POLÍTICA DE RIESGOS RED DE SALUD DEL NORTE E.S.

Declaración del Riesgo: En el desarrollo de las actividades de la ESE ocurren riesgos, por lo cual se compromete a adoptar
mecanismos y acciones necesarias para que a través de la gestión integral de los mismos, se prevenga o minimice su impacto.

Para ello se han adoptado mecanismos que permitan identificar, valorar, revelar y administrar los riesgos propios de su
actividad, acogiendo una autorregulación prudencial. La entidad determinará su nivel de exposición concreta a los impactos de
cada uno de los riesgos para priorizar su tratamiento, y estructurará criterios orientadores en la toma de decisiones respecto de
los efectos de los mismos.
 DEFINICIONES EN LA GESTIÓN DEL RIESGOS DE GESTIÓN

Causa. Medios, circunstancias, situaciones o agentes generadores del riesgo.

Consecuencia. Efectos generados por la ocurrencia de un riesgo que afecta los objetivos o un proceso de la entidad. Pueden ser entre
otros, una pérdida, un daño, un perjuicio, un detrimento.

Impacto. Son las consecuencias o efectos que puede generar la materialización del riesgo en la entidad.

Probabilidad. Oportunidad de ocurrencia de un riesgo. Se mide según la frecuencia (número de veces en que se ha presentado el
riesgo en un período determinado) o por la factibilidad (factores internos o externos que pueden determinar que el riesgo se presente).

Riesgos. Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos de la entidad, pudiendo entorpecer el
desarrollo de sus funciones.
Riesgo Estratégico. Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se enfoca a asuntos
globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño y
conceptualización de la entidad por parte de la alta gerencia.
Riesgos de Imagen. Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la institución.

Riesgos Operativos. Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de información institucional,
de la definición de los procesos, de la estructura de la entidad, de la articulación entre dependencias.
Riesgos Financieros. Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución presupuestal, la elaboración
de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
Riesgos de Cumplimiento. Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética
pública y en general con su compromiso ante la comunidad.
Riesgos de Tecnología. Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades actuales y
futuras y el cumplimiento de la misión.
Monitoreo. En concordancia con la cultura del autocontrol al interior de la entidad, los líderes de los procesos junto con su equipo
realizarán seguimiento y evaluación permanente al Mapa de Riesgos de Gestión.
 RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS DE GESTIÓN

Gerencia. Formular en la política de gestión de los riesgos de la entidad los lineamientos para tratamiento, manejo y seguimiento de los
riesgos.

Jefe de Oficina de Planeación y Calidad. Corresponde liderar su elaboración y consolidación, servirá de facilitador en el proceso de
Gestión de Riesgos de Gestión.

Líderes de Procesos. En conjunto con sus equipos deben monitorear y revisar periódicamente el documento del Mapa de Riesgos de
Gestión y si es del caso ajustarlo.

Su importancia radica en la necesidad de monitorear permanentemente la gestión del riesgo y la efectividad de los controles
establecidos.
En esta fase se debe:
1. Garantizar que los controles son eficaces y eficientes.
2. Obtener información adicional que permita mejorar la valoración del riesgo.
3. Analizar y aprender lecciones a partir de los eventos, los cambios, las tendencias, los éxitos y los fracasos.
4. Detectar cambios en el contexto interno y externo.
5. Identificar riesgos emergentes.

Jefe de Oficina de Control Interno. Realizar seguimiento y evaluación de los riesgos de gestión. Su finalidad principal será la de aplicar
y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.
 FECHA ACTUALIZACIÓN: 30/01/2020

NOMBRE DEL PROCESO: Gestión de Información

OBJETIVO DEL PROCESO: Garantizar la adecuada prestación del soporte técnico a las operaciones de los sistemas de información y los elementos de comunicación para contribuir al adecuado funcionamiento de los diferentes procesos de la organización.

IDENTIFICACIÓN DEL RIESGO

CAUSAS
EVENTO DE RIESGO CLASE DE RIESGO DEBIDO A: CAUSAS EXTERNAS DESCRIPCIÓN CONSECUENCIA
INTERNAS

1. Daños en los equipos (antenas, router, 1. Cortes en el suministro de

conectores de poder, etc.) , debido a los energía. 1. Perdida de información.
cortes de suministro de energía

Caída del sistema de 2. Inestabilidad en la conexión de los

TECNOLOGÍA TECNOLOGÍA TECNOLÓGICOS 2. Sobrecarga de los enlaces 2. Lentitud en la conexión .
información. enlaces de comunicación

3. Perdidas económicas

1. Inoportunidad en el registro de la
1. Mala manipulación de los elementos de
1. Mala utilización de los equipos información y demora en la
computo.
prestación del servicio.

