n
n Administración del Señor Ec. Rafael Correa Delgado
n
n Presidente Constitucional de la RepĆŗblica del Ecuador
n
n MiĆ©rcoles 26 de Diciembre de 2012 – R. O. No. 857
n
n SUMARIO
n
n
n
n Ministerio de Justicia, Derechos Humanos y Cultos:
n
n Ejecutivo
n
n Acuerdos
n
n 0483 Acéptase la solicitud de repatriación del ciudadano José Ignacio Rubiano Osorio y dispónese su traslado a un centro de rehabilitación social en territorio colombiano
n
n 0484 Acéptase la solicitud de repatriación del ciudadano Janusz Jacenty Dunajski y dispónese su traslado a un centro de rehabilitación social en territorio polaco
n
n 0485 ExpĆdese el Estatuto OrgĆ”nico para la Administración de Riesgos
n
n Ministerio de Recursos Naturales no Renovables:
n
n 427 DelƩganse atribuciones y deberes al Ing. Ramiro Cazar Ayala, Viceministro de Hidrocarburos
n
n SecretarĆa TĆ©cnica de Cooperación Internacional:
n
n Convenios
n
n – Convenio BĆ”sico de Funcionamiento entre el Gobierno del Ecuador y Fundación C.E.P.S.
n
n – Convenio BĆ”sico de Funcionamiento entre el Gobierno del Ecuador y Fundación CODESPA
n
n Ministerio de Coordinación de Conocimiento y Talento Humano:
n
n Resoluciones
n
n 029-MCCTH-2012 ApruĆ©base la reforma al Plan Operativo Anual para el aƱo 2012, conforme al detalle inserto en los anexos 1 y 2 elaborados por la Coordinación General de Planificación y PolĆticas PĆŗblicas
n
n 088-MCCTH-2012 ApruĆ©base la reforma al Plan Operativo Anual – POA para el aƱo 2012, conforme a los cuadros y matrices adjuntos en los memorandos elaborados por la Coordinadora General de Planificación y PolĆticas PĆŗblicas
n
n 103-MCCTH-2012 ApruĆ©base la reforma al Plan Operativo Anual – POA para el aƱo 2012, conforme a los cuadros y matrices adjuntos en el oficio No. SENPLADES-SGPBV-2012-0798-OF, memorandos MCCTH-DCS-2012-0096-M y MCCTH-CGPP-2012-0102-M
n
n 133-MCCTH-2012 ApruĆ©base la reforma al Plan Operativo Anual – POA para el aƱo 2012, conforme a los cuadros y matrices adjuntos en el memorando MCCTH-CGPP-2012-0143-M
n
n Ministerio de Industrias y Productividad:
n
n Resoluciones
n
n 12 257 ApruĆ©base y oficialĆzase con carĆ”cter de voluntaria y obligatoria las siguientes normas tĆ©cnicas:
n
n NTE INEN 2352 (Productos absorbentes desechables. Pañales para infantes. Determinación del sellado de extremos finales y laterales)
n
n 12 258 NTE INEN 2353 (Productos absorbentes desechables. Pañales para infantes. Determinación de la fuerza de sujeción del sistema de cierre)
n
n 12 259 NTE INEN 2040 (Productos absorbentes desechables. PaƱales para infantes. Requisitos)
n
n 12 260 NTE INEN-UNE-CEN/TS 13130-9 EX:2012 (Materiales y artĆculos en contacto con alimentos. Sustancias en materias plĆ”sticas sujetas a limitaciones. Parte 9: Determinación de Ć©ster vinĆlico de Ć”cido acĆ©tico en simulantes de alimentos (IDT))
n
n 12 261 NTE INEN-UNE-EN 13130-7 (Materiales y artĆculos en contacto con alimentos. Sustancias plĆ”sticas sometidas a limitaciones. Parte 7: Determinación de etilenglicol y dietilenglicol en simulantes de alimentos (IDT))
n
n 12 262 NTE INEN-UNE-CEN/TS 13130-27 EX:2012 (Materiales y artĆculos en contacto con alimentos. Sustancias en materias plĆ”sticas sujetas a limitaciones. Parte 27: Determinación de 2,4,6-triamino-1,3,5-triacina en simulantes de alimentos (IDT))
n
n 12 263 NTE INEN-UNE-CEN/TS 13130-25 EX:2012 (Materiales y artĆculos en contacto con alimentos. Sustancias en materias plĆ”sticas sujetas a limitaciones. Parte 25: Determinación de 4-metil-1-penteno en simulantes de alimentos (IDT))
n
n 12 264 NTE INEN-UNE-CEN/TS 13130-14 EX:2012 (Materiales y artĆculos en contacto con alimentos. Sustancias en materias plĆ”sticas sujetas a limitaciones. Parte 14: Determinación de 3,3-bis (3-metil-4-hidroxifenil)-2-indolinona en simulantes de alimentos (IDT))
n
n 12 265 NTE INEN-UNE-CEN/TS 13130-26 EX:2012 (Materiales y artĆculos en contacto con alimentos. Sustancias en materias plĆ”sticas sujetas a limitaciones. Parte 26: Determinación de 1-octeno y tetrahidrofurano en simulantes de alimentos (IDT))
n
n 12 266 NTE INEN 2654 (Rotulado de productos plƔsticos degradables. Requisitos)
n
n 12 267 NTE INEN-UNE-EN 13130-8 (Materiales y artĆculos en contacto con alimentos. Sustancias plĆ”sticas sometidas a limitaciones. Parte 8: Determinación de isocianatos en materiales plĆ”sticos (IDT))
