PLANEACIÓN Y GERENCIA ESTRATÉGICA Código: 1D-PGE-M004 Manual de Gestión del Riesgo Vigencia desde: 9 de junio de 2015 Versión: 1 CONTROL DE CAMBIOS VERSIÓN 1 2 3 4 1 FECHA DESCRIPCIÓN DE LA MODIFICACIÓN 1 de diciembre Primera versión del Manual de Gestión del riesgo M-116302-02 de 2010 Cambio del tipo de documento, de código y modificación de las disposiciones: 1 de Actualización de glosario y normatividad, modificación de lineamientos, marzo definición de competencias y responsabilidades, modificación de la de 2012 metodología para la valoración de riesgos. Inclusión de las instrucciones para la gestión de los riesgos de corrupción, inclusión de la calificación de los controles, actualización de marco normativo, 15 de modificación de zonas de riesgo, modificación de la definición de riesgo, abril incorporación de riesgo residual, eliminación de fuentes de riesgo, eliminación de 2013 de evento predecible e impredecible, definición de control preventivo y correctivo. 14 de Se modifica la definición de causas de riesgo. Se incluyen disposiciones para los marzo riesgos ambientales y se aclaran las competencias del equipo SIG. de 2014 - Modificación de la naturaleza del documento. Pasa de ser el Instructivo 1DPGE-I013 al Manual de Gestión del Riesgo 1D-PGE-M4 - Actualización del propósito - Políticas de administración del riesgo: Se considera como tales la totalidad de los lineamientos establecidos en el presente manual, pues a lo largo de éste se da respuesta a lo establecido en la versión 2014 del Manual técnico del MECI al respecto. - Cambio de la denominación de las etapas de gestión del riesgo - Se establece cuál es la orientación de las acciones de tratamiento, la forma en la que se gestionarán los riesgos ambientales, los registros de las revisiones de las matrices de riesgos, los riesgos que deberán ser insumo para la revisión por la alta dirección, los cambios en la calificación de los riesgos con ocasión 9 de de su materialización, la definición de roles para la gestión de los riesgos de junio corrupción de 2015 - Clarificación de las competencias y responsabilidades - Clarificación de la definición de corrupción y del Sistema de Gestión del Riesgo (glosario) - Definición de la estructura de redacción de los diferentes elementos del riesgo - Incorporación de directriz de modificación en la calificación del riesgo, como producto de su materialización - Clarificación del seguimiento a los riesgos de corrupción - Modificación de la denominación de las etapas de gestión del riesgo - Modificación a la etapa de Evaluación de los riesgos y a los roles de la Oficina de Control interno - Eliminación del Formato 1D-PGE-F038. Informe de seguimiento a la gestión de los riesgos Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 1 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 Propósito del Manual Garantizar la gestión integral de los riesgos de la Entidad, bajo el enfoque por procesos y teniendo en cuenta los diferentes sistemas de gestión; mediante el desarrollo de acciones que permitan mantenerlos en niveles aceptables de severidad, de modo que se garantice la calidad de los servicios y la armónica relación con las partes interesadas, de conformidad con las políticas de administración del riesgo establecidas en el presente documento. Responsable Director(a) de Planeación y Sistemas de Información INTRODUCCIÓN En los últimos 8 años la Secretaría Distrital de Gobierno ha presentado importantes avances en la construcción de la metodología más adecuada para la gestión de los riesgos que afectan su desempeño, atendiendo a la naturaleza y complejidad de su misionalidad. Se inició con una identificación de riesgos desde una perspectiva global, y a partir de la experiencia acumulada y el fortalecimiento de los lineamientos técnicos recibidos desde diferentes fuentes, se ha fortalecido la capacidad de la Entidad para identificar y tratar los riesgos que la pueden afectar; hasta llegar, a la fecha a contar con claridad en la forma en que se gestionan los riesgos asociados al cumplimiento de los objetivos de los procesos, los ambientales, los de participación ciudadana y los asociados a corrupción. Durante este tiempo, la Entidad ha ido comprendiendo la importancia y la necesidad de que los riesgos sean gestionados por quienes participan en cada uno de los procesos, la importancia del liderazgo de la alta dirección en este tema y la necesidad de trabajar en la apropiación por parte de todos los/las servidores/as públicos/as la importancia de gestionar sus riesgos. Sumado a ello, se ha ido avanzando en la personalización y adaptación de las herramientas y postulados de gestión del riesgo de acuerdo a las necesidades y particularidades de la entidad, en procura de facilitar y simplificar su comprensión e implementación por parte de los/las servidores/as públicos/as. Esta labor se ha fundamentado en la necesidad constante de impulsar y fortalecer el subsistema de gestión del riesgo, de otorgarle dinamismo y contribuir en alguna medida a la gestión del cambio y del conocimiento de la Entidad. Para esto, a continuación se expresan las políticas y la metodología producto de este aprendizaje, que orientará la gestión de los riesgos en la Entidad. ALCANCE La presente metodología aplica para los riesgos asociados a todos los subsistemas del SIG de la entidad, a la corrupción y a los mecanismos de participación ciudadana. Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 2 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 GLOSARIO Administración de riesgos: Conjunto de elementos de control que al interrelacionarse permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales. Ambiente: Es la interrelación de los componentes sociales, económicos y naturales. Análisis de Riesgo: Elemento de control que permite establecer la probabilidad de ocurrencia de los eventos negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo. Se debe llevar a cabo un uso sistemático de la información disponible para determinar cuán frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias. Auditoría Interna de Gestión: Es aquella que se realiza para evaluar el grado de eficiencia y eficacia en el logro de los objetivos previstos por la Entidad y en el manejo de los recursos Autoevaluación del Control: Elemento de control que basado en un conjunto de mecanismos de verificación y evaluación, determina la calidad y efectividad de los controles internos a nivel de los procesos y de cada área organizacional responsable, permitiendo emprender las acciones de mejoramiento del control requeridas. Se basa en una revisión periódica y sistemática de los procesos de la entidad para asegurar que los controles establecidos son aún eficaces y apropiados. Corrupción: De acuerdo a la Organización Transparencia Internacional, corresponde al mal uso del poder encomendado para obtener beneficios privados, para quien ejerza las funciones públicas, y que puede incluir a miembros de su familia o amigos. Las situaciones de corrupción siempre conducen a la transgresión o impedimento del cumplimiento de los principios de la función administrativa. Evaluación del Riesgo: Proceso utilizado para determinar las prioridades de la Administración del Riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado. Identificación del Riesgo: Elemento de control que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su misión (función), estableciendo los agentes generadores, las causas y los efectos de su ocurrencia. Se puede entender como el proceso que permite determinar qué podría suceder, por qué sucedería y de qué manera se llevaría a cabo. Monitorear: Comprobar, supervisar, observar y registrar la forma en que se lleva a cabo una Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 3 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 actividad con el fin de identificar posibles cambios. Partes interesadas: Personas u organizaciones que son o pueden ser afectadas por una decisión o actividad de la entidad. Participación Ciudadana: Derecho al ejercicio pleno del poder de las personas que en condición de sujetos sociales y políticos, y de manera individual o colectiva transforman e inciden en la esfera pública en función del bien general y el cumplimiento de los derechos civiles, políticos, sociales, económicos, ambientales y culturales, mediante procesos de dialogo, deliberación y concertación entre actores sociales e institucionales, para materializar las políticas públicas, bajo los principios de dignidad humana, equidad, diversidad, incidencia. Pérdida: Consecuencia negativa que trae consigo un evento. Principios de la Función Administrativa: La función administrativa se desarrolla conforme a los principios constitucionales, en particular los atinentes a la buena fe, igualdad, moralidad, celeridad, economía, imparcialidad, eficacia, eficiencia, participación, publicidad, responsabilidad y transparencia. Los principios anteriores se aplican, igualmente, en la prestación de servicios públicos, en cuanto fueren compatibles con su naturaleza y régimen. Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan para generar valor y las cuales transforman elementos de entrada en resultados. Riesgo ambiental: Es la posibilidad de que en el desarrollo de la gestión institucional ocurra algo que impacte negativamente el ambiente. Riesgo de corrupción: Posibilidad de que por acción o por omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular. Riesgo de gestión: Posibilidad de que suceda algún evento que tendrá un impacto negativo sobre la gestión institucional. Sistema Integrado de Gestión (SIG) : Conjunto de elementos que tienen como finalidad orientar, fortalecer, direccionar y alinear los sistemas de gestión de manera conjunta con la dirección estratégica de la entidad, con el fin de garantizar eficiencia, eficacia, transparencia y efectividad en la gestión de la Secretaría Distrital de Gobierno. Subsistema de gestión del riesgo: Componente del Sistema Integrado de Gestión que integra la cultura, los procesos y las estructuras dirigidas a administrar los efectos adversos de los riesgos a la que se encuentra expuesta la gestión de la entidad. Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 4 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO I. PLANIFICACIÓN DE LA GESTIÓN DEL RIESGO Para la gestión de sus riesgos, la Secretaría Distrital de Gobierno cuenta con un conjunto de elementos que garantizan su adecuado manejo, los cuales son: - COMPETENCIAS Y RESPONSABILIDADES Del Representante de la Dirección para el Sistema Integrado de Gestión Formular, orientar, dirigir y coordinar el proyecto de diseño e implementación del Componente de la Administración del Riesgo. Asegurar que se desarrollen a cabalidad cada una de las etapas previstas para el diseño, implementación del Componente de la Administración del Riesgo. Informar a la alta dirección sobre la planificación y avances del proyecto de diseño, implementación y desempeño del Componente de la Administración del Riesgo. Dirigir y coordinar las actividades del Equipo de trabajo SIG Coordinar con los directivos o responsables de cada área o proceso las actividades que se requiere realizar para la gestión del riesgo, en armonía y colaboración con los servidores de dichas áreas. Promover la toma de conciencia del personal de todos los niveles de la entidad hacia el fortalecimiento de una cultura organizacional enfocada a la planeación y gestión del riesgo. Gestionar ante la Alta dirección los recursos que demande la implementación y mantenimiento del Subsistema de gestión del riesgo. Promover la incorporación de los criterios de gestión del riesgo en la totalidad de los subsistemas de gestión de la Entidad. Presentar ante la alta dirección el consolidado de los riesgos que se encuentren en la zona de riesgo inaceptable, así como de los riesgos asociados a corrupción, para que se analice la gestión dada a estos riesgos y se tomen las medidas que se consideren necesarias De los Gestores ambientales Liderar técnicamente la gestión de los riesgos ambientales. Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 5 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 Del Equipo de trabajo del Sistema Integrado de Gestión de la DPSI Diseñar las herramientas del Subsistema de Gestión del Riesgo, desde la perspectiva de todos los subsistemas de gestión de la Entidad, bajo las orientaciones del representante de la dirección, garantizando que se correspondan con las disposiciones normativas vigentes, mediante las consultas a las fuentes que corresponda. Orientar a los referentes de los procesos y alcaldías locales en la implementación y mantenimiento del componente de la administración del riesgo Realizar seguimiento a la oportunidad de la actualización de las matrices de riesgos. Generar los reportes de seguimiento al comportamiento de los riesgos mediante la herramienta de reporte que se encuentra disponible en la intranet, y suministrarla a los referentes de los procesos y alcaldías locales, para la adopción de medidas según lo establecido en el presente documento. Generar los reportes del Aplicativo SIG – módulo Gestión para la mejora frente al cumplimiento de las acciones de tratamiento de los riesgos de corrupción, y suministrarlas al Líder del Plan Anticorrupción y Atención al ciudadano, para la adopción de medidas según su competencia. De la Oficina de Control Interno. Las competencias de esta Oficina son las establecidas en las disposiciones normativas vigentes, tales como La Ley 87 de 1993, el Manual técnico del MECI, La Guía de Administración del Riesgo del DAFP, y las que por la naturaleza de sus funciones le correspondan en el marco de lo establecido en la NTC ISO 31000 y la NTD SIG 001:2011; que serán ejercidas siguiendo los lineamientos operativos que dicha Oficina, en el marco de su autonomía establezca. De los/las Líderes/as y Responsables de los Procesos Garantizar el desarrollo adecuado de las etapas de valoración, tratamiento y seguimiento al comportamiento de los riesgos presentes en los procesos a su cargo, en relación con el cumplimiento de sus objetivos, los asociados a la corrupción, a los mecanismos de participación ciudadana y a la gestión ambiental. Mantener la interacción permanente con el equipo de trabajo del SIG y los demás procesos de la entidad para la adecuada gestión de los riesgos. Realizar seguimiento al cumplimiento de las acciones de tratamiento de los riesgos, para garantizar que se desarrollen con la oportunidad y calidad requeridas De los/las Referentes SIG de los Procesos y Alcaldías Liderar las mesas de revisión y/o actualización de las matrices de riesgos de los procesos o Alcaldías locales Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 6 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 Realizar reporte de seguimiento a las gestión de los riesgos De los/las Servidores/as públicos de los Procesos Participar en el seguimiento y tratamiento de los riesgos de los procesos a los que pertenecen Reportar con oportunidad las posibles situaciones que identifique y considere que constituyan riesgo para el desarrollo de los procesos en los que participa, y que no se encuentren incluidas en las matrices de riesgo El desarrollo de las etapas de la gestión de los riesgos que son competencia de los diferentes procesos se realiza de manera colectiva, a través de los equipos de trabajo por Proceso, de los que deberán hacer parte el líder o responsable, el referente SIG, el gestor ambiental los responsables técnicos de las diferentes temáticas y, cuando se requiera su apoyo, el analista SIG del proceso. Para el caso de los riesgos de corrupción, deben participar los responsables de cada proceso o alcaldía local, el líder del Plan Anticorrupción y Atención a la Ciudadanía y la Dirección de Planeación y Sistemas de Información, de acuerdo a las