Registro Oficial No 857- Miércoles 26 de Diciembre de 2012

diciembre 26, 2012

n n Administración del Señor Ec. Rafael Correa Delgado n n Presidente Constitucional de la República del Ecuador n n Miércoles 26 de Diciembre de 2012 – R. O. No. 857 n n SUMARIO n n n n Ministerio de Justicia, Derechos Humanos y Cultos: n n Ejecutivo n n Acuerdos n n 0483 Acéptase […]

n Administración del Señor Ec. Rafael Correa Delgado

n Presidente Constitucional de la República del Ecuador

n Miércoles 26 de Diciembre de 2012 – R. O. No. 857

n SUMARIO

n Ministerio de Justicia, Derechos Humanos y Cultos:

n Ejecutivo

n Acuerdos

n 0483 Acéptase la solicitud de repatriación del ciudadano José Ignacio Rubiano Osorio y dispónese su traslado a un centro de rehabilitación social en territorio colombiano

n 0484 Acéptase la solicitud de repatriación del ciudadano Janusz Jacenty Dunajski y dispónese su traslado a un centro de rehabilitación social en territorio polaco

n 0485 Expídese el Estatuto Orgánico para la Administración de Riesgos

n Ministerio de Recursos Naturales no Renovables:

n 427 Deléganse atribuciones y deberes al Ing. Ramiro Cazar Ayala, Viceministro de Hidrocarburos

n Secretaría Técnica de Cooperación Internacional:

n Convenios

n – Convenio Básico de Funcionamiento entre el Gobierno del Ecuador y Fundación C.E.P.S.

n – Convenio Básico de Funcionamiento entre el Gobierno del Ecuador y Fundación CODESPA

n Ministerio de Coordinación de Conocimiento y Talento Humano:

n Resoluciones

n 029-MCCTH-2012 Apruébase la reforma al Plan Operativo Anual para el año 2012, conforme al detalle inserto en los anexos 1 y 2 elaborados por la Coordinación General de Planificación y Políticas Públicas

n 088-MCCTH-2012 Apruébase la reforma al Plan Operativo Anual – POA para el año 2012, conforme a los cuadros y matrices adjuntos en los memorandos elaborados por la Coordinadora General de Planificación y Políticas Públicas

n 103-MCCTH-2012 Apruébase la reforma al Plan Operativo Anual – POA para el año 2012, conforme a los cuadros y matrices adjuntos en el oficio No. SENPLADES-SGPBV-2012-0798-OF, memorandos MCCTH-DCS-2012-0096-M y MCCTH-CGPP-2012-0102-M

n 133-MCCTH-2012 Apruébase la reforma al Plan Operativo Anual – POA para el año 2012, conforme a los cuadros y matrices adjuntos en el memorando MCCTH-CGPP-2012-0143-M

n Ministerio de Industrias y Productividad:

n Resoluciones

n 12 257 Apruébase y oficialízase con carácter de voluntaria y obligatoria las siguientes normas técnicas:

n NTE INEN 2352 (Productos absorbentes desechables. Pañales para infantes. Determinación del sellado de extremos finales y laterales)

n 12 258 NTE INEN 2353 (Productos absorbentes desechables. Pañales para infantes. Determinación de la fuerza de sujeción del sistema de cierre)

n 12 259 NTE INEN 2040 (Productos absorbentes desechables. Pañales para infantes. Requisitos)

n 12 260 NTE INEN-UNE-CEN/TS 13130-9 EX:2012 (Materiales y artículos en contacto con alimentos. Sustancias en materias plásticas sujetas a limitaciones. Parte 9: Determinación de éster vinílico de ácido acético en simulantes de alimentos (IDT))

n 12 261 NTE INEN-UNE-EN 13130-7 (Materiales y artículos en contacto con alimentos. Sustancias plásticas sometidas a limitaciones. Parte 7: Determinación de etilenglicol y dietilenglicol en simulantes de alimentos (IDT))

n 12 262 NTE INEN-UNE-CEN/TS 13130-27 EX:2012 (Materiales y artículos en contacto con alimentos. Sustancias en materias plásticas sujetas a limitaciones. Parte 27: Determinación de 2,4,6-triamino-1,3,5-triacina en simulantes de alimentos (IDT))

n 12 263 NTE INEN-UNE-CEN/TS 13130-25 EX:2012 (Materiales y artículos en contacto con alimentos. Sustancias en materias plásticas sujetas a limitaciones. Parte 25: Determinación de 4-metil-1-penteno en simulantes de alimentos (IDT))

n 12 264 NTE INEN-UNE-CEN/TS 13130-14 EX:2012 (Materiales y artículos en contacto con alimentos. Sustancias en materias plásticas sujetas a limitaciones. Parte 14: Determinación de 3,3-bis (3-metil-4-hidroxifenil)-2-indolinona en simulantes de alimentos (IDT))

