01 ve鴫迫n 2de22 p互gina - iser.edu.co
TRANSCRIPT
1S U&4JR-23 C6digo 01 Vei6n
ACUERDO 3#bfV6 1de22 Pagina
Acuerdo No O22
(30 de Agosto de 2021)
“PoeI cual se deroga el Acuedo No. 018 deI 27 de noviembe de 2019 yse estabiece la
Politica para la Administaci6n de Riesgos en e=nstituto Supeio de Educaci6n Rual
ISER de PampIona,’’
DE PAMPONA
En uso de sus facultades Iegales y estatutariai en eSPeCial las que ie confiere el
acueO namero OlO del O2 de diciembre de 1993“ Estatuto General- ACulo 14
1iteraIay
CONSDERANDO
Que eteal f) deI aCulo 2O de Ia Ley 87 de 1993, eStabie∞ COmO unO de Ios objetivos
deI Sistema de ContO=nteno, ia definici6n y apIicaci6n de Ias medidas para prevenir los
riesgos’detecta y corregi Ias desviacjones que se presenten en ia oganizaci6n y que
Puede afectar e=ogO de sus objetivos.
Que, Segdn Ia Ley 87 de 1993, COnfome con el articuio lO Pafagafoico, los manuaIes
de procedimientos son instumentos a traves de los cuaies se cumpie el contol intemo.
Que’mediante el Deceto 1537 de 2001 se regIament6 parciaImente la Ley 87 de 1993, y
en el articulo 4 sehaIa la administaci6n de rfesgos '`Como pariegraI deI
I/ecienfo de tos sisfemas de ∞nfroI intemo en /as enades pabass
aufoades coIreSpOndientes esb/eceIn y apan poas de admstracn de/
sgo Pa!aI efec′ Iaenacn y anis de rfesgo debe ser ”n ProCeSO
peanenfe e mtecro en(admsIracn ys oas de confroI intemo o quienes
haga sus veces’eVa/uando /OS aSPeCfosnto htemos como extemos qu'e Puedenegar
a repsenr amenaza paconsecud6n de bs offvos o/ganaciones, COn mS a
esbfecer acciones efecS,pSendas en acdes de contro4 acoadas en!re
bs nesponsabs des areas o procesos ys oas de coOI iemo e hfegradas de
manehheIenfe bs pIOCedimienfos“,
Que’el Deceto 2641 de 2012’en el articulo IO, Sehala como metodoIogia para diser y
hace Seguimiento a Ia estategia de lucha ∞nta Ia coupci6n y de atenci6n aI ciudadano
de que tata el articulo 73 de la Ley 1474 de 201 1 , la establecida en el Pian AnticoPCi6n
y de Atenci6n a! Cjudadano’en CuyO Primer ∞mPOnente in∞rPOra la “MetodoIogia paa la
identificaci6n de riesgos de coPCi6n y acciones paa su manejo”.
nnγ00
ACuDO l 3#bfV6 2de22 Pgina
Que’el Decreto 124 de 2016’en Su articulo 21"41 y 2"1.4.2’eStablece la Estrategia de
lucha conta la coPCi6n y de Atenci6n al Ciudadano. Sefialando ∞mO metOdoIogia para
dise y ha∞ Seguimiento a la estategia de lucha contra la coupci6n y de atenci6n al
Ciudadano - Mapas de Riesgo de CouPCi6n de que tata e- articuIo 73 de la Ley 1474 de
201 1 , la establecida en ei Plan AnticoPCi6n y de Atenci6n aI Ciudadano contenida en el
documento `.Estategias paa la Constu∞i6n deI PIan AnticoPCi6= y de Atenci6n ai
Ciudadano-VeSi6n 2,,.
Que mediante Acuerdo No. 018 de1 27 de noviembe de 2019 se `apueba la Po-itica paa
Ia Gesti6n lntegral del Riesgo en e=nstituto Superio de Educaci6n Rua=SER de
PampIona’’ ia cuaI estaba basada en Ia “Guia paa Ia administraci6n de Riesgos de
Gesti6∩, Corrupci6n y Seguridad DigitaI y eI DiseO de Controles en Entjdadesbiicas
VerSi6n 4’’.
Que, ei Departamento Administrativo de ia Funci6n Polica, Public6 1a “Gufa paa Ia
administraci6n de Rjesgos y eI Disefro de Contoes en Entidades Policas vesi6n 5,,, en
diciembre de 2020 en ia que ``se actualizaron y precisaron aIgunos eIementos
metodo16gicos para mejorar ei ejercicio de idencaci6n y valoraci6n del iesgo" y define
que ``para la impIementaci6n de Ia gesti6n deI iesgo’eS neCeSario que cada entidad haga
un analisis de las estrategias, la fomuIaci6n de oPjetivos y Ia impIementaci6n de esos
OPjetivos en la toma de decisiones cotidiana, lo que pemitifa una identificaci6n del iesgo
adecuada a las necesidades de cada oganizacich, ∞n un enfoque peventivo que
Pemita Ia pOteCCi6n de Ios recuSOS, aicanza mejores esultados y mejoar Ia pestaci6n
de servicios a sus usuarios aspectos fundamentalesente a Ia generaci6n de vaIo
Pblico, eje fundamentai en ei que hace de todas las oganizaciones poIicas,,.
Que, Ia propuesta de la PoIftica para la Administaci6n de Riesgos en de=nstto
Superior de Edu∞Ci6n Rura=SER de Pamp!ona, fue prese=tada po la AIta Diecci6n aI
Comite de Coordinaci6n de Contro=ntemo, COnfome ai ∞mPOnente de institucionaiidad
bajo el cuaI funciona el Modeio Integado de PIaneaci6n y Gesti6n, adoptado mediante
Resoluci6n No. 100 de=5 de febero de 2021.
En mto de lo expuesto,
ACuERDA
ARTicuO PRMERO. Deroga el Acuedo No. 018 de1 27 de noviembe de 2019 “Po el
CuaI se aprueba la Politica para la Gestich IntegraI del Riesgo en e=nstituto Supeio de
Educaci6n Rura=SER de Pampiona’:
ARTicuO SEGUNDO. Estab-e∞ la PoIitica paa -a Administaci6n de Riesgos en eI
lnstituto Supeio de Educaci6n Rua=Sde PampIona, la cual quedaa de la siguiente
manera:
ACUERDO 3#bfV6 3de22 Pgina
PRESENTAC16N
E=nstituto Superio de Educaci6n Rura=SER de PampIona’define su po-itica para la
Administraci6n de Riesgos tomando ∞mO referente Ios pafametos del Mode-o lntegrado
de PIaneaci6n y Gesti6n (MiPG) en los pocesos, aSi como Ios dei ModeIo Estanda de
Contro=nteno (MECI), en lo con∞niente a las lineas de defensa y Ias diectrices de la
Guia para Ia administraci6n de Riesgos y el Disefro de Contoles en Entidades Pt]bIicas
VerSi6n 5 deI Departamento Administativo de la F…Ci6n Piica - DAFP, ia cual articula
Ios riesgos de gesti6n’COPCi6n y de seguad de la infomaci6n y la estuctura deI
Sistema Integrado de Gesti6n - SGl en ei equisito de PlaCaCi6n de Riesgos.
OBJETIVO
Oienta a Ios lidees de pO∞SOS de=nstituto Superior de Educaci6n Ruai sobre las
acciones que se deben adelanta, enCaminadas a disminui Ia probabilidad de ocurrencia
y posibie impacto de todas aque=as situaciones que puedan entorpecer el pop6sito de
aicanza de manea eficaz y efectiva e=ogO de los oPjetivos y ia misi6n institucionaI,
mediante Ia identificaci6n, ei monitoeo' Seguimiento y evaiuaci6n del rfesgo en Ios
Peiodos de tiempos establecidos en esta po!itica.
1. MBITO DE APLICACI6N
La poiitica para Ia Administraci6n de Riesgos aplica paa los planes, POgramaS, POCeSOS
y acciones ejecutadas por los lideres de procesos y servidoes durante el Qjecicio de sus
funciones, que inicia desde eI establecimiento del contexto’Ia idenCaCi6n de los iesgos,
evaIuaci6nmpIementaci6n de ios contOles y a∞iones que minimicen e=mpacto o Ia
PObabad de ocumencia de estos, hasta el monitoreo, Seguimiento y comunicaci6n.
2. TERMiNOS Y DEFINICIONES
DeCiones tomadas de Ia Noma NTC-1SO 31000 (lCONTEC 2018) y de la nueva guia
de administraciones dei rfesgo y disefro de controles en Entidades Policas (PubIicada po
el DAFP en ei 2O20).
Activo: En ei contexto de seguidad digitaI son eiementos taIes ∞mO aPlicaciones de
la organizaci6n, Servicios web, edes, Hadwae,OrmaCi6n digita=isica o digitaI,
recurso humano, entre OtOS, que utiIiza la organizaci6n para funciona en eI entomo
digl.
. Amenazas: Situacien potencial de un incidente no deseado, eI cual puede ocasiona
dafio a un sistema o a una organizaci6n.
Causa: Todos aqueIIos factores intenos y exte=OS que SOIos o en combinaci6n con
OtOS, Pueden produci ia mateializaci6n de un iesgo,
Consecuencia: Los efectos o situaciones esuItantes de la materializaci6n deesgo
que impactan en el pOCeSOa entidad, SuS guPOS de valor y demas partes
inteesadas.
ACUERDO 4#bfV6 4de22 Pga
Causa inmedia: CiCunStanCias bajo ias cuales se presenta el rfesgoPero nO
constituyen la causa pincipa1 0 base paa que se pesente el riesgo.
Causa Raiz Causa pincipal o basica, COrreSPOnde a las azones po la cuaIes se
Puede pesenta ei riesgo
Factoros de Riesgo: Son Ias fuentes geneadoas de riesgos.
Disponib=idad: POPiedad de se accesible y utiIizabIe a demanda po una entidad.
ConenciaIidad: POPiedad de ia infomaci6n que Ia hace no disponible, eS decir,
divuigada a individuos, entidades o procesos no autoizados.
ContoiSon Ias poIiticas’ProCeSOS, dispositivos, PaCticas y otas acciones que
actan paa eIimina O minimiza los iesgos, adveSOS O mejora oportunidades
POSitivas. Proveen una seguridad razonabIe reiativa a=ogO de Ios oetivos.
. 1dentificaci6n de=iesgoPOCeSO que detemina que puede sucede, PO que y el
c6mo.
. Nivel de riesgo: Es el valo que se detemina a parti de combina ia pobabdad de
OCuenCia de un evento potencialmente daO y la magnitud de=mpacto que este
evento traeria sobre la capacidad institucional de alcanza los oetivos.
. Apetito de riesgo: Es el nivei de iesgo que la entidad puede acepta, reIacionado
COn SuS OPjetivos, el marco legai y las disposieiones de ia Aita Direcci6n y del OanO
de Gobieno. Ei apetito de rfesgo puede se difeente para los distintos tipos de
riesgos que la entidad debe o desea gestiona.
