Comité Institucional de Gestión y Desempeño.  En este Comité se analiza la gestión de los riesgos y se impulsan estrategias e iniciativas para la protección de los recursos, alcanzar los resultados previstos y mejorar la prestación de los servicios a los ciudadanos.

Comité Institucional de Coordinación de Control Interno. En este Comité se analizan los eventos y riesgos críticos para la toma de decisiones frente a los controles.

Oficina Asesora de Planeación.  Capacita, acompaña, genera recomendaciones y define la metodología frente a la administración de los riesgos y el diseño de controles.

Líderes de Proceso.  Son responsables de gestionar los riesgos asociados al proceso bajo su responsabilidad y hacer seguimiento permanente.

Servidores.  Son responsables de ejecutar el control operacional en el día a día.

Corresponde a la declaración que realiza la Alta Dirección frente a la gestión de los riesgos y está contenida en el Artículo 1º. de la Resolución No. 142 de 22 de julio de 2020 por la cual se actualizó la Política de Administración de Riesgos y se definió el Esquema de Líneas de Defensa de la Personería de Santiago de Cali.

Política de Administración de Riesgos

La Alta Dirección de la Personería de Santiago de Cali, se compromete a implementar las acciones necesarias para la adecuada comunicación y administración de los riesgos, mediante el establecimiento de mecanismos y  lineamientos para el manejo, tratamiento y seguimiento de los mismos, fijando la responsabilidad sobre su gestión en todos los niveles de la entidad, que permita anticiparse a cualquier contingencia que se pueda presentar en el ejercicio de las funciones del Ente de Control y Vigilancia y brindar aseguramiento razonable respecto al logro de los objetivos institucionales.

Definir el marco de actuación frente a los Riesgos Operativos, de Corrupción, de Seguridad Digital y Fiscales a los que está expuesta la entidad, debiéndose alinear a los Objetivos Estratégicos Misionales e Institucionales, a través de su identificación temprana y valoración acertada, con medidas de tratamiento apropiado y líneas de reporte, monitoreo y seguimiento periódico, para mitigar su probabilidad de ocurrencia e impacto. 

La aplicación de los lineamientos de la política tiene cobertura en todos los procesos contenidos en la cadena de valor de la entidad y su implementación está bajo la responsabilidad de cada líder, quien además tiene el deber de comunicar sobre el adecuado control de los riesgos al personal a su cargo.

Corresponde a conceptos básicos relacionados con la administración y gestión del riesgo:

Riesgo. Efecto que se causa sobre los objetivos de la entidad debido a eventos potenciales, los cuales hacen referencia a la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones en el recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.

Riesgo de Seguridad de la Información. Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000).

Riesgo de Corrupción. Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.

Probabilidad. Se entiende como la posibilidad de ocurrencia del riesgo. Estará asociada a la exposición al riesgo del proceso o actividad que se esté analizando. La probabilidad inherente será el número de veces que se pasa por el punto de riesgo en el período de 1 año.

Causa. Todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo.

Consecuencia. Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.

Impacto.  Las consecuencias que puede ocasionar a la entidad la materialización del riesgo.

Riesgo Inherente. Nivel de riesgo propio de la actividad. El resultado de combinar la probabilidad con el impacto nos permite determinar el nivel del riesgo inherente, dentro de unas escalas de severidad.

Riesgo Residual. El resultado de aplicar la efectividad de los controles al riesgo inherente.

Control. Medida que permite reducir o mitigar un riesgo.

Causa Inmediata. Circunstancias bajo las cuales se presenta el riesgo, pero no constituyen la causa principal o base para que se presente el riesgo.

Causa Raíz. Causa principal o básica, corresponde a las razones por la cuales se puede presentar el riesgo.

Factores de Riesgo. Son las fuentes generadoras de riesgos.

Confidencialidad. Propiedad de la información que la hace no disponible o sea divulgada a individuos, entidades o procesos no autorizados.

Integridad. Propiedad de exactitud y completitud.

Disponibilidad. Propiedad de ser accesible y utilizable a demanda por una entidad.

Vulnerabilidad. Representan la debilidad de un activo o de un control que puede ser explotada por una o más amenazas.

Activo. En el contexto de seguridad digital son elementos tales como aplicaciones, servicios web, redes, Hardware, información física o digital, recurso humano, entre otros, que utiliza la entidad para funcionar en el entorno digital.

Nivel de riesgo. Es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos.

Apetito de riesgo. Es el nivel de riesgo que la entidad puede aceptar, relacionado con sus objetivos, el marco legal y las disposiciones de la Alta Dirección; el apetito de riesgo puede ser diferente para los distintos tipos de riesgos que la entidad debe o desea gestionar.

Tolerancia del riesgo. Es el valor de la máxima desviación admisible del nivel de riesgo con respecto al valor del apetito de riesgo determinado por la entidad.