n 12 265 NTE INEN-UNE-CEN/TS 13130-26 EX:2012 (Materiales y artículos en contacto con alimentos. Sustancias en materias plásticas sujetas a limitaciones. Parte 26: Determinación de 1-octeno y tetrahidrofurano en simulantes de alimentos (IDT))

n 12 266 NTE INEN 2654 (Rotulado de productos plásticos degradables. Requisitos)

n 12 267 NTE INEN-UNE-EN 13130-8 (Materiales y artículos en contacto con alimentos. Sustancias plásticas sometidas a limitaciones. Parte 8: Determinación de isocianatos en materiales plásticos (IDT))

n CONTENIDO

n n

n No. 0483

n Dra. Johana Pesántez Benítez

n MINISTRA DE JUSTICIA, DERECHOS

n HUMANOS Y CULTOS

n Considerando:

n Que, corresponde a los Ministros de Estado en la esfera de su competencia expedir las normas, acuerdos y resoluciones que sean necesarias para la gestión ministerial;

n Que, mediante Decreto Ejecutivo 748, de 14 de noviembre de 2007, publicado en el Registro Oficial, Suplemento No. 220 de 27 de noviembre de 2007, se crea el Ministerio de Justicia y Derechos Humanos;

n Que, mediante Decreto Ejecutivo 410, de 30 de junio de 2010, publicado en el Registro Oficial No. 235, de 14 de julio de 2010, el Econ. Rafael Correa Delgado, cambia la denominación de ?Ministerio de Justicia y Derechos Humanos? por el de ?Ministerio de Justicia, Derechos Humanos y Cultos?;

n Que, mediante Decreto Ejecutivo No. 592, de 22 de diciembre de 2010, publicado en el Registro Oficial No. 355 de 05 de Enero de 2011, el señor Presidente Constitucional de la República, economista Rafael Correa Delgado designa al Ministerio de Justicia, Derechos Humanos y Cultos, como Autoridad Central para el conocimiento y aplicación de todos los convenios que sobre materia de traslado de personas sentenciadas, cumplimiento de sentencias penales en el exterior, o de repatriaciones, sea suscriptor el Ecuador, o llegare a serlo en el futuro;

n Que, mediante Decreto Ejecutivo No. 772 de 13 de mayo de 2011, el economista Rafael Correa Delgado, Presidente Constitucional de la República nombra como Ministra de Justicia, Derechos Humanos y Cultos, a la doctora Johana Pesántez Benítez;

n Que, mediante sentencia de 25 de julio del 2012, dictada por el Tribunal Tercero de Garantías Penales del Azuay, se determina que el ciudadano colombiano José Ignacio Rubiano Osorio, ha sido sentenciado a pena privativa de libertad;

n Que, mediante carta dirigida a la señora Ministra de Justicia, Derechos Humanos y Cultos, de 20 de junio del 2012, el señor José Ignacio Rubiano Osorio, expresa su voluntad de retornar a Colombia, con el fin de cumplir con el resto de dicha sentencia privativa de liberad:

n Que, este Ministerio considera que la repatriación del ciudadano colombiano José Ignacio Rubiano Osorio responde a motivos humanitarios dado que la reunificación familiar, la convivencia en un ambiente cultural, económico social propio, contribuirá para una armónica y efectiva rehabilitación;

n Que, en virtud de que se han cumplido y verificado los requisitos y condiciones contemplados en los artículos 5, 6, 7 y 8 del Reglamento sobre el Procedimiento de Repatriación de Personas Sentenciadas entre el Gobierno de la República del Ecuador y el Gobierno de la República de Colombia y los artículos 3 y 4 del Reglamento Operativo para el Traslado de Personas Sentenciadas entre las Repúblicas de Ecuador y Colombia;

n Acuerda:

n Art. 1.- Aceptar la solicitud de repatriación del ciudadano José Ignacio Rubiano Osorio y disponer que sea trasladado a un Centro de Rehabilitación Social en territorio colombiano, donde cumplirá el resto de su sentencia privativa de libertad.

n Art. 2.- Entregar la custodia del ciudadano colombiano José Ignacio Rubiano Osorio, a las autoridades competentes que el Gobierno de Colombia para el efecto hubiere designado, con miras al cumplimiento de dicho traslado.

n Art. 3.- Notificar con el presente Acuerdo Ministerial al ciudadano colombiano José Ignacio Rubiano Osorio y las demás entidades involucradas en el procedimiento, quienes prestarán las facilidades necesarias para el cumplimiento inmediato de esta repatriación.

n El presente Acuerdo entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

n Comuníquese y Publíquese.

n Dado en el Distrito Metropolitano de Quito, a 08 de noviembre del 2012.

n f.) Dra. Johana Pesántez Benítez, Ministra de Justicia, Derechos Humanos y Cultos.

n Certifico que el presente documento es fiel copia del original que a dos fojas reposa en los archivos de la Secretaría General.- Fecha: 07 de diciembre del 2012.- f.) Geovanna Palacios Torres, Secretaria General, Ministerio de Justicia, Derechos Humanos y Cultos.

