proceso
Semestralmente
Metodologías (Guía
para la
administración del
riesgo) y
metodología
establecida
internamente en la
entidad.
Líderes de los
procesos con
su equipo de
trabajo.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 31 de 37
Actividad Tiempo Recursos
Responsables
y Talento
Humano
requerido
Consolidar y
aprobar el Mapa
de riesgos por
proceso
El Mapa de
Riesgos por
Proceso al 31 de
marzo
El Mapa de
Riesgos de
corrupción el 31 de
enero
Formatos Matriz de
Mapas de Riesgos
por Proceso y de
Corrupción
Líderes de
proceso
Publicar y
divulgar los
Mapas de
Riesgos de la
entidad
Cada vez que se
actualicen
Carpeta compartida
SIG
Profesional
con funciones
de planeación
Evaluar, reevaluar
y actualizar los
controles
Semestralmente FOR_Riesgos por
proceso
Líderes de los
procesos con
su equipo de
trabajo.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 32 de 37
Actividad Tiempo Recursos
Responsables
y Talento
Humano
requerido
Monitorear,
revisar y hacer
seguimiento
periódico al mapa
de riesgos de
gestión por
procesos y al
mapa de riesgos
de corrupción.
Seguimiento
trimestral al Mapa
de Riesgos por
proceso
Disponibilidad del
equipo de trabajo
que adelante las
acciones asociadas
al control previstas
en los mapas de
riesgos y los demás
recursos que se
requieran para el
cumplimiento de
dichas acciones.
Líderes de los
procesos con
su equipo de
trabajo.
Reportar los
resultados del
monitoreo de
riesgos
Seguimiento
trimestral al Mapa
de Riesgos por
proceso
FOR_Riesgos por
proceso
Líderes de
procesos
Reportar la
materialización de
los riesgos
Seguimiento
trimestral al Mapa
de Riesgos por
proceso
FOR_Riesgos por
proceso – Sección
Monitoreo y
Revisión – Casillas
Materialización de
Riesgos
Líderes de
procesos
Tomar correctivos
a partir de los
Informes.
Posterior al
informe de
evaluación si
aplica.
Plan de
mejoramiento
FOR_ACAPAM
Líderes de
procesos y
equipo de
trabajo
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 33 de 37
Actividad Tiempo Recursos
Responsables
y Talento
Humano
requerido
Reportar
trimestralmente el
seguimiento a los
riesgos
trimestral
Actas de comité
directivo
Profesional
con funciones
de planeación
Solicitar acciones
con respecto al
resultado del
seguimiento de los
riesgos
trimestral
Actas de comité
directivo
Profesional
con funciones
de planeación
9. PERIODICIDAD Y RESPONSABLES DEL MONITOREO Y EVALUACIÓN A LA
EFECTIVIDAD DE LA POLÍTICA DE ADMINISTRACIÓN DEL RIESGO
La entidad debe asegurar el logro de sus objetivos adelantándose a eventos negativos
relacionados con la gestión de la entidad. El Modelo Integrado de Planeación y Gestión
(MIPG) en la dimensión 7 ”Control Interno” desarrolla a través de las líneas de defensa la
responsabilidad de la Gestión del Riesgo y Control
El monitoreo y la revisión de la gestión de riesgos, está alineado con la dimensión del
MIPG de “Control Interno”, que se desarrolla con el MECI a través de un esquema de
responsabilidades y roles, el cual se distribuye en diversos servidores de la entidad como
se especifica a continuación:
Línea Estratégica:
Define el marco general para la gestión del riesgo, el control y supervisa su cumplimiento.
Está a cargo de la Alta Dirección y el Comité Institucional de Coordinación de Control
Interno
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 34 de 37
Primera línea de defensa:
Desarrolla e implementa procesos de control y gestión de riesgos a través de su
identificación, análisis, valoración, monitoreo y acciones de mejora
Está a cargo de los gerentes públicos y líderes de procesos, programas y proyectos de la
entidad
Rol Principal: Diseñar, implementar y monitorear los controles y gestionar de manera
directa en el día a día los riesgos de la entidad. Así mismo orientar el desarrollo e
implementación de políticas y procedimientos internos y asegurar que sean compatibles
con las metas y objetivos de la entidad y comprender las acciones de mejoramiento para
su logro.