Capacidad de riesgo. Es el máximo valor del nivel de riesgo que se puede soportar y a partir del cual se considera por la Alta Dirección que no sería posible el logro de los objetivos de la entidad.

Plan Anticorrupción y de Atención al Ciudadano. Plan que contempla la estrategia de lucha contra la corrupción que debe ser implementada por la entidad.

Plan de Acción. Herramienta de planificación empleada para la gestión y control de los riesgos.

Plan de Contingencia. Es diferente a un plan de acción y se encuentra vinculado al Plan de Continuidad del Negocio, el cual sirve como guía para responder, recuperar, reanudar y restaurar la operación de los procesos tras la interrupción de los servicios críticos de la entidad.

El Modelo Estándar de Control Interno – MECI continúa siendo la base para el desarrollo y fortalecimiento del Sistema de Control Interno de la entidad, siendo la gestión de los riesgos una actividad vital para su adecuado funcionamiento.

La metodología para la administración de los riesgos en la Personería de Santiago de Cali tiene como marco de referencia la Guía para la Administración de Riesgos y el Diseño de Controles en Entidades Públicas Versión 6 publicada por la Dirección de Gestión y Desempeño Institucional de la Función Pública en Diciembre de 2023.

Para la gestión de los riesgos de corrupción continúan vigentes los lineamientos contenidos en la versión 4 de la Guía para la Administración del Riesgo y el Diseño de Controles en entidades públicas emitida por la Función Pública en el 2018.

Para la gestión de los riesgos de seguridad digital se parte del establecimiento de los activos de información asociados a los procesos y necesarios para la identificación de los riesgos conforme el Modelo Nacional de Gestión de Riesgos de Seguridad de la Información en entidades públicas.

Consultar Guía de Administración de Riesgos Versión 6.0

Adicionalmente a la metodología, se establecen aspectos y criterios propios del Ente de Control y Vigilancia para dar claridad a todos los servidores y contratistas de la Personería frente a la gestión de los riesgos y su articulación con la estrategia institucional.

Análisis de los riesgos.  Los riesgos se analizan respecto al contexto estratégico, la caracterización de cada proceso, factores internos y externos que pueden afectar y tener impacto en el cumplimiento de los objetivos estratégicos o de los procesos.

Identificación de los puntos de riesgos.  Los puntos de riesgos se ubican en aquellas actividades de los procesos donde existe evidencia o se tiene indicios que pueden ocurrir eventos de riesgo operativo y es necesario mantener bajo control para asegurar que el proceso cumpla con su objetivo.

Identificación de áreas de impacto.  El área de impacto se refiere a la afectación económica (o presupuestal) y reputacional a la cual se ve expuesta la entidad en caso de materializarse un riesgo.

Identificación de áreas de factores de riesgo.  Corresponde a las fuentes que generan riesgos: Procesos, Talento Humano, Infraestructura Tecnológica, Infraestructura Física, Eventos Externos. 

La descripción del riesgo inicia con la frase POSIBILIDAD DE y se estructura como se muestra en el siguiente ejemplo:

De esta forma se evita la subjetividad en la redacción y permite entender la forma como se puede manifestar el riesgo, así como su causa inmediata y causa raíz, información esencial para la definición de los controles en la etapa de valoración del riesgo.

• Evite describir como riesgos: omisiones o desviaciones del control.
• Evite describir: causas como riesgos.
• Evite describir: riesgos como la negación de un control.

Riesgos de Corrupción. Para describir los riesgos de corrupción se atenderá la siguiente estructura:

Acción u Omisión + Uso del Poder + Desviación de la Gestión de lo Público + El Beneficio Privado.

Ejemplo: Posibilidad de recibir o solicitar cualquier dádiva o beneficio a nombre propio o de terceros con el fin de celebrar un contrato.

Los riesgos de corrupción se establecen sobre procesos, debe estar descrito de manera clara y precisa y su redacción no debe dar lugar a ambigüedades o confusiones con la causa generadora de los mismos.

Riesgos de Seguridad de la Información. Para describir los riesgos de seguridad de la información se deberá identificar las amenazas y vulnerabilidades de acuerdo al tipo de activo de información.  

Ejemplo: La falta de políticas de seguridad digital, ausencia de políticas de control de acceso, contraseñas sin protección y mecanismos de autenticación débil, pueden facilitar una modificación no autorizada, lo cual causaría la pérdida de la integridad de la base de datos de nómina.

 

Para la valoración de los riesgos el nivel de probabilidad se determina de acuerdo a la frecuencia con que se ejecuta la actividad donde existe evidencia o se tiene indicios que puede ocurrir eventos de riesgos y el nivel de impacto se determina de acuerdo a la afectación económica o reputacional como variables principales.