n No. 0484

n Dra. Johana Pesántez Benítez

n MINISTRA DE JUSTICIA, DERECHOS

n HUMANOS Y CULTOS

n Considerando:

n Que, corresponde a los Ministros de Estado en la esfera de su competencia expedir las normas, acuerdos y resoluciones que sean necesarias para la gestión ministerial;

n Que, mediante Decreto Ejecutivo 748 de 14 de noviembre de 2007, publicado en el Registro Oficial, Suplemento No. 220 de 27 de noviembre de 2007, se crea el Ministerio de Justicia y Derechos Humanos;

n Que, mediante Decreto Ejecutivo 410 de 30 de junio de 2010, publicado en el Registro Oficial No. 235 de 14 de julio de 2010, el Econ. Rafael Correa Delgado, cambia la denominación de ?Ministerio de Justicia y Derechos Humanos? por el de ?Ministerio de Justicia, Derechos Humanos y Cultos?;

n Que, mediante Decreto Ejecutivo No. 592 de 22 de diciembre de 2010, publicado en el Registro Oficial No. 355 de 05 de Enero de 2011, el señor Presidente Constitucional de la República, Economista Rafael Correa Delgado designa al Ministerio de Justicia, Derechos Humanos y Cultos, como Autoridad Central para el conocimiento y aplicación de todos los convenios que sobre materia de traslado de personas sentenciadas, cumplimiento de sentencias penales en el exterior, o de repatriaciones, sea suscriptor el Ecuador, o llegare a serlo en el futuro;

n Que, mediante Decreto Ejecutivo No. 772 de 13 de mayo de 2011, el Econ. Rafael Correa Delgado, Presidente Constitucional de la República nombra como Ministra de Justicia, Derechos Humanos y Cultos, a la doctora Johana Pesántez Benítez;

n Que, mediante sentencia de 16 de marzo de 2010, dictada por el Tribunal Penal Cuarto del Distrito de Pichincha; confirmada el 17 de julio de 2012, por la Segunda Sala de lo Penal y Tránsito de la Corte Provincial de Justicia de Pichincha, se determina que Janusz Jacenty Dunajski, ciudadano de nacionalidad polaca, ha sido sentenciado a pena privativa de libertad;

n Que, mediante carta dirigida a la señora Ministra de Justicia, Derechos Humanos y Cultos, sin fecha, el señor Janusz Jacenty Dunajski, otorga su consentimiento para ser repatriado a Polonia, con el fin de cumplir con el resto de dicha sentencia privativa de libertad;

n Que, en virtud de que se han cumplido y verificado los requisitos y condiciones contemplados en los artículos 3, 5, 6 y 7 del ?Convenio sobre Traslado de Personas Condenadas de Estrasburgo?;

n Acuerda:

n Art. 1.- Aceptar la solicitud de repatriación del ciudadano Janusz Jacenty Dunajski y disponer que sea trasladado a un Centro de Rehabilitación Social en territorio polaco, donde cumplirá el resto de su sentencia privativa de libertad.

n Art. 2.- Entregar la custodia del ciudadano polaco Janusz Jacenty Dunajski, a las autoridades competentes polacas que para el efecto hubieren sido designadas con miras al cumplimiento de dicho traslado.

n Art. 3.- Notificar con el presente Acuerdo Ministerial al ciudadano polaco Janusz Jacenty Dunajski y a las demás entidades involucradas en el procedimiento, quienes prestarán las facilidades necesarias para el cumplimiento inmediato de esta repatriación.

n El presente Acuerdo entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

n Comuníquese y Publíquese.

n Dado en el Distrito Metropolitano de Quito, a 08 de noviembre del 2012.

n f.) Dra. Johana Pesántez Benítez, Ministra de Justicia, Derechos Humanos y Cultos.

n No. 0485

n Dra. Johana Pesántez Benítez

n MINISTRA DE JUSTICIA, DERECHOS

n HUMANOS Y CULTOS

n Considerando:

n Que, corresponde a los Ministros de Estado en la esfera de su competencia, expedir las normas, acuerdos y resoluciones que sean necesarias para la gestión ministerial;

n Que, mediante Decreto Ejecutivo 748, de 14 de noviembre de 2007, publicado en el Registro Oficial, Suplemento No. 220, de 27 de noviembre de 2007, se crea el Ministerio de Justicia y Derechos Humanos;

n Que, mediante Decreto Ejecutivo 410, de 30 de junio de 2010, publicado en el Registro Oficial No. 235, de 14 de julio de 2010, el economista Rafael Correa Delgado, cambia la denominación de ?Ministerio de Justicia y Derechos Humanos? por el de ?Ministerio de Justicia, Derechos Humanos y Cultos?;

n Que, mediante Decreto Ejecutivo No. 772, de 13 de mayo de 2011, el economista Rafael Correa Delgado, Presidente Constitucional de la República nombra como Ministra de Justicia, Derechos Humanos y Cultos, a la doctora Johana Pesántez Benítez;