Capacidad de riesgo: Es el maximo vaior deI nivel de iesgo que una E=tidad puede
SOPOrtar y a Parti dei cuaI se considera po Ia Alta Die∞i6n y el Organo de Gobiemo
que no seia posibie e=ogro de los oPjetivos de ia Entidad.
Riesgo de Seguidad de la Informaci6n: Posibilidad de que una amenaza ∞nCeta
Pueda expiotar una vulnerabilidad paa causa una pedida o dafio en un activo de
informaci6n. Sueie ∞nSideaSe COmO una COmbinaci6n de Ia pobabad de un
evento y sus consecuencias.
Riesgo: Es toda posidad de ocuenCia de una situaci6n que pueda entorpece eI
normaI desarrolIo de las funciones de ia entidad y le impidan e=ogO de sus objetivos.
Riesgo de Gesti6n: PosibiIidad de que suceda aIgevento que tenda un impacto
SObe cumpIimiento de los oPjetivos. Se expresa en trminos de pobabdad y
COnSeCuenCias.
Riesgo de Coupci6n: Posibad de que' PO aCCi6n u omisi6n, Se uSe eI poder
Paa desviar la gesti6n de lo pblico hacia un beneficio pivado.
Riesgo lnherenteEs aqueI al que se enfrenta una entidad en ausencia de acciones
de la direcci6n para modCa Su PObabad o impacto.
Riesgo Residuai: Nivel de iesgo que permanece luego de toma medidas de
tratamiento de riesgo.
Tolerancia aI riesgo: SOn los niveles aceptables de desviaci6n re!ativa a la
COnSeCuCi6n de oPjetivos. Pueden mediSe y a menudo resuita mejo, COn las mismas
unidades que Ios objetivos correspondientes. Para ei iesgo de ∞PCi6n la toIeancia
es inaceptabIe.
“mne0
ACUERDO 3#bfV6 5de22 Pina
ProbabiIidad: Se entiende como la posibad de ocurrencia del riesgo- Esta puede
Ser medida con criterios de frecuencia o factibiIidad.
. 1mpacto: Se entiende como las consecuencias que puede ocasiona a la organizaci6n
Ia materializaci6n del riesgo,
. Vaiorac6n del Riesgo: Es el counto de procesos que pemiten analiza y evalua el
esgo.
Vunerabilidad: Es una debilidad’atributo, cauSa O falta de ∞ntO- que pemitiia la
exp10taCi6n po parte de una o mas amenazas conta ios activos.
3 ROES Y RESPONSABIiDADES
inea Estrategica:
Comitde Coodinaci6n de Control lntemo:
/ Someter a aprobaci6n del repesentante lega=a poiitica de administraci6= deiesgo y
ha∞ Seguimiento, en eSPeCiaI a la pevenci6n y dete∞i6n de fraude y maIa ∞nducta.
/ RetroaIimenta a la aIta direcci6n sobre la efectividad de Ios controles para Ia gesti6n
deI iesgo y hace Seguimiento a su administaci6n. Estabie∞r y aProba la PoCa de
AdmStraCi6n deI Riesgo.
Pimeainea de Defonsa: (Lideres de proceso):
/ Revisarjunto con su equipo eI ejeCicio de autocontrol de tabaio y ei adecuado disefro
y ejecuci6n de sus controles, documentandoios en sus po∞dimientos.
/ A corte 30 de abagosto 31 y diciembe 31 1a primera linea de defensa debea
eporta ei seguimiento ai cumpIimiento de los contOles y las acciones si estas
apiican.
/ CuatrimestraImente evisa eI cumpIimiento de Ios opetivos de su proceso e
indicadoes asociados y estable∞ los posibIes jesgos en caso de su incumplimiento.
/ Realiza ia identificaci6n de sus riesgos de corupci6n, geSti6n y de seguridad de la
infomaci6n, Paa Ia idenCaCi6n y valoaci6n de los activos, Seall Oientados po la
PeSOna enCargada de la seguidad de la infomaci6n de la instituci6n.
/ En caso de materiaiizarse un riesgo entega ai pro∞SO de Dire∞ionamiento
estrategi∞ un rePOrte de las causas que dieOn Origen a su mateializaci6n deI riesgo
y a=ncumpIimiento de Ios oPjetivos y metas, a taV6s dei analisis de indicadoes
asociados.
/ Realiza un Plan de mejoa para Ios riesgos mateializados con e=in de toma
medidas oportunas, el cuaI se radicaante Ia oficina de Contoi Intemo.
/ Cuatrimestralmente’ega al pO∞SO de Dieccionamiento Estategico para su
respectivo monitoreo’las evidencias que sopoen el seguimiento y monjtoreo de Ios
COntroles y sus espectivas actividades con una semana de anterioridad aI corte.
mnu0
ACUERDO 4V#bfV6 6de22 Pgina
Segunda linea de defensa (Proceso de Direccionamiento Estt6gico):
/ Cuatimestralmente, reVisa la deCi6n y articuiaci6n de Iosetivos institucionaies
COn los de cada proceso, junto con sus indicadoes asociados.
/ Cuatimestraimente, eVaIua y revisar el disefro de ios controles para mitiga e- rfesgo
entregados po los lidees de proceso.
/ ReaIiza Ias ecomendaciones necesafas a los contoIes.
/ EI proceso de Direccionamiento Estrategico, una VeZ eCiba Ia infomaci6n de los
mapas’dispondde 5 dias habiles despu6s de cada corte para la evisi6n tanto de
los mapas ∞mO de las evidencias cargadas e informafa a la Oficina de ControI
inteno
/ Hace ia consolidaci6n de los iesgos en todos Ios niveies y reportaHo hacia Ia aIta
direcci6n.
/ Publica eI Mapa de Riesgos en ia pagina web institucionaI aI 31 de enero de cada
ao.
Tercera linea defensa (ContOl lntemo):
/ Revisa Cuatimestalmente la ejecuci6n de los controles establecidos po 10S lideres
de proceso (iesgo inheente),
/ Una vez eciba la infomaci6n de los mapas po parte de Dieccionamiento
Estat6gico, dispondfa de 5 dias habiIes para eaIiza Seguimiento y veca la
efectividad de los controles, aSi como, Su reSPeCtiva pub!icaci6n.
/ Ha∞ un Seguimiento cuatmestralmente de las actividades de los ∞ntrOles (rfesgo
residuaI) y la coheencia de la calificaci6n de=mpacto y probabdad de los riesgos y
dar Ias recomendaciones pertinentes.
/ Pubiica en la pagina web institucionai eI seguimiento ealizado mediante un infome, a
los diez pimeros dias habiles posteriores aI seguimiento.
/ Revisa Ias evidencias entegadas po 10S lideres de proceso la cuaI debe se
COheente y que hayan entegado de manera opona.
/ Realizar seguimiento y controI de ios Planes de mejoa, entegados po los Iideres de
ProCeSO en CaSO de mateiZaSe ei iesgo, elbme sefa entregado ante eI comit
de coodinaci6n de Conto=nteno.
/ Reporta a ia Alta Diecci6n la ocumencia de Ios iesgos de coPCi6n.
4. COMPROMISO FRENTE A LA POLiTICA
E=nstituto Superio de Educaci6n Rua=SER de Pamp10na, Se COmPOmete a geStiona
Ios riesgos de corrupci6n, geSti6n y de seguridad de la infomaci6n, mOnitoealos y hace
Seguimiento en foma cuatimestal, idencando y administando Ios eventos potenciales
que pueden afecta ios ojetivos y los pOCeSOS de=nstituto.
M ETODOLOGiA:
mde0O
ACUERDO 3#bfV6 de22 Pgina
EI proceso de Direccionamiento Estrategico se encargade realiza la metodoIogia que
Pemita identea, analizal Valora y administar los iesgos de gesti6n, de ∞PCi6n y
de seguridad de la informaci6n, que Se Puedan pesentar en el normal desaO!io de Ias
actividades y que afecten eI cumpiimiento a la misi6n institucionaI y eiogo de ios
OPjetivos estategicos; eSta metOdoIogia tambi6n estable∞a e=ratamiento, manejo,
monjtoreo y seguimiento conforme a ia guia suministada po ei Departamento
Administrativo de ia Funci6n Plica - DAFP. En esta metodoiogia se incluin los
lineamientos paa que cada pro∞SO inicie su anSis y diligencjamiento ∞ectO, en Ia
que se inciuyen los siguientes puntos:
1. 1DENTIFiCACi6N DRIESGO:
Riesgos de gesti6n:
Cada iider de proceso y su equipo de trabajo debe idenCa las actividades en las que se
Obtenga evidencia o indicios de ocunencia de riesgos que afecten ei cumpIimiento de los
Objetivos de pro∞SO y eStategicos, aSi ∞mO la ∞nSeCuenCia econ6mica y/O
reputacionaI.
Los Iideres de pOCeSO COn Su equipo de tabalo eaiizan la descipci6n de sus iesgos Ia
CuaI debe contene Ios detalIes necesaios paa la compensi6n de teroeas pesonas, la
eda∞i6n inicia con la frase PROBABILIDAD DE, Seguido de los siguientes p…tOS de Ia
gCa:
Fuente: Guia para la administaci6n dei iesgo y el diseo de contoles en Ias entidades
PCaS, VeSi6n 5,
Funci6n pbiica diciembe de 2020.
Los iesgos se clasificafan teniendo en cuenta las siguientes categoias:
mrn0o
ACuERDO 3#bVV6 8de22 Pgia
Perdidas deivadas de erroes en Ia ejecuci6n y
administaci6n de procesos
ajenas a Ia oganizaci6n (no participa personaI de ia
entidad.
ireguIares, COmisi6n de hechos deiictivos abuso de
COnfianza, aPOPiaci6n indebidaCumPIimiento de
regulaciones Iegales o intende Ia entidad en las
Cuaies estnvoIucdo po Io menos I participante
inteno de la oganaci6n, SOn realizadas de toma
encionaI y/O ∞n anmO decro para si mismo o
pateeoS.
intePCi6n de servicios basicos.
Prdidas que sugen de acciones contarias a Ias Ieyes
O aCuerdos de empIeo, SaIud o seguad, del pago de
demandas po daos personales o de discriminaci6n.
Fa!las negligentes o invo!untarias de las ogaciones
fente a 10S uSuaios y que impiden satisfacer una
Obligaci6n profesional frente a 6stos,
Perdida po daOS O eXtraVios de los activos tios por
desastres natuales u otOS riesgosfeventos extemos
COmO atentados, VandaIismo, Orden pblico.
Esta cIasCaCi6n se tiene en cuenta en elaci6n con los factores de riesgo, de acuedo a
Ia natuaIeza de la instituci6n.