Daños en los equipos de 2.Falta de apropiación por parte del

computo (Monitor, mouse, TECNOLOGÍA PERSONAL personal que manipula los equipos de TECNOLÓGICOS
teclado, impresora, CPU) computo.

3, Falta de mantenimiento preventivo

1. Manipulación de los usuarios en el 1. Políticas de controles de 1. Vulnerabilidad del sistema de

sistema de información seguridad informática. información.

2. Falta implementar Políticas de 2. Perdida de información o

controles de seguridad informática. Alteración de la información.

Ataque de Virus o hacker TECNOLOGÍA PERSONAL TECNOLÓGICOS

1. El grabar la información en la
1. Los usuarios no guardan la información
parte local del equipo puede 1. Perdida Económicas
en la Red Pública de la institución
generar la perdida de la misma

2. No realización del backup de la 2. No realización del backup de la

2. Afectación en la integralidad de
Perdida de información OPERATIVO PERSONAL información que existe en nuestros TECNOLÓGICOS información que existe en
los datos.
servidores. nuestros servidores.

*Ausencia de una documentación Integridad deficiente en la

adecuada y completa de roles y Nuevas tecnologías información generada por la
privilegios empresa

No adelantar la identificación,
análisis y evaluación de la *Falta de oportunidad en la identificación Disponibilidad sin restricción de
OPERATIVO PROCESOS TECNOLÓGICOS Cambios normativos
seguridad y privacidad de la de Vulnerabilidades del sistema acceso a la información
información.

Falta de una metodología y procedimiento

para adelantar la identificación, análisis y Perdida de confidencialidad de la
evaluación de seguridad y privacidad de información
la información

Fecha de Emisión: 25-enero-2018 "Comprometidos con el Servicio y la Calidad" Página 4 de 15

ntribuir al adecuado funcionamiento de los diferentes procesos de la organización.

ANÁLISIS DEL RIESGO DE PROCESO

CALIFICACIÓN

ZONA DE RIESGO
PROBABILIDAD IMPACTO TIPO DE IMPACTO

ZONA RIESGO
3 POSIBLE 4 MAYOR OPERATIVO
EXTREMA

ZONA RIESGO
1 RARO 3 MODERADO OPERATIVO
MODERADA

ZONA RIESGO
1 RARO 4 MAYOR OPERATIVO
ALTA

ZONA RIESGO
1 RARO 4 MAYOR OPERATIVO
ALTA

CONFIDENCIALIDAD
ZONA RIESGO
3 POSIBLE 4 MAYOR DE LA
EXTREMA
INFORMACIÓN

Fecha de Emisión: 25-enero-2018 "Comprometidos con el Servicio y la Calidad" Página 5 de 15

 MATRIZ DEL MAPA DE RIESGOS DE GESTIÓN

IDENTIFICACIÓN DE CONTROLES

MEDIDAS DE RESPUESTA VALORACIÓN DE CONTROLES

FECHA DE
CLASIFICACIÓN DEL CONTROL PARA CONTROLES FECHA DE INICIO RESPONSABLE INDICADOR HAY HERRAMIENTAS DE HAY MANUALES O ES EFECTIVA LA HAY RESPONSABLE DEL FRECUENCIA Y SEGUIMIENTO TOTAL PUNTAJE PROMEDIO
MEDIDA TERMINACIÓN
CONTROL MITIGAR CONTROL? PROCEDIMIENTOS? HERRAMIENTA? SEGUIMIENTO Y CONTROL? ADECUADO CONTROL FINAL CALIFICACIÓN

Total de personal capacitados. / Total de

1. Capacitaciones al personal donde se indique el Responsable Gestión de
personal que manipula elementos de computo
buen uso de los tomas eléctricos regulados Información

Gestión de información -
TRATAMIENTO 2. Mantenimiento de los enlaces, conexiones y Número de mantenimientos realizados / Total
PREVENTIVO PROBABILIDAD 1/31/2020 12/31/2020 Subgerencia Administrativa y SI 15 SI 15 NO 0 SI 15 SI 25 70 70
PRIORITARIO UPS. mantenimientos programados
Financiera

Total de personal capacitados. / Total de

1. Capacitar al personal sobre el buen manejo de Gestión de información -
personal que manipula elementos de computo
los elementos de computo Subgerencia Financiera

ELIMINAR O REDUCIR A Responsable Gestión de Total de equipos suministrados/Total hoja de

PREVENTIVO PROBABILIDAD 2. Seguimiento al plan de mantenimiento. 1/31/2020 12/31/2020 SI 15 SI 15 SI 30 SI 15 SI 25 100 100
ZONA DE BAJO RIESGO Información vida de equipos

1. Bloqueo y restricción de puertos de Responsable Gestión de

comunicación. Información

Responsable Gestión de
2. Actualización del antivirus.
Información

ELIMINAR O REDUCIR A ZONA Numero de ataques registrados/Total de

PREVENTIVO PROBABILIDAD 1/31/2020 12/31/2020 SI 15 SI 15 SI 30 SI 15 SI 25 100 100 91
DE RIESGO BAJA ataques informáticos

Responsable Gestión de
3. Backup de la información.
Información

1. Capacitar al usuario que debe grabar su

Responsable Gestión de
información corporativa en las carpetas donde su
Información
perfil le autorice.