n Que, el estatuto Orgánico de Gestión Organizacional por Procesos del Ministerio de Justicia, Derechos Humanos y Cultos, en el artículo 12 numeral 3.1.1, literal b, subnuemral 9, establece que a la Coordinación General de Planificación le corresponde definir, levantar, evaluar y mejorar los procesos al interior del Ministerio de Justicia, Derechos Humanos y Cultos;

n Que, mediante Memorando No. MJDHC-CGPL-2012- 0908, de fecha 26 de junio de 2012, el Coordinador General de Planificación solicita a la Ministra de Justicia, Derechos Humanos y Cultos, la autorización para implementar la Metodología de Administración de Riesgos;

n Que, mediante sumilla inserta en el Memorando No. MJDHC-CGPL-2012-0908, de fecha 26 de junio de 2012, la Ministra de Justicia Derechos Humanos y Cultos dispone: ?Santiago: autorizado proceder?;

n Que, mediante Memorando No. MJDHC-CGPL-2012- 1186, de fecha 20 de agosto de 2012, el Coordinador General de Planificación solicita al Coordinador General de Asesoría Jurídica, proceder con los trámites legales para la formalización, institucionalización y aplicación de la Metodología de Administración de Riesgos;

n En uso de las atribuciones que le confieren los artículos 154, numeral 1, de la Constitución de la República del Ecuador; artículo 17 del Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva.

n Acuerda:

n Art. 1.- Expedir el Estatuto Orgánico para la Administración de Riesgos del Ministerio de Justicia, Derechos Humanos y Cultos.

n Art. 2.- Para la correcta aplicación de la mitigación de riesgos en el Ministerio de Justicia, Derechos Humanos y Cultos, se alineará con el Estatuto Organizacional por Procesos dentro de las atribuciones y responsabilidades que será definir, levantar, evaluar, y mejorar los procesos al interior del Ministerio de Justicia, Derechos Humanos y Cultos, el cual estará regido por la siguiente metodología:

n METODOLOGÍA PARA LA ADMINISTRACIÓN

n DEL RIESGO

n 1. OBJETIVOS

n 1.1 Objetivo General

n 1.2 Objetivos Específicos

n 2. DEFINICIONES

n 3.- DIRECTRICES INICIALES

n 4.- AMINISTRACIÓN DEL RIESGO

n 4.1 PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO

n 4.2 ETAPAS

n 4.2.1 EVALUACIÓN Y TRATAMIENTO DE RIESGOS

n 4.2.1.1 Identificación del riesgo

n 4.2.1.2 Análisis del riesgo

n 4.2.1.3 Matriz de priorización perfiles de riesgos

n 4.2.1.4 Definición de Acciones

n 4.2.1.5 Elaboración de la Matriz y Mapa de Riesgos

n 4.2.2 MONITOREO Y CONTROL DE RIESGOS

n 4.2.2.1 Monitoreo (cambios en el entorno)

n 4.2.2.2 Gestionar el plan de acción

n 4.2.2.3 Identificar nuevos riesgos

n 4.2.2.4 Cerrar los riesgos

n 5.- DIRECTRICES GENERALES EN LA ADMINISTRACIÓN DE RIESGOS

n ANEXO 1

n ANEXO 2

n METODOLOGÍA PARA LA ADMINISTRACIÓN

n DEL RIESGO

n 1. OBJETIVOS

n 1.1 Objetivo General

n Formalizar una Metodología para la Administración de Riesgos que permita al Ministerio de Justicia, Derechos Humanos y Cultos, minimizar los riesgos a lo que se encuentra expuesto por factores de riesgo operativo.

n Objetivos Específicos

n Identificar los principales factores de riesgo operativo que asume la Institución como consecuencia del desarrollo de sus actividades

n Esquematizar un procedimiento que permita evaluar los riesgos que se presentan, con el fin de tomar las acciones necesarias para su control.

n Estructurar el mapa de riesgos de la Institución, el que contendrá la percepción de impacto y probabilidad de los eventos de riesgo que pueden afectar a la Entidad.

n Esquematizar las principales acciones que se deben ejecutar, con el objetivo de minimizar los impactos y/o probabilidad de los eventos de riesgo.

n Establecer los parámetros básicos para que la Unidad de Riesgos y el Área de Auditoría puedan mitigar y controlar los riesgos operacionales.

n 2. DEFINICIONES

n Administración de riesgos.- Es el proceso mediante el cual las instituciones identifican, miden, controlan / mitigan y monitorean los riesgos inherentes a la Institución, con el objeto de definir el perfil de riesgo, el grado de exposición que la institución está dispuesta a asumir y los mecanismos de cobertura, para proteger los recursos propios y de terceros que se encuentran bajo su control y administración.