n
n CONTENIDO
n n
n
n
n
n Dra. Johana PesĆ”ntez BenĆtez
n
n MINISTRA DE JUSTICIA, DERECHOS
n
n HUMANOS Y CULTOS
n
n
n
n Considerando:
n
n
n
n Que, corresponde a los Ministros de Estado en la esfera de su competencia expedir las normas, acuerdos y resoluciones que sean necesarias para la gestión ministerial;
n
n
n
n Que, mediante Decreto Ejecutivo 748, de 14 de noviembre de 2007, publicado en el Registro Oficial, Suplemento No. 220 de 27 de noviembre de 2007, se crea el Ministerio de Justicia y Derechos Humanos;
n
n
n
n
n
n Que, mediante Decreto Ejecutivo 410, de 30 de junio de 2010, publicado en el Registro Oficial No. 235, de 14 de julio de 2010, el Econ. Rafael Correa Delgado, cambia la denominación de ?Ministerio de Justicia y Derechos Humanos? por el de ?Ministerio de Justicia, Derechos Humanos y Cultos?;
n
n
n
n Que, mediante Decreto Ejecutivo No. 592, de 22 de diciembre de 2010, publicado en el Registro Oficial No. 355 de 05 de Enero de 2011, el señor Presidente Constitucional de la República, economista Rafael Correa Delgado designa al Ministerio de Justicia, Derechos Humanos y Cultos, como Autoridad Central para el conocimiento y aplicación de todos los convenios que sobre materia de traslado de personas sentenciadas, cumplimiento de sentencias penales en el exterior, o de repatriaciones, sea suscriptor el Ecuador, o llegare a serlo en el futuro;
n
n
n
n Que, mediante Decreto Ejecutivo No. 772 de 13 de mayo de 2011, el economista Rafael Correa Delgado, Presidente Constitucional de la RepĆŗblica nombra como Ministra de Justicia, Derechos Humanos y Cultos, a la doctora Johana PesĆ”ntez BenĆtez;
n
n
n
n Que, mediante sentencia de 25 de julio del 2012, dictada por el Tribunal Tercero de GarantĆas Penales del Azuay, se determina que el ciudadano colombiano JosĆ© Ignacio Rubiano Osorio, ha sido sentenciado a pena privativa de libertad;
n
n
n
n Que, mediante carta dirigida a la seƱora Ministra de Justicia, Derechos Humanos y Cultos, de 20 de junio del 2012, el seƱor JosƩ Ignacio Rubiano Osorio, expresa su voluntad de retornar a Colombia, con el fin de cumplir con el resto de dicha sentencia privativa de liberad:
n
n
n
n Que, este Ministerio considera que la repatriación del ciudadano colombiano José Ignacio Rubiano Osorio responde a motivos humanitarios dado que la reunificación familiar, la convivencia en un ambiente cultural, económico social propio, contribuirÔ para una armónica y efectiva rehabilitación;
n
n
n
n Que, en virtud de que se han cumplido y verificado los requisitos y condiciones contemplados en los artĆculos 5, 6, 7 y 8 del Reglamento sobre el Procedimiento de Repatriación de Personas Sentenciadas entre el Gobierno de la RepĆŗblica del Ecuador y el Gobierno de la RepĆŗblica de Colombia y los artĆculos 3 y 4 del Reglamento Operativo para el Traslado de Personas Sentenciadas entre las RepĆŗblicas de Ecuador y Colombia;
n
n
n
n Acuerda:
n
n
n
n Art. 1.- Aceptar la solicitud de repatriación del ciudadano José Ignacio Rubiano Osorio y disponer que sea trasladado a un Centro de Rehabilitación Social en territorio colombiano, donde cumplirÔ el resto de su sentencia privativa de libertad.
n
n
n
n Art. 2.- Entregar la custodia del ciudadano colombiano JosƩ Ignacio Rubiano Osorio, a las autoridades competentes que el Gobierno de Colombia para el efecto hubiere designado, con miras al cumplimiento de dicho traslado.
n
n
n
n Art. 3.- Notificar con el presente Acuerdo Ministerial al ciudadano colombiano José Ignacio Rubiano Osorio y las demÔs entidades involucradas en el procedimiento, quienes prestarÔn las facilidades necesarias para el cumplimiento inmediato de esta repatriación.
n
n
n
n El presente Acuerdo entrarÔ en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.
n
n
n
n ComunĆquese y PublĆquese.
n
n
n
n Dado en el Distrito Metropolitano de Quito, a 08 de noviembre del 2012.
n
n
n
n f.) Dra. Johana PesĆ”ntez BenĆtez, Ministra de Justicia, Derechos Humanos y Cultos.
n
n
n
n Certifico que el presente documento es fiel copia del original que a dos fojas reposa en los archivos de la SecretarĆa General.- Fecha: 07 de diciembre del 2012.- f.) Geovanna Palacios Torres, Secretaria General, Ministerio de Justicia, Derechos Humanos y Cultos.
