ACUERDO AOG 1 DE 2020
(enero 14)
Diario Oficial No. 51.212 de 30 de enero 2020
JURISDICCIÓN ESPECIAL PARA LA PAZ
<NOTA DE VIGENCIA: Acuerdo derogado por el artículo 3 del Acuerdo AOG 32 de 2021>
Por el cual se adopta la Política de Administración del Riesgo de la Jurisdicción Especial para la Paz (JEP).
EL ÓRGANO DE GOBIERNO DE LA JURISDICCIÓN ESPECIAL PARA LA PAZ (JEP),
en ejercicio de las facultades constitucionales y legales, en especial las conferidas por el parágrafo 2 del artículo transitorio 5o del Acto Legislativo número 01 de 2017, precisado en sus alcances por la Corte Constitucional en Sentencia C-674 de 201, el artículo 10 de la Ley 1957 de 2019 y el artículo 12 del Reglamento General de la Jurisdicción Especial para la Paz, y
CONSIDERANDO:
Que el artículo 5o transitorio del Acto Legislativo número 01 del 2017, que creó la Jurisdicción Especial para la Paz, con autonomía administrativa, presupuestal y técnica, señala que la Jurisdicción Especial para la Paz estará sujeta a un régimen legal propio y se encargará de administrar justicia de manera transitoria y autónoma, con conocimiento preferente sobre las demás jurisdicciones;
Que el artículo 15 del Acto Legislativo número 01 del 2017 estipula que la Jurisdicción Especial para la Paz “(...) entrará en funcionamiento a partir de la aprobación de este Acto Legislativo sin necesidad de ninguna norma de desarrollo, sin perjuicio de la aprobación posterior de las normas de procedimiento y lo que establezca el reglamento de dicha jurisdicción (...)”;
Que mediante el Acuerdo número 001 del 9 de marzo de 2018, proferido por la Plenaria de la Jurisdicción Especial para la Paz adoptó su Reglamento General. En el mismo se estableció que el Órgano de Gobierno de la Jurisdicción Especial para la Paz tendría como funciones las señaladas en la Constitución, la ley estatutaria de la Jurisdicción Especial para la Paz, la ley de procedimiento de la Jurisdicción Especial para la Paz, la ley y las referidas en el artículo 12 de ese Reglamento;
Que el artículo 12 del Reglamento General de la Jurisdicción Especial para la Paz establece que le corresponde al Órgano de Gobierno de la Jurisdicción Especial para la Paz, definir las políticas públicas, los lineamientos y criterios generales necesarios para su funcionamiento y regular los trámites administrativos que se adelanten en la Jurisdicción Especial para la Paz;
Que el artículo 110 de la Ley 1957 del 6 de junio de 2019 “Estatutaria de la Administración de Justicia en la Jurisdicción Especial para la Paz”, establece que “En tanto los magistrados de la JEP no definan una instancia de gobierno conforme a lo previsto en el parágrafo 2 del artículo transitorio 5o del Acto Legislativo número 01 de 2017, la JEP tendrá un Órgano de Gobierno cuyo objeto será el establecimiento de los objetivos, planificación, orientación de la acción y fijación de estrategia general de la Jurisdicción. De tal forma, se enfocará en la toma de decisiones de planeación, diseño y/o mejoramiento organizacional, definición de herramientas, lineamientos y criterios generales necesarios para el funcionamiento, así como la definición de políticas públicas que involucren a la jurisdicción”. Que asimismo, el numeral 1 del referenciado artículo señala que es función del Órgano de Gobierno: “Establecer las políticas generales de gobierno de la JEP”;
Que el numeral 13 del artículo 112 de la mencionada Ley Estatutaria establece como funciones de la Secretaría Ejecutiva:
“13) Proponer al Órgano de Gobierno las políticas, programas, normas y procedimientos para la administración del talento humano, seguridad del personal, gestión documental, gestión de la información, recursos físicos, tecnológicos y financieros de la JEP, así como asegurar su ejecución.
17) Elaborar y coordinar la ejecución de los Planes Estratégico Cuatrienal y de Acción Anual, así como las demás propuestas de políticas, planes y programas para someterlos al Órgano de Gobierno para su aprobación”.
18) Administrar los bienes y recursos destinados para el funcionamiento de la JEP y responder por su correcta aplicación o utilización.
25) Diseñar, proponer e implementar mecanismos de transparencia, rendición de cuentas a la ciudadanía y de herramientas de gestión, transmisión y difusión de datos y conocimientos.
27) Ejercer la representación legal de la JEP;
Que la Ley 87 de 1993, “por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones”, en el artículo 5o señala que la misma rige para “todos los organismos y entidades de las Ramas del Poder Público en sus diferentes órdenes y niveles”, y en el artículo 6o señala que “El establecimiento y desarrollo del Sistema de Control Interno en los organismos y entidades públicas, será responsabilidad del representante legal o máximo directivo correspondiente”.
Dicha norma establece en el artículo 2o los objetivos del Sistema de Control Interno entre los cuales se destacan en materia de riesgos los siguientes literales: “a) Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten; (...) f) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de sus objetivos”;
Que la Ley 1474 de 2011, por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública, estipula en su artículo 73 que “Cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la atención al ciudadano”;
Que la administración del riesgo es fundamental para que la JEP cuente con las herramientas que alerten o mitiguen la materialización de los riesgos que puedan afectar el logro de los objetivos tanto institucionales como de los procesos;
Que es necesario identificar cómo evitar riesgos, así como brindar lineamientos dirigidos a la consecución de los objetivos institucionales y el logro de resultados en cumplimiento de la misionalidad;
En mérito de lo expuesto,
ACUERDA:
ARTÍCULO 1o. <Acuerdo derogado por el artículo 3 del Acuerdo AOG 32 de 2021> Adoptar la Política de Administración del riesgo para la Jurisdicción Especial para la Paz (JEP), cuyo texto se anexa y forma parte integral del presente Acuerdo.
A través de la presente política, la Jurisdicción Especial para la Paz (JEP), propone los lineamientos para la administración de riesgos, tomando como referente los parámetros establecidos en la guía para la administración del riesgo y el diseño de controles en entidades públicas, versión 4 del Departamento Administrativo de la Función Pública.
La JEP se compromete a asegurar que la gestión de los riesgos sea una actividad transversal, eficiente y eficaz en su identificación, análisis, valoración y en el establecimiento de un plan de acción, con el propósito de prevenir o mitigar todos aquellos eventos que puedan afectar el alcance de sus objetivos, fomentando la consolidación de una cultura de autocontrol, autoevaluación y evaluación independiente.
Esta política estará en permanente armonización con los lineamientos que se establezcan en seguridad digital.
El objetivo general de la política es establecer los lineamientos para la identificación, valoración, análisis, tratamiento, manejo, seguimiento y evaluación de los riesgos, en cumplimiento de la misión y visión institucional, y de los objetivos y metas establecidos en la plataforma estratégica de la entidad.
Los objetivos específicos son los siguientes:
- Determinar el alcance de la Política de Administración del Riesgo, metodología e instrumentos para su implementación.
- Definir la estructura institucional para la gestión del riesgo, estableciendo criterios para su identificación, valoración, nivel y tratamiento.
- Especificar los niveles, delegaciones de autoridad, responsabilidades y compromisos para la gestión y tratamiento del riesgo.