n Base de datos: Conjunto de datos relacionados que se almacenan de forma tal que se puede acceder fácilmente, con la posibilidad de relacionarlos, ordenarlos, según criterios del administrador de la base de datos, o el usuario final. Una de sus características es que existe una mínima duplicidad de información.

n Evento externo.- Refiérase a los acontecimientos que no involucran las operaciones normales de la Institución, los cuales pueden afectar su posición financiera u operativa.

n Ejemplo: terremoto, incendios, factores climáticos, sociales, políticos.

n Riesgo.- Es un evento o una condición con incertidumbre que, si ocurre, tiene un efecto negativo y amenaza el logro de un resultado.

n Riesgo operativo.- Es la posibilidad de que se produzcan pérdidas debido a eventos originados en fallas o insuficiencia de procesos, personas, sistemas internos, tecnología, y en la presencia de eventos externos imprevistos. Incluye el riesgo legal pero excluye los riesgos sistémico y de reputación.

n Agrupa una variedad de riesgos relacionados con deficiencias de control interno; infraestructura, sistemas, procesos y procedimientos inadecuados; errores humanos y fraudes; fallas en los sistemas informáticos; ocurrencia de eventos externos o internos adversos, es decir, aquellos que afectan la capacidad de la institución para responder por sus compromisos de manera oportuna, o comprometen sus intereses.

n Riesgo legal.- Es la posibilidad de que se presenten pérdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condición de una institución, derivadas de error, dolo, negligencia o imprudencia en la concertación, instrumentación, formalización o ejecución de contratos y transacciones.

n Perfil de Riesgo.- Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.

n Personal.- Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.

n Procesos.- Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.

n Tecnología.- Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.

n Infraestructura.- Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.

n Factor de riesgo operativo.- Es la causa primaria o el origen de un evento de riesgo operativo. Los factores son los procesos, personas, tecnología de información y eventos externos.

n Insumo.- Es el conjunto de materiales, datos o información que sirven como entrada a un proceso.

n Proceso crítico.- Es el indispensable para la continuidad

n del negocio y las operaciones de la institución controlada, y cuya falta de identificación o aplicación deficiente puede generarle un impacto negativo.

n Datos.- Es cualquier forma de registro electrónico, óptico, magnético, impreso o en otros medios, susceptible de ser capturado, almacenado, procesado y distribuido.

n Indicadores de riesgo.- Alarmas tempranas en los sistemas, procesos, productos, gente y el ambiente externo.

n Información.- Es cualquier forma de registro electrónico, óptico, magnético o en otros medios, previamente procesado a partir de datos, que puede ser almacenado, distribuido y sirve para análisis, estudios y toma de decisiones.

n Información crítica.- Es la información considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones.

n Administración de la información.- Es el proceso mediante el cual se captura, procesa, almacena y transmite información, independientemente del medio que se utilice; ya sea impreso, escrito en papel, almacenado electrónicamente, transmitido por correo o por medios electrónicos o presentado en imágenes.

n Responsable de la información.- Es la persona encargada de identificar y definir claramente los diversos recursos y procesos de seguridad lógica relacionados con las aplicaciones.

n Integridad.- Es la garantía de mantener la totalidad y exactitud de la información y de los métodos de procesamiento.

n Disponibilidad.- Es la garantía de que los usuarios autorizados tienen acceso a la información cada vez que lo requieran a través de los medios adecuados que satisfagan sus necesidades.

n Cumplimiento.- Se refiere a la observancia de las leyes, regulaciones y acuerdos contractuales a los que los procesos del Ministerio están sujetos.

n Eficacia.- Es la capacidad para contribuir al logro de los objetivos institucionales de conformidad con los parámetros establecidos.

n Eficiencia.- Es la capacidad para aprovechar racionalmente los recursos disponibles en pro del logro de los objetivos institucionales, procurando la optimización de aquellos y evitando dispendios y errores.

n GPR (Gobierno por Resultados).- Herramienta de gestión institucional incorporada por la Secretaría Nacional de la Administración Pública para todas las instituciones del Gobierno Central.

n 3.- DIRECTRICES INICIALES

n Las directrices sugeridas para una adecuada Administración del Riesgo son las siguientes:

n Compromiso de los mandos medios: Para el éxito en la implementación de una adecuada administración del riesgo, es indispensable el compromiso de las autoridades encargadas, en primera instancia, de definir las políticas y en segunda instancia de estimular la cultura de la identificación y prevención del riesgo. Para lograrlo es importante la definición de canales directos de comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios.

n Conformación de un equipo de trabajo: Es importante conformar un equipo de trabajo que se encargue de liderar el proceso de administración del riesgo dentro de la entidad y cuente con un canal directo de comunicación con las autoridades.

n Capacitación en la metodología: Definido el equipo o equipos de trabajo, debe capacitarse a sus integrantes en la metodología de la administración del riesgo.

