Política Integral de Administración de Riesgos

El Senado de la República, con el propósito de garantizar el cumplimiento de la misión, visión y los objetivos estratégicos, presenta su política integral de administración de riesgos, acorde con los parámetros establecidos en el Modelo Integrado de Planeación y Gestión - MIPG, para orientar las acciones necesarias que conduzcan a la identificación, valoración, tratamiento, manejo y seguimiento de los riesgos de gestión, corrupción y de seguridad digital identificados, frente a situaciones que puedan presentarse y que impidan, el cumplimiento de las funciones y objetivos institucionales.

La Dirección general, asignará la correcta aplicación de la Gestión Integral de Riesgos para la identificación, la valoración, el tratamiento y seguimiento de los riesgos, en los responsables de procesos y sus grupos de trabajo acorde con la implementación de las tres líneas de defensa del MIPG.

  1. Identificar y valorar los riesgos de gestión, corrupción y de seguridad digital en los procesos de la Entidad.
  2. Realizar seguimiento a los controles definidos en los procesos, con el fin de establecer  acciones de control detectivas y preventivas, para el manejo de los riesgos identificados.
  3. Implementar mecanismos de autocontrol, como parte de la cultura organizacional del Senado, con el fin de reducir las causas que puedan generar un riesgo y tener una actuación preventiva y oportuna ante la materialización del mismo.
  4. Definir mecanismos de monitoreo, que permitan identificar la materialización de los riesgos y realizar una actuación correctiva oportuna,
  5. Diseñar y ejecutar planes de contingencia, que mitiguen el impacto ante la materialización de los riesgos. 
  • Socializar y difundir la matriz integrada de riesgos de la entidad, con el fin de crear conciencia y sentido de pertenencia, en aras de fortalecer las actividades de control que minimicen la materialización de los riesgos identificados, en cada uno de los procesos de la Entidad.
  • Fortalecer el ambiente de control en la entidad y el direccionamiento estratégico, que fije la orientación clara y planeada de la gestión de los riesgos, mediante mecanismos de difusión que incentiven el autocontrol, para fundamentar el adecuado desarrollo de las actividades. 
  • Diseñar y ejecutar un programa de auditorías orientado a evaluar el  cumplimiento de los objetivos institucionales teniendo en cuenta la administración del riesgo y el seguimiento a la eficacia de los controles implementados, con el ánimo de proteger los recursos de la Entidad, resguardándolos contra la materialización de riesgos.

La gestión de los riesgos de gestión, corrupción y de seguridad digital, en el Senado de la República, tendrá un carácter prioritario y estratégico, fundamentada en el modelo de operación por procesos, conforme a los parámetros del Modelo Integrado de Planeación y Gestión -MIPG-, para lo cual se tendrán en cuenta los procesos estratégicos, misionales, de apoyo y de evaluación. Por tal razón, la identificación, análisis y valoración de los riesgos y controles, se circunscribirá a los objetivos de cada proceso.

La revisión al contenido de la matriz de riesgos institucional del Senado de la República, se realizará como mínimo una vez al año o cuando las circunstancias lo ameriten, a partir de modificaciones o cambios sustanciales en el contexto estratégico, modificaciones en los procesos o procedimientos, o cualquier hecho sobreviviente externo o interno que afecte la operación de la entidad.

La verificación y evaluación de las matrices de riesgo, acorde con las líneas de defensa del Modelo Integrado de Planeación y Gestión - MIPG-, la primera línea de defensa estará a cargo de los líderes de proceso de manera trimestral, la segunda línea de defensa a cargo de la Dirección General Administrativa y la División de Planeación y Sistemas de manera semestral y la tercera línea a cargo de la Oficina Coordinadora del Control Interno de manera anual.

La metodología aplicada para la administración de riesgos en el Senado de la República, está desarrollada con base en los lineamientos de la Guía para la administración del riesgo y el diseño de controles en entidades públicas emitida por  el Departamento Administrativo de la Función Pública (DAFP), parámetros del Modelo Integrado de Planeación y Gestión - MIPG- y la estructura del Sistema Integrado de Gestión – SGI.  

Los riesgos de gestión y seguridad digital que se ubican en las zonas de riesgo moderada, alta y extrema junto con los riesgos de corrupción, deberán ser priorizados para efectos de ser monitoreados y para la implementación de acciones de respuesta o de controles, que permitan llevar el riesgo a un nivel menor del inicialmente identificado.  

Dentro del sistema de gestión de calidad de la entidad se cuenta con el formato de mapa de riesgos identificado con el código GC-Fr08, para la consolidación de la matriz de riesgos institucional.  

De acuerdo con el mapa de procesos de la entidad y acorde con la metodología adoptada, se han identificado los siguientes tipos de riesgos: 

Riesgo estratégico: son aquellos asociados al logro de los objetivos de los procesos institucionales, que son identificados  por los responsables de cada uno de los procesos.