- Establecer lineamientos para el monitoreo, seguimiento, evaluación y comunicación del riesgo.
La política de administración de riesgos aplica a todos los procesos y proyectos de la JEP; no aplica a la toma de decisiones judiciales de la JEP. La autonomía de las decisiones o resultados puntuales de los procesos judiciales, no son del resorte de esta política.
ARTÍCULO 2o. <Acuerdo derogado por el artículo 3 del Acuerdo AOG 32 de 2021> El presente Acuerdo rige a partir de la fecha de publicación.
Publíquese, comuníquese y cúmplase.
Dado en Bogotá, D. C., a 14 de enero de 2020.
La Presidenta,
Patricia Linares Prieto.
La Magistrada, Sección de Apelación,
Sandra Rocío Gamboa Rubiano,
Ausente con excusa.
El Magistrado, Sección de Revisión de Sentencias,
Adolfo Murillo Granados.
La Magistrada, Sección de Ausencia de Reconocimiento de Verdad y Responsabilidad,
Reinere de los Ángeles Jaramillo Chaverra.
El Magistrado, Sección de Reconocimiento de Verdad y Responsabilidad,
Camilo Andrés Suárez Aldana.
La Sala de Reconocimiento de Verdad, de Responsabilidad y de Determinación de los Hechos y Conductas,
Catalina Díaz Gómez,
Ausente con excusa.
El Magistrado, Sala de Definición de Situaciones Jurídicas,
Mauricio García Cadena.
El Magistrado, Sala de Amnistía o Indulto,
Juan José Cantillo Pushaina.
El Director, Unidad de Investigación y Acusación,
Giovanni Álvarez Santoyo,
Ausente con excusa.
La Secretaria Ejecutiva,
María del Pilar Bahamón Falla.
POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA JURISDICCIÓN ESPECIAL PARA LA PAZ- JEP.
1. Introducción
A través de la presente política, la Jurisdicción Especial para la Paz -JEP- propone los lineamientos para la administración de riesgos, tomando como referente los parámetros establecidos en la Guía para la administración del riesgo y el diseño de controles en entidades públicas, versión 4 del Departamento Administrativo de la Función Pública.
Se detallan las directrices para la identificación, la valoración y el tratamiento de los riesgos que puedan afectar el cumplimiento de los objetivos de la entidad. Esta política está alineada con el cumplimiento del Estatuto Anticorrupción, buscando garantizar la transparencia, la integridad y la lucha contra la corrupción en los procesos institucionales y constituye una herramienta para el fortalecimiento de la cultura de la prevención, la autogestión y refleja el compromiso de la entidad en la integración de la administración de los riesgos como parte natural del modelo de gestión.
2. Declaración
La JEP se compromete, a través de los lineamientos aquí establecidos, a asegurar que la gestión de los riesgos sea una actividad transversal, eficiente y eficaz en su identificación, análisis, valoración y en el establecimiento de un plan de acción, con el propósito de prevenir o mitigar todos aquellos eventos que puedan afectar el alcance de sus objetivos, fomentando la consolidación de una cultura de autocontrol, autoevaluación y evaluación independiente. Esta política estará en permanente armonización con los lineamientos que en la materia se establezcan en seguridad digital.
3. Objetivos
Objetivo general: Establecer los lineamientos para la identificación, valoración, análisis, tratamiento, manejo, seguimiento y evaluación de los riesgos, en cumplimiento de la misión y visión institucional, y de los objetivos y metas establecidos en la plataforma estratégica de la entidad.
Objetivos específicos:
- Determinar el alcance de la Política de Administración del Riesgo, metodología e instrumentos para su implementación.
- Definir la estructura institucional para la gestión del riesgo, estableciendo criterios para su identificación, valoración, nivel y tratamiento.
- Especificar los niveles, delegaciones de autoridad, responsabilidades y compromisos para la gestión y tratamiento del riesgo.
- Establecer lineamientos para el monitoreo, seguimiento, evaluación y comunicación del riesgo.
4. Alcance
La política de administración de riesgos es aplicable a todos los procesos y proyectos de la JEP. Esta política se enmarca en la gestión de riesgos de los procesos y no es aplicable a la toma de decisiones judiciales de la JEP. La autonomía de las decisiones o resultados puntuales de los procesos judiciales, no son del resorte de esta política.
5. Términos y definiciones
- Administración del riesgo: Es liderado por la Secretaría Ejecutiva de la JEP y efectuado por todos los servidores para garantizar un aseguramiento razonable con respecto al logro de los objetivos institucionales. El enfoque de riesgos no se determina solamente con el uso de la metodología, sino logrando que la evaluación de los riesgos se convierta en una parte natural del proceso de planeación(1).
- Causa: Todos aquellos factores internos y externos que solo o en combinación con otros, pueden producir la materialización de un riesgo(2).
- Consecuencia: Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas(3).
- Corrupción: Abuso de una posición de poder o de confianza para desviar la gestión de lo público hacia el beneficio propio o de un tercero.(4)
- Gestión del riesgo: conjunto de actividades coordinadas para dirigir y controlar la entidad con respecto al riesgo(5).
- Impacto: Se entiende como las consecuencias que puede ocasionar a la entidad la materialización del riesgo(6).
- Matriz de riesgos: documento que contiene la información resultante de la gestión del riesgo; incluye las causas, consecuencias, la probabilidad de ocurrencia, el impacto en caso de materialización, los controles definidos para el manejo del riesgo y el plan de acción. La JEP contará con una única matriz institucional donde se consignará la información correspondiente a los diferentes tipos de riesgos (de gestión y de corrupción). Los proyectos estratégicos de la JEP contarán con su propia matriz de riesgos.
- Mapa de riesgos o mapa de calor: herramienta o representación gráfica usada para comunicar o socializar los riesgos de la entidad a través de su ubicación según la evaluación de probabilidad e impacto. Consiste en una gráfica de cinco columnas por cinco filas, donde el eje X representa la probabilidad de ocurrencia y el eje Y el impacto de materialización. La JEP contará con un mapa de riesgos institucional, el cual contendrá los riesgos de gestión y de corrupción; según las necesidades de análisis se podrán construir, a partir del institucional, los siguientes mapas: mapa de riesgos de gestión, mapa de riesgos de corrupción, mapa de riesgos de contratación y mapa de riesgos de proyecto.
- Probabilidad: posibilidad de ocurrencia de un riesgo. Se mide según la frecuencia (número de veces en que se ha presentado el riesgo en un período determinado) o por la factibilidad (factores internos o externos que pueden determinar que el riesgo se presente).(7)
- Proceso: conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un resultado previsto.(8)
- Riesgo: evento que tendrá un impacto sobre los objetivos de la entidad, pudiendo entorpecer el desarrollo de sus funciones.(9)
- Riesgo inherente: es aquel al que se enfrenta una entidad en ausencia de acciones o controles para modificar su probabilidad o impacto.
- Riesgo residual: nivel de riesgo que permanece luego de tomar sus correspondientes medidas de tratamiento y de la definición de controles.
5.1 Riesgos a controlar
La JEP aplicará la presente política a los riesgos de gestión, de corrupción, de proyecto, de contratación y de seguridad digital(10).
