Puede realizar búsquedas exactas dentro de este documento, ingrese el texto a buscar en la siguiente casilla:
RESOLUCIÓN 149 DE 2021
(octubre 26)
Diario Oficial No. 51.861 de 17 de noviembre de 2021
CENTRO NACIONAL DE MEMORIA HISTÓRICA
Por medio de la cual se actualiza la Política de Administración del Riesgo en el Centro Nacional de Memoria Histórica.
EL DIRECTOR GENERAL,
en uso de sus facultades legales y reglamentarias, en especial las previstas en el Decreto 4803 de 2011, y
CONSIDERANDO:
Que la Constitución Política de Colombia en el artículo 209 establece que la administración pública en todos sus órdenes tendrá un control interno que se ejercerá en los términos que señale la ley.
Que, según el artículo 269 de la Constitución Política de Colombia, en las entidades públicas, las autoridades correspondientes están obligadas a diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno, de conformidad con lo que disponga la ley.
Que la Ley 87 de 1993 “por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones”, establecen que son objetivos de control el interno, entre otros, la Protección de los recursos de la organización buscando su adecuada administración ante posibles riesgos que los afecten; y la definición y aplicación de las medidas necesarias para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de sus objetivos.
Que el artículo 6o de la ley en mención, señala “El establecimiento y desarrollo del Sistema de Control Interno en los organismos y entidades públicas, será responsabilidad del representante legal o máximo directivo correspondiente. No obstante, la aplicación de los métodos y procedimientos al igual que la calidad, eficiencia y eficacia del control interno, también será de responsabilidad de los jefes de cada una de las distintas dependencias de las entidades y organismos”.
Que, de otra parte, la Ley 1474 de 2011, en su artículo 73, Plan Anticorrupción y de Atención al Ciudadano. Establece que cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la atención al ciudadano.
Que el artículo 2.2.21.2.4 del Decreto 1083 de 2015 “por medio del cual expide el Decreto Único Reglamentario del sector de Función Pública” establece que “Como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo”.
Que mediante el Decreto 1499 de 2017, se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, sustituyendo los Títulos 22 y 23 de la Parte 2 del Libro 2, en lo relacionado con el Sistema de Gestión y se establece su articulación con el Sistema de Control Interno; adoptando el Modelo Integrado de Planeación y Gestión (MIPG) como un marco de referencia para dirigir, planear, ejecutar, hacer seguimiento, evaluar y controlar la gestión de las entidades y organismos públicos, con el fin de generar resultados que atiendan los planes de desarrollo y resuelvan las necesidades y problemas de los ciudadanos, con integridad y calidad en el servicio.
Que en relación con el Sistema de Gestión, el Decreto 1499 de 2017, establece que está conformado por las políticas, normas, recursos e información, necesarios para dirigir la gestión pública al mejor desempeño institucional y a la consecución de resultados, para satisfacer las necesidades y los derechos de los ciudadanos, el cual se complementa y articula, entre otros, con los Sistemas Nacional de Servicio al Ciudadano, de Gestión de la Seguridad y Salud en el Trabajo, de Gestión Ambiental y de Seguridad de la Información.
Que conforme a lo establecido en el artículo 2.2.22.3.5 del citado Decreto, adoptará y actualizará el Manual Operativo del Modelo Integrado de Planeación y Gestión (MIPG), el cual tiene como propósito brindar los elementos fundamentales para que las entidades públicas implementen el Modelo de manera adecuada y fácil.
Que de acuerdo con el artículo 2.2.23.2 del mismo Decreto, la actualización del Modelo Estándar de Control Interno para el Estado Colombiano (MECI), se efectuará a través del Manual Operativo del Modelo Integrado de Planeación y Gestión (MIPG), el cual será de obligatorio cumplimiento y aplicación para las entidades y organismos a que hace referencia el artículo 5o de la Ley 87 de 1993.
Que conforme a la estructura establecida en el Manual Operativo del MIPG, en la Dimensión Séptima “Control Interno”, se define la estructura del Modelo Estándar de Control Interno (MECI) el cual se fundamenta en cinco componentes: (i) Ambiente de control, (ii) Administración del Riesgo, (iii) Actividades de Control, (iv) Información y Comunicación y (v) Actividades de Monitoreo.