n 4.- ADMINISTRACIÓN DEL RIESGO

n 4.1 PLANEACIÓN DE LA ADMINISTRACIÓN DEL RIESGO

n Como cualquier otro proceso institucional, la administración del riesgo debe planearse y programarse de manera que haga parte de todas las actividades de la entidad. Para el diseño de esta planeación es fundamental tener claridad en la misión institucional, en sus objetivos y tener una visión sistémica de manera que no se perciba la administración del riesgo como algo aislado.

n 4.2 ETAPAS

n Las etapas son de singular interés para desarrollar con éxito la administración del riesgo e implementar una política al respecto en la entidad; para cada una de ellas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la participación de las personas que ejecutan los procesos para lograr que las acciones determinadas alcancen los niveles de efectividad esperados.

n alt

n 4.2.1 EVALUACIÓN Y TRATAMIENTO DE RIESGOS

n 4.2.1.1 Identificación del riesgo

n El proceso de la identificación del riesgo debe ser permanente e interactivo integrado al proceso de planeación y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.

n Los riesgos se identificarán y medirán de acuerdo a la misma metodología, a los siguientes niveles:

n Objetivos estratégicos (mínimo 2 riesgo por objetivo)

n Objetivos específicos (mínimo 2 riesgo por objetivo)

n Objetivos operativos (mínimo 2 riesgo por objetivo)

n Procesos (los identificados)

n Proyectos (mínimo 3 riesgos por proyecto)

n Previa la identificación de los riesgos es importante tener en cuenta los factores que pueden incidir en la aparición de los mismos, los cuales pueden ser externos e internos.

n Ejemplos de Riesgos Operacionales Externos

n Afectación a la infraestructura del Ministerio por catástrofes externas

n Aspectos económicos, sociales, ambientales, de orden público, políticos, legales y cambios tecnológicos de servicios externos

n Sublevaciones y/o rebeliones

n Robos y asaltos

n Internos

n ? Procesos

n Operaciones y contabilidad

n Movimiento del efectivo

n Inversiones

n Gasto corriente

n Faltantes de presupuesto

n Incumplimiento de metas

n Fraude Interno

n Falta de dotación de recursos necesarios para los distintos centros.

n Dependencia de la relación con otras Instituciones del Estado en las que se manejan las cuentas y excedentes.

n – Personal

n Negligencia

n Nepotismo

n Falta de prácticas laborales establecidas

n Fraudes internos

n Ausencia de personal capacitado

n Seguridad laboral

n Clima laboral desfavorable

n Corrupción

n – Sistemas informáticos

n Proceso de migración de la información del sistema informático vigente al nuevo

n Mantenimiento del sistema (fuera de línea)

n Respaldo de la información (restauración de las bases de datos)

n Violación externa de las bases de datos (hacker)

n Daños físicos a los servidores

n Daños físicos a los equipos de cómputo (PC)

n Dependencia a proveedores de sistemas informáticos 8. Seguridades y accesos a opciones del sistema 9. Obsolescencia de los equipos informáticos

n Licencias de software

n Parametrización de los sistemas

n – Legal

n Contratos con proveedores

n Contratos con el personal de la Institución

n Cambios y/o modificaciones a la normatividad

n Para la identificación se recomienda la aplicación de varias herramientas y técnicas como por ejemplo:

n Entrevistas estructuradas con expertos en el área de interés

n Reuniones con directivos y con personas de todos los niveles en la entidad

n Evaluaciones individuales usando cuestionarios

n Lluvias de ideas con los servidores de la entidad

n Entrevistas e indagaciones con personas ajenas a la entidad

n Usar diagramas de flujo

n Análisis de escenarios

n Revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre otros.

n Igualmente pueden utilizarse diferentes fuentes de información de la institución, tales como registros históricos, experiencias significativas registradas, opiniones de especialistas y expertos, informes de años anteriores, los cuales pueden proporcionar información importante. Mediante reuniones ejecutivas con los responsables de la información de cada nivel en el sistema GPR, se levantarán los riesgos.

n Una manera de visualizar los riesgos es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia los riesgos, posteriormente presentando una descripción de cada uno de estos y finalmente definiendo las posibles consecuencias. Es importante centrarse en los riesgos más significativos para la entidad.

n Se tomará en cuenta la sintaxis que dispone la Guía Metodológica del GPR, para la descripción de los riesgos:

n alt

n n

n Fuente: Guía Metodológica GPR

n n
n n

n 4.2.1.2 Análisis del riesgo

n El objetivo del análisis es el de establecer una valoración y priorización de los riesgos con base en la información obtenida en la fase de identificación, con el fin de obtener información que permita establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información del mismo, de su causa y la disponibilidad de datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas.