actividades que se les asignan en el presente documento. Del Líder del Plan Anticorrupción y de Participación Ciudadana Verificar el cumplimiento de las acciones establecidas en el plan de mejora de los riesgos de corrupción, con base en el reporte generado por la Dirección de Planeación y Sistemas y promover la toma de medidas que conduzca a subsanar los incumplimientos que se presenten y su desarrollo efectivo Liderar la actualización y seguimiento de la matriz de riesgos de corrupción y determinar la oportunidad y metodología de trabajo para ello Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 7 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 II. ETAPAS DE LA GESTIÓN DEL RIESGO La gestión de los riesgos al interior de la Entidad se hace en desarrollo de la siguiente secuencia: 1 CONTEXTO 8 2 REVISIÓN POR LA DIRECCIÓN IDENTIFICACIÓN 7 3 EVALUACIÓN ANÁLISIS 4 6 VALORACIÓN SEGUIMIENTO 5 TRATAMIENTO Fundamentado en la NTC ISO 31000. Gestión del riesgo. Principios y directrices, la GTC 104 Gestión de riesgos ambientales, La Guía de Administración del Riesgo del DAFP (2011) y el Manual técnico del MECI para el Estado Colombiano (2014) Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 8 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 1. CONTEXTO 9 Actividad: 9 Responsable: 9 Registro: 9 Periodicidad: Identificar el Contexto Líder o Responsable del proceso Documento de identificación del contexto para la formulación del mapa de riesgo Cuatrienalmente El desarrollo de las etapas de gestión del riesgo en la Entidad implica una labor de identificación y comprensión de los elementos tanto internos como externos que en alguna medida pueden llegar a incidir sobre el cumplimiento de los objetivos de la Secretaría Distrital de Gobierno, que pueden derivar en situaciones de corrupción o afecten negativamente la participación ciudadana y/o generar impactos ambientales. Tales elementos constituyen el contexto, cuyo conocimiento permite identificar y tratar los riesgos a los que se encuentra expuesta la gestión de la institución. El contexto debe incorporar el diagnóstico del comportamiento de la gestión de la organización y su desempeño en el cumplimiento de sus objetivos; el cual debe combinarse con elementos externos, tales como: − − − − − − Sociales Económicos Políticos Ambientales Legales Tecnológicos Así como internos, dentro de los cuales pueden encontrarse: − − − − − − − Cultura organizacional Marco estratégico Estructura organizacional Procesos Sistemas de información Recursos Información sobre las faltas disciplinarias más recurrentes Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 9 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 De su análisis individual, así como de las relaciones existentes entre ellos, puede establecerse la manera en que éstos inciden en mayor o menor medida en el cumplimiento de los objetivos y las metas de la organización y la observancia de los principios de la función administrativa. Dicho contexto deberá ser sometido a revisión en un término menor de los 4 años indicados en la ficha técnica, cuando se presenten cambios significativos en uno o varios de los factores de análisis que incidan de manera importante en el cumplimiento de los objetivos de los procesos, la calidad de los productos o servicios prestados o la satisfacción de los usuarios. Para la realización de tal actividad, los/las líderes/as y responsables de los procesos podrán contar con el acompañamiento de los Analistas de procesos, así como de los profesionales de la Oficina de Control Interno. 2.IDENTIFICACIÓN DEL RIESGO 9 Actividad 9 Responsable: 9 Registro: Identificar los eventos de riesgo, sus causas y sus consecuencias Líder del proceso Matriz de Riesgos La identificación de los riesgos se realiza precisando los siguientes elementos: − Evento de riesgo: Incidente o situación, que ocurre en un lugar determinado durante un periodo determinado y que genera desviaciones negativas en la gestión, impide el cumplimiento del objetivo del proceso o de los principios de la función administrativa o genera impactos ambientales. Se redacta siguiendo los siguientes criterios: o Riesgos de gestión de los procesos, ambientales, de participación ciudadana Acción negativa que se origina en la prestación de un servicio o la entrega de un producto (interno o externo) de los procesos de la SDG, expresado con un verbo sin conjugar, sin infinitivo. (Ejm: Pérdida, daño, filtración, decisión) + Objeto / sujeto sobre el que recae la acción Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 10 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 La gestión de los riesgos ambientales se realizará por procesos, los cuales serán incorporados a las matrices en los casos en que la prestación de los servicios o la realización de los productos del proceso generen directamente impactos en el ambiente. En los casos en que los impactos ambientales se deriven de actividades desarrolladas por parte de terceros, pero relacionadas con el cumplimiento del objetivo del proceso, o que tengan lugar en sedes que no se encuentran concertadas en el Plan Institucional de Gestión Ambiental de la entidad, se deberán incorporar tales eventos como riesgos dentro de la matriz de riesgos del proceso, y las acciones de tratamiento