A continuación, se definen cada uno de ellos:
5.1.1 Riesgos de gestión: eventos que tienen un impacto sobre el logro o cumplimiento de los objetivos de los procesos de la entidad. Se identifican o validan en cada vigencia por los líderes de proceso y sus respectivos equipos de trabajo a través de la metodología contenida en esta política y se aprueban por el Comité de Gestión para la Administración de Justicia, en adelante Comité de Gestión. Estos riesgos, se administran mediante la matriz de riesgos y se determinan acciones preventivas permanentes para evitar su materialización. Se clasifican en:
1. Estratégicos: asociados a la administración de la entidad; están relacionados con la misión, visión y el cumplimiento de los objetivos del Plan Estratégico y la definición de políticas.
2. Operativos: comprenden riesgos provenientes del funcionamiento, de la definición de los procesos, la estructura de la entidad y la articulación entre dependencias.
3. Financieros: relacionados con el manejo de recursos que incluyen la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes.
4. Tecnológicos: relacionados con la capacidad tecnológica de la entidad para satisfacer sus necesidades actuales y futuras y el cumplimiento de su misión.
5. Cumplimiento: asociados a la capacidad de la entidad para cumplir con la normatividad legal y las obligaciones contractuales.
6. De imagen o reputacional: relacionados con la imagen, el buen nombre o reputación de la entidad ante sus grupos de interés.
7. De información: se asocia a la calidad, seguridad, oportunidad, pertinencia y confiabilidad de la información tanto interna como la suministrada por la entidad a la comunidad en general, así como la confidencialidad, integridad y disponibilidad de la información tanto física como digital
Fuente: Adaptado para la JEP con base en la “Guía para la Administración del Riesgo y el diseño de controles en entidades públicas” versión 4 de la Función Pública, 2018.
5.1.2 Riesgos de corrupción: eventos en que por abuso de una posición de poder o de confianza se desvíe la gestión de lo público hacia el beneficio propio o de un tercero, lesionando los intereses de la entidad y, en consecuencia, del Estado. Se identifican o validan, al igual que los riesgos de gestión, en cada vigencia por los líderes de proceso y sus respectivos equipos de trabajo a través de la metodología contenida en esta política y se aprueban por el Comité de Gestión. Estos riesgos se administran mediante la matriz de riesgos y para evitar su materialización, se determinan acciones preventivas permanentes.
5.1.3 Riesgos de proyecto: evento asociado a los proyectos adelantados por la entidad en cada vigencia; abarcan los eventos y amenazas que pudieran impedir el resultado esperado del proyecto; generalmente están relacionados al costo, tiempo y calidad del proyecto. La identificación de riesgos de cada proyecto es elaborada y aprobada por el gerente o responsable del proyecto, una vez se definen los planes de trabajo de cada proyecto en cada vigencia y sus acciones de control formarán parte de las actividades propias del proyecto. La JEP ha establecido los siguientes riesgos de proyecto:
1. Financieros: relacionados con el manejo de recursos asociados al proyecto, la ejecución presupuestal, los pagos del proyecto.
2. Tecnológicos: relacionados con la capacidad tecnológica de la entidad para atender el propósito del proyecto y la generación de resultados de este.
3. De calidad: relacionados con el aseguramiento y control de calidad del proyecto.
4. Contractual: relacionados con los atrasos o incumplimiento de los contratos en cada vigencia.
5. Cumplimiento: se asocian con el cumplimiento, por parte de la entidad, de los objetivos del proyecto.
6. Estratégicos: relacionados con la priorización, métricas y alcance del proyecto frente a las metas.
7. Comunicación: relacionados con los canales y medios utilizados para informar durante las diferentes etapas del proyecto y la inoportunidad de la comunicación.
8. Recurso humano: se asocian a la cualificación, competencia y disponibilidad de personal requerido para realizar el proyecto.
9. Integración: se refieren a la integración de sistemas, áreas, entidades, etapas y demás elementos que se requieran coordinar para el desarrollo del proyecto.
10. De entorno: se refieren al reconocimiento pleno de los grupos de interés asociados al proyecto, sus necesidades, expectativas, aportes y motivaciones sobre el desarrollo del proyecto.
Fuente: Adaptado para la JEP con base la Política de Operación Riesgos de la Oficina Asesora de Planeación, del Departamento Administrativo de la Función Pública. Septiembre de 2018 y “Guía para la Administración del Riesgo y el diseño de controles en entidades públicas” versión 4 de la Función Pública, 2018.
5.1.4. Riesgos de contratación: se refieren a la exposición de los procesos de contratación que adelante la entidad frente a los diferentes riesgos que se pueden presentar, teniendo en cuenta aspectos como: (a) los eventos que impidan la adjudicación y firma del contrato como resultado del proceso de contratación; (b) los eventos que alteren la ejecución del contrato; (c) el equilibrio económico del contrato; (d) la eficacia del proceso de contratación, es decir, que la entidad logre satisfacer la necesidad que motivó el proceso de contratación; y (e) la reputación y legitimidad de la entidad.
El Comité de Contratación participará en la elaboración de la matriz de riesgos comunes a los procesos de contratación de la entidad. Los riesgos particulares de cada proceso de contratación serán analizados por el responsable de dicho proceso y deben ser aprobados por los ordenadores del gasto, una vez se definan los términos de referencia del proceso de contratación y sus acciones de control formarán parte de las actividades propias de la gestión del contrato. De acuerdo con el Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación, M-ICR-01, de Colombia Compra Eficiente, los siguientes son los riesgos de contratación:
1. Económicos: son los derivados del comportamiento del mercado, tales como la fluctuación de los precios de los insumos, desabastecimiento y especulación de estos, entre otros.
2. Sociales o políticos: son los derivados de los cambios de las políticas gubernamentales y de cambios en las condiciones sociales que tengan impacto en la ejecución del contrato.
3. Operacionales: son los asociados a la operatividad del contrato, tales como la insuficiencia del presupuesto oficial, del plazo o los derivados de procesos, procedimientos, parámetros, sistemas de información y tecnológicos, equipos humanos o técnicos inadecuados o insuficientes.
4. Financieros: son (i) el riesgo de consecución de financiación o riesgo de liquidez para obtener recursos para cumplir con el objeto del contrato, y (ii) el riesgo de las condiciones financieras establecidas para la obtención de los recursos, tales como plazos, tasas, garantías, contragarantías, y refinanciaciones, entre otros.
5. Regulatorios: derivados de cambios regulatorios o reglamentarios que afecten la ecuación económica del contrato.
6. De la naturaleza: son los eventos naturales previsibles en los cuales no hay intervención humana que puedan tener impacto en la ejecución del contrato, por ejemplo los temblores, inundaciones, lluvias, sequías, entre otros.
7. Ambientales: son los derivados de las obligaciones legales o reglamentarias de carácter ambiental, así como de las licencias, planes de manejo o de permisos y autorizaciones ambientales, incluyendo tasas retributivas y compensatorias, obligaciones de mitigación, tareas de monitoreo y control, entre otras.
8. Tecnológicos: son los derivados de fallas en los sistemas de comunicación de voz y de datos, suspensión de servicios públicos, nuevos desarrollos tecnológicos, obsolescencia tecnológica o estándares que deben ser tenidos en cuenta para la ejecución del contrato.
Fuente: Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación, M-ICR-01, de Colombia Compra Eficiente, documento Conpes 3714 de 2011.