n Se han establecido dos parámetros para realizar el análisis de los riesgos identificados:

n Probabilidad: la posibilidad de ocurrencia del riesgo; esta será medida con criterios de frecuencia. Los criterios a utilizar serán los siguientes:

n n

n Probabilidad

n n

n Descripción detallada

n n

n 100 y 90

n n

n Muy Alta.- Se espera que la ocurrencia del evento sea certero en la mayoría de las circunstancias (ocurrencia semanal)

n n

n 80 y 70

n n

n Alta.- El evento probablemente ocurrirá en la mayoría de las circunstancias (ocurrencia mensual)

n n

n 60 y 50

n n

n Media.- El evento de riesgo podría ocurrir en algún momento inesperado, las señales detectadas nos indican que tanto

n n

n puede como no puede ocurrir (ocurrencia trimestral)

n n

n 40 y 30

n n

n Baja.- El evento de riesgo podría ocurrir en algún momento no tan esperado (ocurrencia semestral) 0 a 20 Muy baja.- El evento de riesgo puede ocurrir solo en circunstancias excepcionales (ocurrencia anual)

n n

n Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo. Los criterios a utilizar serán los siguientes:

n n

n Impacto

n n

n Descripción detallada

n n

n 10 y 20

n n

n Muy Baja afectación a la Institución, ya sea en pérdida financiera, asumible por el presupuesto, u otros aspectos de importancia

n n

n 30 y 40

n n

n Baja afectación a la Institución, ya sea cuando el presupuesto los asume, pérdida financiera media, o afectación a otros aspectos de la Institución.

n n

n 50 y 60

n n

n Afectación media, ya sea cuando se requiere de autorización fuera del presupuesto, pérdida financiera moderada, o a otros aspectos de la Institución, es administrable

n n

n 70 y 80

n n

n Afectación alta para la Institución, ya sea al presupuesto, pero no detiene el proceso de generación de servicio, pérdida financiera mayor

n n

n 90 y 100

n n

n Muy alta afectación, cuando pone en peligro la supervivencia de la entidad, pérdidas peligrosas para la Institución

n n

n La valoración del impacto y la frecuencia depende de la experiencia de los titulares, patrocinador ejecutivo, líderes de proyecto, dueños del proceso, de acuerdo al ámbito de competencia, con la ayuda técnica del responsable de levantamiento de eventos de riesgo, con el fin que se establezcan los valores acorde a la realidad de la Institución, ya que es de suma importancia la calificación que se genere, debido a que esta determinará las acciones a tomar.

n Nivel Calificación

n La interacción de las variables, impacto y probabilidad nos generan la calificación del riesgo la misma que se obtiene según la siguiente fórmula:

n Calificación.Riesgo I X P

n 4.2.1.3 Matriz de priorización perfiles de riesgos

n Cuando se ubican los riesgos en la matriz se define cuáles de ellos requieren acciones inmediatas.

n Tomando en consideración lo que establece la guía metodológica del GPR, establece que los riesgos con una calificación mayor a 49 deben contar necesariamente con planes de mitigación, sin embargo recomienda que todos los riesgos identificados cuenten con un plan, lo cual permite determinar cuáles son los riesgos considerados de mayor criticidad.

n Con esta valoración se ha determinado los perfiles de riesgo en base a la calificación, con sus respectivas semaforizaciones y prioridades.

n 4.2.1.3.1 Políticas de actualización de perfiles de riesgo

n Se debe tener un claro conocimiento de los procedimientos desarrollados a efectos de gestionar el riesgo y su grado de cumplimiento. Para ello el responsable de la gestión de riesgos, deberá recibir, como mínimo semestralmente, información suficiente en el mapa de riesgos, que permita analizar el perfil de riesgo operacional general y verificar las implicancias estratégicas y sustanciales para su actividad.

n Se deberá evaluar su vulnerabilidad ante la ocurrencia de los eventos, para así comprender mejor su perfil de riesgo y, en su caso, adoptar las medidas correctivas de las políticas que sean pertinentes.

n Una vez que se cuente con una base de datos suficiente, se podrá determinar si los perfiles de riesgo, son los correctos para la Institución, pudiendo ser actualizados, de acuerdo a las necesidades y realidad del Ministerio, en ámbitos de respuesta al riesgo, según la capacidad operativa para generar la misma.

n 4.2.1.4 Definición de Acciones

n Para el manejo de los riesgos se deben analizar las posibles acciones a emprender las cuales deben ser factibles y efectivas, tales como: la implementación de políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros.

n n

n Tipo de

n acción

n n

n Descripción

n n

n Evitar

n n

n Acción que evita el riesgo eliminando su causa, o seleccionando acciones alternativas, es decir prevenir las actividades que los originan. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas

n n

n Prevenir

n n

n Acción que disminuye la probabilidad de ocurrencia del riesgo, incluye métodos y técnicas específicas para tratar con ellos. Se logra mediante la distribución o localización del riesgo en diversos lugares. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

n n

n Transferir

n n

n Acción que transfiere y/o comparte el riesgo con un tercero. Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro.

n n

n Contingencia

n n

n Acción que reduce el impacto en caso de que ocurra el riesgo.

n Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, el responsable del riesgo simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

n n

n Tomando en consideración los rangos de calificación y semaforización, se recomienda tomar las acciones según los rangos de valores que se muestran a continuación:

n La decisión de la acción a tomar dependerá en gran medida de la semaforización, sin embargo, de acuerdo a las necesidades del Ministerio se podrá tomar la opción que más se ajuste a la situación.