Que, atendiendo a los lineamientos del componente de Administración del Riesgo, es necesaria la formulación de la política de administración del riesgo de la Entidad, acorde a lo indicado en el numeral 7.2.2. “Asegurar la gestión del riesgo en la entidad” del Manual Operativo del MIPG.
Que, en cumplimiento con lo anterior, el Centro Nacional de Memoria Histórica (CNMH) mediante Resolución 079 del 10 de abril de 2019 actualizó la Política de Administración del Riesgo para el Centro Nacional de Memoria Histórica.
Que atendiendo a los nuevos lineamientos del Departamento Administrativo de la Función Pública (DAFP) sobre la administración de riesgos, contemplados en la Guía para la administración del riesgo y el diseño de controles en entidades Públicas expedido por el Departamento Administrativo de la Función Pública (DAFP), donde señala los lineamientos para la identificación de los riesgos de gestión, de corrupción y de seguridad de la información, es necesario actualizar e implementar los nuevos lineamientos para la política de administración del riesgo del CNMH.
Que, en mérito de lo expuesto,
RESUELVE:
ARTÍCULO 1o. ASPECTOS GENERALES. Adoptar la nueva Política de Administración de Riesgos del Centro Nacional de Memoria Histórica (CNMH), para garantizar el cumplimiento de la misión, visión y objetivos estratégicos y de proceso de la entidad.
ARTÍCULO 2o. OBJETIVO. El objetivo de la política de administración del riesgo es orientar la toma de decisiones respecto al tratamiento de los riesgos y sus efectos al interior del Centro Nacional de Memoria Histórica (CNMH), con el propósito de orientar las acciones necesarias que conduzcan a disminuir la vulnerabilidad frente a situaciones que puedan interferir en el cumplimiento de sus funciones y en el logro de los objetivos estratégicos de la Entidad.
ARTÍCULO 3o. POLÍTICA DE ADMINISTRACIÓN DEL RIESGO. El Centro Nacional de Memoria Histórica (CNMH) se compromete a administrar los riesgos identificados en el mapa de riesgos institucional, los cuales estarán sujetos al monitoreo, seguimiento y actualización mediante la aplicación de herramientas y procedimientos establecidos, incluyendo acciones de tratamiento para aceptar, reducir o evitar el riesgo; con la participación de los gerentes públicos, líderes de los procesos, servidores públicos y contratistas de la Entidad y dando respuesta a los lineamientos estratégicos y los requisitos legales.
ARTÍCULO 4o. TÉRMINOS Y DEFINICIONES. Se relacionan los términos relevantes en la administración del riesgo para el Centro Nacional de Memoria Histórica (CNMH) tomados de la Guía para la Administración del Riesgo y el Diseño de Controles en Entidades Públicas.
- Causa: todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo.
- Causa Inmediata: Circunstancias bajo las cuales se presenta el riesgo, pero no constituyen la causa principal o base para que se presente el riesgo.
- Causa Raíz: Causa principal o básica, corresponde a las razones por las cuales se puede presentar el riesgo.
- Consecuencia: los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.
- Control: Medida que permite reducir o mitigar un riesgo.
- Controles preventivos: Acción o mecanismos ejecutados antes que se realice la actividad originada del riesgo, que busca establecer condiciones que aseguren el resultado final esperado.
- Controles detectivos: Acción o mecanismos que permite detectar el riesgo durante la ejecución del proceso y puede disminuir la materialización de dicho riesgo.
- Impacto: Las consecuencias que puede ocasionar a la organización la materialización del riesgo.
- Controles Correctivos: Acción que se ejecuta después de que se materializa el riesgo.
- Materialización del riesgo: Es la ocurrencia efectiva de la situación definida en el mapa de riesgos, como un riesgo del proceso sin importar la frecuencia con que se presentó. Con una sola vez que ocurra la situación de riesgo, se considera que el riesgo se ha materializado.
- Nivel de riesgo: Es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos.
- Probabilidad: se entiende la posibilidad de ocurrencia del riesgo. Estará asociada a la exposición al riesgo del proceso o actividad que se esté analizando. La probabilidad inherente será el número de veces que se pasa por el punto de riesgo en el periodo de 1 año.
- Riesgo de corrupción: Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.
- Riesgo de Gestión: Efecto que se causa sobre los objetivos de las entidades, debido a eventos potenciales.
- Riesgo de seguridad de la Información: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. (ISO/IEC 27000).
