Beruflich Dokumente
Kultur Dokumente
Declaración del Riesgo: En el desarrollo de las actividades de la ESE ocurren riesgos, por lo cual se compromete a adoptar
mecanismos y acciones necesarias para que a través de la gestión integral de los mismos, se prevenga o minimice su impacto.
Para ello se han adoptado mecanismos que permitan identificar, valorar, revelar y administrar los riesgos propios de su
actividad, acogiendo una autorregulación prudencial. La entidad determinará su nivel de exposición concreta a los impactos de
cada uno de los riesgos para priorizar su tratamiento, y estructurará criterios orientadores en la toma de decisiones respecto de
los efectos de los mismos.
DEFINICIONES EN LA GESTIÓN DEL RIESGOS DE GESTIÓN
Consecuencia. Efectos generados por la ocurrencia de un riesgo que afecta los objetivos o un proceso de la entidad. Pueden ser entre
otros, una pérdida, un daño, un perjuicio, un detrimento.
Impacto. Son las consecuencias o efectos que puede generar la materialización del riesgo en la entidad.
Probabilidad. Oportunidad de ocurrencia de un riesgo. Se mide según la frecuencia (número de veces en que se ha presentado el
riesgo en un período determinado) o por la factibilidad (factores internos o externos que pueden determinar que el riesgo se presente).
Riesgos. Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos de la entidad, pudiendo entorpecer el
desarrollo de sus funciones.
Riesgo Estratégico. Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos
globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad por parte de la alta gerencia.
Riesgos de Imagen. Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.
Riesgos Operativos. Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional,
de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.
Riesgos Financieros. Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración
de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Cumplimiento. Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética
pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología. Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y
futuras y el cumplimiento de la misión.
Monitoreo. En concordancia con la cultura del autocontrol al interior de la entidad, los líderes de los procesos junto con su equipo
realizarán seguimiento y evaluación permanente al Mapa de Riesgos de Gestión.
RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS DE GESTIÓN
Gerencia. Formular en la política de gestión de los riesgos de la entidad los lineamientos para tratamiento, manejo y seguimiento de los
riesgos.
Jefe de Oficina de Planeación y Calidad. Corresponde liderar su elaboración y consolidación, servirá de facilitador en el proceso de
Gestión de Riesgos de Gestión.
Líderes de Procesos. En conjunto con sus equipos deben monitorear y revisar periódicamente el documento del Mapa de Riesgos de
Gestión y si es del caso ajustarlo.
Su importancia radica en la necesidad de monitorear permanentemente la gestión del riesgo y la efectividad de los controles
establecidos.
En esta fase se debe:
1. Garantizar que los controles son eficaces y eficientes.
2. Obtener información adicional que permita mejorar la valoración del riesgo.
3. Analizar y aprender lecciones a partir de los eventos, los cambios, las tendencias, los éxitos y los fracasos.
4. Detectar cambios en el contexto interno y externo.
5. Identificar riesgos emergentes.
Jefe de Oficina de Control Interno. Realizar seguimiento y evaluación de los riesgos de gestión. Su finalidad principal será la de aplicar
y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.
FECHA ACTUALIZACIÓN: 30/01/2020
OBJETIVO DEL PROCESO: Garantizar la adecuada prestación del soporte técnico a las operaciones de los sistemas de información y los elementos de comunicación para contribuir al adecuado funcionamiento de los diferentes procesos de la organización.
CAUSAS
EVENTO DE RIESGO CLASE DE RIESGO DEBIDO A: CAUSAS EXTERNAS DESCRIPCIÓN CONSECUENCIA
INTERNAS
3. Perdidas económicas
1. Inoportunidad en el registro de la
1. Mala manipulación de los elementos de
1. Mala utilización de los equipos información y demora en la
computo.
prestación del servicio.
1. El grabar la información en la
1. Los usuarios no guardan la información
parte local del equipo puede 1. Perdida Económicas
en la Red Pública de la institución
generar la perdida de la misma
No adelantar la identificación,
análisis y evaluación de la *Falta de oportunidad en la identificación Disponibilidad sin restricción de
OPERATIVO PROCESOS TECNOLÓGICOS Cambios normativos
seguridad y privacidad de la de Vulnerabilidades del sistema acceso a la información
información.
CALIFICACIÓN
ZONA DE RIESGO
PROBABILIDAD IMPACTO TIPO DE IMPACTO
ZONA RIESGO
3 POSIBLE 4 MAYOR OPERATIVO
EXTREMA
ZONA RIESGO
1 RARO 3 MODERADO OPERATIVO
MODERADA
ZONA RIESGO
1 RARO 4 MAYOR OPERATIVO
ALTA
ZONA RIESGO
1 RARO 4 MAYOR OPERATIVO
ALTA
CONFIDENCIALIDAD
ZONA RIESGO
3 POSIBLE 4 MAYOR DE LA
EXTREMA
INFORMACIÓN
IDENTIFICACIÓN DE CONTROLES
Gestión de información -
TRATAMIENTO 2. Mantenimiento de los enlaces, conexiones y Número de mantenimientos realizados / Total
PREVENTIVO PROBABILIDAD 1/31/2020 12/31/2020 Subgerencia Administrativa y SI 15 SI 15 NO 0 SI 15 SI 25 70 70