n
n
n
n
n
n
n Dra. Johana PesĆ”ntez BenĆtez
n
n MINISTRA DE JUSTICIA, DERECHOS
n
n HUMANOS Y CULTOS
n
n
n
n Considerando:
n
n
n
n Que, corresponde a los Ministros de Estado en la esfera de su competencia expedir las normas, acuerdos y resoluciones que sean necesarias para la gestión ministerial;
n
n
n
n Que, mediante Decreto Ejecutivo 748 de 14 de noviembre de 2007, publicado en el Registro Oficial, Suplemento No. 220 de 27 de noviembre de 2007, se crea el Ministerio de Justicia y Derechos Humanos;
n
n
n
n Que, mediante Decreto Ejecutivo 410 de 30 de junio de 2010, publicado en el Registro Oficial No. 235 de 14 de julio de 2010, el Econ. Rafael Correa Delgado, cambia la denominación de ?Ministerio de Justicia y Derechos Humanos? por el de ?Ministerio de Justicia, Derechos Humanos y Cultos?;
n
n
n
n Que, mediante Decreto Ejecutivo No. 592 de 22 de diciembre de 2010, publicado en el Registro Oficial No. 355 de 05 de Enero de 2011, el señor Presidente Constitucional de la República, Economista Rafael Correa Delgado designa al Ministerio de Justicia, Derechos Humanos y Cultos, como Autoridad Central para el conocimiento y aplicación de todos los convenios que sobre materia de traslado de personas sentenciadas, cumplimiento de sentencias penales en el exterior, o de repatriaciones, sea suscriptor el Ecuador, o llegare a serlo en el futuro;
n
n
n
n Que, mediante Decreto Ejecutivo No. 772 de 13 de mayo de 2011, el Econ. Rafael Correa Delgado, Presidente Constitucional de la RepĆŗblica nombra como Ministra de Justicia, Derechos Humanos y Cultos, a la doctora Johana PesĆ”ntez BenĆtez;
n
n
n
n Que, mediante sentencia de 16 de marzo de 2010, dictada por el Tribunal Penal Cuarto del Distrito de Pichincha; confirmada el 17 de julio de 2012, por la Segunda Sala de lo Penal y TrƔnsito de la Corte Provincial de Justicia de Pichincha, se determina que Janusz Jacenty Dunajski, ciudadano de nacionalidad polaca, ha sido sentenciado a pena privativa de libertad;
n
n
n
n
n
n Que, mediante carta dirigida a la seƱora Ministra de Justicia, Derechos Humanos y Cultos, sin fecha, el seƱor Janusz Jacenty Dunajski, otorga su consentimiento para ser repatriado a Polonia, con el fin de cumplir con el resto de dicha sentencia privativa de libertad;
n
n
n
n
n
n Que, en virtud de que se han cumplido y verificado los requisitos y condiciones contemplados en los artĆculos 3, 5, 6 y 7 del ?Convenio sobre Traslado de Personas Condenadas de Estrasburgo?;
n
n
n
n
n
n Acuerda:
n
n
n
n
n
n Art. 1.- Aceptar la solicitud de repatriación del ciudadano Janusz Jacenty Dunajski y disponer que sea trasladado a un Centro de Rehabilitación Social en territorio polaco, donde cumplirÔ el resto de su sentencia privativa de libertad.
n
n
n
n Art. 2.- Entregar la custodia del ciudadano polaco Janusz Jacenty Dunajski, a las autoridades competentes polacas que para el efecto hubieren sido designadas con miras al cumplimiento de dicho traslado.
n
n
n
n Art. 3.- Notificar con el presente Acuerdo Ministerial al ciudadano polaco Janusz Jacenty Dunajski y a las demÔs entidades involucradas en el procedimiento, quienes prestarÔn las facilidades necesarias para el cumplimiento inmediato de esta repatriación.
n
n
n
n
n
n El presente Acuerdo entrarÔ en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.
n
n
n
n
n
n ComunĆquese y PublĆquese.
n
n
n
n
n
n Dado en el Distrito Metropolitano de Quito, a 08 de noviembre del 2012.
n
n
n
n
n
n f.) Dra. Johana PesĆ”ntez BenĆtez, Ministra de Justicia, Derechos Humanos y Cultos.
n
n
n
n
n
n Certifico que el presente documento es fiel copia del original que a dos fojas reposa en los archivos de la SecretarĆa General.- Fecha: 07 de diciembre del 2012.- f.) Geovanna Palacios Torres, Secretaria General, Ministerio de Justicia, Derechos Humanos y Cultos.
n
n
n
n
n
n
n Dra. Johana PesĆ”ntez BenĆtez
n
n MINISTRA DE JUSTICIA, DERECHOS
n
n HUMANOS Y CULTOS
n
n
n
n Considerando:
n
n
n
n Que, corresponde a los Ministros de Estado en la esfera de su competencia, expedir las normas, acuerdos y resoluciones que sean necesarias para la gestión ministerial;
n
n
n
n Que, mediante Decreto Ejecutivo 748, de 14 de noviembre de 2007, publicado en el Registro Oficial, Suplemento No. 220, de 27 de noviembre de 2007, se crea el Ministerio de Justicia y Derechos Humanos;
n
n
n
n Que, mediante Decreto Ejecutivo 410, de 30 de junio de 2010, publicado en el Registro Oficial No. 235, de 14 de julio de 2010, el economista Rafael Correa Delgado, cambia la denominación de ?Ministerio de Justicia y Derechos Humanos? por el de ?Ministerio de Justicia, Derechos Humanos y Cultos?;
n
n
n
n Que, mediante Decreto Ejecutivo No. 772, de 13 de mayo de 2011, el economista Rafael Correa Delgado, Presidente Constitucional de la RepĆŗblica nombra como Ministra de Justicia, Derechos Humanos y Cultos, a la doctora Johana PesĆ”ntez BenĆtez;
n
n
n
n Que, el estatuto OrgĆ”nico de Gestión Organizacional por Procesos del Ministerio de Justicia, Derechos Humanos y Cultos, en el artĆculo 12 numeral 3.1.1, literal b, subnuemral 9, establece que a la Coordinación General de Planificación le corresponde definir, levantar, evaluar y mejorar los procesos al interior del Ministerio de Justicia, Derechos Humanos y Cultos;
n
n
n
n Que, mediante Memorando No. MJDHC-CGPL-2012- 0908, de fecha 26 de junio de 2012, el Coordinador General de Planificación solicita a la Ministra de Justicia, Derechos Humanos y Cultos, la autorización para implementar la MetodologĆa de Administración de Riesgos;
n
n
n
n Que, mediante sumilla inserta en el Memorando No. MJDHC-CGPL-2012-0908, de fecha 26 de junio de 2012, la Ministra de Justicia Derechos Humanos y Cultos dispone: ?Santiago: autorizado proceder?;
n
n
n
n
n
n Que, mediante Memorando No. MJDHC-CGPL-2012- 1186, de fecha 20 de agosto de 2012, el Coordinador General de Planificación solicita al Coordinador General de AsesorĆa JurĆdica, proceder con los trĆ”mites legales para la formalización, institucionalización y aplicación de la MetodologĆa de Administración de Riesgos;
n
n
n
n
n
n En uso de las atribuciones que le confieren los artĆculos 154, numeral 1, de la Constitución de la RepĆŗblica del Ecuador; artĆculo 17 del Estatuto del RĆ©gimen JurĆdico Administrativo de la Función Ejecutiva.