6. Estructura para la gestión del riesgo
La JEP tendrá como referencia general y adaptará para la identificación, valoración, tratamiento, monitoreo, revisión, seguimiento y evaluación de los riesgos, la “Guía de Administración del Riesgo y el diseño de controles en entidades públicas” vigente expedida por la Función Pública y el “Manual para la Identificación y Cobertura del Riesgo en los Procesos de Contratación - M-ICR-01” emitido por Colombia Compra Eficiente, así como también las acciones preventivas que resulten de la implementación de políticas, procesos y procedimientos del Modelo de Gestión de la JEP.
Para la adecuada administración del riesgo se tendrán en cuenta además los siguientes elementos: el contexto interno y externo de la entidad, los activos de información del modelo de seguridad y privacidad de la información, los informes de seguimiento de la Subdirección de Control Interno, los informes de auditoría interna a los diferentes procesos evaluados, los demás informes de Control Interno, la Subdirección de Asuntos Disciplinarios, y aquellos generados por las entidades externas de control, entre otros.
A continuación, se detallan las etapas necesarias para la administración del riesgo. Este proceso se reflejará en el diligenciamiento del documento Excel, “Matriz de riesgos JEP” (Anexo).
6.1 Identificación de riesgos.
Se lleva a cabo determinando las causas, el evento y las consecuencias, con base en el análisis del contexto interno y externo que puede afectar el logro de los objetivos. La identificación establece aquellos eventos o situaciones que puedan entorpecer el normal desarrollo o alcance de los objetivos estratégicos o del proceso.
Las preguntas iniciales para la identificación de riesgos son:
- ¿Qué puede suceder?
- ¿Cómo puede suceder?
- ¿Cuándo puede suceder?
- ¿Qué consecuencias tendría su materialización?
En cuanto a los riesgos de corrupción, adicional a las anteriores preguntas, se deberá verificar la concurrencia de:
- Abuso de una posición de poder o de confianza
- La desviación de la gestión de lo público
- Beneficio privado
La descripción del riesgo debe articular claramente las causas, el evento y las consecuencias. Esto se discriminará en la matriz de riesgos.
Los elementos que se diligencian en la matriz de riesgos son: la clasificación del riesgo, la descripción, las causas (priorizando aquellas que originen la materialización del riesgo) y las consecuencias.
Ejemplo:
| Evento | Falta de oportunidad en la adquisición de los bienes y servicios requeridos por la entidad. |
| Causa | Insuficiente capacitación del personal de contratos. |
| Consecuencia | Incumplimiento en la entrega de bienes y servicios |
6.2 Valoración de riesgos
Se realizará estableciendo la probabilidad de ocurrencia del riesgo y el nivel de impacto, con el fin de determinar la zona o nivel de riesgo inicial (riesgo inherente) en ausencia de controles.
- Probabilidad: podrá ser medida según criterios de frecuencia y factibilidad de acuerdo con la siguiente tabla que determinan los niveles de probabilidad en una escala de 5.
| Nivel | Descriptor | Factibilidad | Frecuencia |
| 5 | Casi seguro | Se espera que el evento ocurra en la mayoría de las circunstancias. | Más de 1 vez alaño. |
| 4 | Probable | Es viable que el evento ocurra en la mayoría de las circunstancias. | Al menos 1 vez enel último año. |
| 3 | Posible | La probabilidad de que el evento ocurra en algún momento es igual a la de que no ocurra. | Al menos 1 vez enlos últimos dos años. |
| 2 | Improbable | Es probable que el evento no ocurra, es poco común o frecuente. | Al menos 1 vez enlos últimos cinco años. |
| 1 | Rara vez | El evento puede ocurrir solo en circunstancias excepcionales (poco comunes o anormales). | No se hapresentado en los últimos cinco años. |
Adaptado para la JEP con base en la “Guía para la Administración del Riesgo y el diseño de controles en entidades públicas” versión 4 de la Función Pública, 2018.
- Impacto: para los riesgos de gestión se podrá calificar según los siguientes criterios cuantitativos o cualitativos que determinan los niveles de impacto en una escala de 5.
| Nivel | Impacto (consecuencias) Cuantitativo | Impacto (consecuencias) Cualitativo |
| Catastrófico 5 | Impacto que afecte la ejecución presupuestal en un valor >50% Pérdida de cobertura en la prestación de los servicios de la entidad >50% | Interrupción de las operaciones de la entidad por más de cinco (5) días.Intervención por parte de un ente de control u otro ente regulador. |
| Nivel | Impacto (consecuencias) Cuantitativo | Impacto (consecuencias) Cualitativo |
| Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor>50%Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor >50% del presupuesto general de la entidad. | Pérdida de información crítica para la entidad que no se puede recuperar.Incumplimiento en las metas y objetivo institucionales afectando de forma grave la ejecución presupuestal.Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados. | |
| Mayor4 | Impacto que afecte la ejecución presupuestal en un valor >20%. Pérdida de cobertura en la prestación de los servicios de la entidad >20%.Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor>20%.Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor >20% del presupuesto general de la entidad. | Interrupción de las operaciones de la entidad por más de dos (2) días.Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.Sanción por parte del ente de control y otro entre regulador. Incumplimiento de las metas y objetivos institucionalesafectando el cumplimiento en las metas de gobierno.Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los usuarios ociudadanos. |
| Moderado3 | Impacto que afecte la ejecución presupuestal en un valor >5%. Pérdida de cobertura en la prestación de los servicios de la entidad >10%.Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor>5%. | Interrupción de las operaciones de la entidad por un (1) día.Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la entidad. |
| Nivel | Impacto (consecuencias) Cuantitativo | Impacto (consecuencias) Cualitativo |
| Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor >5% del presupuesto general de la entidad. | Inoportunidad en la información, ocasionando retrasos en laatención a los usuarios.Retrocesos de actividades y aumento de cargas operativas.Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios ociudadanos. Investigaciones penales, fiscales o disciplinarias. | |
| Menor2 | Impacto que afecte la ejecución presupuestal en un valor >1%.Pérdida de cobertura en la prestación de los servicios de la entidad >5%.Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor >1%.Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor >1% del presupuesto general de la entidad. | Interrupción de las operaciones de la entidad por algunas horas.Reclamaciones o quejas de los usuarios, que implicaninvestigaciones internasdisciplinarias.Imagen institucional afectadalocalmente por retrasos en la prestación del servicio a los usuarios o ciudadanos. |
| Insignificante1 | Impacto que afecte la ejecución presupuestal en un valor >0,5%. Pérdida de cobertura en la prestación de los servicios de la entidad >1%.Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la entidad en un valor >0,5%. | No hay interrupción de las operaciones de la entidad. No se generan sanciones económicas o administrativas. No se afecta la imagen institucional de forma significativa. |
| Nivel | Impacto (consecuencias) Cuantitativo | Impacto (consecuencias) Cualitativo |
| Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor >0,5% del presupuesto general de la entidad. | ||
Fuente: “Guía de Administración del Riesgo y el diseño de controles en entidades públicas” versión 4 de Función Pública, 2018.