Riesgo de corrupción: son aquellos que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información se lesiones los intereses de la entidad y en consecuencia, del Estado, para la obtención de un beneficio particular;  son identificados  por los responsables de cada uno de los procesos y se asocian al mapa de riesgos institucional. La metodología adoptada para su medición se basa en los lineamientos de la Ley Anticorrupción. 

Riesgos de seguridad digital: “posibilidad de combinación de amenazas y vulnerabilidades en el entorno digital. puede debilitar el logro de objetivos económicos y sociales, afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas. 

Riesgo tecnológicos: “posibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura tecnológica (hardware, software, redes, etc.) de una entidad.

Riesgo de cumplimiento: “posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la organización debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.

Riesgo Financieros: son aquellos relacionados con el manejo de recursos, la ejecución Presupuestal, la elaboración de los estados financieros, los pagos y el manejo de los bienes.

Para el Senado de la República  el nivel de aceptación del riesgo está sujeto al tratamiento, manejo y seguimiento a los riesgos que afectan el logro de los objetivos institucionales y son considerados para cada uno de los procesos.

Los riesgo calificados en la zona como bajo cumple con los criterios de aceptación de riesgo no es necesario poner controles y este puede ser aceptado, y estar sujetos a monitoreo. 

El riesgo en zona moderada, se establecen acciones de control preventivas que permitan reducir la probabilidad de ocurrencia del riesgo y se hace seguimiento del mismo.

En caso de que el riesgo identificado se considere alto o extremo se debe incluir en el matriz de riesgo Institucional y se establecen acciones de control preventivas que permitan mitigar la materialización del riesgo y se debe hacer seguimiento.

En los riegos de seguridad digital identificados como alto o extremo, se consolidará el plan de tratamiento de riesgos de Seguridad de la Información.

Los riesgos de corrupción son inaceptables siempre deben conducir a un tratamiento por parte de la entidad.

Líneas de Defensa

Responsable

Responsabilidad frente al riesgo

Primera Línea

Líderes de Proceso

  • Identificar y valorar los riesgos que pueden afectar los procesos a su cargo y actualizarlos cuando se requiera. 
  • Definir, aplicar y hacer seguimiento a los controles para mitigar los riesgos identificados alineado con los objetivos estratégicos de la entidad y proponer acciones de mejora a la gestión del riesgo en su proceso. 
  • Desarrollar ejercicios de autoevaluación para establecer la eficiencia, eficacia y efectividad de los controles. 
  • Informar a la Dirección General Administrativa y la División de planeación y sistemas (segunda línea) sobre los riesgos materializados en los procesos a su cargo. 
  • Reportar en el SIG, los avances y evidencias de la gestión de los riesgos a cargo del proceso asociado.

Segunda línea 

  • Dirección General Administrativa
  • Establecer y aprobar la Política de administración del riesgo la cual incluye los niveles de responsabilidad y autoridad.
  • Analizar los cambios en el entorno (contexto interno y externo), que puedan tener un impacto significativo en la operación de la entidad y que puedan generar cambios en la estructura de riesgos y controles.
  • Realizar seguimiento y análisis semestral a los riesgos institucionales. 
  • Retroalimentar al Comité de Gestión y Desempeño Institucional, sobre los ajustes que se deban hacer frente a la gestión del riesgo.

División de planeación y Sistemas 

  • Asesorar a la Dirección General Administrativa  en el análisis del contexto interno y externo, para la definición de la política de riesgo.
  • Consolidar y publicar el Mapa de riesgos institucional. 
  • Acompañar, orientar y entrenar a los líderes de procesos en la identificación, análisis y valoración del riesgo.
  • Monitorear los controles establecidos por la primera línea de defensa acorde con la información suministrada por los líderes de procesos. 
  • Supervisar en coordinación con los demás responsables de la segunda línea de defensa que la primera línea identifique, evalué y gestione los riesgos y controles para que se generen acciones.
  • Evaluar que los riesgos sean consistentes con la presente política de la entidad.

Tercera Línea

Oficina Coordinadora de Control interno

  • Proveer el aseguramiento objetivo sobre la eficacia de la gestión del riesgo y control, con énfasis en el diseño e idoneidad de los controles establecidos en los procesos. 

  • Asesorar de forma coordinada con la Dirección General Administrativa, la división de planeación y sistemas, a la primera línea de defensa en la identificación de los riesgos institucionales y diseño de controles.
  • Llevar a cabo el seguimiento a los riesgos consolidados en los mapas de riesgos. 
  • Recomendar mejoras a la política de administración del riesgo.

La administración de riesgos debe ser un tema conocido por todos los funcionarios de la Entidad, para lo cual se utilizarán los medios masivos de comunicación, para su divulgación al interior de cada uno de los procesos. De igual forma es responsabilidad de la División de Planeación y Sistemas publicarlos en la web, una vez sean aprobados y remitidos por los responsables de los procesos.

 

ASTRID SALAMANCA RAHIN                                   Politica Integral de Administración de Riesgos (Firmada)
Directora General