n
n
n
n Acuerda:
n
n
n
n Art. 1.- Expedir el Estatuto OrgÔnico para la Administración de Riesgos del Ministerio de Justicia, Derechos Humanos y Cultos.
n
n
n
n Art. 2.- Para la correcta aplicación de la mitigación de riesgos en el Ministerio de Justicia, Derechos Humanos y Cultos, se alinearĆ” con el Estatuto Organizacional por Procesos dentro de las atribuciones y responsabilidades que serĆ” definir, levantar, evaluar, y mejorar los procesos al interior del Ministerio de Justicia, Derechos Humanos y Cultos, el cual estarĆ” regido por la siguiente metodologĆa:
n
n
n
n METODOLOGĆA PARA LA ADMINISTRACIĆN
n
n DEL RIESGO
n
n
n
n 1. OBJETIVOS
n
n
n
n 1.1 Objetivo General
n
n
n
n 1.2 Objetivos EspecĆficos
n
n
n
n 2. DEFINICIONES
n
n
n
n 3.- DIRECTRICES INICIALES
n
n
n
n 4.- AMINISTRACIĆN DEL RIESGO
n
n
n
n 4.1 PLANEACIĆN DE LA ADMINISTRACIĆN DEL RIESGO
n
n
n
n 4.2 ETAPAS
n
n
n
n 4.2.1 EVALUACIĆN Y TRATAMIENTO DE RIESGOS
n
n
n
n 4.2.1.1 Identificación del riesgo
n
n
n
n 4.2.1.2 AnƔlisis del riesgo
n
n
n
n 4.2.1.3 Matriz de priorización perfiles de riesgos
n
n
n
n 4.2.1.4 Definición de Acciones
n
n
n
n 4.2.1.5 Elaboración de la Matriz y Mapa de Riesgos
n
n
n
n 4.2.2 MONITOREO Y CONTROL DE RIESGOS
n
n
n
n 4.2.2.1 Monitoreo (cambios en el entorno)
n
n
n
n 4.2.2.2 Gestionar el plan de acción
n
n
n
n 4.2.2.3 Identificar nuevos riesgos
n
n
n
n 4.2.2.4 Cerrar los riesgos
n
n
n
n 5.- DIRECTRICES GENERALES EN LA ADMINISTRACIĆN DE RIESGOS
n
n
n
n ANEXO 1
n
n
n
n ANEXO 2
n
n
n
n METODOLOGĆA PARA LA ADMINISTRACIĆN
n
n DEL RIESGO
n
n
n
n 1. OBJETIVOS
n
n
n
n 1.1 Objetivo General
n
n
n
n Formalizar una MetodologĆa para la Administración de Riesgos que permita al Ministerio de Justicia, Derechos Humanos y Cultos, minimizar los riesgos a lo que se encuentra expuesto por factores de riesgo operativo.
n
n
n
n Objetivos EspecĆficos
n
n
n
n Identificar los principales factores de riesgo operativo que asume la Institución como consecuencia del desarrollo de sus actividades
n
n
n
n Esquematizar un procedimiento que permita evaluar los riesgos que se presentan, con el fin de tomar las acciones necesarias para su control.
n
n
n
n Estructurar el mapa de riesgos de la Institución, el que contendrÔ la percepción de impacto y probabilidad de los eventos de riesgo que pueden afectar a la Entidad.
n
n
n
n Esquematizar las principales acciones que se deben ejecutar, con el objetivo de minimizar los impactos y/o probabilidad de los eventos de riesgo.
n
n
n
n Establecer los parĆ”metros bĆ”sicos para que la Unidad de Riesgos y el Ćrea de AuditorĆa puedan mitigar y controlar los riesgos operacionales.
n
n
n
n
n
n 2. DEFINICIONES
n
n
n
n Administración de riesgos.- Es el proceso mediante el cual las instituciones identifican, miden, controlan / mitigan y monitorean los riesgos inherentes a la Institución, con el objeto de definir el perfil de riesgo, el grado de exposición que la institución estÔ dispuesta a asumir y los mecanismos de cobertura, para proteger los recursos propios y de terceros que se encuentran bajo su control y administración.
n
n
n
n Base de datos: Conjunto de datos relacionados que se almacenan de forma tal que se puede acceder fĆ”cilmente, con la posibilidad de relacionarlos, ordenarlos, segĆŗn criterios del administrador de la base de datos, o el usuario final. Una de sus caracterĆsticas es que existe una mĆnima duplicidad de información.
n
n
n
n Evento externo.- Refiérase a los acontecimientos que no involucran las operaciones normales de la Institución, los cuales pueden afectar su posición financiera u operativa.
n
n
n
n Ejemplo: terremoto, incendios, factores climĆ”ticos, sociales, polĆticos.
n
n
n
n Riesgo.- Es un evento o una condición con incertidumbre que, si ocurre, tiene un efecto negativo y amenaza el logro de un resultado.
n
n
n
n Riesgo operativo.- Es la posibilidad de que se produzcan pĆ©rdidas debido a eventos originados en fallas o insuficiencia de procesos, personas, sistemas internos, tecnologĆa, y en la presencia de eventos externos imprevistos. Incluye el riesgo legal pero excluye los riesgos sistĆ©mico y de reputación.
n
n
n
n Agrupa una variedad de riesgos relacionados con deficiencias de control interno; infraestructura, sistemas, procesos y procedimientos inadecuados; errores humanos y fraudes; fallas en los sistemas informÔticos; ocurrencia de eventos externos o internos adversos, es decir, aquellos que afectan la capacidad de la institución para responder por sus compromisos de manera oportuna, o comprometen sus intereses.