se orientarán a las gestiones adelantadas por la SDG para que el tercero responsable implemente los controles que corresponda. o Riesgos de corrupción Acción negativa que recae sobre los productos y/o servicios (internos o externos) de los procesos de la SDG, expresado con un verbo sin conjugar, sin infinitivo. (Ejm: Pérdida, daño, filtración, decisión) + Objeto sobre el que recae la acción + Beneficio particular derivado de la acción − Causas: Características de un elemento que interviene en la gestión y que puede desencadenar el evento de riesgo; por ejemplo para un evento de riesgo relacionado con la imposibilidad para atender a la ciudadanía, se identificarían causas tales como: Inadecuado funcionamiento de los equipos de computo Incompetencia de parte del servidor público que presta el servicio Personal insuficiente para la prestación del servicio. Se redacta siguiendo los siguientes criterios: o Riesgos de gestión de los procesos, ambientales, de participación ciudadana Inexistencia o debilidad de los controles institucionales o de proceso Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 11 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 o Riesgos de corrupción Inexistencia o debilidad o en los controles institucionales o de proceso + Voluntad / intención personal de usar inadecuadamente el poder para beneficios particulares − Consecuencias: Efectos negativos o pérdidas relacionadas con el ambiente, la gestión institucional o el cumplimiento de los principios de la función administrativa, generados por el evento de riesgo. Se redacta siguiendo los siguientes criterios: o Riesgos de gestión de los procesos, ambientales, de participación ciudadana Descripción de los efectos negativos o pérdidas relacionadas con el ambiente, la gestión institucional o los procesos de participación ciudadana o Riesgos de corrupción Descripción del incumplimiento o afectación negativa a los principios de la función pública en la gestión de la Entidad, a los usuarios o a la relación de la Entidad con la ciudadanía. Principios de la función pública: - Buena fe - Igualdad - Moralidad - Responsabilidad - Economía - Imparcialidad - Eficiencia - Participación - Publicidad - Celeridad - Transparencia Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 12 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 3.ANÁLISIS DEL RIESGO 9 Actividad 9 Responsable: 9 Registro: Calificar la probabilidad de ocurrencia e impacto del riesgo Líder del proceso Matriz de Riesgos En esta etapa, se determina el grado de incidencia que tiene el riesgo, a partir de la combinación de la calificación del impacto de las consecuencias y la probabilidad de ocurrencia del riesgo. Este grado de incidencia determina la zona en la que éste se ubica (zona de riesgo aceptable, moderada o inaceptable). El análisis siempre se realizará de acuerdo a lo establecido en las normas técnicas aplicables a cada subsistema de gestión. - Probabilidad: Grado en el cual es posible que ocurra un evento de riesgo. PROBABILIDAD La probabilidad puede ser baja, media o alta, de acuerdo con los siguientes criterios: BAJA 1 MEDIA 2 ALTA 3 Ocurriría sólo en circunstancias excepcionales Podría ocurrir en algunas ocasiones Se espera que ocurra en la mayoría de las circunstancias - Impacto del riesgo: Severidad con la que afecta la consecuencia del riesgo El impacto puede ser leve, moderado o catastrófico, de acuerdo con los siguientes criterios: Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 13 de 24 Código: 1D-PGE-M004 PLANEACIÓN Y GERENCIA ESTRATÉGICA Versión: 1 Manual de Gestión del Riesgo Vigencia desde: 9 de junio de 2015 IMPACTO LEVE 1 MODERADO 2 Afecta de manera considerable el Afecta de manera mínima el desempeño del desempeño del proceso o las proceso o las condiciones del ambiente condiciones del ambiente CATASTRÓFICO 3 Afecta el desempeño de la Entidad, a los usuarios de sus servicios o de manera significativa al ambiente NOTA: El impacto de los riesgos ambientales y de corrupción siempre se calificará como catastrófico PROBABILIDAD ESTABLECIMIENTO DE LA ZONA DE RIESGO CONSECUENCIAS ZONAS DE LEVE MODERADO CATASTRÓFICO RIESGO 1 2 3 BAJA 1 Aceptable Aceptable Moderada MEDIA 2 Aceptable Moderada Inaceptable ALTA 3 Moderada Inaceptable Inaceptable CARACTERÍSTICAS DE LOS RIESGOS DE ACUERDO A LA ZONA EN QUE SE UBICAN ACEPTABLE Tienen la menor probabilidad de ocurrencia y los menores efectos que pueden ser fácilmente remediados MODERADA La alta incidencia de uno de los factores (probabilidad o consecuencia) es compensada por la menor magnitud del otro INACEPTABLE Son los riesgos de mayor probabilidad de ocurrencia e impacto para la entidad Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 14 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 4.V VALORACIÓN DEL RIESGO Actividad: Responsable: Registro: Evaluar los riesgos Líder del proceso Matriz de Riesgos Esta etapa tiene como propósito establecer la prioridad con la que deben ser tratados los riesgos, a partir de la confrontación de la zona de riesgo identificada con los controles existentes, lo que determina una zona de riesgo residual. Este análisis obedece a que si bien se reconoce la existencia de situaciones de riesgo, su grado de incidencia se puede reducir si la entidad cuenta con