You are on page 1of 9
ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 1 de 9

  • 1. OBJETIVO

Definir las actividades requeridas para la administración del riesgo, a partir del desarrollo de una metodología para la identificación, análisis y valoración del riesgo con el fin de definir e implementar planes de acción para mitigar los riesgos que pueden llegar a generar desviaciones de los procesos e incumplir con la Política para la Gestión Integral del Riesgo del Invima, los objetivos institucionales o los objetivos de los macroprocesos y procesos que hacen parte del Sistema de Gestión Integrado del Invima.

  • 2. ALCANCE

Este procedimiento tiene alcance para todos los procesos del Invima y va desde la identificación de los eventos y riesgos de proceso hasta la implementación de los planes de acción o los controles a que haya lugar, para mitigar los riesgos y su posterior monitoreo.

No se consideran dentro de este procedimiento los riesgos sanitarios, que son aquellos asociados a los establecimientos y tipos de productos vigilados por el Invima, debido a que se identifican y administran con la metodología IVC-SOA.

  • 3. DEFINICIONES

Administración de riesgos 1 : Conjunto de elementos de control que al interrelacionarse, permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pública autocontrolar aquellos eventos que puedan y la magnitud de sus consecuencias.

Activo 2 : Todo aquello que tiene valor para la organización.

Causas: Medios, circunstancias y agentes generadores de riesgo.

Contexto Estratégico: Insumo básico para la identificación de los riesgos en los procesos y actividades, el análisis se realiza a partir del conocimiento de situaciones del entorno de la institución, tanto de carácter social, económico, cultural, de orden público, político, legal y /o cambios tecnológicos, entre otros.

Consecuencia: Son los efectos ocasionados por la ocurrencia de un riesgo que afecta los objetivos o procesos de la entidad. Pueden ser una pérdida, un daño, un perjuicio, un detrimento. La consecuencia se convierte en un insumo de la mayor importancia, toda vez que es la base para determinar el impacto.

Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de ocurrencia del riesgo, el impacto de los riesgos y/o asegurar la continuidad del servicio en caso de llegarse a materializar el riesgo.

Control detectivo: Identifican los eventos en el momento en que se presentan.

Control preventivo: Anticipan eventos no deseados antes de que sucedan.

Control correctivo: Aquellos que permiten, después de ser detectado el evento no deseado, el restablecimiento de la actividad.

Evaluación: Nivel en que se encuentra el riesgo resultado de calificarlo con base a la probabilidad y el impacto de ellos.

Evaluación del control: Verificación y evaluación del control, determinar la calidad y efectividad de los controles internos a nivel de los procesos y de cada área organizacional responsable, permitiendo emprender las acciones de mejoramiento del control requeridas.

Evento: presencia o cambio de un conjunto particular de circunstancias.

Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo dado.

  • 1 Guía para la administración del riesgo, Departamento Administrativo de la Función Pública (DAFP). 2011

  • 2 ISO/IEC 27000:2009, Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la información. Visión General y vocabulario

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 2 de 9

Impacto: Grado en que las consecuencias pueden generar pérdidas al Invima si se llega a materializar el riesgo.

Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.

Probabilidad: Grado en el cual es probable que ocurra un evento, este se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir. La Probabilidad puede ser medida con criterios de Frecuencia, si se ha materializado o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Riesgo: Es la posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos

Riesgo inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de control para modificar su probabilidad o impacto. Es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de éste se hagan a su interior.

Riesgo residual: Nivel de riesgo que permanece luego de tomar medidas de control y opciones de tratamiento de riesgo.

Valoración: Resultado de confrontar el riesgo con la calidad de los controles existentes.

Tipos de riesgos en el Invima:

Estratégicos (RE): son los riesgos que se generan a partir de las condiciones estratégicas y de soberanía de la empresa. Pueden afectar el logro de los objetivos y las metas de las direcciones misionales, riesgos asociados a disponibilidad de capital y a la continuidad del negocio. Usualmente estos riesgos se identifican en los procesos estratégicos.

Corrupción (RC): Son los riesgos que se generan de la posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular.

Operacionales de Calidad (RO): Son los riesgos que se generan a partir de los procesos y servicios, incluyendo los aspectos relacionados con el funcionamiento y desarrollo de las operaciones.

Ambientales (RA): Son los riesgos que se generan a partir de las actividades realizadas y que pueden ocasionar alguna forma de cambio al medio ambiente.