n
n
n
n Riesgo legal.- Es la posibilidad de que se presenten pérdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condición de una institución, derivadas de error, dolo, negligencia o imprudencia en la concertación, instrumentación, formalización o ejecución de contratos y transacciones.
n
n
n
n Perfil de Riesgo.- Resultado consolidado de la medición de los riesgos a los que se ve expuesta una entidad.
n
n
n
n Personal.- Es el conjunto de personas vinculadas directa o indirectamente con la ejecución de los procesos de la entidad.
n
n
n
n Procesos.- Es el conjunto interrelacionado de actividades para la transformación de elementos de entrada en productos o servicios, para satisfacer una necesidad.
n
n
n
n TecnologĆa.- Es el conjunto de herramientas empleadas para soportar los procesos de la entidad. Incluye: hardware, software y telecomunicaciones.
n
n
n
n Infraestructura.- Es el conjunto de elementos de apoyo para el funcionamiento de una organización. Entre otros se incluyen: edificios, espacios de trabajo, almacenamiento y transporte.
n
n
n
n Factor de riesgo operativo.- Es la causa primaria o el origen de un evento de riesgo operativo. Los factores son los procesos, personas, tecnologĆa de información y eventos externos.
n
n
n
n Insumo.- Es el conjunto de materiales, datos o información que sirven como entrada a un proceso.
n
n
n
n Proceso crĆtico.- Es el indispensable para la continuidad
n
n del negocio y las operaciones de la institución controlada, y cuya falta de identificación o aplicación deficiente puede generarle un impacto negativo.
n
n
n
n Datos.- Es cualquier forma de registro electrónico, óptico, magnético, impreso o en otros medios, susceptible de ser capturado, almacenado, procesado y distribuido.
n
n
n
n Indicadores de riesgo.- Alarmas tempranas en los sistemas, procesos, productos, gente y el ambiente externo.
n
n
n
n Información.- Es cualquier forma de registro electrónico, óptico, magnético o en otros medios, previamente procesado a partir de datos, que puede ser almacenado, distribuido y sirve para anÔlisis, estudios y toma de decisiones.
n
n
n
n Información crĆtica.- Es la información considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones.
n
n
n
n Administración de la información.- Es el proceso mediante el cual se captura, procesa, almacena y transmite información, independientemente del medio que se utilice; ya sea impreso, escrito en papel, almacenado electrónicamente, transmitido por correo o por medios electrónicos o presentado en imÔgenes.
n
n
n
n Responsable de la información.- Es la persona encargada de identificar y definir claramente los diversos recursos y procesos de seguridad lógica relacionados con las aplicaciones.
n
n
n
n Integridad.- Es la garantĆa de mantener la totalidad y exactitud de la información y de los mĆ©todos de procesamiento.
n
n
n
n Disponibilidad.- Es la garantĆa de que los usuarios autorizados tienen acceso a la información cada vez que lo requieran a travĆ©s de los medios adecuados que satisfagan sus necesidades.
n
n
n
n Cumplimiento.- Se refiere a la observancia de las leyes, regulaciones y acuerdos contractuales a los que los procesos del Ministerio estƔn sujetos.
n
n
n
n Eficacia.- Es la capacidad para contribuir al logro de los objetivos institucionales de conformidad con los parƔmetros establecidos.
n
n
n
n Eficiencia.- Es la capacidad para aprovechar racionalmente los recursos disponibles en pro del logro de los objetivos institucionales, procurando la optimización de aquellos y evitando dispendios y errores.
n
n
n
n GPR (Gobierno por Resultados).- Herramienta de gestión institucional incorporada por la SecretarĆa Nacional de la Administración PĆŗblica para todas las instituciones del Gobierno Central.
n
n
n
n 3.- DIRECTRICES INICIALES
n
n
n
n Las directrices sugeridas para una adecuada Administración del Riesgo son las siguientes:
n
n
n
n Compromiso de los mandos medios: Para el Ć©xito en la implementación de una adecuada administración del riesgo, es indispensable el compromiso de las autoridades encargadas, en primera instancia, de definir las polĆticas y en segunda instancia de estimular la cultura de la identificación y prevención del riesgo. Para lograrlo es importante la definición de canales directos de comunicación y el apoyo a todas las acciones emprendidas en este sentido, propiciando los espacios y asignando los recursos necesarios.
n
n
n
n Conformación de un equipo de trabajo: Es importante conformar un equipo de trabajo que se encargue de liderar el proceso de administración del riesgo dentro de la entidad y cuente con un canal directo de comunicación con las autoridades.
n
n
n
n Capacitación en la metodologĆa: Definido el equipo o equipos de trabajo, debe capacitarse a sus integrantes en la metodologĆa de la administración del riesgo.
n
n
n
n 4.- ADMINISTRACIĆN DEL RIESGO
n
n
n
n
n
n 4.1 PLANEACIĆN DE LA ADMINISTRACIĆN DEL RIESGO
n
n
n
n
n
n Como cualquier otro proceso institucional, la administración del riesgo debe planearse y programarse de manera que haga parte de todas las actividades de la entidad. Para el diseño de esta planeación es fundamental tener claridad en la misión institucional, en sus objetivos y tener una visión sistémica de manera que no se perciba la administración del riesgo como algo aislado.
n
n
n
n
n
n 4.2 ETAPAS
n
n
n
n
n
n Las etapas son de singular interĆ©s para desarrollar con Ć©xito la administración del riesgo e implementar una polĆtica al respecto en la entidad; para cada una de ellas se sugiere tener en cuenta la mayor cantidad de datos disponibles y contar con la participación de las personas que ejecutan los procesos para lograr que las acciones determinadas alcancen los niveles de efectividad esperados.
n
n
n
n 4.2.1 EVALUACIĆN Y TRATAMIENTO DE RIESGOS
n
n
n
n 4.2.1.1 Identificación del riesgo
n
n
n
n El proceso de la identificación del riesgo debe ser permanente e interactivo integrado al proceso de planeación y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.