mecanismos para su manejo (controles existentes) Los mecanismos de manejo de los riesgos son controles que afectarán la calificación de la probabilidad de ocurrencia y/o del impacto, dependiendo de su naturaleza: • • Control preventivo: Enfocado a las causas del riesgo. Reduce la calificación de la probabilidad de ocurrencia. Para facilitar su asociación a las diferentes causas de riesgo, se deberá señalar el número de la causa que se está controlando. Control correctivo: Enfocado a las consecuencias del riesgo. Reduce la calificación del impacto. Algunos de los posibles controles son: CONTROLES DE GESTIÓN /OPERACIONALES Reportes de indicadores de Políticas claras aplicadas gestión - Tableros de control Seguimiento a los Planes Evaluación el Desempeño Seguimiento a Cronograma Informes de Gestión Actividades de control Contingencias y respaldo establecidas en procedimientos Listas de chequeo Seguridad Física Verificación de Firmas Pólizas Registro controlado Custodia apropiada Niveles de autorización Consecutivos Personal capacitado Segregación de funciones Aseguramiento y calidad Conciliaciones Interventoría y Supervisión de contratos CONTROLES LEGALES Normas claras y aplicadas Control de Términos Tomado de la Guía para la Administración del riesgo. DAFP Los riesgos operacionales son los aplicados para los riesgos ambientales Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 15 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 En la matriz de riesgos solamente se registran los controles que cumplan con las siguientes tres características: • • • Se encuentren documentados en el Sistema Integrado de gestión o en alguna disposición normativa, adoptados y socializados Se estén aplicando y Hayan impedido la materialización del riesgo o reducido su impacto. Frente a los controles que se identifiquen y no cumplan alguna de estas características, corresponderá al equipo de trabajo de cada proceso con el acompañamiento del analista SIG, formular y ejecutar las acciones que correspondan para mejorar su eficacia en los casos que sea procedente. Dado que la orientación de la gestión de los riesgos es prevenir que las situaciones de riesgo se materialicen, se otorga un mayor valor a la implementación de controles preventivos, en procura de la eficiencia de la gestión de la entidad. A partir de la incidencia de los controles en la zona de riesgo, éste queda ubicado en una nueva zona que se conoce como zona de riesgo residual. Los riesgos que la Entidad está dispuesta a asumir son aquellos que luego de la evaluación se ubiquen en la zona de riesgo residual aceptable. En tal caso, la formulación de acciones de tratamiento es discrecional de los equipos de trabajo responsables. 5.T TRATAMIENTO 9 Actividad 9 Responsable: 9 Registro: Adelantar acciones para reducir los riesgos Líder del proceso Plan de mejora por riesgos: Acciones preventivas, correcciones o acciones correctivas en los casos en los que se materializan los riesgos Las acciones del Plan de tratamiento de los riesgos se orientan a establecer o fortalecer controles para: − Reducir la probabilidad de ocurrencia (Acciones preventivas): son definidas siguiendo la metodología establecida en el procedimiento Gestión para la mejora y teniendo en cuenta su factibilidad y efectividad. Tales acciones se incorporan en los Planes de mejoramiento por proceso Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 16 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 − Reducir los impactos de su materialización (Correcciones y/o Acciones correctivas): a través de las cuales se definen las medidas que se deberán adoptar en caso de que el riesgo tenga lugar, las cuales se registran en el plan de mejoramiento por proceso Con base en ellas, cuando alguno de los riesgos se materialice, se deben implementar correcciones o acciones correctivas siguiendo lo establecido en el procedimiento de gestión para la mejora. En todos los casos, el tratamiento de los riegos se determina de acuerdo a la zona de riesgo residual en que éste haya quedado ubicado, de la siguiente manera: ZONA DE RIESGO TRATAMIENTO ACEPTABLE Son los riesgos que generan menores efectos y que pueden ser fácilmente remediados. Por tal razón la Entidad los asume, es decir que no está obligada a desarrollar acciones de tratamiento. Este corresponde al nivel admisible de riesgo. MODERADA Se desarrollan acciones para reducir o compartir / trasferir el riesgo. Las acciones deben orientarse a fortalecer o implementar controles dentro de los procesos de la Entidad INACEPTABLE Se requiere una acción inmediata, para reducir o compartir / trasferir el riesgo. Las acciones deben orientarse a fortalecer o implementar controles dentro de los procesos de la Entidad De acuerdo a su propósito, las acciones giran en torno a: ACCIONES DE TRATAMIENTO DE LOS RIESGOS ASUMIR EL RIESGO EVITAR/ REDUCIR EL RIESGO COMPARTIR / TRANSFERIR EL RIESGO Hace referencia a la aceptación del riesgo y a sus pérdidas que pueden quedar después de la aplicación del control. Esta alternativa no implica el desarrollo de ninguna acción concreta que deba ser incluida en el plan de mejoramiento del proceso. Disminuye la probabilidad de ocurrencia, mediante medidas de prevención que se orienten a atacar las causas, así como medidas correctivas que reduzcan el impacto de las consecuencias. La formulación y el desarrollo de las acciones preventivas y/o correctivas que se establezcan no dependerán sólo del proceso en el que se manifiesta el riesgo, sino de otros agentes (internos o externos) a quienes afecte o estén en capacidad de ejecutarlas. Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 17 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 6. SEGUIMIENTO 9 Actividad: 9 Responsable: 9 Registro: 9 Periodicidad: Efectuar seguimiento al comportamiento de los riesgos y las acciones de tratamiento Riesgos de gestión, ambientales y de participación ciudadana: Líder del proceso Riesgos de corrupción: DPSI (Generación de reporte) Líder del Plan anticorrupción y de atención a la ciudadanía (Riesgos procesos primer nivel) Subsecretaría de Asuntos Locales (Riesgos procesos nivel Desarrollo local) Reporte efectuado mediante la herramienta de seguimiento dispuesta en la intranet Campo control de cambios de la matriz de riesgos Riesgos: Cuatrimestralmente Tratamiento: De acuerdo a la metodología de gestión para la mejora Corresponde a la recolección regular y sistemática de información sobre: SEGUIMIENTO METODOLOGÍA DE SEGUIMIENTO EJECUCIÓN DE LAS ACCIONES ESTABLECIDAS PARA 1 EL REALIZAR TRATAMIENTO DE LOS RIESGOS A través de la revisión de los avances del Plan de mejoramiento por proceso, siguiendo lo establecido en el procedimiento Gestión para la mejora PERIODICIDAD De acuerdo a la periodicidad establecida en el Plan de mejoramiento del proceso A través de la revisión periódica COMPORTAMIENTO de los riesgos identificados y del 2 DE LOS RIESGOS DE Cuatrimestralmente reporte permanente en la LOS PROCESOS herramienta de seguimiento Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 18 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 1. Seguimiento al tratamiento: El seguimiento al avance de las acciones de tratamiento a los riesgos se fundamenta en las evidencias que carguen los responsables de tales acciones en el Aplicativo Gestión para la Mejora, con lo oportunidad que allí se establezca − Para el caso de los riesgos de gestión, ambientales y de participación ciudadana, el análisis de los avances y la adopción de medidas de ajuste corresponde al líder de cada uno de los procesos. − Para el caso de los riesgos de corrupción, la Dirección de Planeación y Sistemas de Información generará los reportes de avances de cumplimiento de las acciones desde el Aplicativo SIG – módulo Gestión para la mejora; e informará de ello al Responsable del Plan Anticorrupción y Atención a la Ciudadanía, para que se adopten las medidas de ajuste que se consideren necesarias. 2. Seguimiento al comportamiento de los riesgos: Seguimiento periódico: Con una periodicidad cuatrimestral, los responsables de los procesos y alcaldías locales, con el acompañamiento del/ de la Referente SIG y del / de la Referente ambiental, realizan un análisis de la totalidad de los riesgos de gestión, ambientales y de participación ciudadana de los que son responsables o que afectan su desempeño y que se encuentran establecidos en las matrices vigentes. Los resultados de dicho análisis deben ser reportados a la DPSI por el Referente SIG y/o el ambiental según corresponda, a través de la herramienta de seguimiento de riesgos dispuesta para tal fin en la intranet de la Entidad, en el banner del Subsistema de Gestión del Riesgo. Igualmente, deberán adjuntar como soporte del trabajo adelantado con los equipos, las actas de reunión La información reportada a través de dicha herramienta será consolidada por la DPSI para: − Servir como insumo en la Revisión de la Alta Dirección: Aquella correspondiente a los riesgos de gestión, ambientales y de participación ciudadana. − Adoptar las medidas correspondientes en el marco de lo establecido en el Plan Anticorrupción y atención a la ciudadanía: la correspondiente a los riesgos de corrupción, cuyo consolidado será remitido al líder de dicho Plan. Seguimiento permanente: Con el fin de contar con información concreta acerca del comportamiento de los riesgos de cada uno de los procesos, cualquier/a servidor/a público/a podrá reportar de manera inmediata, a través de la herramienta de reporte de riesgos: Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 19 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 − La materialización de los riesgos que hagan parte de las matrices vigentes de los procesos en los que participa. − La existencia de eventos de riesgos de gestión, ambientales o de participación ciudadana adicionales a los que hacen parte de las matrices Tal información será suministrada por correo electrónico mensualmente por parte de la DPSI a los líderes de proceso o Alcaldes locales, y a los referentes que corresponda, para que determinen la pertinencia de efectuar cambios en la matriz de riesgos con base en la información reportada. 