Seguridad de la Información (RI): Son los riesgos que se generan a partir de la disponibilidad, protección, integridad y acceso a la información de la organización a través de su infraestructura, métodos y procesos de generación, almacenamiento, transporte, consulta y análisis. Son aquellos riesgos que atenten contra la disponibilidad, confidencialidad e integridad de la información independiente del medio en que esta se encuentre. Este tipo de riesgos serán analizados en conjunto con la Oficina de Tecnologías de la Información y las comunicaciones.

Tecnológicos (RT): Son los riesgos que se relacionados con la capacidad tecnológica del Instituto y que le permite soportar la operación y toma de decisiones de cada una de sus área. Generalmente asociadas con los sistemas de información, aplicaciones, programas, plataforma tecnológica y de comunicaciones. Este tipo de riesgos serán analizados en conjunto con la Oficina de Tecnologías de la Información y las comunicaciones.

Seguridad y Salud en el Trabajo (RS): Son los riesgos generados en las actividades realizadas y que pueden afectar el bienestar social, mental y físico de los trabajadores. El grupo de Talento Humano será el responsable del manejo de los riesgos laborales, sicosociales, riesgos por accidentes de trabajo y enfermedades laborales bajo las condiciones de organización, a las que pueden estar expuestos sus trabajadores, contratistas, clientes, usuarios o comunidad ubicada en el área de influencia y serán reportados en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles modelo según Norma GTC 45 ICONTEC, publicada en Intranet.

Tratamiento de Riesgos:

Evitar: tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 3 de 9

emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

Reducir: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles.

Transferir: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones o dependencias, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización.

Asumir: luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el líder del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. No aplica para los riesgos de corrupción.

  • 4. DOCUMENTOS DE REFERENCIA

  • 5. CONTENIDO O DESARROLLO DEL PROCEDIMIENTO

ACTIVIDAD

 

DESCRIPCIÓN

RESPONSABLE

 

Analizar los factores internos o externos del proceso que pueden generar riesgos que afecten el cumplimiento de sus objetivos; para esto, se debe analizar la plataforma estratégica, las metas, objetivos estratégicos, objetivos asociados a las políticas institucionales y objetivos de cada uno de los procesos.

 

Analizar el entorno estratégico del proceso

El análisis del contexto estratégico se realiza a partir del conocimiento e identificación de situaciones del entorno tanto de carácter social, económico, cultural, de orden público, ambiental, seguridad y salud en el trabajo, político, legal y /o cambios tecnológicos que afectan o pueden afectar al cumplimiento de los objetivos definidos en el Instituto.

Servidor Público de todos los procesos

Identificar y registrar los eventos

Hacer una lluvia de ideas para después listar los eventos que puedan generar desviación en las actividades del proceso en estudio, estos eventos pueden impedir o retrasar el logro de los objetivos del proceso, se debe realizar con la participación de los ejecutores de las actividades de los procesos y el acompañamiento del grupo del Sistema de Gestión Integrado, basados en sus experiencias, registros y análisis del procedimiento y lineamientos del proceso, lluvia de ideas, reunión de expertos, listas de verificación, análisis de peligros, controles de proceso existentes, estudios críticos, análisis de escenarios resultados de indicadores, auditorías internas y externas entre otros.

Líder de proceso o servidor público de todos los procesos y Grupo de sistema de gestión integrado.

Las fuentes de información para identificar estos eventos, entre otras son:

1.

Análisis de las actividades que agreguen valor y/o que el líder del proceso considere criticas de cada uno de los procedimientos del proceso.

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 4 de 9

ACTIVIDAD

 

DESCRIPCIÓN

 

RESPONSABLE

   
  • 2. Caracterización del proceso y macroproceso:

 

Información general, objetivos, alcance Información relacionada y partes interesadas.

  • 3. Indicadores y Salidas No Conformes: A partir de esta información se puede evidenciar la materialización de los eventos.

  • 4. Matriz de identificación de aspectos

  • 5. Controles asociados a los procedimientos.

y

valoración de impactos ambientales y

el

panorama de riesgos.

  • 6. Entorno del proceso.

 

Estos eventos se registran en el Formato Evaluación de Eventos SGI-EMC-FM011, donde se identifican sus posibles causas, posibles consecuencias para determinar cuáles son los eventos que requieren especial atención, los cuales serán priorizados y tratados como riesgos.

Nota 1: Si, se identifica un evento de Seguridad de la Información o Tecnológico se debe informar a la Oficina de Tecnologías de la Información, para tener en cuenta inicialmente el establecimiento de activos de información críticos asociados al proceso en análisis, para determinar si es un proceso crítico para la seguridad y privacidad de la información.