Riesgos de corrupci6n:
Es ne∞Sario que en Ia descipci6n de=fesgo conculTan los componentes de su
denici6n, aSi:
Las peguntas clave paa ia idenCaCi6n del iesgo son
/ iQupuede suceder?
me0um
ACUERDO 4#bfV6 9de22 Pgina
ACC16N U OMiS16N + USO DPODDESVIACi6N DE LA
GEST16N DE LO POBICO +BENEFICIO PRIVADO
MATRIZ:DEF=¥"C16NOERI∈S6OOECORRUPCI6N
cr1Il ` hH'Rol ,X
r90 l "lIdhl ,
X X
ucontato
Fuente: Guia paa la administraci6n del iesgo y eI disefro de controtes en las entidades
Pblicas. Versi6n 5.
Funci6n pdblica diciembe de 2020.
Riesgos de seguridad de Ia lnformaci6n: Se podn idenCa los siguientes tes (3)
iesgos inheentes de seguridad de Ia infomaci6n:
/ Pedida de Ia confidenciaIidad
/ Perdida de la integridad
/ Perdida de la disponibilidad
iide de pro∞SO, COmO Pime PaSO Para Ia idenCaCi6n de iesgos de seguridad de la
infomaci6n debe idenCa Ios activos de infomaci6n del proceso.
eaonlac03? /W)$-9eoD4
SeC0SWeb fXGVVFW6&XY$+6S$R
Rede3
omacnICaOd191 V&W&VvXWVvV,'F
ecno!ogiasdeoaclenl 7VgV6XV67R
lecnoIogia3deopeactonTOque V6V6V4FF
uzao9anizacpaafunc10na VV,67V6fVW6
ene!eOnOdIg VXx*VF+2
mne0,umo
ACUERDO 4bfV6 10de22 Pgina
Paa cada riesgo se deben asociar el gupo de activos, O aCtivos especCOS del proceso,
y conjuntamente anaIiza las posibies amenazas y vulneabiiidades que podian causa su
mateiaIizaci6n ,
Amenazas: Las amenazas pueden se de oigen natual o humano y podian se
accidentaies o delibeadas.
Vuineabdades: Estas se encuentan asociadas a la amenaza idenieada.
Se pueden idenCa Vulnerabilidades en las siguientes aeas:
/ Organizaci6n.
/ Rutinas de gesti6n.
/ Dependencia de paes extenas,
Fomato de descripci6n del riesgo de seguidad de la infomaci6n:
E=ide de pOCeSO digenciafa el espectivo fomato paa la descipci6n teniendo en
Cuenta ei suministo de la infomaci6n anteio.
lNCUYEACTIVOAMENAZA.VUNERABILIDADES
RI 5DDESCRI PCION iPO 4U46eX+T$"dDU2CONSECU
SGO RI SGO NCiAS
Fuente: Guia paa Ia admjnistaci6n deI iesgo y el disefto de contOles en Ias entidades
Pt]bIicas.
2. VAORAC16N DERIESGO:
Establece la pObabad de ocumencia deI iesgo y el nivel de impacto con e=in de
estima la zona deesgo inicial (RiESGO INHERENTE),
Riesgos de gesti6n y seguridad de la informaci6n:
mnal0nO
ACUERDO 4#bfV6 11de22 Pgina
Probabdad: Ede de proceso analiza eI nmeO de veces que se pasa po eI punto de
iesgo en la vigencia (Exposici6n del iesgo), una VeZ tenga Ios datos de la frecuencia y de
acuedo a Ia siguiente taa detemina el porcentje de probabilidad:
ecuCia de la Acvidd Probbd
Media
∞mO maXimo3 2 veces por afro
La actividad que conlleva ee§gO Se ejecuta de
3 a 24 ve∞S POraho
La actividad que coeva eesgo se ejecuta de
24 a 50O veces por aho
a actividad que ∞n=eva e=iesgo seecuta
inimo 5OO veces aI aho y maximo 5OOO veces
p° a
de 5000 ve∞S pa
60%
Fuente: Guia paa la administaci6n del iesgo y el diseo de controIes en Ias entidades
Pbiicas, Versi6n 5.
Funci6n pdblica diciembe de 2020.
1mpacto: Segn e=mpacto econ6mico y/O rePutaCional, ede de po∞SO define ei niveI
de impacto de acuerdo a la siguiente tabIa:
cc
Modeedo 60% le 50 y lOO SMMV
e lOO y 500 SMMV
May a 500 SMMV
o9anZaC
omamento, de conocImlentO geneal nrvel
lnemo, de junla dlreCl-Va y aCCIOn-Sta$ y/o de
P roVeedore8.
a19unO3 u3uarlO3 deievancla fronte al Io9'O
′de los obletlVo9
efecto publlCllaIO sostenldo a nlVee sector
admnI3tatwO, nlVel depaltamental o mucIPal.
El l-e3gO alec18 la lmagen de la entrdled a nrvel
nacIOnal, cOn e(ecto publICriO sostendo a
nlVel pa
ream
iS U&4F-JR-23 Cedio 01 VeSien
ACuERDO 3bfV6 12de22 Pgina
Fuente: Guia paa la administaci6n deI iesgo y ei diseo de controIes en las entidades
Pbiicas. VeSi6n 5.
Funci6n pdbiica diciembe de 2020.
En caso que se presenten ambos impactos paa un iesgo, COn Ceentes niveles, Se
debe toma eI de niveI mas aito.
La probabdad y e=mpacto de los riesgos de seguidad de la infomaci6n se deteminan
COn base en la amenaza, nO en las vulneabilidades,
Rie$gOS de coPCi6n:
!
Ia zona de riesgo iniciaI (Riesgo lnherente), ubieando 10S eSuItados en la suiente maZ:
t
’’′′
, !SR U$4FR23 Cedigo 01 Vei6n
ACUERDO 3#bfV6 13de22 P9ina
Fuente: Guia paa la administaci6n deI iesgo y el disO de controies en las entidades
Pbiicas, VeSi6n 5.
Funci6n pt]Ca diciembre de 2020.
EI punto donde se cuza los datos de Ia probabad y e=mpacto se=a severidad del
iesgo, que Se Puede clasifica en Extemo, Aito, Modeado o Bajo, de acuerdo a la gafica
anterior.
Riesgos de corrupci6n:
Eder de proceso define el nivel de severidad paa eesgo, teniendo en cuenta eI ajuste
frente a los niveles de impacto, deIimitado como se muestra a continuaci6n:
to
1)t
h′ ( R′
Fuente: Guia paa la administaci6n del iesgo y el diseo de controles en las entidades
Pblicas. Versi6n 5.
4. CONTROES:
Riesgos de gesti6n y de corrupci6n:
Los lidees de pOCeSO junto con su equipo de trabajo, Se enCargan del disO,
implementaci6n, qeCuCi6n y monitoeo de sus controIes.
Paa la correcta redacci6n de los contoIes deben tene en cuenta la siguiente estructura:
m0′
lS U"D4FJR-23 C6digo 01 Versi6n
ACUERDO 3#bfV6 14de22 Pgia
verificaue'ainform.i6 Suministrada por el proveedo evisa con la infomacidn fisica sumstrada
‡ por el proveedo0ntratOS que CumPlen Son egistrados en el sistemade
Contfcon’
Sean COntroIes automcos
que reaIiza Ia actividad,
del ∞no
Fuente: Guia paa la administraci6n del iesgo y el disO de contOles en las entidades
Pb!icas. VeSi6∩ 5.
Funci6n pdblica diciembre de 2020 y modificada po ia lnstituci6n
EL ANLISIS Y LA EVALUACI6N DE LOS CONTROLESATRBUTOS:
Se analizan Ios atibutos paa eI disefro del controI, teniendo en cuenta caracteisticas
elacionadas con la eficiencia y la fomalizaci6n.
Cacteristicas escipci6n eso∴
Atibutosde eficiencia )Peventivo 686W68FT25%
riesgo,aSeguaneIesultado
alespeado,
Detectivo WFV7FVXv7Y*X15% devueIve elpOCeSO alos
COntOIes preventivos. Se
ACUERDO 4#bfV6 15de22 Pina
Puedengenerarepocesos.
Corectivo FVWXVV&VGV6VT10% impactodeiamateriaIizaci6n
deiiesgo,tienenuncostoen
PrOCeSamientoovaiidaci6nde infomaci6nqueseejecutan
POunSistemay/OaPIicativo
demaneaautomaticasinla
intervenci6ndepeSOnaSPara
Suealizaci6n,
Manuai 6G&W7VW6VV7WFF215% PO una PeSOna, tiene
implicitoelerrohumano.
Atibutos 7VV6Documentado 6G&W8VXW7F
documentadosenelproceso.
POCeSO nO Se enCuentran
documenta 7VVF8V
documento propio dei
Fecuencia 6FVEIcontroIseaplitSiempe queserealizalaactividadque COnIlevaeiiesgo.
Aleatoia 6G&6X6 aleatoriamente aIa actividad
queconiIevaeliesgo
Pemiteevidencialaejecuci6n
deIcontOI.
SinregistO 6HTFVVVv7G&R laejecuci6ndeicontroI,
Fuente: Tabla tomada de la Guia paa Ia administaci6n deI riesgo y eI diseo de controIes
en ias entidades pdblicas. Versi6n 5.
Funci6n pdCa diciembe de 2020.
mreumO
ACUERDO 4c#bfV6 16de22 Pa
Los atributos infomativos soio pemiten daIe fomalidad ai control y su fin es eI de
COnOCe eI entono deI controI y complementa eI ansis con elementos cuaIitativos; Sin
embargo, eStOS nO tienen una incidencia diecta en su efectividad,
Los contOles pemiten da el movimiento en Ia matriz de calo en el eje de pobabiIidad y
en el eje de impacto de acuerdo a su tipo, tal y como se muestra a ∞ntinuaci6n:
Contoles
Corectivos
Ata cn
PObabilidad
Fuente: Guia para ia administaci6n deI iesgo y el disefro de controies en Ias entidades
Pblicas. VeSi6n 5.
Funci6n pbiica diciembe de 2020.
Con Ia apIicaci6n efectiva de 10S COntrOles se detemina un nuevo nivel de rfesgo, una VeZ
Se aPlica eI valor de uno de los ∞ntroles, el siguiente controI se aplicaa con el valo
esuItante Iuego de ia aplicaci6n de! prime COntOi.
Paa ubica e=iesgo despues de ios controles e=ider de proceso debea reaIiza la
Siguiente ecuaci6n po cada uno de los contoles, teniendo en cuenta que 6stos mitigan
de foma acumulativa:
% de (Probadad o impacto) inheente% vaIoCi6n conto= = % de mitigaci6n paroial
COnt
Seguo
Al % de (PObabilidad o impacto) Ie resta () eI % de mitigaci6n paroiaI = % de mitigaci6n
finaI del conto1 1
Si tiene mas de un control debe aplicar Ia siguiente f6mula y asi en adelante con los
demas controles:
% de mitigaci6n final del contro= % vaIoaci6n controi 2 = % de mitigaci6n paroiaI
Cont! 2
mmeγ0mo
ACuERDO 3#bcf6 17de22 P9ina
Seguo
AI % de mitigaci6nal del contro= le esta (-) ei % de mitigaci6n parcial del contoI 2 =
% de mitigaci6n finaI del contro1 2 (dependiendo de los contoIes este sea el valo de su
(ProbabiIidad o impacto) esiduaI
Si no se tiene contoI paa mitigar la probabad (detectivos y peventivos) o e=mpacto
(Corectivos), Se deja ei mismo poreentaje caiculado iniciaImente.