6.1 ACTUALIZACIÓN DE LAS MATRICES DE RIESGOS: Los criterios que deben orientar la actualización de las matrices de riesgos son los siguientes: − Cada vez que se identifique la materialización de un riesgo de gestión, ambiental o de participación ciudadana, es necesario que se adelante la inmediata actualización de la matriz de riesgos. − Cuando se materialice un riesgo que se encuentre incluido en la Matriz de Riesgos, se debe subir la calificación de su probabilidad de ocurrencia al siguiente nivel. − En el caso de los riesgos de corrupción, la actualización se realizará en el momento en que así lo establezca el líder del Plan Anticorrupción y de Atención a la ciudadanía. − Los riesgos que se encuentren incorporados en una matriz sólo se eliminarán en los siguientes casos: − Las causas que lo originen desaparezcan − El/los servicios al/a los que se asocia ya no sea/n responsabilidad de la Entidad − Alguno o todos los elementos del riesgo no corresponden con los criterios técnicos establecidos − El control de cambios de la matriz de riesgos debe contener la descripción clara de las inclusiones, eliminaciones o modificaciones realizadas a cada uno de los riesgos en cualquiera de los elementos de la identificación, análisis y valoración de los riesgos; de modo que permita realizar la trazabilidad de los cambios de la manera más precisa posible. Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 20 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 7.EVALUACIÓN La evaluación independiente y objetiva sobre la efectividad de la gestión de los riesgos de la entidad, con el fin de identificar oportunidades de mejora, corresponde a la Oficina de Control interno, de conformidad con lo establecido en las disposiciones normativas vigentes, tales como la Ley 87 de 1993, el Manual técnico del MECI, La Guía de Administración del Riesgo del DAFP, y las que por la naturaleza de sus funciones le correspondan en el marco de lo establecido en la NTC ISO 31000 y la NTD SIG 001:2011. Los lineamientos operativos para el ejercicio de estas funciones serán establecidas por la mencionada Oficina, en los documentos que a su juicio sean los más convenientes. 8.REVISIÓN POR LA DIRECCIÓN Los resultados del análisis del comportamiento de los riesgos y de la efectividad del tratamiento a los riesgos de la Entidad serán un insumo para la revisión del Sistema Integrado de Gestión por parte de la Alta Dirección. De manera especial los riesgos que se ubiquen en la zona de riesgo residual inaceptable, así como los riesgos de corrupción siempre serán un elemento de análisis para la revisión por la Alta Dirección La periodicidad y el enfoque con que se realiza dicha revisión corresponde a la establecida en el manual de calidad o sus equivalentes. Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 21 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 DOCUMENTOS DEL SIG RELACIONADOS Documentos internos CÓDIGO SIG 1D-PGE-F001 1D-PGE-F037 NOMBRE DOCUMENTO Formato matriz de riesgos Formato mapa de riesgos de corrupción Normatividad vigente NORMA AÑO Ley 87 1993 Ley 489 1998 Ley 1474 2011 Decreto 2145 1999 EPÍGRAFE ARTÍCULO(s) Por la cual se establecen las normas para el ejercicio del control interno en las entidades y organismos del Estado. Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública Por la cual se dictan normas sobre el Sistema Nacional de control interno de las entidades y organismos de la administración pública del Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 22 de 24 PLANEACIÓN Y GERENCIA ESTRATÉGICA Manual de Gestión del Riesgo NORMA AÑO Decreto 1537 2001 Decreto 371 2010 Decreto 2641 2012 Resolución 520 2013 Decreto 1599 2005 Código: 1D-PGE-M004 Versión: 1 Vigencia desde: 9 de junio de 2015 EPÍGRAFE ARTÍCULO(s) orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el Decreto 2593 del 2000 Reglamenta parcialmente la Ley 87 de 1993. Estableció que todas las entidades de la Administración Pública deben contar con una política de administración de riesgos Por el cual se establecen lineamientos para preservar y fortalecer la transparencia y para la prevención de la corrupción en las Entidades y Organismos del Distrito Capital Por el cual se reglamentan los artículos 73 y 76 de la ley 1474 de 2011 Por la cual se crea el Comité del Sistema Integrado de Gestión y los Subcomités Técnicos para la implementación y mejora de los Subsistemas de Gestión, y se dictan otras disposiciones Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 23 de 24 Código: 1D-PGE-M004 PLANEACIÓN Y GERENCIA ESTRATÉGICA Versión: 1 Manual de Gestión del Riesgo Vigencia desde: 9 de junio de 2015 Documentos externos NOMBRE Norma técnica Colombiana ISO 14001 Guía GTC 104. Gestión del Riesgo Ambiental. Principios y Proceso Norma técnica de calidad de la gestión pública NTCGP 1000:2009 NTD-SIG 001 Norma Técnica Distrital del Sistema Integrado de Gestión para las entidades y organismos distritales NTC ISO 31000. Gestión del Riesgo. Principios y directrices Guía para la Administración del Riesgo Manual técnico del modelo estándar de control interno para el Estado colombiano MECI 2014 FECHA DE PUBLICACIÓN O VERSIÓN ENTIDAD QUE LO EMITE MEDIO DE CONSULTA 2004 ICONTEC Digital 2009 ICONTEC Digital 2009 DAFP Físico 2011 Secretaría General de la Alcaldía Mayor Físico Febrero 16 de 2011 ICONTEC Físico Septiembre de 2011 Departamento Administrativo Función Pública de la Digital Mayo de 2014 Departamento Administrativo Función Pública de la Digital Nota: “Si este documento se encuentra impreso se considera Copia no Controlada. La versión vigente se encuentra publicada en la intranet de la Secretaría Distrital de Gobierno” Página 24 de 24