 

Revisar la redacción de los eventos priorizados para ajustarlos y describirlos como riesgos y las posibles causas y consecuencias, teniendo en cuenta:

 

Descripción del riesgo:

 

Estar

escrito

en

un

lenguaje

común

y

comprensible para toda la Entidad.

 

Evitar expresiones de negaciones. Ejemplo:

 
 
No afiliar oportunamente.

No afiliar oportunamente.

Inoportunidad en la afiliación

Responder fácilmente a la pregunta si ocurre el

riesgo ¿Qué

pérdida

se

genera?

Es

decir,

permita identificar

la

pérdida

potencial

de

dinero,

imagen

 

institucional,

credibilidad,

Revisar y ajustar los

estatus sanitario del

 

país,

perdidas de

Grupo de Sistemas de

eventos

información, etc.

 

Gestión integrado

Permitir

establecer

 

su

probabilidad

de

ocurrencia

e

impacto

en

caso

de

materialización.

 

Descripción de las posibles causas:

 

Internas:

 

Mano de Obra (competencia, suficiencia):

desmotivación de los servidores, falta de incentivos, carrera administrativa sin posibilidades de ascenso, falta de capacitación

para desarrollar proyectos rotación

o

procesos,

alta

Materia Prima (información confiable, oportuna, suficiente): falta de control sobre los canales establecidos, falta de registros de resultados de reuniones, demoras en consecución de

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 5 de 9

ACTIVIDAD

 

DESCRIPCIÓN

 

RESPONSABLE

   

información):

   

Método (procedimientos no aplicados o inexistentes): incoherencia entre procesos establecidos y ejecutados, desconocimiento de los procesos y procedimientos por parte de los servidores, desactualización de documentos

Maquinaria (software, hardware): sistemas de gestión ineficientes, falta de optimización de sistemas de información y tecnología, falta de coordinación de necesidades de tecnología

Administrativa

y

Dirección

(Ausencia

de

políticas,

falta

de

aplicación

o

desconocimiento de las Políticas): estructura

organizacional

no

acorde

con

procesos,

indicadores mal formulados que no aportan a la

gestión

para

la

toma

de

decisiones,

desconocimiento

y

falta

de

aplicación

de

políticas

de

operación

por

parte

de

los

servidores.

Externas

 
 

Económicas: Disminución del presupuesto por prioridades del Gobierno, Austeridad en el gasto.

Políticas: Cambio de gobierno con nuevos planes y proyectos de Desarrollo, Falta de continuidad en los programa establecidos, Desconocimiento de la Entidad por parte de otros órganos de gobierno.

Sociales: Ubicación de la Entidad que dificulta el acceso al personal y al público, constantes marchas y paros en el centro de la ciudad.

Tecnológicas:

Falta de interoperabilidad con

otros

sistemas,

fallas

en

la

infraestructura

tecnológica,

falta

de

recursos

para

el

fortalecimiento tecnológico.

 

Medio

Ambientales:

Contaminación por

sustancias perjudiciales para la salud, mala práctica de clasificación de residuos.

Comunicaciones Externas: Múltiples canales e interlocutores de la Entidad con los usuarios, servicio telefónico insuficiente, falta de coordinación de canales y medios.

Legales: Cambios legales

y

normativos

aplicables a la Entidad y a los procesos.

 

Descripción de la materialización:

 

Posible resultado de

la

materialización,

responder la pregunta ¿en qué caso se puede

materializar el riesgo?

 

Descripción de las posibles consecuencias:

 

Precisar los efectos ocasionados en caso de que se materialice el riesgo identificado.

Nota 1: Para los riesgos de seguridad de la información la oficina de Tecnologías de la información deben determinar las causas desde el punto de vista de identificación de las amenazas y vulnerabilidades. (Ver Anexo 1). Para la identificación de las consecuencias

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 6 de 9

ACTIVIDAD

 

DESCRIPCIÓN

 

RESPONSABLE

 

derivadas de los riesgos de seguridad de la información de sebe tener en cuenta adicionalmente:

 
  • 1. Listado de activos de información y su relación con cada proceso de la entidad.

  • 2. Lista de amenazas y vulnerabilidades con respecto a los activos y su pertenencia.

Presentar propuesta

Una vez descritos los riesgos identificados

se

 

de riesgos identificados por el proceso

transcriben a la Matriz de Identificación y Valoración, Análisis y Tratamiento de Riesgos SGI-EMC-FM006 y se envía a los líderes de proceso para su aprobación y gestión.

