Conceptos básicos relacionados con el riesgo
Riesgo de gestión:
Posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los objetivos. Se expresa en términos de probabilidad y consecuencias.
Riesgo inherente:
Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto.
Riesgo residual:
Nivel de riesgo que permanece luego de tomar sus correspondientes medidas de tratamiento.
Probabilidad:
Se entiende como la posibilidad de ocurrencia del riesgo. Esta puede ser medida con criterios de frecuencia o factibilidad.
Gestión del riesgo:
Proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.
Impacto:
Se entiende como las consecuencias que puede ocasionar a la organización la materialización del riesgo.
Causa:
Todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo.
Riesgo de corrupción:
Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.
Riesgo de seguridad digital:
Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.
Consecuencia:
Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.
Mapa de riesgos:
Documento con la información resultante de la gestión del riesgo.
Plan Anticorrupción y de Atención al Ciudadano:
Plan que contempla la estrategia de lucha contra la corrupción que debe ser implementada por todas las entidades del orden nacional, departamental y municipal.
Activo:
En el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital.
Confidencialidad:
Propiedad de la información que la hace no disponible, es decir, divulgada a individuos, entidades o procesos no autorizados.
Control:
Medida que modifica el riesgo (procesos, políticas, dispositivos, prácticas u otras acciones).
Vulnerabilidad:
Es una debilidad, atributo, causa o falta de control que permitiría la explotación por parte de una o más amenazas contra los activos.
Amenazas:
Situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.
Integridad:
Propiedad de exactitud y completitud.
Disponibilidad:
Propiedad de ser accesible y utilizable a demanda por una entidad.
Tolerancia al riesgo:
Son los niveles aceptables de desviación relativa a la consecución de objetivos. Pueden medirse y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Para el riesgo de corrupción la tolerancia es inaceptable.
Apetito al riesgo:
Magnitud y tipo de riesgo que una organización está dispuesta a buscar o retener.
Fuente: ICONTEC INTERNACIONAL. (2016). NORMA TÉCNICA COLOMBIANA NTC/ISO-IEC 27000. Bogotá D.C.: Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). CONPES 3854 de 2016
Intosai: guía para las normas de control interno del sector público http://www.Intosai.org Presidencia de la República, Departamento Nacional de Planeación, Departamento Administrativo de la Función Pública. Estrategias para la construcción del plan anticorrupción y atención al ciudadano. Bogotá. 2016. P. 8
¿QUÉ ESTABLECE MIPG?
El numeral 2.2.1. “Política de Planeación institucional” de la dimensión “Direccionamiento estratégico y planeación” menciona que, para responder a la pregunta ¿Cuáles son las prioridades identificadas por la entidad y señaladas en los planes de desarrollo nacionales y territoriales?, se deben formular las metas de largo plazo, tangibles, medibles, audaces y coherentes con los problemas y necesidades que deben atender o satisfacer, evitando proposiciones genéricas que no permitan su cuantificación y definiendo los posibles riesgos asociados al cumplimiento de las prioridades.
De igual forma, se menciona en esta dimensión que, para llevar a cabo el ejercicio de planeación, la entidad debe documentar dicho ejercicio, en donde se describa la parte conceptual u orientación estratégica y la parte operativa, en la que se señalen de forma precisa los objetivos, las metas y resultados a lograr, las trayectorias de implantación o cursos de acción a seguir, cronogramas, responsables, indicadores para monitorear y evaluar su cumplimiento y los riesgos que pueden afectar tal cumplimiento y los controles para su mitigación.
IMPORTANTE
En atención a lo que establece COSO 2013 y COSO ERM 2017, los planes, programas o proyectos deben contemplar los riesgos para su ejecución y logro de sus objetivos.
Acerca de la metodología
La metodología para la administración del riesgo requiere de un análisis inicial relacionado con el estado actual de la estructura de riesgos y su gestión en la entidad, el conocimiento de esta desde un punto de vista estratégico de la aplicación de tres (3) pasos básicos para su desarrollo y de la definición e implantación de estrategias de comunicación transversales a toda la entidad, para que su efectividad pueda ser evidenciada. A continuación se puede observar la estructura completa con sus desarrollos básicos:
Metodología para la administración del riesgo