- Impacto: para los riesgos de corrupción se deberá calificar según los siguientes criterios, marcando afirmativa o negativamente a la pregunta:
| No. | PREGUNTA: Si el riesgo de corrupción se materializara podría: | Respuesta | |
| Si | No | ||
| 1 | ¿Afectar al grupo de funcionarios del proceso? | ||
| 2 | ¿Afectar el cumplimiento de metas y objetivos de la dependencia? | ||
| 3 | ¿Afectar el cumplimiento de la misión de la JEP? | ||
| 4 | ¿Generar pérdida de confianza en la JEP, afectando su reputación? | ||
| 5 | ¿Generar pérdida de recursos económicos? | ||
| 6 | ¿Afectar la generación de los productos o la prestación de servicios? | ||
| 7 | ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien, servicios o recursos públicos? | ||
| 8 | ¿Generar pérdida de información de la JEP? | ||
| 9 | ¿Generar intervención11 de los órganos de control, de la Fiscalía u otro ente? | ||
| 10 | ¿Dar lugar a procesos sancionatorios (disciplinarios, fiscales o penales)? | ||
| 11 | ¿Ocasionar lesiones físicas o pérdidas de vidas humanas? | ||
| 12 | ¿Afectar la imagen nacional? | ||
| 13 | ¿Generar daño ambiental? | ||
Fuente: Adaptado para la JEP con base en la “Guía de Administración del Riesgo y el diseño de controles en entidades públicas” versión 4 de Función Pública, 2018.
Para calcular el impacto del riesgo de corrupción se deberán usar los siguientes referentes:
| Valoración de la Probabilidad una vez aplicados los criterios de frecuencia y factibilidad | 4 |
| Valoración del Impacto una vez aplicados los criterios cuantitativos y cualitativos | 5 |
| Nivel de riesgo Inherente | Extremo |
- Responder afirmativamente de una a cuatro preguntas genera un impacto moderado.
- Responder afirmativamente de cinco a ocho preguntas genera un impacto mayor.
- Responder afirmativamente de nueve a trece preguntas genera un impacto catastrófico.
Ejemplo:
| Valoración de la Probabilidad una vez aplicados los criterios de frecuencia y factibilidad | 4 |
| Valoración del Impacto una vez aplicados los criterios cuantitativos y cualitativos | 5 |
Tras realizar la evaluación de probabilidad e impacto, se deberá ubicar el riesgo inherente en el mapa de calor, lo cual permitirá definir la zona o nivel de riesgo inherente.
Para el análisis del impacto en riesgos de corrupción, se realizará teniendo en cuenta solamente los niveles “Moderado, Mayor y Catastrófico” dado que estos riesgos siempre serán significativos; por lo anterior no aplican los niveles de impacto “Insignificante y Menor”.
6.3 Tratamiento del riesgo
Una vez realizado el análisis de riesgo inicial y dependiendo del nivel de riesgo inherente resultante del análisis, se debe definir una respuesta de manejo del riesgo entre las siguientes opciones:
| Valoración de la probabilidad una vez aplicados los criterios de frecuencia y factibilidad | 4 |
| Valoración del impacto una vez aplicados los criterios cuantitativos y cualitativos | 5 |
| Nivel de riesgo inherente | Extremo |
- EVITAR: se abandonan, eliminan o cancelan las actividades que dan lugar al riesgo, es decir, no iniciar o no continuar con la actividad que lo origina.
- REDUCIR: se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos; por lo general conlleva a la implementación de controles.
- COMPARTIR O TRANSFERIR: se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de éste. Es importante aclarar que para los riesgos de corrupción no es posible realizar la transferencia de estos.
- ACEPTAR: no se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (excepto para los riesgos de corrupción pues en este caso ninguno podrá ser aceptado y siempre se deberán definir medidas o controles para reducir el riesgo).
Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto, se deberán considerar los siguientes aspectos:
- Viabilidad jurídica.
- Viabilidad técnica.
- Viabilidad institucional.
- Viabilidad financiera o económica.
- Análisis de costo-beneficio.
Ejemplo:
| Valoración de la Probabilidad una vez aplicados los criterios de frecuencia y factibilidad | 4 |
| Valoración del Impacto una vez aplicados los criterios cuantitativos y cualitativos | 5 |
| Nivel de riesgo Inherente | Extremo |
| Tratamiento | Reducir |
6.4 Identificación y valoración de controles.
Se deben identificar controles que prevengan la ocurrencia del riesgo, detecten su materialización o mitiguen el impacto o consecuencias de este. Una vez se listen dichos controles es necesario evaluar la calidad o efectividad de estos.
Un control es una medida que toma la organización para intervenir el riesgo. Existen dos tipos generales de controles: 1) controles de prevención que en su gran mayoría intentan hacer frente a las causas del riesgo, 2) controles de mitigación que están guiados a atenuar las consecuencias de la materialización del riesgo. La recomendación general es contar al menos con un control por cada causa o consecuencia identificada.
Para evaluar cada control se deberán utilizar los siguientes criterios:
Evaluación de los controles de riesgos
| Criterios para la evaluación | Evaluación | |
| Criterios de medición | Si | No |
| ¿Existen manuales, instructivos o procedimientos para el manejo del control? | 15 | |
| ¿Están definidos los responsables de la ejecución del control y del seguimiento? | 5 | |
| ¿El control es automático? | 15 | |
| ¿El control es manual? | 10 | |
| ¿La frecuencia de ejecución del control y seguimiento es adecuada? | 15 | |
| ¿Se cuenta con evidencias de la ejecución y seguimiento del control? | 10 | |
| ¿En el tiempo que lleva la herramienta ha demostrado ser efectiva? | 30 | |
| TOTAL | 100 | |
Fuente: Adaptado para la JEP con base en la “Guía para la gestión del riesgo de corrupción” de la Presidencia de la República de Colombia, 2015.
Una vez evaluado cada uno de los controles, se debe obtener el promedio de la calificación obtenida por dichos controles. Si a alguna de las causas no se le identificó ningún control, esto se debe incluir en el promedio como un control adicional evaluado con una calificación de cero.
Teniendo en cuenta la calificación promedio obtenida para los controles, se podrá disminuir el nivel de riesgo, en probabilidad según la calificación para los controles preventivos y en impacto para los controles de mitigación, según la siguiente tabla.
| Calificación de loscontroles | Niveles de riesgo a disminuir |
| De 0 a 50 - DÉBIL | 0 |
| De 51 a 75 - MODERADO | 1 |
| De 76 a 100 - FUERTE | 2 |
Ejemplo:
| Control de prevención - | Esquema de capacitación en protocolos y procedimientos de contratación para la adquisición de bienes y servicios |
| Calificación | 40 |
| Promedio de solidez de controles de prevención | 40 |
| Nivel a disminuir probabilidad | 0 |
Esta nueva valoración de los niveles de riesgos dará como resultado la zona o nivel de riesgo residual.
Cuando, debido al resultado del análisis del riesgo inherente, se establezcan controles para reducir el riesgo, y, sin embargo, la valoración de los controles dé como resultado que el riesgo residual aún permanezca en zona o nivel moderado, alto o extremo, se deberá dar un tratamiento del riesgo adicional para implementar acciones adicionales a los controles establecidos, orientadas a reducir la probabilidad o el impacto que genera el riesgo.
Una vez realizado el análisis de riesgo residual y dependiendo del nivel de riesgo, se debe definir una respuesta de manejo del riesgo entre las siguientes opciones:
- EVITAR: se abandonan, eliminan o cancelan las actividades que dan lugar al riesgo, es decir, no iniciar o no continuar con la actividad que lo origina.
- REDUCIR: se adoptan medidas para reducir la probabilidad o el impacto del riesgo o ambos; por lo general conlleva a la implementación de controles.