Grupo de Sistemas de Gestión integrado

Seleccionar los riesgos a gestionar

Se analizan y se seleccionan los riesgos que a criterio del líder del proceso se deben gestionar diligenciando y reportando la información en la Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos SGI-

Líder de proceso

 
 

Medir el riesgo inherente, que es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de éste se hagan a su interior. El riego inherente se analiza y se evalúa a partir de la identificación de:

 

Analizar y evaluar el riesgo inherente.

La probabilidad, entendida como la posibilidad de ocurrencia del riesgo.

Servidores Públicos de todos los procesos

El

impacto,

referido

al

grado

en

que

las

consecuencias pueden

generar

pérdidas

al

Invima si se llega a materializar el riesgo.

 

Identificar los mecanismos, políticas, prácticas u otras acciones actuales que se aplican para minimizar el riesgo o potenciar oportunidades, con el fin de garantizar el desarrollo y cumplimiento de las actividades acorde a los requisitos institucionales.

 

Se debe seleccionar el tipo de control:

 

Preventivo: Anticipan eventos no deseados antes de que sucedan.

Detectivo: Identifican los eventos en el momento en que se presentan.

Identificar y valorar los controles

Correctivo: Aquellos que permiten, después de ser detectado el evento no deseado, el restablecimiento de la actividad. Este aplica para los Riesgos de Seguridad de la Información y Riesgos Tecnológicos.

Servidor Público de todos los procesos

Este se debe describir teniendo en cuenta:

 
 

Su objetivo: ¿Qué busca hacer el control?

 

Procedimiento:

¿Cómo

se lleva

a

cabo

el

control?

Responsable: ¿Quién lleva a cabo el control?

 

Frecuencia: ¿Cada cuánto se realiza?

 

Evidencia: Registro de la ejecución del control.

 

Determinar la probabilidad

y

el

impacto

del riesgo

 

después

de la ejecución de los controles,

es decir

el

Valorar Riesgo

riesgo residual.

 

Servidor Público de todos

Residual

Para

esto

se

debe

evaluar el funcionamiento del

los procesos

control, su adecuada ejecución y diseño para calcular

de nuevo

la

zona

de riesgo residual, mediante las

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 7 de 9

ACTIVIDAD

 

DESCRIPCIÓN

 

RESPONSABLE

 

preguntas establecidas en la pestaña Ev_Del Control de la Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos SGI-EMC-FM006.

 
 

Se debe decidir la opción para tratar los riesgos: Evitar, reducir, asumir o transferir el riesgo, estableciendo las acciones económicas, jurídicas y operativas viables para confrontar el riesgo, las cuales son acciones tendientes a reducir su probabilidad de ocurrencia o impacto de los riesgos.

 

Establecer las opciones de Manejo del Riesgo

Evitar

 

Servidor Público de todos los procesos

Reducir

Transferir

 

Asumir

 
 

De acuerdo con la zona del riesgo residual obtenida se tendrán en cuenta los siguientes criterios para reportar la acción de mejora:

 

Si la zona de riesgo residual es media, alta o extrema:

Definir acciones para

se debe reportar la Acción Preventiva, en el Formato de Acciones Correctivas, Preventivas y de Optimización SGI-EMC-FM001 de acuerdo con el Procedimiento

Acciones Correctivas, Preventivas y de Optimización

Servidor Público de todos los procesos

tratar el riesgo o mejorar el control

Los riesgos de zona baja se asumirán, a excepción de los riesgos de corrupción los cuales se deben seguir tratando.

Se debe identificar el plan de contingencia con el fin de dar continuidad a los objetivos de la entidad si el riesgo llegase a materializarse.

 

Cada vez que se identifique o modifique un riesgo se debe enviar la Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos código SGI-EMC-

 
 

al

correo

electrónico

 

El Grupo Sistema de Gestión Integrado consolida la

información

en

el

Mapa

de

Riesgos,

la

cual

es

publicada

en

el

link

 

En

el

caso

de

que

el

riesgo

reportado

sea

de

Corrupción, este se debe publicar además en el Plan

de Anticorrupción y Atención al Ciudadano, ubicado en el enlace de Transparencia y Acceso a la Información Pública de la página Web del Invima.

Líder del Proceso

Reportar Matriz de Riesgos

Nota 1: Los riesgos contenidos en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles de Riesgos de Seguridad y Salud en el Trabajo, se pueden visualizar en la caracterización del proceso Seguridad y Salud en el trabajo o el anexo del presente procedimiento y su tratamiento se realizará de acuerdo al procedimiento Seguridad y Salud en el Trabajo GTH-SST-PR001.