ELIMINAR O REDUCIR A ZONA 2. Monitoreo diario de la realización de las tareas Responsable Gestión de
PREVENTIVO PROBABILIDAD 1/31/2020 12/31/2020 Auditorias Ejecutadas / Auditorias Programadas SI 15 SI 15 SI 30 SI 15 SI 25 100 93
DE RIESGO BAJA de backup Información

1. Capacitar a los usuarios internos y externos del

sistema en el uso adecuado de la información

Subgerencia Administrativa y
Total de información identificada, analizada y
TRATAMIENTO 2. Establecer mecanismos que garanticen el Financiera - Profesional
PREVENTIVO PROBABILIDAD 1/31/2020 12/31/2020 evaluada / Total de información solicitada y 0 0 0 0 0 0
PRIORITARIO acceso controlado a la información. Administrativo Sistemas de
generada
información.

3. Seguimiento y monitoreo permanente a la

calidad y confiabilidad de la información.

Fecha de Emisión: 25-enero-2018 "Comprometidos con el Servicio y la Calidad" Página 6 de 15

 Código: PL.F.04
Versión: 03
TRD:

MONITOREO Y REVISIÓN
RIESGO RESIDUAL
SEGUIMIENTO SEMESTRE I SEGUIMIENTO SEMESTRE II

NUEVA CALIFICACIÓN
NUEVA ZONA DE ACCIÓN DE % AVANCE DE LAS % AVANCE DE LAS RESPONSABLE DE FECHA DE
EFECTOS LOGRADOS OBSERVACIONES PERIODO DE EVALUACIÓN RESPONSABLE DE SEGUIMIENTO FECHA DE SEGUIMIENTO EFECTOS LOGRADOS OBSERVACIONES PERIODO DE EVALUACIÓN
PROBABILIDAD IMPACTO RIESGO RESPUESTA ACCIONES ACCIONES SEGUIMIENTO SEGUIMIENTO

REDUCIR, EVITAR
ZONA RIESGO
3 POSIBLE 4 MAYOR O COMPARTIR EL
EXTREMA
RIESGO

ASUMIR O
ZONA RIESGO
1 RARO 3 MODERADO REDUCIR EL
MODERADA
RIESGO

REDUCIR, EVITAR
ZONA RIESGO
1 RARO 4 MAYOR O COMPARTIR EL
ALTA
RIESGO

REDUCIR, EVITAR
ZONA RIESGO
1 RARO 4 MAYOR O COMPARTIR EL
ALTA
RIESGO

REDUCIR, EVITAR
ZONA RIESGO
3 POSIBLE 4 MAYOR O COMPARTIR EL
EXTREMA
RIESGO

Fecha de Emisión: 25-enero-2018 "Comprometidos con el Servicio y la Calidad" Página 7 de 15

 CLASE DE RIESGO

Riesgos Estratégicos

Riesgos Gerenciales

Riesgos de Imagen o reputacional

Riesgos Operativos

Riesgos Financieros

Riesgos de Cumplimiento

Riesgos de Tecnología

CLASE DE CAUSAS INTERNAS

Infraestructura
Personal

Procesos
Tecnología
CLASE DE CAUSAS EXTERNAS

Económicos

Medioambientales

Políticos

Sociales

Tecnológicos
 CLASE DE RIESGO
Posibilidad de ocurrencia de eventos que afecten los objetivos estratégicos de la organización pública y
por tanto impactan toda la entidad.
Posibilidad de ocurrencia de eventos que afecten los procesos gerenciales y/o la alta dirección.
Posibilidad de ocurrencia de un evento que afecte la imagen, buen nombre o reputación de una
organización ante sus clientes y partes interesadas.
Posibilidad de ocurrencia de eventos que afecten los procesos misionales de la entidad.
Posibilidad de ocurrencia de eventos que afecten los estados financieros y todas aquellas áreas
involucradas con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de
cuentas, costos, etc.
Posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la organización
debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.
Posibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura tecnológica
(hardware, software, redes, etc.) de una entidad.
CLASE DE CAUSAS INTERNAS
Disponibilidad de activos, capacidad de los activos, acceso al capital.
Capacidad del personal, salud, seguridad.

Capacidad, diseño, ejecución, proveedores, entradas, salidas, conocimiento.

Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento.
CLASE DE CAUSAS EXTERNAS
Disponibilidad de capital, emisión de deuda o no pago de la misma, liquidez, mercados financieros,
desempleo, competencia.
Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

Cambios de gobierno, legislación, políticas públicas, regulación.