n
n
n
n Los riesgos se identificarĆ”n y medirĆ”n de acuerdo a la misma metodologĆa, a los siguientes niveles:
n
n
n
n Objetivos estratĆ©gicos (mĆnimo 2 riesgo por objetivo)
n
n
n
n Objetivos especĆficos (mĆnimo 2 riesgo por objetivo)
n
n
n
n Objetivos operativos (mĆnimo 2 riesgo por objetivo)
n
n
n
n Procesos (los identificados)
n
n
n
n Proyectos (mĆnimo 3 riesgos por proyecto)
n
n
n
n Previa la identificación de los riesgos es importante tener en cuenta los factores que pueden incidir en la aparición de los mismos, los cuales pueden ser externos e internos.
n
n
n
n Ejemplos de Riesgos Operacionales Externos
n
n
n
n Afectación a la infraestructura del Ministerio por catÔstrofes externas
n
n
n
n Aspectos económicos, sociales, ambientales, de orden pĆŗblico, polĆticos, legales y cambios tecnológicos de servicios externos
n
n
n
n Sublevaciones y/o rebeliones
n
n
n
n Robos y asaltos
n
n
n
n Internos
n
n
n
n ? Procesos
n
n
n
n Operaciones y contabilidad
n
n
n
n Movimiento del efectivo
n
n
n
n Inversiones
n
n
n
n Gasto corriente
n
n
n
n Faltantes de presupuesto
n
n
n
n Incumplimiento de metas
n
n
n
n Fraude Interno
n
n
n
n Falta de dotación de recursos necesarios para los distintos centros.
n
n
n
n Dependencia de la relación con otras Instituciones del Estado en las que se manejan las cuentas y excedentes.
n
n
n
n – Personal
n
n
n
n Negligencia
n
n
n
n Nepotismo
n
n
n
n Falta de prƔcticas laborales establecidas
n
n
n
n Fraudes internos
n
n
n
n Ausencia de personal capacitado
n
n
n
n Seguridad laboral
n
n
n
n Clima laboral desfavorable
n
n
n
n Corrupción
n
n
n
n – Sistemas informĆ”ticos
n
n
n
n Proceso de migración de la información del sistema informÔtico vigente al nuevo
n
n
n
n Mantenimiento del sistema (fuera de lĆnea)
n
n
n
n Respaldo de la información (restauración de las bases de datos)
n
n
n
n Violación externa de las bases de datos (hacker)
n
n
n
n DaƱos fĆsicos a los servidores
n
n
n
n DaƱos fĆsicos a los equipos de cómputo (PC)
n
n
n
n Dependencia a proveedores de sistemas informƔticos 8. Seguridades y accesos a opciones del sistema 9. Obsolescencia de los equipos informƔticos
n
n
n
n Licencias de software
n
n
n
n Parametrización de los sistemas
n
n
n
n
n
n – Legal
n
n
n
n Contratos con proveedores
n
n
n
n Contratos con el personal de la Institución
n
n
n
n Cambios y/o modificaciones a la normatividad
n
n
n
n
n
n Para la identificación se recomienda la aplicación de varias herramientas y técnicas como por ejemplo:
n
n
n
n Entrevistas estructuradas con expertos en el Ɣrea de interƩs
n
n
n
n Reuniones con directivos y con personas de todos los niveles en la entidad
n
n
n
n Evaluaciones individuales usando cuestionarios
n
n
n
n Lluvias de ideas con los servidores de la entidad
n
n
n
n Entrevistas e indagaciones con personas ajenas a la entidad
n
n
n
n Usar diagramas de flujo
n
n
n
n AnƔlisis de escenarios
n
n
n
n
n
n Revisiones periódicas de factores económicos y tecnológicos que puedan afectar la organización, entre otros.
n
n
n
n Igualmente pueden utilizarse diferentes fuentes de información de la institución, tales como registros históricos, experiencias significativas registradas, opiniones de especialistas y expertos, informes de años anteriores, los cuales pueden proporcionar información importante. Mediante reuniones ejecutivas con los responsables de la información de cada nivel en el sistema GPR, se levantarÔn los riesgos.
n
n
n
n Una manera de visualizar los riesgos es a través de la utilización del formato de identificación de riesgos el cual permite hacer un inventario de los mismos, definiendo en primera instancia los riesgos, posteriormente presentando una descripción de cada uno de estos y finalmente definiendo las posibles consecuencias. Es importante centrarse en los riesgos mÔs significativos para la entidad.
n
n
n
n Se tomarĆ” en cuenta la sintaxis que dispone la GuĆa Metodológica del GPR, para la descripción de los riesgos:
n
n
n n
n Fuente: GuĆa Metodológica GPR
n
n
n n
n n
n
n
n 4.2.1.2 AnƔlisis del riesgo
n
n
n
n El objetivo del anÔlisis es el de establecer una valoración y priorización de los riesgos con base en la información obtenida en la fase de identificación, con el fin de obtener información que permita establecer el nivel de riesgo y las acciones que se van a implementar. El anÔlisis del riesgo dependerÔ de la información del mismo, de su causa y la disponibilidad de datos. Para adelantarlo es necesario diseñar escalas que pueden ser cuantitativas o cualitativas.