- COMPARTIR O TRANSFERIR: se reduce la probabilidad o el impacto del riesgo transfiriendo o compartiendo una parte de éste. Es importante aclarar que para los riesgos de corrupción no es posible realizar la transferencia de estos.
- ACEPTAR: no se adopta ninguna medida que afecte la probabilidad o el impacto del riesgo (excepto para los riesgos de corrupción pues en este caso ninguno podrá ser aceptado y siempre se deberán definir medidas o controles para reducir el riesgo).
Dicha selección implica equilibrar los costos y los esfuerzos para su implementación, así como los beneficios finales, por lo tanto, se deberán considerar los siguientes aspectos:
- Viabilidad jurídica.
- Viabilidad técnica.
- Viabilidad institucional.
- Viabilidad financiera o económica.
- Análisis de costo-beneficio.
Ejemplo:
| Probabilidad | 4 |
| Impacto | 5 |
| Nivel de riesgo residual | Extremo |
| Tratamiento | Reducir |
Nota: en caso de que la valoración del riesgo residual ya sea en probabilidad y/o en impacto, resulte en 0 se recomienda omitir su registro en la matriz por no representar una amenaza para la entidad.
6.5 Definición del plan de acción
Aquellos riesgos cuya zona o nivel de riesgo residual sea moderado, alto o extremo deberán contar con acciones adicionales que permitan asegurar la prevención del riesgo.
Las acciones deberán estar dirigidas a:
1. Fortalecer, mejorar o actualizar los controles identificados.
2. Establecer nuevos controles en caso de ausencia de estos.
El plan de acción deberá contar con: la descripción de la acción, el plazo de ejecución, los registros o evidencias, la periodicidad de seguimiento y el responsable.
Ejemplo:
| Acción | Fecha de inicio | Fecha de terminación | Entregable | Periodoseguimiento | Responsable |
| Realizarconvenios conentidades educativas para capacitar al personal de contratos | 01/01/2020 | 10/10/2020 | Conveniosfirmados | Trimestralmente | Asesor grado 8 |
6.6 Elaboración del mapa de riesgos
- Consiste en una representación final de la probabilidad e impacto de los diferentes riesgos identificados (riesgos residuales) en el mapa de calor. Es la principal herramienta de comunicación de la administración de riesgos. La JEP contará con un mapa de riesgos institucional, el cual contendrá los riesgos de gestión, de corrupción y de seguridad digital. Según las necesidades de análisis se podrán construir, a partir del institucional, los siguientes mapas: mapa de riesgos de gestión, mapa de riesgos de corrupción, mapa de riesgos de contratación y mapa de riesgos de proyecto.
7. Niveles y delegaciones de autoridad para el tratamiento del riesgo
A continuación, se establecen los niveles y delegaciones de autoridad para los diferentes tipos de riesgos según las opciones para el tratamiento del riesgo como se registra en el siguiente cuadro:
7.1 Para los procesos de relacionamiento, de gestión y de evaluación y control
| Rol | Función |
| Órgano de Gobierno | Aprobar la política de administración de riesgos. |
| Comité de Coordinacióndel Sistema de ControlInterno | Someter a aprobación del Órgano de Gobierno la política de administración riesgos.Revisar la política de administración del riesgo.Actualizar, cuando sea necesario, la política de administración de riesgos para aprobación del Órgano de Gobierno.Hacer seguimiento a la implementación de la política de administración de riesgos de acuerdo con los resultados de evaluación realizados por la Subdirección de Control Interno. Revisar los planes de mejora establecidos para cada uno de los riesgos materializados, con el fin de que se tomen medidas oportunas y eficaces para evitar en lo posible su repetición. |
| Secretaria (o) Ejecutiva(o) | Aprobar los niveles de riesgo residual, tanto de gestión (alta y extrema) como corrupción (moderada, alta y extrema), exceptuando aquellos correspondientes a los riesgos de los contratos y de los proyectos.Aprobar la matriz y el mapa de riesgos institucional tal como se define en la presente política.Aprobar el mapa de riesgos de corrupción. |
| Subsecretario (a), director (a), subdirector (a) o jefe del departamento u oficina respectiva según sea elcaso | Aprobar los niveles de riesgo y el plan de mitigación de los riesgos de gestión cuyo nivel de riesgo residual se encuentre ubicado en zona o nivel de riesgo bajo o moderado. |
| Líderes de procesos y proyectos(12) | Identificar los riesgos y controles de procesos y proyectos a su cargo en cada vigencia para procesos de relacionamiento, de gestión y de evaluación y control.Establecer acciones de control a los niveles de riesgo residual (moderado) de acuerdo con las delegaciones definidas en esta política.Realizar monitoreo, autocontrol y análisis a los controles de los riesgos según periodicidad establecida (tres veces al año para gestión, permanente (de forma mensual para corrupción). Aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.Elaborar y actualizar la matriz y los mapas de riesgos de sus procesos y/o proyecto con su equipo de trabajo, según periodicidad establecida o cuando la administración de estos lo requiera.Asegurar una adecuada socialización de la matriz y los mapas de riesgo de los procesos de su área.Revisar y aprobar los riesgos asociados a los proyectos y procesos de contratación de su área de responsabilidad.En caso de materialización de algún riesgo:Tomar las acciones correctivas necesarias.Analizar las causas y determinar acciones preventivas y de mejora del riesgo que se materialice.Informar a la Subdirección de Control Interno sobre el hallazgo y las acciones tomadas. |
| Subdirección deFortalecimientoInstitucional | Acompañar y orientar la aplicación de la metodología para la identificación, análisis, calificación y valoración del riesgo. Liderar la elaboración y consolidación de la matriz y los mapas de riesgos de gestión y de corrupción.Monitorear cambios del entorno y nuevas amenazas contenidos en el contexto interno y externo que hacen parte de la Administración de riesgos.Efectuar el seguimiento a los riesgos de gestión y corrupción. Verificar que se tomaron las acciones y se actualizó la matriz de riesgos en los casos en que fuese necesario. |
| Subdirección de ControlInterno | Realizar cuatrimestralmente seguimiento y evaluación a los riesgos de corrupción y Gestión, previa aprobación del Plan Anual de auditoria.Socializar a los líderes de procesos los resultados del seguimiento y la evaluación.Solicitar la publicación en el enlace de transparencia y acceso a la información del sitio web.Presentar al Comité de Coordinación del Sistema de ControlInterno los resultados de la evaluación de la Gestión del Riesgo.En caso de materialización de algún riesgo de corrupción o gestión:Informar al líder de proceso sobre el hecho encontrado y solicitar la realización del plan de mejora para el riesgo materializado.Realizar seguimiento y evaluación al plan de mejora propuesto por el líder del proceso.Presentar los resultados Comité de Coordinación del Sistemade Control Interno. |
| Comité de Contratación | Participar en la elaboración de la matriz y del mapa de riesgos común a los procesos de contratación de la JEP. |
| Responsable de cada proceso de contratación - Ordenador de gasto | Elaborar y actualizar la matriz y el mapa de riesgos específicos de su proceso de contratación.Realizar monitoreo en el formato informe del supervisor. |
7.2 Para los procesos misionales (judicial dialógico, judicial adversarial, tratamiento especial individual y, acciones, revisiones y recursos judiciales)(13)
| Rol | Función |