De acuerdo a los porcentajes de impacto y probadad residuaIes, Se ubicafa eesgo
determinando la nueva zona en la matriz de caior.
Riesgos de seguridad de la informaci6n:
Para e=ratamiento de estos riesgos se emplean Ios contoles dei Anexo A de la noma
NTC: iSOIC 27001. estlCtuados de ia siguiente foma:
7bb1ce coS
N-, -R lee HH+(.4>y4-
Nome 6:
Fuente: lnstumento de Evaluaci6n MSPl, Guia 8-Controles de Seguridad de Ia
l nfomaci6n
5. NIVEES DE ACEPTAC16N DRIESGO O TOLERANCIA ARIESGO:
Establece “Ios niveIes a∞Ptables de desviaci6n relativa a Ia consecuci6n de los oPjetivos’’
(NTC GTC 137 NumeraI 3.7.16), los mismos estan asociados a la estategia de ia entidad
y pueden considease para cada …O de Ios procesos.
/ Los riesgos de couPCi6n son inaceptabies.
/ La a∞PtaCi6n del iesgo puede ocuSin tatamiento del iesgo.
/ Los riesgos aceptados estan setos a monitoreo
mαraγ00
ISER U$4F-R_23 Cedi9o 01 Vesien
ACuERDO bfV6 18de22 Pagina
El apetito deI iesgo se dee a parti del anaIisis de- nivel deIesgo eI cuaI se ealiza una
VeZ Se han idencado Ios contOies para ∞nOCe eI niveI de rfesgo residual, Siendo este
nivel resultado de ia evaluaci6n de Ia probabiiidad ∞n empacto, en la i=Stituci6n sey
eI apetito deI rfesgo (Valo maximo deI nivei que esta dispuesta a asumi paa consegui
los oPjetivos institucionaIes), Iuego se dee hasta que limite ia entidad esta dispuesta a
aSumi ios iesgos en el nomai desaroIio de sus actividades (Capacidad del iesgo) y po
Itimo anaiizamos Ios niveies minimos de exposici6n al que estariamos dispuestos a
lIeva ios rfesgos (Tolerancia al riesgo)’eStOS VaIores estan epresentados en la siguiente
gCa:
io
)α c∞
FuenteGuia para la administaci6n del riesgo y eI diseho de controles en ias entidades
Pbiicas. Versi6n 5.
Funci6n pbIica diciembe de 2020.
Como se observa el apetito del riesgo deseado para el cumpIimiento de los oPjetivos
institucionaIes en condiciones nomaIes para ia entidad, Se enCuentra en una zona media
de 5O% de probabad y en un intervaIo de impacto entre leve 30% y meno a1 90%.
6. TRATAMIENTO DE RIESGO
De acuerdo al niveI del rfesgo cada lide de pOCeSO detemina que estategia va a usa
Para COmbati ei riesgo’ya Sea aCePta, educi o evita. Dependiendo de su reIaci6n con
la necesidad se define sj se debe reaIiza Planes de mejoa, COmO Se mueStra a
COntinuaci6∩ :
“nγ000
-
ACUERDO 3#bfV6 19de22 Pgina
s Dd iαe. 80
a Ie lo.ii
(
r
administraci6n deI riesgo
en las entidades
Eh caso dmaee/aci6n:
Riesgos de Gesti6n y Seguridad de ia lnfomaci6n (Zona Extrema, Alfa y
Moderada)
Cada Iinea de defensa debe esponde ante la mateiaIizaci6n de los rfesgos teniendo en
Cuenta Ias siguientes acciones:
Lider de proceso:
/ POCeder de manea inmediata a aplica e- p-an de contingencia o de tratamiento de
incidentes de seguidad de Ia infomaci6n que pemita Ia continuidad del servicio o el
restabiecimiento del mismo (Si es el caso), documenta en eI Plan de mejoamiento.
/ Inicia eI aSis de causas y detemina acciones preventivas y de mga,
documenta en ei PIan de Mejoamjento lnstitucionaI y epIantea los iesgos dei
POCeSO.
/ Anaiizar y actualiza el mapa de rfesgos,
/ lnformar al Proceso de Direccionamie=tO Estrat6gico sobe el ha-1azgo y las a∞iones
tomadas,
Oficina de Contol Interno:
/ lnfomar ade del po∞SO SObe el hecho encontado.
/ lnforma a Ia segunda linea de defensa con el fin de faca e=nicio de las acciones
COrreSPOndientes co= e=ider del po∞SO’Para eVisar el mapa de iesgos
/ A∞mPaha a=ider deI poceso en la evisi6n, analisis y toma de a∞iones
COrreSPOndientes para resoIve ei hecho.
/ VeCa que Se tOmaron Ias a∝iones y se acfualiz6 e- mapa de iesgos
COreSPOndiente.
meu
ACuERDO 3#bfV6 20de22 Pagina
Riesgos de Gesti6n y Seguridad de la lnfomaci6n (Zona Baja)
ide de proceso:
/ EstabIece a∞iones corectivas a=nteio de cada pOCeSO, a cagO de=ider
respectivo y veca 1a caIificaci6n y ubicaci6n deI rfesgo para su incIusi6n en el mapa
de riesgos.
/ infoma ader del pOCeSO SObe ei hecho.
/ lnfoma a la segunda Iinea de defensa con eIfaca e=nicio de Ias acciones
∞rreSPOndientes con e=ider dei pO∞SO, Paa reVisa el mapa de iesgos.
/ Acompafiar a=ider dei proceso en la revisi6n, analisis y toma de a∞iones
COreSPOndientes para esoIve ei hecho,
/ VeCa que Se tOmaron las a∝iones y se actuaIiz6 el mapa de iesgos
COreSPOndiee.
Riesgos de Corrupci6n
Lider de proceso:
/ Infoma aI Pro∞SO de Dieccionamiento Estategico sobre eecho encontado.
/ Una vez surtido el conducto regula establecido po Ia entidad y dependiendo del
aIcance (nomatividad asociada al hecho de corupci6n mateializado), tramita la
denuncia ante ia instancia de control correspondiente.
/ Identifica Ias acciones ∞reCtivas necesarias y documentaias en el PIan de
mejoramiento.
/ Efectua el analisis de causas y detemina acciones preventivas y de mejora.
/ Actualiza ei mapa de riesgos.
Oficina de Contro=nteno:
/ infoma al Lide dei pOCeSO, quien anaIizara situaci6n y definia las acciones a que
11aya Iuga.
/ Una vez surtido el ∞nducto regula estabIecido po ia entidad y dependiendo del
aIcance (nomatividad asociada al hecho de corupci6n mateializado), realiza la
denuncia ante Ia instancia de control correspondiente,
/ lnfoma a la segunda linea de defensa con ei fin de faca e=nicio de Ias acciones
COmeSPOndientes con ede del pOCeSO, Paa reVisa eI mapa de iesgos,
7 MONITOREO Y REVIS16N:
Los funcionaios y contatistas de Ia entidad deben conoce eI mapa de riesgos de
COPCi6n antes de su puCaCi6n. Paa Ioga este prop6sito ei proceso de
mO
ACUERDO 4#bfV6 21de22 Pgina
Direccionamiento Estrat6gico, diseay ponden maroha las actividades o mecanismos
necesarios paa que los funcionaios y contratistas conozcan, debatan y fomuIen sus
apeciaciones y pOPueStaS SObe el pOyeCtO demapa de iesgos de coPCi6n, el cuai
Se elabora con una peiodicidad anual y debe hace Parte integral del PIan AnticoPCi6n
y de Atenci6n al Ciudadano conforme aI Componente l. Gesti6n deI Riesgo de Comupci6n - Mapa de Riesgos de CoPCi6n,
En cuanto aI monitoreo y evisi6n, la periodicidad y responsabiiidades se encuentran
COntenidas paa cada Iinea de defensa mencionada en el numeai 3 de Ia presente
POIitica.
OPORTUNIDADES:
El tratamiento a las oportunidades inicia con su idenCaCi6n dentro de la definici6n deI
COnteXto eStrategico, aqui se hace refeencia a las condiciones deI entono que pueden
genea eventos positivos y los cuaies oiginan oportunidades.
Los lideres de proceso se encargan de proponer las iniciativas estatgicas que desde
Cada proceso pemita maximiza las oponidades idenCadas a medida que asegure eI
IogO de Ios oPjetivos de caiidad de la instituci6∩,
Las estrategias sen inciuidas dentO de Ios Planes de Acci6n o Planes de Mejora deI
ProCeSO COn eI fin de genea eI eporte de los avances en ei tiempo estabIecido en eI
momento en que se reaiicen los seguimientos po ia segunda y tercera linea de defensa.
De acuedo al plan en eI que se establezcan las estategias de las oportunidades, eI
POCeSO de Dieccionamiento Estatgico y/O la oficina de Contro=ntemo reaIizaan de
foma cuamestrai ei seguimiento y monitoreo de las actividades ejecutadas po Ios
lidees de pOCeSO.
Los esuItados deI seguimiento sean eportados ante eI ComlnstitucionaI de Gesti6n y
Desempeflo y el Comite de Coodinaci6n de ContO=nteno, a fin de faca la toma de
decisionesente a los avances obtenidos.
ARTicuLO TERCO. EI po∞SO de Dieccionamiento Estategico con el apoyo del
ProCeSO de Gesti6n de la Comunicaci6n, COmuCaa la Politica para ia Administraci6n de
Riesgos en todos Ios niveles de la instituci6n, PO medio de la pagina web institucional,
COmunicaci6n po medio dei correo institucional y mediante actividades de sensibjlizaci6n
a los pOCeSOS institucionales.
mrne000u0
lSR U&4F-R-23 C6digo 01 Versi6n
ACUERDO 4#bfV6 22de22 Pgina
ARTfcuO CUARTO. Esta poIitica podconta con presupuesto, e- cual sefa asignado
en Ia medida que se equiea para ei desarrolio de Ias actividades que opeativicen la
POlitica. Los recuSOSancieros, teCnOI6gi∞S, de infraestuctura y otos, Sean reVisados
y presentados en el presupuesto anuaI de la instituci6n y debean esta articulados al
COmPOnente de Gesti6n deI Riesgo de CoPCi6n - Mapa de Riesgos de CoPCi6n deI
PIan Anti∞uPCi6n y de Atenci6n aI Ciudadano que anualmente fomuia la instituci6n.
ARTicuLO QUINTO" EI presente Acuedo rige a parti de la fecha de su expedici6n y
deroga todas las disposiciones que ie sean contraias.