- Riesgo inherente: Nivel de riesgo propio de la actividad. El resultado de combinar la probabilidad con el impacto nos permite determinar el nivel del riesgo inherente, dentro de unas escalas de severidad.
- Riesgo residual: El resultado de aplicar la efectividad de los controles al riesgo inherente.
ARTÍCULO 5o. ALCANCE. La política de administración de riesgos del Centro Nacional de Memoria Histórica (CNMH) es aplicable a todos los procesos de la Entidad y a las acciones ejecutadas por los gerentes públicos, líderes de los procesos, servidores públicos y contratistas durante el ejercicio de sus funciones y obligaciones.
ARTÍCULO 6o. METODOLOGÍA PARA LA ADMINISTRACIÓN DEL RIESGO. El Centro Nacional de Memoria Histórica (CNMH) adoptará los lineamientos, la metodología e instrumentos para la Administración del Riesgo establecidos por el Departamento Administrativo de la Función Pública (DAFP), las consideraciones, orientaciones y mecanismos de la administración de riesgos del Modelo Estándar de Control Interno (MECI), y los lineamientos establecidos en el Sistema Integrado de Gestión (SIG) del CNMH.
ARTÍCULO 7o. RESPONSABLES. La implementación de la política de administración del riesgo debe ser coordinada por el representante de la alta dirección del CNMH, su equipo directivo y con el apoyo del Comité Institucional de Coordinación de Control Interno CICCI del CNMH, líderes de los procesos, colaboradores y servidores públicos.
Se definen las responsabilidades frente a la administración de riesgos por cada una de las líneas de defensa:
| LÍNEA DE DEFENSA | RESPONSABLE | RESPONSABILIDAD FRENTE A LA ADMINISTRACIÓN DE RIESGOS |
| Línea Estratégica | Alta Dirección Comité Institucional de Coordinación de Control Interno (CICCI) | - Establecer y aprobar la Política de Administración del Riesgo del CNMH. - Asegurar la implementación de la Política de Administración de Riesgos al interior de la Entidad, lo cual incluye los riesgos de gestión, de corrupción y seguridad digital. - Revisar anualmente el contexto estratégico con el propósito de identificar cambios que puedan originar nuevos riesgos o modificar los existentes. - Revisar y analizar el informe de seguimiento al mapa de riesgos institucional presentado por Control Interno, y tomar las decisiones pertinentes para el mejoramiento del proceso de gestión de los riesgos institucionales. |
| Primera Línea de | Gerentes Públicos y Líderes de proceso | - Implementar las metodologías y lineamientos para la administración de riesgos establecidos en el CNMH. |
| Defensa | - Identificar y valorar los riesgos que pueden afectar el logro de los objetivos institucionales. | |
| - Definir y diseñar los controles a los riesgos de los procesos a su cargo y actualizarlos cuando se requiera. | ||
| - Realizar monitoreo a los controles y acciones establecidas en el mapa de riesgos de su proceso para mitigar los riesgos identificados. | ||
| - Velar por el mejoramiento y sostenibilidad del mapa de riesgos de su proceso a través de las acciones de mejora. | ||
| - Informar al Grupo de planeación (segunda línea de defensa) sobre los riesgos materializados en los procesos a su cargo, incluyendo los riesgos de corrupción. | ||
| - Reportar a la segunda y tercera línea de defensa, la información solicitada para el monitoreo y seguimiento al mapa de riesgos a su cargo. | ||
| LÍNEA DE DEFENSA | RESPONSABLE | RESPONSABILIDAD FRENTE A LA ADMINISTRACIÓN DE RIESGOS |
| Segunda Línea de Defensa | Grupo de Planeación | - Sensibilizar a los líderes de proceso en la metodología y lineamientos establecidos para la administración de Riesgos en la Entidad. |
| - Acompañar y orientar a los líderes de proceso y a su equipo de trabajo, en la identificación y valoración de los riesgos a su cargo, de acuerdo con la metodología y lineamientos establecidos por la Entidad. | ||
| - Evaluar que la gestión de los riesgos esté acorde con la presente política y de acuerdo con los lineamientos establecidos para la administración de riesgos. | ||