| Presidentes de sala y sección, Director de Unidad de Investigación y Acusación (UIA) (14) | Identificar y aprobar los riesgos y controles de procesos a su cargo en cada vigencia para procesos misionales.Realizar monitoreo, autocontrol y análisis a los controles de los riesgos según periodicidad establecida.Aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.Elaborar y actualizar la matriz y los mapas de riesgos de sus procesos con su equipo de trabajo, según periodicidad establecida o cuando la administración de estos lo requiera. Asegurar una adecuada socialización de la matriz y los mapas de riesgo de los procesos de su área.En caso de materialización de algún riesgo:Tomar las acciones correctivas necesarias.Analizar las causas y determinar acciones preventivas y de mejora del riesgo que se materialice.Informar a la Subdirección de Control Interno sobre el hallazgo y las acciones tomadas. |
7.3 Para el proceso de Soporte para la administración de justicia(15)
| Rol | Función |
| Grupo de Análisis de la Información (GRAI), | Identificar y aprobar los riesgos y controles de procesos a su cargo en cada vigencia para este proceso misional. |
| Relatoría, SecretaríaJudicial | Realizar monitoreo, autocontrol y análisis a los controles de los riesgos según periodicidad establecida (tres veces al año para gestión, permanente para corrupción).Aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.Elaborar y actualizar la matriz y los mapas de riesgos de su proceso con su equipo de trabajo, según periodicidad establecida o cuando la administración de los mismos lo requiera.Asegurar una adecuada socialización de la matriz y los mapas de riesgo del proceso.En caso de materialización de algún riesgo:Tomar las acciones correctivas necesarias.Analizar las causas y determinar acciones preventivas y de mejora del riesgo que se materialice.Informar a la Subdirección de Control Interno sobre el hallazgo y las acciones tomadas.Aprobar el componente misional de la matriz de riesgos. |
8. Monitoreo a la matriz de riesgos
El monitoreo a la matriz de riesgos consiste en las revisiones realizadas con el propósito de:
a. Verificar y garantizar que los controles definidos sean adecuados, efectivos y socializados con el objeto de prevenir y mitigar los riesgos identificados;
b. Que las acciones adelantadas estén enfocadas a aplicar los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo;
c. Analizar y aprender lecciones a partir de los eventos de riesgos que se hayan podido materializar; y
d. Detectar cambios en el contexto externo e interno que puedan sugerir la necesidad de revisar el tratamiento de los riesgos.
8.1 Monitoreo, seguimiento y evaluación a los riesgos de gestión
El monitoreo, seguimiento y evaluación a la administración de los riesgos de gestión se encuentra conformado por tres componentes:
a. El autocontrol (monitoreo) realizado por los líderes de proceso mediante revisión integral que debe realizarse mínimo tres (3) veces al año o cada vez que las circunstancias lo ameriten (ejemplo: materialización de los riesgos, cambios en la normatividad, en los procesos, nuevas funciones, cambios de gobierno, etc.):
- Primer monitoreo: con corte al 30 de abril. Este monitoreo deberá efectuarse durante los primeros tres días del mes siguiente.
- Segundo monitoreo: con corte al 31 de agosto. Este monitoreo deberá efectuarse durante los primeros tres días del mes siguiente.
- Tercer monitoreo: con corte al 31 de diciembre. Este monitoreo deberá efectuarse durante los primeros tres días del mes siguiente.
b. Mediante el seguimiento efectuado por la Subdirección de Fortalecimiento Institucional, realizado tres veces al año:
- Primer seguimiento: con corte al 30 de abril. Este monitoreo deberá efectuarse durante los primeros diez días del mes siguiente.
- Segundo seguimiento: con corte al 31 de agosto. Este monitoreo deberá efectuarse durante los primeros diez días del mes siguiente.
- Tercer seguimiento: con corte al 31 de diciembre. Este monitoreo deberá efectuarse durante los primeros diez días del mes siguiente.
c. Mediante la evaluación independiente, realizada por la Subdirección de Control Interno, a través de un proceso anual:
- Primera evaluación: con corte al 30 de abril. La publicación deberá surtirse durante el mes de mayo.
- Segunda evaluación: con corte al 31 de agosto. La publicación deberá surtirse durante el mes de septiembre.
- Tercera evaluación: con corte al 31 de diciembre. La publicación deberá surtirse durante el mes de enero.
8.2 Monitoreo y seguimiento a los riesgos de corrupción
a. El monitoreo y autocontrol a los riesgos de corrupción debe ser realizado de forma permanente por parte de los líderes de proceso. En todo caso de deberán conservar las evidencias de dicho ejercicio.
- Primer monitoreo: con corte al 30 de abril. Este monitoreo deberá efectuarse durante los primeros tres días del mes siguiente.
- Segundo monitoreo: con corte al 31 de agosto. Este monitoreo deberá efectuarse durante los primeros tres días del mes siguiente.
- Tercer monitoreo: con corte al 31 de diciembre. Este monitoreo deberá efectuarse durante los primeros tres días del mes siguiente
b. El seguimiento a los riesgos de corrupción se realizará por la Subdirección de Control Interno, tres veces al año así:
- Primer seguimiento: con corte al 30 de abril. La publicación deberá surtirse dentro de los diez (10) primeros días del mes de mayo.
- Segundo seguimiento: con corte al 31 de agosto. La publicación deberá surtirse dentro de los diez (10) primeros días del mes de septiembre.
- Tercer seguimiento: con corte al 31 de diciembre. La publicación deberá surtirse dentro de los diez (10) primeros días hábiles del mes de enero.
8.3 Monitoreo a los riesgos de proyectos y contratación
El monitoreo de estos riesgos formará parte de las actividades propias de la gestión de cada proyecto o contrato. Deberá ser desarrollado y aprobado por el responsable directo de cada proyecto o supervisor de contrato.
Las fechas para dicho ejercicio serán acordadas con el secretario (a), subsecretario (a), director (a), subdirector (a) o jefe del departamento u oficina respectiva. En todo caso deberá realizarse dicho monitoreo al menos una vez durante el periodo de ejecución del contrato o proyecto, conservando en todas las circunstancias las evidencias respectivas.
Para los riesgos de los contratos se observará la periodicidad establecida en la matriz de riesgos del contrato. La administración y gestión de riesgos de cada uno de los contratos se hará bajo la metodología establecida en el modelo de documento justificativo aprobado por el Comité de Contratación de la JEP.
El monitoreo a los riesgos de contratos y proyectos se reportará en el formato del informe del supervisor.
9. Comunicación e información
Los resultados del seguimiento y la evaluación a la matriz de riesgos y a los mapas de gestión y de corrupción deberán ser socializados en la intranet y en la página institucional de la JEP en la sección particular identificada con el nombre de “Transparencia y acceso a información pública”. Así mismo se deberán aplicar las siguientes consideraciones:
9.1 Riesgos de gestión
- Realizar mínimo una socialización en el año en la intranet de la situación actual y del monitoreo realizado por parte de los líderes de proceso de sus respectivos riesgos de gestión a los cuales está expuesta la entidad en nivel “alto” o “extremo”.
- Realizar mínimo una socialización en el año con los diferentes grupos de interés.
Para el cumplimiento de estas consideraciones, se deberán efectuar las siguientes tareas:
-- Subdirección de Fortalecimiento Institucional: Deberá consolidar la matriz y los
mapas de riesgos para su publicación en la intranet, y transmitir la información a la Subdirección de comunicaciones para su publicación.