n
n
n
n Se han establecido dos parƔmetros para realizar el anƔlisis de los riesgos identificados:
n
n
n
n Probabilidad: la posibilidad de ocurrencia del riesgo; esta serƔ medida con criterios de frecuencia. Los criterios a utilizar serƔn los siguientes:
n
n
n n
n Probabilidad
n
n
n n
n Descripción detallada
n n
n 100 y 90
n
n
n n
n Muy Alta.- Se espera que la ocurrencia del evento sea certero en la mayorĆa de las circunstancias (ocurrencia semanal)
n n
n 80 y 70
n n
n Alta.- El evento probablemente ocurrirĆ” en la mayorĆa de las circunstancias (ocurrencia mensual)
n n
n 60 y 50
n n
n Media.- El evento de riesgo podrĆa ocurrir en algĆŗn momento inesperado, las seƱales detectadas nos indican que tanto
n n
n
n n
n
n n
n puede como no puede ocurrir (ocurrencia trimestral)
n n
n 40 y 30
n n
n Baja.- El evento de riesgo podrĆa ocurrir en algĆŗn momento no tan esperado (ocurrencia semestral) 0 a 20 Muy baja.- El evento de riesgo puede ocurrir solo en circunstancias excepcionales (ocurrencia anual)
n n
n
n
n
n
n Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo. Los criterios a utilizar serÔn los siguientes:
n
n
n
n
n n
n Impacto
n n
n Descripción detallada
n n
n 10 y 20
n n
n Muy Baja afectación a la Institución, ya sea en pérdida financiera, asumible por el presupuesto, u otros aspectos de importancia
n n
n 30 y 40
n n
n Baja afectación a la Institución, ya sea cuando el presupuesto los asume, pérdida financiera media, o afectación a otros aspectos de la Institución.
n n
n 50 y 60
n n
n Afectación media, ya sea cuando se requiere de autorización fuera del presupuesto, pérdida financiera moderada, o a otros aspectos de la Institución, es administrable
n n
n
n n
n 70 y 80
n n
n Afectación alta para la Institución, ya sea al presupuesto, pero no detiene el proceso de generación de servicio, pérdida financiera mayor
n n
n 90 y 100
n n
n Muy alta afectación, cuando pone en peligro la supervivencia de la entidad, pérdidas peligrosas para la Institución
n n
n
n
n La valoración del impacto y la frecuencia depende de la experiencia de los titulares, patrocinador ejecutivo, lĆderes de proyecto, dueƱos del proceso, de acuerdo al Ć”mbito de competencia, con la ayuda tĆ©cnica del responsable de levantamiento de eventos de riesgo, con el fin que se establezcan los valores acorde a la realidad de la Institución, ya que es de suma importancia la calificación que se genere, debido a que esta determinarĆ” las acciones a tomar.
n
n
n
n Nivel Calificación
n
n
n
n La interacción de las variables, impacto y probabilidad nos generan la calificación del riesgo la misma que se obtiene según la siguiente fórmula:
n
n
n
n Calificación.Riesgo I X P
n
n
n
n 4.2.1.3 Matriz de priorización perfiles de riesgos
n
n
n
n Cuando se ubican los riesgos en la matriz se define cuƔles de ellos requieren acciones inmediatas.
n
n
n
n Tomando en consideración lo que establece la guĆa metodológica del GPR, establece que los riesgos con una calificación mayor a 49 deben contar necesariamente con planes de mitigación, sin embargo recomienda que todos los riesgos identificados cuenten con un plan, lo cual permite determinar cuĆ”les son los riesgos considerados de mayor criticidad.
n
n
n
n Con esta valoración se ha determinado los perfiles de riesgo en base a la calificación, con sus respectivas semaforizaciones y prioridades.
n
n
n
n
n
n 4.2.1.3.1 PolĆticas de actualización de perfiles de riesgo
n
n
n
n Se debe tener un claro conocimiento de los procedimientos desarrollados a efectos de gestionar el riesgo y su grado de cumplimiento. Para ello el responsable de la gestión de riesgos, deberĆ” recibir, como mĆnimo semestralmente, información suficiente en el mapa de riesgos, que permita analizar el perfil de riesgo operacional general y verificar las implicancias estratĆ©gicas y sustanciales para su actividad.
n
n
n
n Se deberĆ” evaluar su vulnerabilidad ante la ocurrencia de los eventos, para asĆ comprender mejor su perfil de riesgo y, en su caso, adoptar las medidas correctivas de las polĆticas que sean pertinentes.
n
n
n
n Una vez que se cuente con una base de datos suficiente, se podrÔ determinar si los perfiles de riesgo, son los correctos para la Institución, pudiendo ser actualizados, de acuerdo a las necesidades y realidad del Ministerio, en Ômbitos de respuesta al riesgo, según la capacidad operativa para generar la misma.
n
n
n
n 4.2.1.4 Definición de Acciones
n
n
n
n Para el manejo de los riesgos se deben analizar las posibles acciones a emprender las cuales deben ser factibles y efectivas, tales como: la implementación de polĆticas, definición de estĆ”ndares, optimización de procesos y procedimientos y cambios fĆsicos entre otros.
n
n
n n
n Tipo de
n
n acción
n n
n Descripción
n n
n Evitar
n
n
n n
n Acción que evita el riesgo eliminando su causa, o seleccionando acciones alternativas, es decir prevenir las actividades que los originan. Se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas
n n
n Prevenir
n n
n Acción que disminuye la probabilidad de ocurrencia del riesgo, incluye mĆ©todos y tĆ©cnicas especĆficas para tratar con ellos. Se logra mediante la distribución o localización del riesgo en diversos lugares. Es asĆ como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.
n n
n Transferir
n n
n Acción que transfiere y/o comparte el riesgo con un tercero. Hace referencia a buscar respaldo y compartir con otro parte del riesgo como por ejemplo tomar pólizas de seguros, esta técnica es usada para eliminar el riesgo de un lugar y pasarlo a otro o de un grupo a otro.
n n
n Contingencia
n n
n Acción que reduce el impacto en caso de que ocurra el riesgo.
n
n
n
n Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, el responsable del riesgo simplemente acepta la pƩrdida residual probable y elabora planes de contingencia para su manejo.
n n
n
n n
n
n n
n
n
n Tomando en consideración los rangos de calificación y semaforización, se recomienda tomar las acciones según los rangos de valores que se muestran a continuación:
n
n
n
n La decisión de la acción a tomar dependerÔ en gran medida de la semaforización, sin embargo, de acuerdo a las necesidades del Ministerio se podrÔ tomar la opción que mÔs se ajuste a la situación.