| - Monitorear los controles establecidos por la primera línea de defensa acorde con la información suministrada por los líderes de procesos. | ||
| - Llevar a cabo las alertas necesarias a los líderes de proceso, para el monitoreo y seguimiento al mapa de riesgos a su cargo. | ||
| - Consolidar y socializar el mapa de riesgos institucional el cual incluye: Riesgos de gestión, de corrupción, seguridad digital y los demás riesgos que puedan afectar la gestión institucional. | ||
| Dirección Administrativa y Financiera (TIC) | - La Dirección Administrativa y Financiera, en cabeza del equipo de trabajo de Tecnologías de la información y Comunicaciones acompañarán a los líderes de proceso en la identificación y valoración de los riesgos de Seguridad de la información, de acuerdo con la normatividad y los lineamientos establecidos por el Departamento Administrativo de la Función Pública (DAFP) y el MINTIC. | |
| Tercera Línea de Defensa | Control Interno | - Asesorar en metodologías para la identificación y administración de los riesgos, en coordinación con la Segunda línea de defensa. |
| - Llevar a cabo el seguimiento al mapa de riesgo institucional de conformidad con el plan anual de auditoría y reportar los resultados al Comité Institucional de Coordinación de Control Interno. | ||
| - Comunicar al Comité Institucional de Coordinación de Control Interno posibles cambios e impactos en la evaluación del riesgo, detectados en las auditorías. | ||
| - Alertar sobre la identificación y materialización de riesgos de corrupción, gestión y seguridad digital. | ||
ARTÍCULO 8o. NIVELES DE ACEPTACIÓN. El Centro Nacional de Memoria Histórica (CNMH) establece los siguientes niveles de riesgo: Extrema, Alta, Moderada y Baja. Para los riesgos de corrupción, estos no podrán estar en zona de riesgo Baja, es decir, que solo les aplican las zonas de riesgo Moderado, Alto y Extremo.
MAPA DE CALOR
El CNMH establece los siguientes niveles de aceptación de los riesgos identificados:
- Los riesgos ubicados en zona de riesgo bajo se asumirá el riesgo y se administra por medio de las actividades propias del proceso. Los líderes de proceso realizarán monitoreo permanente, con el fin de validar que la probabilidad e impacto establecido, no haya sufrido cambios.
- Los riesgos ubicados en las zonas de riesgos moderado, alto y extremo no serán aceptados, por lo tanto, se adoptarán medidas para evitar o reducir el riesgo a través de la formulación e implementación de controles y planes de acción. Los líderes de proceso realizarán monitoreo permanente, con el fin de validar que la probabilidad e impacto establecido, no haya sufrido cambios.
- EL CNMH no aceptará ningún riesgo corrupción, por lo tanto, se adoptarán medidas para evitar o reducir los riesgos, de tal manera, que se formularán e implementarán planes de acción para su mitigación, sobre los cuales los líderes de proceso realizarán monitoreo y seguimiento permanente.
ARTÍCULO 9o. TRATAMIENTO DE RIESGOS. Para el tratamiento de los riesgos institucionales, las opciones apuntarán a la toma de decisiones acorde a las características de los riesgos identificados.
- Aceptar el riesgo. Si el nivel de riesgo residual se encuentra en zona BAJO se determina asumir el riesgo y no se requiere formular plan de acción para su mitigación. Esto debería aplicar para riesgo de gestión y seguridad de información en la zona de calificación de riesgo bajo.
- Reducir el riesgo. Si el nivel de riesgo residual se encuentra en zona MODERADO, ALTO o EXTREMO, se deberá realizar un análisis y considerar cuál es la mejor opción para el tratamiento ya sea mitigar o transferir el riesgo.
- Evitar el riesgo. Cuando los escenarios de riesgo identificados se consideran demasiado extremos se puede tomar una decisión para evitar el riesgo, mediante la cancelación de la actividad o un conjunto de actividades. Es decir, se puede determinar no asumir la actividad que genera el riesgo.