PUBiQUESE, COMUNiQUESE Y CUMPASE
mrn/0mo
ACUERDO 3#bfV6 1de22 Pagina
Acuerdo No O22
(30 de Agosto de 2021)
“PoeI cual se deroga el Acuedo No. 018 deI 27 de noviembe de 2019 yse estabiece la
Politica para la Administaci6n de Riesgos en e=nstituto Supeio de Educaci6n Rual
ISER de PampIona,’’
DE PAMPONA
En uso de sus facultades Iegales y estatutariai en eSPeCial las que ie confiere el
acueO namero OlO del O2 de diciembre de 1993“ Estatuto General- ACulo 14
1iteraIay
CONSDERANDO
Que eteal f) deI aCulo 2O de Ia Ley 87 de 1993, eStabie∞ COmO unO de Ios objetivos
deI Sistema de ContO=nteno, ia definici6n y apIicaci6n de Ias medidas para prevenir los
riesgos’detecta y corregi Ias desviacjones que se presenten en ia oganizaci6n y que
Puede afectar e=ogO de sus objetivos.
Que, Segdn Ia Ley 87 de 1993, COnfome con el articuio lO Pafagafoico, los manuaIes
de procedimientos son instumentos a traves de los cuaies se cumpie el contol intemo.
Que’mediante el Deceto 1537 de 2001 se regIament6 parciaImente la Ley 87 de 1993, y
en el articulo 4 sehaIa la administaci6n de rfesgos '`Como pariegraI deI
I/ecienfo de tos sisfemas de ∞nfroI intemo en /as enades pabass
aufoades coIreSpOndientes esb/eceIn y apan poas de admstracn de/
sgo Pa!aI efec′ Iaenacn y anis de rfesgo debe ser ”n ProCeSO
peanenfe e mtecro en(admsIracn ys oas de confroI intemo o quienes
haga sus veces’eVa/uando /OS aSPeCfosnto htemos como extemos qu'e Puedenegar
a repsenr amenaza paconsecud6n de bs offvos o/ganaciones, COn mS a
esbfecer acciones efecS,pSendas en acdes de contro4 acoadas en!re
bs nesponsabs des areas o procesos ys oas de coOI iemo e hfegradas de
manehheIenfe bs pIOCedimienfos“,
Que’el Deceto 2641 de 2012’en el articulo IO, Sehala como metodoIogia para diser y
hace Seguimiento a Ia estategia de lucha ∞nta Ia coupci6n y de atenci6n aI ciudadano
de que tata el articulo 73 de la Ley 1474 de 201 1 , la establecida en el Pian AnticoPCi6n
y de Atenci6n a! Cjudadano’en CuyO Primer ∞mPOnente in∞rPOra la “MetodoIogia paa la
identificaci6n de riesgos de coPCi6n y acciones paa su manejo”.
nnγ00
ACuDO l 3#bfV6 2de22 Pgina
Que’el Decreto 124 de 2016’en Su articulo 21"41 y 2"1.4.2’eStablece la Estrategia de
lucha conta la coPCi6n y de Atenci6n al Ciudadano. Sefialando ∞mO metOdoIogia para
dise y ha∞ Seguimiento a la estategia de lucha contra la coupci6n y de atenci6n al
Ciudadano - Mapas de Riesgo de CouPCi6n de que tata e- articuIo 73 de la Ley 1474 de
201 1 , la establecida en ei Plan AnticoPCi6n y de Atenci6n aI Ciudadano contenida en el
documento `.Estategias paa la Constu∞i6n deI PIan AnticoPCi6= y de Atenci6n ai
Ciudadano-VeSi6n 2,,.
Que mediante Acuerdo No. 018 de1 27 de noviembe de 2019 se `apueba la Po-itica paa
Ia Gesti6n lntegral del Riesgo en e=nstituto Superio de Educaci6n Rua=SER de
PampIona’’ ia cuaI estaba basada en Ia “Guia paa Ia administraci6n de Riesgos de
Gesti6∩, Corrupci6n y Seguridad DigitaI y eI DiseO de Controles en Entjdadesbiicas
VerSi6n 4’’.
Que, ei Departamento Administrativo de ia Funci6n Polica, Public6 1a “Gufa paa Ia
administraci6n de Rjesgos y eI Disefro de Contoes en Entidades Policas vesi6n 5,,, en
diciembre de 2020 en ia que ``se actualizaron y precisaron aIgunos eIementos
metodo16gicos para mejorar ei ejercicio de idencaci6n y valoraci6n del iesgo" y define
que ``para la impIementaci6n de Ia gesti6n deI iesgo’eS neCeSario que cada entidad haga
un analisis de las estrategias, la fomuIaci6n de oPjetivos y Ia impIementaci6n de esos
OPjetivos en la toma de decisiones cotidiana, lo que pemitifa una identificaci6n del iesgo
adecuada a las necesidades de cada oganizacich, ∞n un enfoque peventivo que
Pemita Ia pOteCCi6n de Ios recuSOS, aicanza mejores esultados y mejoar Ia pestaci6n
de servicios a sus usuarios aspectos fundamentalesente a Ia generaci6n de vaIo
Pblico, eje fundamentai en ei que hace de todas las oganizaciones poIicas,,.
Que, Ia propuesta de la PoIftica para la Administaci6n de Riesgos en de=nstto
Superior de Edu∞Ci6n Rura=SER de Pamp!ona, fue prese=tada po la AIta Diecci6n aI
Comite de Coordinaci6n de Contro=ntemo, COnfome ai ∞mPOnente de institucionaiidad
bajo el cuaI funciona el Modeio Integado de PIaneaci6n y Gesti6n, adoptado mediante
Resoluci6n No. 100 de=5 de febero de 2021.
En mto de lo expuesto,
ACuERDA
ARTicuO PRMERO. Deroga el Acuedo No. 018 de1 27 de noviembe de 2019 “Po el
CuaI se aprueba la Politica para la Gestich IntegraI del Riesgo en e=nstituto Supeio de
Educaci6n Rura=SER de Pampiona’:
ARTicuO SEGUNDO. Estab-e∞ la PoIitica paa -a Administaci6n de Riesgos en eI
lnstituto Supeio de Educaci6n Rua=Sde PampIona, la cual quedaa de la siguiente
manera:
ACUERDO 3#bfV6 3de22 Pgina
PRESENTAC16N
E=nstituto Superio de Educaci6n Rura=SER de PampIona’define su po-itica para la
Administraci6n de Riesgos tomando ∞mO referente Ios pafametos del Mode-o lntegrado
de PIaneaci6n y Gesti6n (MiPG) en los pocesos, aSi como Ios dei ModeIo Estanda de
Contro=nteno (MECI), en lo con∞niente a las lineas de defensa y Ias diectrices de la
Guia para Ia administraci6n de Riesgos y el Disefro de Contoles en Entidades Pt]bIicas
VerSi6n 5 deI Departamento Administativo de la F…Ci6n Piica - DAFP, ia cual articula
Ios riesgos de gesti6n’COPCi6n y de seguad de la infomaci6n y la estuctura deI
Sistema Integrado de Gesti6n - SGl en ei equisito de PlaCaCi6n de Riesgos.
OBJETIVO
Oienta a Ios lidees de pO∞SOS de=nstituto Superior de Educaci6n Ruai sobre las
acciones que se deben adelanta, enCaminadas a disminui Ia probabilidad de ocurrencia
y posibie impacto de todas aque=as situaciones que puedan entorpecer el pop6sito de
aicanza de manea eficaz y efectiva e=ogO de los oPjetivos y ia misi6n institucionaI,
mediante Ia identificaci6n, ei monitoeo' Seguimiento y evaiuaci6n del rfesgo en Ios
Peiodos de tiempos establecidos en esta po!itica.
1. MBITO DE APLICACI6N
La poiitica para Ia Administraci6n de Riesgos aplica paa los planes, POgramaS, POCeSOS
y acciones ejecutadas por los lideres de procesos y servidoes durante el Qjecicio de sus
funciones, que inicia desde eI establecimiento del contexto’Ia idenCaCi6n de los iesgos,
evaIuaci6nmpIementaci6n de ios contOles y a∞iones que minimicen e=mpacto o Ia
PObabad de ocumencia de estos, hasta el monitoreo, Seguimiento y comunicaci6n.
2. TERMiNOS Y DEFINICIONES
DeCiones tomadas de Ia Noma NTC-1SO 31000 (lCONTEC 2018) y de la nueva guia
de administraciones dei rfesgo y disefro de controles en Entidades Policas (PubIicada po
el DAFP en ei 2O20).
Activo: En ei contexto de seguidad digitaI son eiementos taIes ∞mO aPlicaciones de
la organizaci6n, Servicios web, edes, Hadwae,OrmaCi6n digita=isica o digitaI,
recurso humano, entre OtOS, que utiIiza la organizaci6n para funciona en eI entomo
digl.
. Amenazas: Situacien potencial de un incidente no deseado, eI cual puede ocasiona
dafio a un sistema o a una organizaci6n.
Causa: Todos aqueIIos factores intenos y exte=OS que SOIos o en combinaci6n con
OtOS, Pueden produci ia mateializaci6n de un iesgo,
Consecuencia: Los efectos o situaciones esuItantes de la materializaci6n deesgo
que impactan en el pOCeSOa entidad, SuS guPOS de valor y demas partes
inteesadas.
ACUERDO 4#bfV6 4de22 Pga
Causa inmedia: CiCunStanCias bajo ias cuales se presenta el rfesgoPero nO
constituyen la causa pincipa1 0 base paa que se pesente el riesgo.
Causa Raiz Causa pincipal o basica, COrreSPOnde a las azones po la cuaIes se
Puede pesenta ei riesgo
Factoros de Riesgo: Son Ias fuentes geneadoas de riesgos.
Disponib=idad: POPiedad de se accesible y utiIizabIe a demanda po una entidad.
ConenciaIidad: POPiedad de ia infomaci6n que Ia hace no disponible, eS decir,
divuigada a individuos, entidades o procesos no autoizados.
ContoiSon Ias poIiticas’ProCeSOS, dispositivos, PaCticas y otas acciones que
actan paa eIimina O minimiza los iesgos, adveSOS O mejora oportunidades
POSitivas. Proveen una seguridad razonabIe reiativa a=ogO de Ios oetivos.
. 1dentificaci6n de=iesgoPOCeSO que detemina que puede sucede, PO que y el
c6mo.
. Nivel de riesgo: Es el valo que se detemina a parti de combina ia pobabdad de
OCuenCia de un evento potencialmente daO y la magnitud de=mpacto que este
evento traeria sobre la capacidad institucional de alcanza los oetivos.
. Apetito de riesgo: Es el nivei de iesgo que la entidad puede acepta, reIacionado
COn SuS OPjetivos, el marco legai y las disposieiones de ia Aita Direcci6n y del OanO
de Gobieno. Ei apetito de rfesgo puede se difeente para los distintos tipos de
riesgos que la entidad debe o desea gestiona.