n
n
n
n 4.2.1.5 Elaboración de la Matriz y Mapa de Riesgos
n
n
n
n Para la consolidación del Mapa de Riesgos, adicional a las consideraciones expuestas, es necesario identificar las causas que los pueden ocasionar, lo cual facilita el proceso de definición de acciones para mitigar los mismos.
n
n
n
n La selección de las acciones mĆ”s convenientes debe considerar la viabilidad jurĆdica, tĆ©cnica, institucional, financiera y económica y se puede realizar con base a los factores mencionados anteriormente.
n
n
n
n Asà mismo en el Mapa de Riesgos se deben identificar los controles existentes, las Ôreas o dependencias responsables de llevar a cabo las acciones. Para lo cual se plantea el formato (Anexo 1 Matriz de Riesgos)
n
n
n
n La información de la identificación y anĆ”lisis de riesgo, se lo realizarĆ” en primera instancia en GPR, en base a la información que se solicita en el sistema informĆ”tico. Paralelamente, la persona del equipo metodológico a cargo, deberĆ” ingresar la información adicional que se requiere en la matriz de riesgos, con el fin de contar con una base de datos que permita obtener datos históricos en el futuro, asĆ como reportes sobre el mapa completo de la institución para organismos de control, asĆ como seguridad en la integridad y disponibilidad de la información en caso que hayan incidentes de caĆdas de red, entre otros aspectos.
n
n
n
n 4.2.1.6 Plan de acción
n
n
n
n Definido el Mapa de Riesgos, es fundamental comenzar a ejecutar dichas acciones con el fin de determinar su efectividad en el menor tiempo posible.
n
n
n
n Para lo cual se requiere elaborar el plan de mitigación el mismo que debe contener como mĆnimo:
n
n
n
n Objetivos y metas,
n
n
n
n Responsabilidades para Ć”reas especĆficas, identificando conocimientos tĆ©cnicos, describiendo el proceso de evaluación de riesgos y las Ć”reas a considerar,
n
n
n
n Tiempos de respuesta, cronogramas, presupuesto, etc. (Anexo 2 Plantilla de plan de acción)
n
n
n
n 4.2.2 MONITOREO Y CONTROL DE RIESGOS
n
n
n
n
n
n 4.2.2.1 Monitoreo (cambios en el entorno)
n
n
n
n Una vez diseñado y validado el plan para administrar los riesgos, en el mapa de riesgos, es necesario monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.
n
n
n
n El monitoreo es esencial para asegurar que las acciones se estÔn llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.
n
n
n
n El monitoreo debe estar a cargo de los responsables de Riesgos y los responsables de las diferentes Ôreas y su finalidad principal serÔ la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo. Los responsables de riesgos dentro de su función asesora comunicarÔ y presentarÔ luego del monitoreo, sus resultados y propuestas de mejoramiento y tratamiento a las situaciones detectadas.
n
n
n
n Es importante detectar los cambios en el entorno, que puedan incrementar o disminuir el riesgo.
n
n
n
n 4.2.2.2 Gestionar el plan de acción
n
n
n
n El plan de mitigación serÔ monitoreado mensualmente, por el responsable de riesgos, con el fin que las Ôreas responsables realicen la gestión pertinente de las acciones, para asà lograr mitigar los riesgos.
n
n
n
n Es importante mencionar que el responsable de los riesgos, es el encargado de generar la información sobre los avances del plan de acción con los sustentos correspondientes, y proponer cambios en los mismos en caso que se identifique que estos no generan valor agregado para el cumplimiento de los objetivos establecidos en la mitigación de los riesgos.
n
n
n
n 4.2.2.3 Identificar nuevos riesgos
n
n
n
n Los riesgos son dinĆ”micos, y estĆ”n en constante cambio, por lo tanto algunos riesgos tienden a desaparecer, mientras otros nuevos aparecen, por lo cual se debe realizar anĆ”lisis semestrales con los responsables de los riesgos, para la identificación de nuevos riesgos, siguiendo la misma metodologĆa de anĆ”lisis, asĆ la Institución contarĆ” con una base de datos actualizada.
n
n
n
n 4.2.2.4 Cerrar los riesgos
n
n
n
n Debido a que la metodologĆa del GPR genera el cierre del riesgo, es importante tomar en consideración lo siguiente:
n
n
n
n – Se darĆ” por cerrado un riesgo cuando se cumpla alguna de las siguientes condiciones:
n
n
n
n ha pasado la fecha estimada de ocurrencia,
n
n
n
n el evento ocurrió y se han realizado las acciones planeadas, o
n
n
n
n el riesgo no representa ya una amenaza para la consecución del plan.
n
n
n
n 5.- DIRECTRICES GENERALES EN LA ADMINISTRACIĆN DE RIESGOS
n
n
n
n Para la administración de riesgos tanto de objetivos como del nivel operativo es decir proyectos, se recomienda tomar en consideración la metodologĆa GPR que indica lo siguiente:
n
n
n
n Se deben llevar a cabo reuniones de avance de los riesgos, planes de mitigación, acciones realizadas para el control de los mismos, con el fin que se establezca una prÔctica continua de administración de los riesgos, con la participación e involucramiento de todos los interesados,
n
n
n
n Con respecto a proyectos, se presente en las reuniones avance el estado actual de los riesgos asociados a los hitos del proyecto, y las acciones tomadas para su control,
n
n
n
n Se establezcan las responsabilidades de los actores en el proceso de administración de de los riesgos, según lo siguiente:
n
n
n n
n
n
n n
n ACTOR
n n
n ROL GPR
n n
n RESPONSABILIDADES
n n
n Ministra/o
n n
n Titular Plan EstratƩgico
n n
n Aprobar la metodologĆa para la Administración de Riesgos
n
n
n
n Solicitar actualizaciones, cambios, etc, segĆŗn las necesidades del Ministerio.
n
n
n
n Solicitar el cumplimiento estricto en materia de administración de Riesgos.
n
n