-- Subdirección de Control Interno: Transmitir los informes de evaluación a los riesgos a la Subdirección de comunicaciones para su publicación.
-- Subdirección de Comunicaciones: Publicar la información en la intranet y en sección particular identificada con el nombre de “Transparencia y acceso a información pública” de la página institucional. Así mismo, realizar los ejercicios de socialización con los diferentes grupos de interés.
9.2 Riesgos de corrupción:
- Realizar tres socializaciones en el año, en la intranet y en la página institucional en la sección particular identificada con el nombre de “Transparencia y acceso a información pública”, de los resultados de los seguimientos realizados por parte de la Subdirección de Control Interno, de acuerdo con las fechas que se definan en el Plan Anual de Auditoria de cada vigencia.
- Realizar mínimo una socialización en el año con los diferentes grupos de interés.
- Responsables:
-- Subdirección de Control interno: transmitir los resultados de los seguimientos realizados a la Subdirección de Comunicaciones para su publicación.
-- Subdirección de Comunicaciones: Publicar la información en la intranet y en sección particular identificada con el nombre de “Transparencia y acceso a información pública” de la página institucional antes del 31 de enero de cada vigencia. Así mismo, realizar los ejercicios de socialización con los diferentes grupos de interés.
El mapa de riesgos de corrupción y la información consolidada en la matriz correspondiente a los riesgos de corrupción, se publica en formato protegido para asegurar su integridad, como en formato de datos abiertos para asegurar el uso y consulta por parte de grupos interesados externos.
10. Tratamiento en caso de materialización de riesgos
10.1 Riesgos de gestión
a. Cuando es detectada por el líder de proceso, servidores y contratistas que participan o interactúan con el proceso
i. Tomar las acciones correctivas necesarias, dependiendo del riesgo materializado (plan de mejoramiento).
ii. Iniciar el análisis de causas y determinar acciones preventivas y de mejora (plan de mejoramiento).
iii. Analizar y actualizar la matriz de riesgos.
iv. Informar a la Subdirección de Fortalecimiento Institucional para la respectiva actualización en los espacios de publicidad.
v. Informar a la Subdirección de Control Interno sobre los eventos materializados y las acciones tomadas.
b. Cuando en detectada por la Subdirección de Fortalecimiento Institucional
i. Informar al líder del proceso sobre el hecho encontrado
ii. Informar a la Subdirección de Control Interno sobre los eventos materializados y las acciones tomadas.
c. Cuando es detectada por la Subdirección de Control Interno
i. Informar al líder de proceso sobre el hecho encontrado.
ii. Informar al Comité de Gestión y Comité de Coordinación de Control Interno.
iii. Comunicar a la Secretaría Ejecutiva en cumplimiento del Decreto 338 de 2019.
10.2 Riesgos de corrupción
a. Cuando es detectada por el líder de proceso, servidores y contratistas que participan o interactúan con el proceso
i. Informar a la Subdirección de Control Interno y a la Subdirección de Fortalecimiento Institucional sobre el hecho encontrado.
ii. Iniciar con las acciones correctivas necesarias (plan de mejoramiento).
iii. Realizar el análisis de causas y determinar acciones preventivas y de mejora (plan de mejoramiento).
iv. Analizar y actualizar la matriz de riesgos con el acompañamiento de la Subdirección de Fortalecimiento Institucional.
b. Cuando es detectada por la Subdirección de Fortalecimiento Institucional:
i. Informar al líder del proceso sobre el hecho encontrado
ii. Informar a la Subdirección de Control Interno sobre los eventos materializados y las acciones tomadas.
c. Cuando es detectada por la Subdirección de Control Interno
i. Informar al Comité de Gestión sobre el hecho encontrado.
ii. Convocar al Comité de Coordinación del Sistema de Control Interno e informar sobre los eventos detectados.
iii. Comunicar a la Secretaría Ejecutiva en cumplimiento del Decreto 338 de 2019.
11. Recursos
El Órgano de Gobierno y la Secretaría Ejecutiva, deberán propender por la disponibilidad de recursos necesarios para las actividades que se deriven de la administración del riesgo. La subdirección de Fortalecimiento Institucional proyectará la necesidad de recursos.
NOTAS AL FINAL:
1. INTOSAI: GUÍA PARA LAS NORMAS DE CONTROL INTERNO DEL SECTOR PÚBLICO http://www.intosai.org
2. Departamento Administrativo de la Función Pública. Guía para la administración del riesgo y el diseño de controles en entidades públicas. 2018. Página 8.
3. Departamento Administrativo de la Función Pública. Guía para la administración del riesgo y el diseño de controles en entidades públicas. 2018. Página 8.
4. Definición construida a partir del CONPES N¡Æ 167 del 9 de diciembre de 2013. ¡°Estrategia Nacional de la Política Pública Integral Anticorrupción¡± Numeral III
Marco Analítico, literal B) Marco Conceptual. Bogotá, 2013, y la usada por la Corporación Transparencia por Colombia en https://transparenciacolombia.orgco/
5. ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.2 Bogotá, 2011. Página 19. Departamento Administrativo de la
Función Pública. Guía para la administración del riesgo y el diseño de controles en entidades públicas. 2018. Página 8.
6. Ver Función Pública. Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI 2014. Pág. 68.
7. Ver ICONTEC. NTC31000:2011. Gestión del Riesgo. Términos y Definiciones. Numeral 2.19. Bogotá, 2011. Página 22.
Ver Función Pública. Guía para la Administración del Riesgo. 2011. Página 24. Ver Función Pública. Manual Técnico del Modelo
Estándar de Control Interno para el Estado Colombiano -MECI- 2014. Página. 68.
8. Organización Internacional de Normalización. ISO 9000.2015. Sistemas de gestión de calidad-Fundamentos y Fundamentos y vocabulario ((ISO 9000:2015) 1000:2009). Términos y Definiciones, numeral 3. 3.4.
9. Función Pública. Guía para la Administración del Riesgo. Bogotá, 2011. Página. 13.-31-32
10. La definición de riesgos de seguridad digital y su caracterización se articulará una vez se cuente con los lineamientos de la Subdirección de tecnologías
11. Entendida como la función de intervención de dichos órganos de control.
12. Tener en cuenta que, en algunos casos, el líder de proceso podrá ser el secretario (a), subsecretario (a), director (a), subdirector (a) o jefe del área respectiva, por lo tanto, estará a cargo de las responsabilidades listadas para los dos roles.
13. Los roles aquí establecidos son específicos para los procesos misionales y reemplazan los detallados anteriormente para líderes de procesos y proyectos. Los demás roles descritos en el numeral 8.1. permanecerán transversales, tanto para los procesos misionales, de relacionamiento, de gestión y de evaluación y control.
14. La identificación, valoración y tratamiento de los riesgos misionales tendrá alcance solo para la gestión de los procesos judiciales, mas no para el contenido de las decisiones judiciales en donde se enmarca la toma de decisiones.
15. Los roles aquí establecidos son específicos para los procesos misionales y reemplazan los detallados anteriormente para líderes de procesos y proyectos. Los demás roles descritos en el numeral 8.1. permanecerán transversales, tanto para los procesos misionales, de relacionamiento, de gestión y de evaluación y control.