Capacidad de riesgo: Es el maximo vaior deI nivel de iesgo que una E=tidad puede
SOPOrtar y a Parti dei cuaI se considera po Ia Alta Die∞i6n y el Organo de Gobiemo
que no seia posibie e=ogro de los oPjetivos de ia Entidad.
Riesgo de Seguidad de la Informaci6n: Posibilidad de que una amenaza ∞nCeta
Pueda expiotar una vulnerabilidad paa causa una pedida o dafio en un activo de
informaci6n. Sueie ∞nSideaSe COmO una COmbinaci6n de Ia pobabad de un
evento y sus consecuencias.
Riesgo: Es toda posidad de ocuenCia de una situaci6n que pueda entorpece eI
normaI desarrolIo de las funciones de ia entidad y le impidan e=ogO de sus objetivos.
Riesgo de Gesti6n: PosibiIidad de que suceda aIgevento que tenda un impacto
SObe cumpIimiento de los oPjetivos. Se expresa en trminos de pobabdad y
COnSeCuenCias.
Riesgo de Coupci6n: Posibad de que' PO aCCi6n u omisi6n, Se uSe eI poder
Paa desviar la gesti6n de lo pblico hacia un beneficio pivado.
Riesgo lnherenteEs aqueI al que se enfrenta una entidad en ausencia de acciones
de la direcci6n para modCa Su PObabad o impacto.
Riesgo Residuai: Nivel de iesgo que permanece luego de toma medidas de
tratamiento de riesgo.
Tolerancia aI riesgo: SOn los niveles aceptables de desviaci6n re!ativa a la
COnSeCuCi6n de oPjetivos. Pueden mediSe y a menudo resuita mejo, COn las mismas
unidades que Ios objetivos correspondientes. Para ei iesgo de ∞PCi6n la toIeancia
es inaceptabIe.
“mne0
ACUERDO 3#bfV6 5de22 Pina
ProbabiIidad: Se entiende como la posibad de ocurrencia del riesgo- Esta puede
Ser medida con criterios de frecuencia o factibiIidad.
. 1mpacto: Se entiende como las consecuencias que puede ocasiona a la organizaci6n
Ia materializaci6n del riesgo,
. Vaiorac6n del Riesgo: Es el counto de procesos que pemiten analiza y evalua el
esgo.
Vunerabilidad: Es una debilidad’atributo, cauSa O falta de ∞ntO- que pemitiia la
exp10taCi6n po parte de una o mas amenazas conta ios activos.
3 ROES Y RESPONSABIiDADES
inea Estrategica:
Comitde Coodinaci6n de Control lntemo:
/ Someter a aprobaci6n del repesentante lega=a poiitica de administraci6= deiesgo y
ha∞ Seguimiento, en eSPeCiaI a la pevenci6n y dete∞i6n de fraude y maIa ∞nducta.
/ RetroaIimenta a la aIta direcci6n sobre la efectividad de Ios controles para Ia gesti6n
deI iesgo y hace Seguimiento a su administaci6n. Estabie∞r y aProba la PoCa de
AdmStraCi6n deI Riesgo.
Pimeainea de Defonsa: (Lideres de proceso):
/ Revisarjunto con su equipo eI ejeCicio de autocontrol de tabaio y ei adecuado disefro
y ejecuci6n de sus controles, documentandoios en sus po∞dimientos.
/ A corte 30 de abagosto 31 y diciembe 31 1a primera linea de defensa debea
eporta ei seguimiento ai cumpIimiento de los contOles y las acciones si estas
apiican.
/ CuatrimestraImente evisa eI cumpIimiento de Ios opetivos de su proceso e
indicadoes asociados y estable∞ los posibIes jesgos en caso de su incumplimiento.
/ Realiza ia identificaci6n de sus riesgos de corupci6n, geSti6n y de seguridad de la
infomaci6n, Paa Ia idenCaCi6n y valoaci6n de los activos, Seall Oientados po la
PeSOna enCargada de la seguidad de la infomaci6n de la instituci6n.
/ En caso de materiaiizarse un riesgo entega ai pro∞SO de Dire∞ionamiento
estrategi∞ un rePOrte de las causas que dieOn Origen a su mateializaci6n deI riesgo
y a=ncumpIimiento de Ios oPjetivos y metas, a taV6s dei analisis de indicadoes
asociados.
/ Realiza un Plan de mejoa para Ios riesgos mateializados con e=in de toma
medidas oportunas, el cuaI se radicaante Ia oficina de Contoi Intemo.
/ Cuatrimestralmente’ega al pO∞SO de Dieccionamiento Estategico para su
respectivo monitoreo’las evidencias que sopoen el seguimiento y monjtoreo de Ios
COntroles y sus espectivas actividades con una semana de anterioridad aI corte.
mnu0
ACUERDO 4V#bfV6 6de22 Pgina
Segunda linea de defensa (Proceso de Direccionamiento Estt6gico):
/ Cuatimestralmente, reVisa la deCi6n y articuiaci6n de Iosetivos institucionaies
COn los de cada proceso, junto con sus indicadoes asociados.
/ Cuatimestraimente, eVaIua y revisar el disefro de ios controles para mitiga e- rfesgo
entregados po los lidees de proceso.
/ ReaIiza Ias ecomendaciones necesafas a los contoIes.
/ EI proceso de Direccionamiento Estrategico, una VeZ eCiba Ia infomaci6n de los
mapas’dispondde 5 dias habiles despu6s de cada corte para la evisi6n tanto de
los mapas ∞mO de las evidencias cargadas e informafa a la Oficina de ControI
inteno
/ Hace ia consolidaci6n de los iesgos en todos Ios niveies y reportaHo hacia Ia aIta
direcci6n.
/ Publica eI Mapa de Riesgos en ia pagina web institucionaI aI 31 de enero de cada
ao.
Tercera linea defensa (ContOl lntemo):
/ Revisa Cuatimestalmente la ejecuci6n de los controles establecidos po 10S lideres
de proceso (iesgo inheente),
/ Una vez eciba la infomaci6n de los mapas po parte de Dieccionamiento
Estat6gico, dispondfa de 5 dias habiIes para eaIiza Seguimiento y veca la
efectividad de los controles, aSi como, Su reSPeCtiva pub!icaci6n.
/ Ha∞ un Seguimiento cuatmestralmente de las actividades de los ∞ntrOles (rfesgo
residuaI) y la coheencia de la calificaci6n de=mpacto y probabdad de los riesgos y
dar Ias recomendaciones pertinentes.
/ Pubiica en la pagina web institucionai eI seguimiento ealizado mediante un infome, a
los diez pimeros dias habiles posteriores aI seguimiento.
/ Revisa Ias evidencias entegadas po 10S lideres de proceso la cuaI debe se
COheente y que hayan entegado de manera opona.
/ Realizar seguimiento y controI de ios Planes de mejoa, entegados po los Iideres de
ProCeSO en CaSO de mateiZaSe ei iesgo, elbme sefa entregado ante eI comit
de coodinaci6n de Conto=nteno.
/ Reporta a ia Alta Diecci6n la ocumencia de Ios iesgos de coPCi6n.
4. COMPROMISO FRENTE A LA POLiTICA
E=nstituto Superio de Educaci6n Rua=SER de Pamp10na, Se COmPOmete a geStiona
Ios riesgos de corrupci6n, geSti6n y de seguridad de la infomaci6n, mOnitoealos y hace
Seguimiento en foma cuatimestal, idencando y administando Ios eventos potenciales
que pueden afecta ios ojetivos y los pOCeSOS de=nstituto.
M ETODOLOGiA:
mde0O
ACUERDO 3#bfV6 de22 Pgina
EI proceso de Direccionamiento Estrategico se encargade realiza la metodoIogia que
Pemita identea, analizal Valora y administar los iesgos de gesti6n, de ∞PCi6n y
de seguridad de la informaci6n, que Se Puedan pesentar en el normal desaO!io de Ias
actividades y que afecten eI cumpiimiento a la misi6n institucionaI y eiogo de ios
OPjetivos estategicos; eSta metOdoIogia tambi6n estable∞a e=ratamiento, manejo,
monjtoreo y seguimiento conforme a ia guia suministada po ei Departamento
Administrativo de ia Funci6n Plica - DAFP. En esta metodoiogia se incluin los
lineamientos paa que cada pro∞SO inicie su anSis y diligencjamiento ∞ectO, en Ia
que se inciuyen los siguientes puntos:
1. 1DENTIFiCACi6N DRIESGO:
Riesgos de gesti6n:
Cada iider de proceso y su equipo de trabajo debe idenCa las actividades en las que se
Obtenga evidencia o indicios de ocunencia de riesgos que afecten ei cumpIimiento de los
Objetivos de pro∞SO y eStategicos, aSi ∞mO la ∞nSeCuenCia econ6mica y/O
reputacionaI.
Los Iideres de pOCeSO COn Su equipo de tabalo eaiizan la descipci6n de sus iesgos Ia
CuaI debe contene Ios detalIes necesaios paa la compensi6n de teroeas pesonas, la
eda∞i6n inicia con la frase PROBABILIDAD DE, Seguido de los siguientes p…tOS de Ia
gCa:
Fuente: Guia para la administaci6n dei iesgo y el diseo de contoles en Ias entidades
PCaS, VeSi6n 5,
Funci6n pbiica diciembe de 2020.
Los iesgos se clasificafan teniendo en cuenta las siguientes categoias:
mrn0o
ACuERDO 3#bVV6 8de22 Pgia
Perdidas deivadas de erroes en Ia ejecuci6n y
administaci6n de procesos
ajenas a Ia oganizaci6n (no participa personaI de ia
entidad.
ireguIares, COmisi6n de hechos deiictivos abuso de
COnfianza, aPOPiaci6n indebidaCumPIimiento de
regulaciones Iegales o intende Ia entidad en las
Cuaies estnvoIucdo po Io menos I participante
inteno de la oganaci6n, SOn realizadas de toma
encionaI y/O ∞n anmO decro para si mismo o
pateeoS.
intePCi6n de servicios basicos.
Prdidas que sugen de acciones contarias a Ias Ieyes
O aCuerdos de empIeo, SaIud o seguad, del pago de
demandas po daos personales o de discriminaci6n.
Fa!las negligentes o invo!untarias de las ogaciones
fente a 10S uSuaios y que impiden satisfacer una
Obligaci6n profesional frente a 6stos,
Perdida po daOS O eXtraVios de los activos tios por
desastres natuales u otOS riesgosfeventos extemos
COmO atentados, VandaIismo, Orden pblico.
Esta cIasCaCi6n se tiene en cuenta en elaci6n con los factores de riesgo, de acuedo a
Ia natuaIeza de la instituci6n.