Segunda línea de Defensa:
Asegura que los controles y los procesos de gestión de riesgos, implementados por la
primera línea de defensa, estén diseñados apropiadamente y funcionan como se pretende
A cargo de los servidores que tienen responsabilidades directas en el monitoreo y
evaluación de los controles y la gestión del riesgo: Jefes de Planeación, supervisores e
interventores de contracto o proyectos, coordinadores de otros sistemas de gestión de la
entidad, comité de contratación, entre otros.
Rol principal: Monitorear la gestión de riesgo y control ejecutada por la primera línea de
defensa, complementando su trabajo.
Tercera línea de defensa:
Proporciona información sobre la efectividad del S.C.I a través de un enfoque basado en
riesgos, incluida la operación de la primera y segunda línea de defensa.
A cargo de la Oficina de Control Interno, auditoria interna o quien haga sus veces
El Rol principal: proporcionar un aseguramiento en el más alto nivel de independencia y
objetividad sobre la efectividad del S.C.I
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 35 de 37
El alcance de este aseguramiento a través de la autoridad interna cubre todos los
componentes del S.C.I
10.1 Periodicidad y responsables del seguimiento y monitoreo de los riesgos
Los dueños de los procesos son los responsables de realizar permanentemente el
monitoreo de los riesgos y analizar los resultados con la periodicidad establecida para
cada mecanismo de monitoreo. Sin perjuicio de lo anterior, deben hacer seguimiento a los
riesgos en los comités primarios y, reportar los resultados del monitoreo y su análisis en el
FOR_Riesgos por proceso, el cual debe enviarse al responsable del Sistema de Gestión
de Calidad para su análisis y consolidación.
El monitoreo se realizará trimestralmente para los riesgos e Gestión y Seguridad Digital y
cuatrimestralmente para los riesgos de corrupción.
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 36 de 37
11. CONTROL DE CAMBIOS
Versión Fecha Naturaleza de la modificación
Elaborado por
Revisado por Firma de aprobación
0 15/07/2015 Se crea la política Sara Castañeda
Sara Castañeda
1 30/06/2016 Se ajusta la política incorporando lo relativo a la administración de riesgos de corrupción de acuerdo con los lineamientos establecidos en la Guía para la gestión del riesgo de corrupción
Alba Gómez
Sara Castañeda
Comité Institucional
2 12/01/2017 Se revisa la política por parte del comité institucional y se establece que la misma se encuentra ajustada a las necesidades de la entidad
Sara Castañeda
Comité Institucional
Comité Institucional
3 01/09/2017 Se incluyen los criterios para la valoración del riesgo
Antonio Soler
Sara Castañeda
Sara Castañeda
4 20/10/2017 Inclusión de los capítulos 4, 7 y 9. Inclusión y ajuste de algunas responsabilidades de los roles de la gestión de riesgos en el capítulo 6. Inclusión de
Norela Briceño
Sara Castañeda
Sara Castañeda
Revisado por:
Sara Castañeda
Fecha actualización:
28/01/2020
Aprobado por
Comité Directivo
No de revisión: 9
POLÍTICA DE ADMINISTRACIÓN
DEL RIESGO
Página: 37 de 37
Versión Fecha Naturaleza de la modificación
Elaborado por
Revisado por Firma de aprobación
actividades del capítulo 8. Inclusión de las tablas de probabilidad e impacto, y de definiciones tales como la clase de riesgos y el tratamiento de riesgos.
5 09/04/2018 Se modifica incluyendo la capacitación anual alineada con los riesgos del proceso
Sara Castañeda
Sara Castañeda
Sara Castañeda
6 25/06/2018 Se ajusta incluyendo lineamientos de ISO 31000 y recomendaciones del diagnóstico de gestión de riesgos
Sara Castañeda
Sara Castañeda
Sara Castañeda
7 14/09/2018 Se incluye en el alcance de la política de riesgos el seguimiento y validación de los cambios normativos
Sara Castañeda
Comité Directivo
Comité Directivo
8 21/05/2019 Se ajusta a la nueva metodología establecida por el DAFP
Mayra Alba
Sara Castañeda
Comité Directivo
9 29/01/2020 Se ajusta la aprobación por comité directivo y se realizan otros ajustes de forma
Sara Castañeda
Comité DIrectivo
Comité Directivo