PRIORITARIO UPS. mantenimientos programados
Financiera
Responsable Gestión de
2. Actualización del antivirus.
Información
Responsable Gestión de
3. Backup de la información.
Información
ELIMINAR O REDUCIR A ZONA 2. Monitoreo diario de la realización de las tareas Responsable Gestión de
PREVENTIVO PROBABILIDAD 1/31/2020 12/31/2020 Auditorias Ejecutadas / Auditorias Programadas SI 15 SI 15 SI 30 SI 15 SI 25 100 93
DE RIESGO BAJA de backup Información
Subgerencia Administrativa y
Total de información identificada, analizada y
TRATAMIENTO 2. Establecer mecanismos que garanticen el Financiera - Profesional
PREVENTIVO PROBABILIDAD 1/31/2020 12/31/2020 evaluada / Total de información solicitada y 0 0 0 0 0 0
PRIORITARIO acceso controlado a la información. Administrativo Sistemas de
generada
información.
MONITOREO Y REVISIÓN
RIESGO RESIDUAL
SEGUIMIENTO SEMESTRE I SEGUIMIENTO SEMESTRE II
NUEVA CALIFICACIÓN
NUEVA ZONA DE ACCIÓN DE % AVANCE DE LAS % AVANCE DE LAS RESPONSABLE DE FECHA DE
EFECTOS LOGRADOS OBSERVACIONES PERIODO DE EVALUACIÓN RESPONSABLE DE SEGUIMIENTO FECHA DE SEGUIMIENTO EFECTOS LOGRADOS OBSERVACIONES PERIODO DE EVALUACIÓN
PROBABILIDAD IMPACTO RIESGO RESPUESTA ACCIONES ACCIONES SEGUIMIENTO SEGUIMIENTO
REDUCIR, EVITAR
ZONA RIESGO
3 POSIBLE 4 MAYOR O COMPARTIR EL
EXTREMA
RIESGO
ASUMIR O
ZONA RIESGO
1 RARO 3 MODERADO REDUCIR EL
MODERADA
RIESGO
REDUCIR, EVITAR
ZONA RIESGO
1 RARO 4 MAYOR O COMPARTIR EL
ALTA
RIESGO
REDUCIR, EVITAR
ZONA RIESGO
1 RARO 4 MAYOR O COMPARTIR EL
ALTA
RIESGO
REDUCIR, EVITAR
ZONA RIESGO
3 POSIBLE 4 MAYOR O COMPARTIR EL
EXTREMA
RIESGO
Riesgos Estratégicos
Riesgos Gerenciales
Riesgos Operativos
Riesgos Financieros
Riesgos de Cumplimiento
Riesgos de Tecnología
Procesos
Tecnología
CLASE DE CAUSAS EXTERNAS
Económicos
Medioambientales
Políticos
Sociales
Tecnológicos
CLASE DE RIESGO
Posibilidad de ocurrencia de eventos que afecten los objetivos estratégicos de la organización pública y
por tanto impactan toda la entidad.
Posibilidad de ocurrencia de eventos que afecten los procesos gerenciales y/o la alta dirección.
Posibilidad de ocurrencia de un evento que afecte la imagen, buen nombre o reputación de una
organización ante sus clientes y partes interesadas.
Posibilidad de ocurrencia de eventos que afecten los procesos misionales de la entidad.
Posibilidad de ocurrencia de eventos que afecten los estados financieros y todas aquellas áreas
involucradas con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de
cuentas, costos, etc.
Posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la organización
debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.
Posibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura tecnológica
(hardware, software, redes, etc.) de una entidad.
CLASE DE CAUSAS INTERNAS
Disponibilidad de activos, capacidad de los activos, acceso al capital.
Capacidad del personal, salud, seguridad.
NIVEL DESCRIPTOR
1 Rara vez
2 Improbable
3 Posible
4 Probable
5 Casi seguro
Bajo el criterio de Impacto el riesgo se debe medir a partir de las siguientes especificaciones:
TABLA DE IMPACTO
NIVEL DESCRIPTOR
1 Insignificante
2 Menor
3 Moderado
4 Mayor
5 Catastrófico
PROCESO:
OBJETIVO DEL PROCESO:
PROBABILIDAD VALOR
Raro 1 B B M A
Improbable 2 B B M A
Posible 3 B M A E
Probable 4 M A A E
Casi Seguro 5 A A E E
VALOR 1 2 3 4
IMPACTO Insignificante Menor Moderado Mayor
Baja Zona de riesgo Baja: Asumir el riesgo
Media
Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo
Entre 0-50 0 0
Entre 51-75 1 1
Entre 76-100 2 2
SGO
E
E
E
5
Catastrófica
En la nueva valoración despues de controles dependiendo si el control afecta
probabilidad o impacto desplaza en la matriz de calificación, evaluación y respuesta a los
riesgos
PROBABILIDAD O IMPACTO DESPLAZA EN LA
MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y
RANGOS DE CALIFICACIÓN CUADRANTES A
DE LOS CONTROLES CUADRANTES A DISMINUIR
DISMINUIR EN EL
EN LA PROBABILIDAD
IMPACTO
Entre 0-50 0 0
Entre 51-75 1 1
Entre 76-100 2 2