El resultado de combinar el nivel de probabilidad con el nivel de impacto permite determinar el nivel del riesgo inherente de la actividad dentro de una escala de severidad de 4 zonas: Bajo, Moderado, Alto, Extremo.

El impacto para los riesgos de corrupción se determina con base en los lineamientos sobre los riesgos relacionados con posibles actos de corrupción de la Guía para la Administración del Riesgo y el Diseño de Controles en entidades públicas Versión 5.0.

Nivel de Probabilidad.  La probabilidad se determina de acuerdo a la frecuencia con que se ejecuta la actividad.

Nivel de Impacto.  El impacto se determina de acuerdo a la afectación económica o reputacional como variables principales

El impacto para los riesgos de corrupción se determina con base en los lineamientos sobre los riesgos relacionados con posibles actos de corrupción.

El resultado de combinar el nivel de probabilidad con el nivel de impacto permite determinar el nivel del riesgo inherente de la actividad dentro de una escala de severidad de 4 zonas como se muestra en el ejemplo.

Al cruzar los datos de probabilidad e impacto, se tiene que el riesgo inherente se ubica en la Zona de Riesgo Alto.

Los controles son de tipo Preventivo, Detectivo y Correctivo, deben permitir mitigar o reducir los riesgos, se encuentran documentados en manuales, procedimientos, otros necesarios para la operación de los procesos, su implementación se hace de forma manual y en otros de forma automática y cada vez que se ejecuta debe quedar registro. A continuación, se presenta una tabla de atributos para valorar los controles existentes y el diseño de nuevos controles en el entidad, teniendo en cuenta características relacionadas con la eficiencia y la formalización. El resultado de aplicar la efectividad de los controles al riesgo inherente permite establecer el nivel de riesgo residual de la actividad como se muestra en el ejemplo. Siguiendo el ejemplo, al cruzar los datos de probabilidad e impacto, los controles establecidos frente el riesgo inherente permite el cambio de posición pasando de un nivel de severidad de riesgo Alto a Moderado, este último corresponde al riesgo residual.

Frente al nivel de riesgo residual se debe tomar una de las siguientes tres decisiones: Aceptar, Reducir o Evitar; cuando la decisión sea Reducir para mitigar el riesgo, se requiere definir un plan de acción dentro del mismo mapa de riesgo donde se establezca: Acción, cargo responsable, periodo de implementación y resultado del plan de acción.

 

Riesgos Operativos

• Mapa de Riesgos Direccionamiento Estratégico
• Mapa de Riesgos Comunicación Pública
• Mapa de Riesgos Defensa y Protección de los Derechos Humanos
• Mapa de Riesgos Participación Ciudadana y Defensa del Interés Publico
• Mapa de Riesgos Vigilancia Administrativa
• Mapa de Riesgos Solución Alternativa de Conflictos
• Mapa de Riesgos Gestión del Talento Humano 
• Mapa de Riesgos Gestión Administrativa y Financiera
• Mapa de Riesgos Gestión de la Legalidad
• Mapa de Riesgos Gestión Tecnológica y de la Información
• Mapa de Riesgos Evaluación y Seguimiento

Riesgos de Corrupción

• Mapa de Riesgos de Corrupción V6.1

Mediante el esquema de Líneas de Defensa, la Personería de Santiago de Cali tiene establecido el nivel de responsabilidad frente a la gestión de los riesgos, así:

Línea Estratégica: Está conformada por el Comité Institucional de Coordinación de Control Interno, tiene la responsabilidad de definir el marco general para la gestión del riesgo, comunicar, hacer seguimiento y evaluación a la Política de Administración de Riesgos. 

Primera Línea de Defensa: La conforman líderes de proceso y equipos de trabajo, tienen la responsabilidad de ejecutar el control operacional del día a día, identificar, valorar, controlar, prevenir, detectar y mitigar los riesgos conforme los lineamientos de la Política de Administración de Riesgos (Autocontrol). 

Segunda Línea de Defensa: Esta representada por el Jefe de la Oficina Asesora de Planeación, Director Financiero y Administrativo, Jefe Oficina Juridica, Responsable Oficina TIC, coordinadores y supervisores que generen información para el aseguramiento de la operación de la entidad a través de la consolidación y análisis de temas claves, así como el impacto sobre el control interno e informar a la Alta Dirección para la toma de decisiones. (Autoevaluación). 

Tercera Línea de Defensa:  Está a cargo del Jefe de la Oficina de Control Interno, tiene la responsabilidad de ejecutar la auditoría interna con enfoque basado en el riesgo para proporcionar aseguramiento objetivo e independiente sobre la gestión de los riesgos en la entidad, mediante la evaluación de los controles en cuanto a su diseño y ejecución, el seguimiento a las acciones formuladas para resolver la materialización de riesgos, así como el funcionamiento de la primera y segunda Línea de Defensa (Evaluación Independiente).