ARTÍCULO 10. MATERIALIZACIÓN DE RIESGOS. En caso de materialización de un riesgo, el Centro Nacional de Memoria Histórica (CNMH) tendrá en cuenta las siguientes acciones:
| TIPO DE RIESGO | RESPONSABLE | ACCIONES EN CASO DE MATERIALIZACIÓN |
| Gerente Público y Líderes de los procesos | - Informar al grupo de planeación (segunda línea de defensa) sobre el riesgo materializado y las acciones a implementar. - Iniciar de manera inmediata el análisis de causas y de- terminar las acciones correctivas a las que haya lugar. - Formular el plan de mejoramiento o tratamiento de incidentes de seguridad de la información el cual permitirá minimizar los impactos o efectos negativos que este pueda ocasionar. - Analizar y actualizar el mapa de riesgos. | |
| Control Interno | - Informar al gerente público y líderes de los procesos sobre la materialización del riesgo, con el fin de formular el plan de mejoramiento, el cual permitirá minimizar los impactos o efectos negativos que este pueda ocasionar. - Informar al grupo de planeación (segunda línea de defensa) con el de fin facilitar el inicio de las acciones a implementar con el gerente público y/o líderes de los procesos. - Verificar que se hayan tomado las acciones correctivas y se haya actualizado el mapa de riesgos correspondiente. | |
| Riesgos de Corrupción | Gerente Público y Líderes de los procesos | - Iniciar de manera inmediata el análisis de causas y de- terminar las acciones correctivas a las que haya lugar. - Formular el plan de mejoramiento el cual permitirá minimizar los impactos o efectos negativos que este pueda ocasionar. - Informar al grupo de planeación (segunda línea de defensa) sobre el riesgo materializado y las acciones a implementar. - Actualizar el mapa de riesgos de corrupción. |
| Control Interno | - Informar al Representante Legal, Gerentes Públicos y Líderes de los Procesos, quienes analizarán la situación y determinarán las acciones a seguir. - Informar al grupo de planeación (segunda línea de defensa) con el fin de facilitar el inicio de las acciones correspondientes con los gerentes público y líderes de los procesos, para revisar el mapa de riesgos. - Una vez surtido el conducto regular establecido por la entidad y dependiendo del alcance (normatividad asociada al hecho de corrupción materializado), realizar la denuncia ante la instancia de control correspondiente. - Verificar que se hayan tomado las acciones correctivas. | |
ARTÍCULO 11. MONITOREO Y REVISIÓN A LA GESTIÓN DE LOS RIESGOS. El monitoreo y revisión al mapa de riesgos institucional, estará a cargo de los gerentes públicos y líderes de los procesos, en conjunto con su equipo de trabajo (primera línea de defensa), su finalidad principal es monitorear permanentemente la gestión del riesgo y la efectividad de los controles, y de esta manera, sugerir los correctivos y ajustes cuando sea necesarios para asegurar un efectivo manejo del riesgo.
El monitoreo al mapa de riesgos y a los controles establecidos, se realizará como mínimo dos (2) veces al año, salvo en los casos que los lineamientos u orientaciones establezcan los respectivos seguimientos. Los ciclos de control establecidos se revisarán y se ajustarán si es necesario, para adaptarlos a los cambios, situaciones o circunstancias por las que pueda atravesar el Centro Nacional de Memoria Histórica (CNMH).
ARTÍCULO 12. SEGUIMIENTO Y EVALUACIÓN INDEPENDIENTE. Control Interno en su rol de Evaluación de la Gestión del Riesgo, realizará seguimiento al Mapa de Riesgos institucional, conforme a las disposiciones establecidas por el Departamento Administrativo de la Función Pública (DAFP) y de la Secretaría de Transparencia, y atendiendo a la normatividad aplicable.
ARTÍCULO 13. DIVULGACIÓN. La política de administración del riesgo y el mapa de riesgos institucional se divulgarán al interior del Centro Nacional de Memoria Histórica (CNMH) a través de los canales y medios de comunicación establecidos, así como la socialización al interior de las Direcciones Técnicas, la Oficina Asesora Jurídica y a los demás grupos y dependencias establecidas en el CNMH, estará a cargo de los gerentes públicos y líderes de los procesos.
ARTÍCULO 14. VIGENCIA Y DEROGATORIAS. La presente resolución rige a partir de su publicación, y deroga todas las disposiciones que le sean contrarias y, en especial, la Resolución 079 de 2019.
ARTÍCULO 15. COMUNICACIONES. Comunicar el contenido del presente acto administrativo a todas la Direcciones Técnicas, la Oficina Asesora Jurídica y a los demás grupos y dependencias del Centro Nacional de Memoria Histórica, por conducto de la Dirección Administrativa y Financiera.
ARTÍCULO 16. Publicar la presente Resolución en los términos previstos en el artículo 65 de la Ley 1437 de 2011, modificado por el a artículo 15 de la 2080 de 2021 y en la página web del Centro Nacional de Memoria Histórica (CNMH).
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 26 de octubre de 2021.
Rubén Darío Acevedo Carmona