n 4.2.1.5 Elaboración de la Matriz y Mapa de Riesgos

n Para la consolidación del Mapa de Riesgos, adicional a las consideraciones expuestas, es necesario identificar las causas que los pueden ocasionar, lo cual facilita el proceso de definición de acciones para mitigar los mismos.

n La selección de las acciones más convenientes debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base a los factores mencionados anteriormente.

n Así mismo en el Mapa de Riesgos se deben identificar los controles existentes, las áreas o dependencias responsables de llevar a cabo las acciones. Para lo cual se plantea el formato (Anexo 1 Matriz de Riesgos)

n La información de la identificación y análisis de riesgo, se lo realizará en primera instancia en GPR, en base a la información que se solicita en el sistema informático. Paralelamente, la persona del equipo metodológico a cargo, deberá ingresar la información adicional que se requiere en la matriz de riesgos, con el fin de contar con una base de datos que permita obtener datos históricos en el futuro, así como reportes sobre el mapa completo de la institución para organismos de control, así como seguridad en la integridad y disponibilidad de la información en caso que hayan incidentes de caídas de red, entre otros aspectos.

n 4.2.1.6 Plan de acción

n Definido el Mapa de Riesgos, es fundamental comenzar a ejecutar dichas acciones con el fin de determinar su efectividad en el menor tiempo posible.

n Para lo cual se requiere elaborar el plan de mitigación el mismo que debe contener como mínimo:

n Objetivos y metas,

n Responsabilidades para áreas específicas, identificando conocimientos técnicos, describiendo el proceso de evaluación de riesgos y las áreas a considerar,

n Tiempos de respuesta, cronogramas, presupuesto, etc. (Anexo 2 Plantilla de plan de acción)

n 4.2.2 MONITOREO Y CONTROL DE RIESGOS

n 4.2.2.1 Monitoreo (cambios en el entorno)

n Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.

n El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

n El monitoreo debe estar a cargo de los responsables de Riesgos y los responsables de las diferentes áreas y su finalidad principal será la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. Los responsables de riesgos dentro de su función asesora comunicará y presentará luego del monitoreo, sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.

n Es importante detectar los cambios en el entorno, que puedan incrementar o disminuir el riesgo.

n 4.2.2.2 Gestionar el plan de acción

n El plan de mitigación será monitoreado mensualmente, por el responsable de riesgos, con el fin que las áreas responsables realicen la gestión pertinente de las acciones, para así lograr mitigar los riesgos.

n Es importante mencionar que el responsable de los riesgos, es el encargado de generar la información sobre los avances del plan de acción con los sustentos correspondientes, y proponer cambios en los mismos en caso que se identifique que estos no generan valor agregado para el cumplimiento de los objetivos establecidos en la mitigación de los riesgos.

n 4.2.2.3 Identificar nuevos riesgos

n Los riesgos son dinámicos, y están en constante cambio, por lo tanto algunos riesgos tienden a desaparecer, mientras otros nuevos aparecen, por lo cual se debe realizar análisis semestrales con los responsables de los riesgos, para la identificación de nuevos riesgos, siguiendo la misma metodología de análisis, así la Institución contará con una base de datos actualizada.

n 4.2.2.4 Cerrar los riesgos

n Debido a que la metodología del GPR genera el cierre del riesgo, es importante tomar en consideración lo siguiente:

n – Se dará por cerrado un riesgo cuando se cumpla alguna de las siguientes condiciones:

n ha pasado la fecha estimada de ocurrencia,

n el evento ocurrió y se han realizado las acciones planeadas, o

n el riesgo no representa ya una amenaza para la consecución del plan.

n 5.- DIRECTRICES GENERALES EN LA ADMINISTRACIÓN DE RIESGOS

n Para la administración de riesgos tanto de objetivos como del nivel operativo es decir proyectos, se recomienda tomar en consideración la metodología GPR que indica lo siguiente:

n Se deben llevar a cabo reuniones de avance de los riesgos, planes de mitigación, acciones realizadas para el control de los mismos, con el fin que se establezca una práctica continua de administración de los riesgos, con la participación e involucramiento de todos los interesados,

n Con respecto a proyectos, se presente en las reuniones avance el estado actual de los riesgos asociados a los hitos del proyecto, y las acciones tomadas para su control,

n Se establezcan las responsabilidades de los actores en el proceso de administración de de los riesgos, según lo siguiente:

n n
n

n n

n ACTOR

n n

n ROL GPR

n n

n RESPONSABILIDADES

n n

n Ministra/o

n n

n Titular Plan Estratégico

n n

n Aprobar la metodología para la Administración de Riesgos

n Solicitar actualizaciones, cambios, etc, según las necesidades del Ministerio.

n Solicitar el cumplimiento estricto en materia de administración de Riesgos.