Demografía, responsabilidad social, terrorismo.

Interrupciones, comercio electrónico, datos externos, tecnología emergente.

 Bajo el criterio de Probabilidad el riesgo se debe medir a partir de las siguientes esp

NIVEL DESCRIPTOR

1 Rara vez

2 Improbable
3 Posible

4 Probable

5 Casi seguro

Bajo el criterio de Impacto el riesgo se debe medir a partir de las siguientes especificaciones:
TABLA DE IMPACTO
NIVEL DESCRIPTOR

1 Insignificante

2 Menor

3 Moderado

4 Mayor

5 Catastrófico

IMPACTO DE CONFIDENCIALIDAD EN LA INFORMACIÓN

NIVEL CONCEPTO
1 Personal
2 Grupo de Trabajo
3 Relativa al Proceso
4 Institucional
5 Estratégica
IMPACTO DE CREDIBILIDAD O IMAGEN
NIVEL CONCEPTO
1 Grupo de funcionarios
2 Todos los funcionarios
3 Usuarios ciudad
4 Usuarios región
 5 Usuarios país
IMPACTO LEGAL
NIVEL CONCEPTO
1 Multas
2 Demandas
3 Investigación Disciplinaria
4 Investigación Fiscal
5 Intervención – Sanción
IMPACTO OPERATIVO
NIVEL CONCEPTO
1 Ajustes a una actividad concreta
2 Cambios en los procedimientos
Cambios en la interacción de los
3 procesos
4 Intermitencia en el servicio
5 Paro total del proceso
babilidad el riesgo se debe medir a partir de las siguientes especificaciones:
TABLA DE PROBABILIDAD
DESCRIPCIÓN FRECUENCIA
El evento puede ocurrir solo en circunstancias No se ha presentado en los últimos 5
excepcionales. años.
Al menos una vez en los últimos 5
El evento puede ocurrir en algún momento
años.
Al menos una vez en los últimos 2
El evento podrá ocurrir en algún momento.
años.
El evento probablemente ocurrirá en la mayoría de
Al menos una vez en el último año.
las circunstancias.
Se espera que el evento ocurra en la mayoría de las
Más de una vez al año.
circunstancias.

be medir a partir de las siguientes especificaciones:

A DE IMPACTO
DESCRIPCIÓN
Si el hecho llegara a presentarse, tendría
consecuencias o efectos mínimos sobre la entidad.
Si el hecho llegara a presentarse, tendría bajo
impacto o efecto sobre la entidad.
Si el hecho llegara a presentarse, tendría medianas
consecuencias o efectos sobre la entidad.
Si el hecho llegara a presentarse, tendría altas
consecuencias o efectos sobre la entidad
Si el hecho llegara a presentarse, tendría
desastrosas consecuencias o efectos sobre la
entidad.
 MATRIZ DE VALORACION Y EVALUACIÓN DEL RIESGO

PROCESO:
OBJETIVO DEL PROCESO:
PROBABILIDAD VALOR

Raro 1 B B M A

Improbable 2 B B M A

Posible 3 B M A E
Probable 4 M A A E
Casi Seguro 5 A A E E
VALOR 1 2 3 4
IMPACTO Insignificante Menor Moderado Mayor
Baja Zona de riesgo Baja: Asumir el riesgo

Media
Zona de riesgo Moderada: Asumir el riesgo, reducir el riesgo

Alta Zona de riesgo Alta: Reducir el riesgo, evitar, compartir o transferir

Extrema Zona de riesgo Extrema: Reducir el riesgo, evitar, compartir o transferir

dependiendo si el control afecta probabilidad o impacto

PROBABILIDAD
desplaza en la matriz O IMPACTO
de calificación, DESPLAZA
evaluación y
EN LA MATRIZ DE CALIFICACIÓN,
RANGOS DE EVALUACIÓN Y RESPUESTA A LOS
CALIFICACIÓN DE LOS CUADRANTES A CUADRANTES A
CONTROLES DISMINUIR EN LA DISMINUIR EN EL
PROBABILIDAD IMPACTO

Entre 0-50 0 0
Entre 51-75 1 1
Entre 76-100 2 2
SGO

E
E
E
5
Catastrófica
 En la nueva valoración despues de controles dependiendo si el control afecta
probabilidad o impacto desplaza en la matriz de calificación, evaluación y respuesta a los
riesgos
PROBABILIDAD O IMPACTO DESPLAZA EN LA
MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y
RANGOS DE CALIFICACIÓN CUADRANTES A
DE LOS CONTROLES CUADRANTES A DISMINUIR
DISMINUIR EN EL
EN LA PROBABILIDAD
IMPACTO
Entre 0-50 0 0
Entre 51-75 1 1

Entre 76-100 2 2