Riesgos de corrupci6n:
Es ne∞Sario que en Ia descipci6n de=fesgo conculTan los componentes de su
denici6n, aSi:
Las peguntas clave paa ia idenCaCi6n del iesgo son
/ iQupuede suceder?
me0um
ACUERDO 4#bfV6 9de22 Pgina
ACC16N U OMiS16N + USO DPODDESVIACi6N DE LA
GEST16N DE LO POBICO +BENEFICIO PRIVADO
MATRIZ:DEF=¥"C16NOERI∈S6OOECORRUPCI6N
cr1Il ` hH'Rol ,X
r90 l "lIdhl ,
X X
ucontato
Fuente: Guia paa la administraci6n del iesgo y eI disefro de controtes en las entidades
Pblicas. Versi6n 5.
Funci6n pdblica diciembe de 2020.
Riesgos de seguridad de Ia lnformaci6n: Se podn idenCa los siguientes tes (3)
iesgos inheentes de seguridad de Ia infomaci6n:
/ Pedida de Ia confidenciaIidad
/ Perdida de la integridad
/ Perdida de la disponibilidad
iide de pro∞SO, COmO Pime PaSO Para Ia idenCaCi6n de iesgos de seguridad de la
infomaci6n debe idenCa Ios activos de infomaci6n del proceso.
eaonlac03? /W)$-9eoD4
SeC0SWeb fXGVVFW6&XY$+6S$R
Rede3
omacnICaOd191 V&W&VvXWVvV,'F
ecno!ogiasdeoaclenl 7VgV6XV67R
lecnoIogia3deopeactonTOque V6V6V4FF
uzao9anizacpaafunc10na VV,67V6fVW6
ene!eOnOdIg VXx*VF+2
mne0,umo
ACUERDO 4bfV6 10de22 Pgina
Paa cada riesgo se deben asociar el gupo de activos, O aCtivos especCOS del proceso,
y conjuntamente anaIiza las posibies amenazas y vulneabiiidades que podian causa su
mateiaIizaci6n ,
Amenazas: Las amenazas pueden se de oigen natual o humano y podian se
accidentaies o delibeadas.
Vuineabdades: Estas se encuentan asociadas a la amenaza idenieada.
Se pueden idenCa Vulnerabilidades en las siguientes aeas:
/ Organizaci6n.
/ Rutinas de gesti6n.
/ Dependencia de paes extenas,
Fomato de descripci6n del riesgo de seguidad de la infomaci6n:
E=ide de pOCeSO digenciafa el espectivo fomato paa la descipci6n teniendo en
Cuenta ei suministo de la infomaci6n anteio.
lNCUYEACTIVOAMENAZA.VUNERABILIDADES
RI 5DDESCRI PCION iPO 4U46eX+T$"dDU2CONSECU
SGO RI SGO NCiAS
Fuente: Guia paa Ia admjnistaci6n deI iesgo y el disefto de contOles en Ias entidades
Pt]bIicas.
2. VAORAC16N DERIESGO:
Establece la pObabad de ocumencia deI iesgo y el nivel de impacto con e=in de
estima la zona deesgo inicial (RiESGO INHERENTE),
Riesgos de gesti6n y seguridad de la informaci6n:
mnal0nO
ACUERDO 4#bfV6 11de22 Pgina
Probabdad: Ede de proceso analiza eI nmeO de veces que se pasa po eI punto de
iesgo en la vigencia (Exposici6n del iesgo), una VeZ tenga Ios datos de la frecuencia y de
acuedo a Ia siguiente taa detemina el porcentje de probabilidad:
ecuCia de la Acvidd Probbd
Media
∞mO maXimo3 2 veces por afro
La actividad que conlleva ee§gO Se ejecuta de
3 a 24 ve∞S POraho
La actividad que coeva eesgo se ejecuta de
24 a 50O veces por aho
a actividad que ∞n=eva e=iesgo seecuta
inimo 5OO veces aI aho y maximo 5OOO veces
p° a
de 5000 ve∞S pa
60%
Fuente: Guia paa la administaci6n del iesgo y el diseo de controIes en Ias entidades
Pbiicas, Versi6n 5.
Funci6n pdblica diciembe de 2020.
1mpacto: Segn e=mpacto econ6mico y/O rePutaCional, ede de po∞SO define ei niveI
de impacto de acuerdo a la siguiente tabIa:
cc
Modeedo 60% le 50 y lOO SMMV
e lOO y 500 SMMV
May a 500 SMMV
o9anZaC
omamento, de conocImlentO geneal nrvel
lnemo, de junla dlreCl-Va y aCCIOn-Sta$ y/o de
P roVeedore8.
a19unO3 u3uarlO3 deievancla fronte al Io9'O
′de los obletlVo9
efecto publlCllaIO sostenldo a nlVee sector
admnI3tatwO, nlVel depaltamental o mucIPal.
El l-e3gO alec18 la lmagen de la entrdled a nrvel
nacIOnal, cOn e(ecto publICriO sostendo a
nlVel pa
ream
iS U&4F-JR-23 Cedio 01 VeSien
ACuERDO 3bfV6 12de22 Pgina
Fuente: Guia paa la administaci6n deI iesgo y ei diseo de controIes en las entidades
Pbiicas. VeSi6n 5.
Funci6n pdbiica diciembe de 2020.
En caso que se presenten ambos impactos paa un iesgo, COn Ceentes niveles, Se
debe toma eI de niveI mas aito.
La probabdad y e=mpacto de los riesgos de seguidad de la infomaci6n se deteminan
COn base en la amenaza, nO en las vulneabilidades,
Rie$gOS de coPCi6n:
!
Ia zona de riesgo iniciaI (Riesgo lnherente), ubieando 10S eSuItados en la suiente maZ:
t
’’′′
, !SR U$4FR23 Cedigo 01 Vei6n
ACUERDO 3#bfV6 13de22 P9ina
Fuente: Guia paa la administaci6n deI iesgo y el disO de controies en las entidades
Pbiicas, VeSi6n 5.
Funci6n pt]Ca diciembre de 2020.
EI punto donde se cuza los datos de Ia probabad y e=mpacto se=a severidad del
iesgo, que Se Puede clasifica en Extemo, Aito, Modeado o Bajo, de acuerdo a la gafica
anterior.
Riesgos de corrupci6n:
Eder de proceso define el nivel de severidad paa eesgo, teniendo en cuenta eI ajuste
frente a los niveles de impacto, deIimitado como se muestra a continuaci6n:
to
1)t
h′ ( R′
Fuente: Guia paa la administaci6n del iesgo y el diseo de controles en las entidades
Pblicas. Versi6n 5.
4. CONTROES:
Riesgos de gesti6n y de corrupci6n:
Los lidees de pOCeSO junto con su equipo de trabajo, Se enCargan del disO,
implementaci6n, qeCuCi6n y monitoeo de sus controIes.
Paa la correcta redacci6n de los contoIes deben tene en cuenta la siguiente estructura:
m0′
lS U"D4FJR-23 C6digo 01 Versi6n
ACUERDO 3#bfV6 14de22 Pgia
verificaue'ainform.i6 Suministrada por el proveedo evisa con la infomacidn fisica sumstrada
‡ por el proveedo0ntratOS que CumPlen Son egistrados en el sistemade
Contfcon’
Sean COntroIes automcos
que reaIiza Ia actividad,
del ∞no
Fuente: Guia paa la administraci6n del iesgo y el disO de contOles en las entidades
Pb!icas. VeSi6∩ 5.
Funci6n pdblica diciembre de 2020 y modificada po ia lnstituci6n
EL ANLISIS Y LA EVALUACI6N DE LOS CONTROLESATRBUTOS:
Se analizan Ios atibutos paa eI disefro del controI, teniendo en cuenta caracteisticas
elacionadas con la eficiencia y la fomalizaci6n.
Cacteristicas escipci6n eso∴
Atibutosde eficiencia )Peventivo 686W68FT25%
riesgo,aSeguaneIesultado
alespeado,
Detectivo WFV7FVXv7Y*X15% devueIve elpOCeSO alos
COntOIes preventivos. Se
ACUERDO 4#bfV6 15de22 Pina
Puedengenerarepocesos.
Corectivo FVWXVV&VGV6VT10% impactodeiamateriaIizaci6n
deiiesgo,tienenuncostoen
PrOCeSamientoovaiidaci6nde infomaci6nqueseejecutan
POunSistemay/OaPIicativo
demaneaautomaticasinla
intervenci6ndepeSOnaSPara
Suealizaci6n,
Manuai 6G&W7VW6VV7WFF215% PO una PeSOna, tiene
implicitoelerrohumano.
Atibutos 7VV6Documentado 6G&W8VXW7F
documentadosenelproceso.
POCeSO nO Se enCuentran
documenta 7VVF8V
documento propio dei
Fecuencia 6FVEIcontroIseaplitSiempe queserealizalaactividadque COnIlevaeiiesgo.
Aleatoia 6G&6X6 aleatoriamente aIa actividad
queconiIevaeliesgo
Pemiteevidencialaejecuci6n
deIcontOI.
SinregistO 6HTFVVVv7G&R laejecuci6ndeicontroI,
Fuente: Tabla tomada de la Guia paa Ia administaci6n deI riesgo y eI diseo de controIes
en ias entidades pdblicas. Versi6n 5.
Funci6n pdCa diciembe de 2020.
mreumO
ACUERDO 4c#bfV6 16de22 Pa
Los atributos infomativos soio pemiten daIe fomalidad ai control y su fin es eI de
COnOCe eI entono deI controI y complementa eI ansis con elementos cuaIitativos; Sin
embargo, eStOS nO tienen una incidencia diecta en su efectividad,
Los contOles pemiten da el movimiento en Ia matriz de calo en el eje de pobabiIidad y
en el eje de impacto de acuerdo a su tipo, tal y como se muestra a ∞ntinuaci6n:
Contoles
Corectivos
Ata cn
PObabilidad
Fuente: Guia para ia administaci6n deI iesgo y el disefro de controies en Ias entidades
Pblicas. VeSi6n 5.
Funci6n pbiica diciembe de 2020.
Con Ia apIicaci6n efectiva de 10S COntrOles se detemina un nuevo nivel de rfesgo, una VeZ
Se aPlica eI valor de uno de los ∞ntroles, el siguiente controI se aplicaa con el valo
esuItante Iuego de ia aplicaci6n de! prime COntOi.
Paa ubica e=iesgo despues de ios controles e=ider de proceso debea reaIiza la
Siguiente ecuaci6n po cada uno de los contoles, teniendo en cuenta que 6stos mitigan
de foma acumulativa:
% de (Probadad o impacto) inheente% vaIoCi6n conto= = % de mitigaci6n paroial
COnt
Seguo
Al % de (PObabilidad o impacto) Ie resta () eI % de mitigaci6n paroiaI = % de mitigaci6n
finaI del conto1 1
Si tiene mas de un control debe aplicar Ia siguiente f6mula y asi en adelante con los
demas controles:
% de mitigaci6n final del contro= % vaIoaci6n controi 2 = % de mitigaci6n paroiaI
Cont! 2
mmeγ0mo
ACuERDO 3#bcf6 17de22 P9ina
Seguo
AI % de mitigaci6nal del contro= le esta (-) ei % de mitigaci6n parcial del contoI 2 =
% de mitigaci6n finaI del contro1 2 (dependiendo de los contoIes este sea el valo de su
(ProbabiIidad o impacto) esiduaI
Si no se tiene contoI paa mitigar la probabad (detectivos y peventivos) o e=mpacto
(Corectivos), Se deja ei mismo poreentaje caiculado iniciaImente.