Grupo Sistema de Gestión Integrado

Nota 2: La matriz de riesgos de los proyectos que se creen en el procedimiento Formulación y Seguimiento al Plan Estratégico del Invima GDI-DIE-PR006, estarán descritos en las hojas de vida de los proyectos y se gestionaran según la metodología del instituto.

Nota 3: Los riesgos de seguridad de la información se

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 8 de 9

ACTIVIDAD

 

DESCRIPCIÓN

 

RESPONSABLE

 

reportaran en el proceso de gestión de la seguridad informática.

 
 

Realizar revisión y control sobre el comportamiento del riesgo identificado con el objetivo de:

 

Asegurar que los controles sean eficaces y eficientes en el diseño y funcionamiento.

Obtener más información para mejorar la evaluación de riesgos

Aprender lecciones a partir de los eventos, los

cambios, las tendencias, los éxitos fracasos.

y

los

Detectar

cambios

en

el

contexto

interno

y

Monitoreo y Control

externo.

de los riesgos

Valorar de

nuevo

el riesgo

con

base

en

la

Líder del proceso

identificados en el

implementación

de

las

mejoras

 

o

nuevos

proceso

controles

 

Adicionalmente, se debe revisar el cumplimiento del plan de acción que haya sido definido si fuere el caso, de acuerdo con lo establecido en el Procedimiento Acciones Correctivas, Preventivas y de Optimización SGI-EMC-PR001, lo que permite verificar que ejecuten las actividades planeadas.

Nota 1: En caso que se materialice un riesgo, se debe generar y reportar una acción correctiva, de acuerdo Procedimiento Acciones Correctivas, Preventivas y de Optimización SGI-EMC-PR001 y se debe iniciar este procedimiento desde la actividad “Analizar y Evaluar el Riesgo Inherente”.

 

Adelantar seguimiento a la

Matriz

de

Riesgos

 

Institucional, para vigilar

el

comportamiento

de

los

riesgos, sus controles y la ejecución de las acciones de

mejora.

Seguimiento a la Matriz de Identificación, Valoración, Análisis y Tratamiento de

Nota 1: Las auditorías internas son una de las formas de seguimiento a los riesgos institucionales donde se pueden revisar los controles asociados a los riesgos y el tratamiento de los mismos y además permiten detectar nuevos riesgos.

Servidor Público asignado de la Oficina de Control Interno

Riesgos

Nota 2: El seguimiento a los riesgos de corrupción se

realiza

de

acuerdo

con

la

estrategia

para

la

construcción del plan anticorrupción y de atención al

ciudadano.

  • 6. TIEMPO MÁXIMO DEL PROCEDIMIENTO

Lo establecido en el plan de acción de cada riesgo identificado

  • 7. PUNTOS DE CONTROL

Control

Responsable

Frecuencia

Evidencia

Evaluar los eventos identificados para

Líder de proceso y Servidor Público de todos

Cada vez que se requiera

Formato Diligenciado de Evaluación de Eventos

determinar su priorización

los procesos

Revisar y ajustar los eventos y describirlos

Grupo Sistema de Gestión Integrado

Cada vez que se requiera

Matriz de Identificación, Valoración, Análisis y

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO EVALUACIÓN Y MEJORAMIENTO CONTINUO

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES

Código: SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 9 de 9

como riesgos.

   

Tratamiento de Riesgos”

entregada a cada líder de

proceso

Visto bueno del líder del proceso a los riesgos identificados

Líder de Proceso

Cada vez que se requiera

Correo electrónico enviando a publicar la matriz de riesgos

Realizar seguimiento a las acciones preventivas generadas a partir de los riesgos identificados

Grupo Sistema de Gestión Integrado

Mensual

Matriz de seguimientos grupo Sistema de gestión integrado

Seguimiento a la Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos publicada.

Jefe de Oficina de Control Interno

Semestral

Informe de control interno.

Realizar el monitoreo de

   

Matriz de Identificación, Valoración, Análisis y

los riesgos

Líder de proceso

Cada vez que se requiera

Tratamiento de Riesgos”

  • 8. REGISTROS O DOCUMENTOS ASOCIADOS

Procedimiento Acciones Correctivas, Preventivas y de Optimización SGI-EMC-PR001 Formato de Acciones Correctivas, Preventivas y de Optimización SGI-EMC-FM001 Plan de Mejoramiento - Consolidado Acciones Correctivas, Preventivas y de Optimización SGI-EMC-FM002 Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos SGI-EMC-FM006 Formato Evaluación de Eventos SGI-EMC-FM011

  • 9. ANEXOS