Adicionalmente, la Alta Dirección asignó en el LIDER MECI la responsabilidad de comunicar y verificar el cumplimiento adecuado de los lineamientos de la Política de Administración de Riesgos, con autoridad para:

1. Establecer si el impacto y las causas de los riesgos identificados en los procesos corresponden a la naturaleza de los procesos.
2. Analizar si la posición en la zona de riesgo está conforme con la valoración de la probabilidad e impacto del riesgo y si los controles son los adecuados.
3. Determinar si la opción de manejo y tratamiento es acorde con la realidad de la entidad.
4. Solicitar información sobre la gestión de los riesgos en los tiempos, formato y medios que estime más apropiados.

La Oficina Asesora de Planeación como responsable de la organización y métodos en la entidad, deberá mantener la actualización de los mapas de riesgos y brindar asistencia técnica a los procesos frente a la administración de los riesgos, para asegurar la aplicación de los lineamientos de la política por parte de líderes y equipos de trabajo.

Con corte al 30 de abril, al 30 de agosto y al 31 de diciembre de cada vigencia, el Líder MECI en conjunto con el Líder de cada proceso, revisará el mapa de riesgos para confirmar si hay variación en la zona de riesgo producto de planes de acción implementados, materialización de riesgos o identificación de nuevos riesgos.  Cada vez que se incorpore cambios en un mapa de riesgos, se modifica la versión y se publica en los medios dispuestos por la entidad.  La Oficina de Planeación conservará la versión inicial y la trazabilidad de los cambios.  Ningún mapa de riesgos se podrá modificar sin agotar la reunión con el Líder del Proceso.

Para asegurar la gestión de los riesgos se establecen las siguientes líneas de reporte:

Las deficiencias de control interno como resultado del monitoreo continuo en procesos se reportarán en la misma certificación mensual establecida para informar sobre la presencia o no de materialización de riesgos, con el fin de evaluar la adecuación de los controles frente a la gestión de los riesgos y documentar la planificación de cambios por parte de la Oficina Asesora de Planeación.

Consultar Actualización Mecanismo de Reporte Eventos de Riesgos – INTRANET

Corresponde al nivel de riesgo que la entidad puede aceptar en relación con sus objetivos, el marco legal y las disposiciones de la Alta Dirección, esto se conoce como Apetito del Riesgo, el cual puede ser diferente para los distintos tipos de riesgos que la entidad debe gestionar.

Para la Personería de Santiago de Cali el nivel de aceptación del riesgo está sujeto al nivel de severidad donde se ubique el riesgo en la matriz de riesgo residual; para tal efecto, se establecen criterios orientadores para el manejo y tratamiento de los riesgos.

Criterios Orientadores para la Toma de Decisiones

OPCIÓN DE MANEJO	TRATAMIENTO
Aceptar	Si la decisión es Aceptar, el riesgo no requiere acciones adicionales y está sujeto a monitoreo.
Reducir (Mitigar)	Si la decisión es Reducir (Mitigar), se debe implementar acciones como complemento a los controles ya existentes, no necesariamente son controles adicionales.
Reducir (Compartir)	Si la decisión es Reducir (Compartir) las acciones derivan en tercerizar el proceso o trasladar el riesgo a través de seguros o pólizas.
Evitar	Si la decisión es Evitar, esto significa que la actividad desaparece.

Los riesgos de seguridad digital que se ubiquen en un nivel de severidad Alto o Extremo, su manejo se realizará a través del PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN.

Los riesgos de corrupción son INACEPTABLES e INTOLERABLES cualquiera que sea su impacto y siempre deberá conducir a un tratamiento por parte de la entidad.

Ante un evento de riesgo, el líder del proceso y su equipo debe activar de inmediato el plan de contingencia que corresponda, el cual se considera como un control correctivo y conservar registro de las acciones implementadas que permitieron reducir o mitigar el efecto, evidencia que podrá ser solicitada por la auditoría interna o externa. 

En desarrollo del Artículo Séptimo de la Resolución 142 del 22 de julio de 2020, dentro del reporte mensual que realiza el líder del proceso frente al monitoreo de los riesgos, cuando aplique, se realizará el reporte de eventos presentados mes cumplido, a través del mecanismo que adopte la entidad para tal fin, permitiendo obtener trazabilidad del número de incidentes y control correctivo implementado. 

En caso de que el riesgo materializado no se hubiese identificado en el mapa de riesgos, se debe incluir y dar el tratamiento correspondiente de acuerdo con la metodología.

Cuando la materialización de un riesgo tenga impacto residual catastrófico, se deberá escalar inmediatamente a la Alta Dirección.