De acuerdo a los porcentajes de impacto y probadad residuaIes, Se ubicafa eesgo
determinando la nueva zona en la matriz de caior.
Riesgos de seguridad de la informaci6n:
Para e=ratamiento de estos riesgos se emplean Ios contoles dei Anexo A de la noma
NTC: iSOIC 27001. estlCtuados de ia siguiente foma:
7bb1ce coS
N-, -R lee HH+(.4>y4-
Nome 6:
Fuente: lnstumento de Evaluaci6n MSPl, Guia 8-Controles de Seguridad de Ia
l nfomaci6n
5. NIVEES DE ACEPTAC16N DRIESGO O TOLERANCIA ARIESGO:
Establece “Ios niveIes a∞Ptables de desviaci6n relativa a Ia consecuci6n de los oPjetivos’’
(NTC GTC 137 NumeraI 3.7.16), los mismos estan asociados a la estategia de ia entidad
y pueden considease para cada …O de Ios procesos.
/ Los riesgos de couPCi6n son inaceptabies.
/ La a∞PtaCi6n del iesgo puede ocuSin tatamiento del iesgo.
/ Los riesgos aceptados estan setos a monitoreo
mαraγ00
ISER U$4F-R_23 Cedi9o 01 Vesien
ACuERDO bfV6 18de22 Pagina
El apetito deI iesgo se dee a parti del anaIisis de- nivel deIesgo eI cuaI se ealiza una
VeZ Se han idencado Ios contOies para ∞nOCe eI niveI de rfesgo residual, Siendo este
nivel resultado de ia evaluaci6n de Ia probabiiidad ∞n empacto, en la i=Stituci6n sey
eI apetito deI rfesgo (Valo maximo deI nivei que esta dispuesta a asumi paa consegui
los oPjetivos institucionaIes), Iuego se dee hasta que limite ia entidad esta dispuesta a
aSumi ios iesgos en el nomai desaroIio de sus actividades (Capacidad del iesgo) y po
Itimo anaiizamos Ios niveies minimos de exposici6n al que estariamos dispuestos a
lIeva ios rfesgos (Tolerancia al riesgo)’eStOS VaIores estan epresentados en la siguiente
gCa:
io
)α c∞
FuenteGuia para la administaci6n del riesgo y eI diseho de controles en ias entidades
Pbiicas. Versi6n 5.
Funci6n pbIica diciembe de 2020.
Como se observa el apetito del riesgo deseado para el cumpIimiento de los oPjetivos
institucionaIes en condiciones nomaIes para ia entidad, Se enCuentra en una zona media
de 5O% de probabad y en un intervaIo de impacto entre leve 30% y meno a1 90%.
6. TRATAMIENTO DE RIESGO
De acuerdo al niveI del rfesgo cada lide de pOCeSO detemina que estategia va a usa
Para COmbati ei riesgo’ya Sea aCePta, educi o evita. Dependiendo de su reIaci6n con
la necesidad se define sj se debe reaIiza Planes de mejoa, COmO Se mueStra a
COntinuaci6∩ :
“nγ000
-
ACUERDO 3#bfV6 19de22 Pgina
s Dd iαe. 80
a Ie lo.ii
(
r
administraci6n deI riesgo
en las entidades
Eh caso dmaee/aci6n:
Riesgos de Gesti6n y Seguridad de ia lnfomaci6n (Zona Extrema, Alfa y
Moderada)
Cada Iinea de defensa debe esponde ante la mateiaIizaci6n de los rfesgos teniendo en
Cuenta Ias siguientes acciones:
Lider de proceso:
/ POCeder de manea inmediata a aplica e- p-an de contingencia o de tratamiento de
incidentes de seguidad de Ia infomaci6n que pemita Ia continuidad del servicio o el
restabiecimiento del mismo (Si es el caso), documenta en eI Plan de mejoamiento.
/ Inicia eI aSis de causas y detemina acciones preventivas y de mga,
documenta en ei PIan de Mejoamjento lnstitucionaI y epIantea los iesgos dei
POCeSO.
/ Anaiizar y actualiza el mapa de rfesgos,
/ lnformar al Proceso de Direccionamie=tO Estrat6gico sobe el ha-1azgo y las a∞iones
tomadas,
Oficina de Contol Interno:
/ lnfomar ade del po∞SO SObe el hecho encontado.
/ lnforma a Ia segunda linea de defensa con el fin de faca e=nicio de las acciones
COrreSPOndientes co= e=ider del po∞SO’Para eVisar el mapa de iesgos
/ A∞mPaha a=ider deI poceso en la evisi6n, analisis y toma de a∞iones
COrreSPOndientes para resoIve ei hecho.
/ VeCa que Se tOmaron Ias a∝iones y se acfualiz6 e- mapa de iesgos
COreSPOndiente.
meu
ACuERDO 3#bfV6 20de22 Pagina
Riesgos de Gesti6n y Seguridad de la lnfomaci6n (Zona Baja)
ide de proceso:
/ EstabIece a∞iones corectivas a=nteio de cada pOCeSO, a cagO de=ider
respectivo y veca 1a caIificaci6n y ubicaci6n deI rfesgo para su incIusi6n en el mapa
de riesgos.
/ infoma ader del pOCeSO SObe ei hecho.
/ lnfoma a la segunda Iinea de defensa con eIfaca e=nicio de Ias acciones
∞rreSPOndientes con e=ider dei pO∞SO, Paa reVisa el mapa de iesgos.
/ Acompafiar a=ider dei proceso en la revisi6n, analisis y toma de a∞iones
COreSPOndientes para esoIve ei hecho,
/ VeCa que Se tOmaron las a∝iones y se actuaIiz6 el mapa de iesgos
COreSPOndiee.
Riesgos de Corrupci6n
Lider de proceso:
/ Infoma aI Pro∞SO de Dieccionamiento Estategico sobre eecho encontado.
/ Una vez surtido el conducto regula establecido po Ia entidad y dependiendo del
aIcance (nomatividad asociada al hecho de corupci6n mateializado), tramita la
denuncia ante ia instancia de control correspondiente.
/ Identifica Ias acciones ∞reCtivas necesarias y documentaias en el PIan de
mejoramiento.
/ Efectua el analisis de causas y detemina acciones preventivas y de mejora.
/ Actualiza ei mapa de riesgos.
Oficina de Contro=nteno:
/ infoma al Lide dei pOCeSO, quien anaIizara situaci6n y definia las acciones a que
11aya Iuga.
/ Una vez surtido el ∞nducto regula estabIecido po ia entidad y dependiendo del
aIcance (nomatividad asociada al hecho de corupci6n mateializado), realiza la
denuncia ante Ia instancia de control correspondiente,
/ lnfoma a la segunda linea de defensa con ei fin de faca e=nicio de Ias acciones
COmeSPOndientes con ede del pOCeSO, Paa reVisa eI mapa de iesgos,
7 MONITOREO Y REVIS16N:
Los funcionaios y contatistas de Ia entidad deben conoce eI mapa de riesgos de
COPCi6n antes de su puCaCi6n. Paa Ioga este prop6sito ei proceso de
mO
ACUERDO 4#bfV6 21de22 Pgina
Direccionamiento Estrat6gico, diseay ponden maroha las actividades o mecanismos
necesarios paa que los funcionaios y contratistas conozcan, debatan y fomuIen sus
apeciaciones y pOPueStaS SObe el pOyeCtO demapa de iesgos de coPCi6n, el cuai
Se elabora con una peiodicidad anual y debe hace Parte integral del PIan AnticoPCi6n
y de Atenci6n al Ciudadano conforme aI Componente l. Gesti6n deI Riesgo de Comupci6n - Mapa de Riesgos de CoPCi6n,
En cuanto aI monitoreo y evisi6n, la periodicidad y responsabiiidades se encuentran
COntenidas paa cada Iinea de defensa mencionada en el numeai 3 de Ia presente
POIitica.
OPORTUNIDADES:
El tratamiento a las oportunidades inicia con su idenCaCi6n dentro de la definici6n deI
COnteXto eStrategico, aqui se hace refeencia a las condiciones deI entono que pueden
genea eventos positivos y los cuaies oiginan oportunidades.
Los lideres de proceso se encargan de proponer las iniciativas estatgicas que desde
Cada proceso pemita maximiza las oponidades idenCadas a medida que asegure eI
IogO de Ios oPjetivos de caiidad de la instituci6∩,
Las estrategias sen inciuidas dentO de Ios Planes de Acci6n o Planes de Mejora deI
ProCeSO COn eI fin de genea eI eporte de los avances en ei tiempo estabIecido en eI
momento en que se reaiicen los seguimientos po ia segunda y tercera linea de defensa.
De acuedo al plan en eI que se establezcan las estategias de las oportunidades, eI
POCeSO de Dieccionamiento Estatgico y/O la oficina de Contro=ntemo reaIizaan de
foma cuamestrai ei seguimiento y monitoreo de las actividades ejecutadas po Ios
lidees de pOCeSO.
Los esuItados deI seguimiento sean eportados ante eI ComlnstitucionaI de Gesti6n y
Desempeflo y el Comite de Coodinaci6n de ContO=nteno, a fin de faca la toma de
decisionesente a los avances obtenidos.
ARTicuLO TERCO. EI po∞SO de Dieccionamiento Estategico con el apoyo del
ProCeSO de Gesti6n de la Comunicaci6n, COmuCaa la Politica para ia Administraci6n de
Riesgos en todos Ios niveles de la instituci6n, PO medio de la pagina web institucional,
COmunicaci6n po medio dei correo institucional y mediante actividades de sensibjlizaci6n
a los pOCeSOS institucionales.
mrne000u0
lSR U&4F-R-23 C6digo 01 Versi6n
ACUERDO 4#bfV6 22de22 Pgina
ARTfcuO CUARTO. Esta poIitica podconta con presupuesto, e- cual sefa asignado
en Ia medida que se equiea para ei desarrolio de Ias actividades que opeativicen la
POlitica. Los recuSOSancieros, teCnOI6gi∞S, de infraestuctura y otos, Sean reVisados
y presentados en el presupuesto anuaI de la instituci6n y debean esta articulados al
COmPOnente de Gesti6n deI Riesgo de CoPCi6n - Mapa de Riesgos de CoPCi6n deI
PIan Anti∞uPCi6n y de Atenci6n aI Ciudadano que anualmente fomuia la instituci6n.
ARTicuLO QUINTO" EI presente Acuedo rige a parti de la fecha de su expedici6n y
deroga todas las disposiciones que ie sean contraias.
PUBiQUESE, COMUNiQUESE Y CUMPASE
mrn/0mo