RÉGIMEN LEGAL DE BOGOTÁ D.C.

(Junio 20)

Derogada por el art. 1, Resolución Sec. General 357 de 2018.

"Por la cual se adopta la Política Integral de Administración de Riesgos de la Secretaría General"

EL SECRETARIO GENERAL DE LA ALCALDÍA MAYOR DE BOGOTÁ, DISTRITO CAPITAL

En ejercicio de sus facultades legales, en especial las conferidas por el literal d) del artículo 48 del Acuerdo Distrital 257 de 2006, el literal d) del artículo 7 y el literal c) del artículo 8, del Decreto Distrital 267 de 2007, modificado por el artículo 3 del Decreto Distrital 077 de 2012, y

CONSIDERANDO:

Que en artículo 209 de la Constitución Política de 1991 preceptúa que "La administración pública, en todos sus órdenes, tendrá un control interno que se ejercerá en los términos que señale la ley.", y el artículo 269 ídem determina que "En las entidades públicas, las autoridades correspondientes están obligadas a diseñar y aplicar, según la naturaleza de sus funciones, métodos y procedimientos de control interno, de conformidad con lo que disponga la ley, la cual podrá establecer excepciones y autorizar la contratación de dichos servicios con empresas privadas colombianas."

Que los literales a) y f) del artículo 2° de la Ley 87 de 1993 establecieron que el diseño y desarrollo del Sistema de Control Interno se orientará, entre otros, al logro de los siguientes objetivos fundamentales: "a. Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afecten; (...) f. Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de sus objetivos; (...)".

Que el artículo 10° del Decreto 2145 de 1999 señala: "Los elementos mínimos del Sistema de Control Interno mencionados en la Ley 87 del 27 de noviembre de 1993 y demás normatividad relacionada, conforman cinco grupos que se interrelacionan y que constituyen los procesos fundamentales de la administración: Dirección, Planeación, Organización, Ejecución, Seguimiento y Control (Evaluación). Los responsables de fortalecer la interrelación y funcionamiento armónico de los elementos que conforman estos cinco grupos son los servidores públicos en cumplimiento de las funciones asignadas en la normatividad vigente, de acuerdo con el área o dependencia de la cual hacen parte."

Que el artículo 1° del Decreto Reglamentario 1537 de 2001 establece que "Las entidades y organismos del Estado implementarán acciones para el desarrollo racional de su gestión. Para tal efecto, identificarán los procesos institucionales, de tal manera que la gestión de las diferentes dependencias de la organización, se desarrollen articuladamente en torno a dichos procesos, los cuales se racionalizarán cuando sea necesario.", y el artículo 4° ídem dispone que "Como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo."

Que lo anterior es acorde con el Modelo Estándar de Control Interno - MECI 1000:2005, adoptado para el Estado Colombiano por el Decreto Nacional 1599 de 2005, en el que se determinan las generalidades y estructura necesaria para establecer, documentar, implementar y mantener un Sistema de Control Interno en las entidades y los agentes obligados, conforme al artículo 5° de la Ley 87 de 1993, en tanto que el componente "Administración de Riesgos" hace parte del Subsistema de Control Estratégico.

Que el Modelo Estándar de Control Interno - MECI - 1000: 2005, determinó la administración del riesgo como un componente del Subsistema de Control Estratégico, el cual obliga a las entidades públicas a emprender las acciones necesarias que le permitan el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos institucionales. Para ello se integran cinco elementos de control: el contexto estratégico; la identificación de riesgos; el análisis de riesgos; la valoración de riesgos y políticas de administración del riesgo. Todos estos elementos conducen a la definición de criterios básicos en la formulación del estándar de control que se consolida en las políticas de administración de riesgos.

Que mediante la Ley 872 de 2003 se creó el Sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público, normativa que en el parágrafo 2º del artículo 2° determinó: "Las Asambleas y Concejos podrán disponer la obligatoriedad del desarrollo del Sistema de Gestión de la Calidad en las entidades de la administración central y descentralizadas de los departamentos y municipios.", y en el parágrafo del artículo 3° dispuso que "Este Sistema es complementario a los sistemas de control interno y de desarrollo administrativo establecidos por la Ley 489 de 1998."

Que la citada Ley fue reglamentada por el Decreto Nacional 4110 de 2004, mediante el cual se adoptó la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004, y por el Decreto Nacional 4485 de 2009 que adoptó la actualización de la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000: 2009.

Que, por su parte, la Norma Técnica de la Calidad en la Gestión Pública - NTCGP 1000: 2009 establece como requisito General del Sistema de Gestión de la Calidad, en el numeral 4.1., literal g), la obligación de "g) establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de la entidad. NOTA 2 Los controles sobre los riesgos pueden establecerse con base en la identificación, análisis, valoración y tratamiento de los riesgos. (...) La entidad debe gestionar estos procesos de acuerdo con los requisitos de la presente Norma."

Que por el Acuerdo Distrital 122 de 2004 se adoptó en Bogotá D.C. el sistema de gestión de la calidad creado por la Ley 872 de 2003, "como una herramienta de gestión sistemática y transparente para dirigir y evaluar el desempeño institucional, en términos de calidad y satisfacción social en la prestación de los servicios a cargo de las entidades y agentes obligados, herramienta que estará enmarcada en los planes estratégicos y de desarrollo de tales entidades."

Que el artículo 1° del Decreto Distrital 387 de 2004, determinó que "El Sistema de Gestión de la Calidad adoptado por medio del Acuerdo 122 de 2004 se aplica a todas las entidades distritales, sean éstas del nivel central o descentralizado, a las entidades que prestan servicios públicos domiciliarios y no domiciliarios de naturaleza pública o las privadas concesionarias del Estado".

Que mediante la Resolución 338 de 2008 se estableció la Política de Administración de Riesgos de la Secretaría General de la Alcaldía Mayor de Bogotá, D.C., para el adecuado tratamiento de los riesgos a efecto de garantizar el cumplimiento de la misión y objetivos institucionales, y base para la definición de los planes de contingencia y continuidad de la entidad.

Que el Decreto Nacional 734 de 2012, "Por el cual se reglamenta el Estatuto General de Contratación de la Administración Pública", dispone en su artículo 2.1.2. que "Para los efectos previstos en el artículo 4° de la Ley 1150 de 2007, se entienden como riesgos involucrados en la contratación todas aquellas circunstancias que de presentarse durante el desarrollo y ejecución del contrato, tienen la potencialidad de alterar el equilibrio económico del contrato, pero que dada su previsibilidad se regulan en el marco de las condiciones inicialmente pactadas en los contratos y se excluyen así del concepto de imprevisibilidad de que trata el artículo 27 de la Ley 80 de 1993. El riesgo será previsible en la medida que el mismo sea identificable y cuantificable en condiciones normales.

Que mediante la Directiva 042 de 2007 de la Secretaría General de la Alcaldía Mayor, D.C., y con fundamento en los 11 dominios de controles señalados en la norma NTC/IEC ISO 17799, y su actualización NTC/IEC ISO 27001, se definió la Política de Seguridad de los Activos de Información de la entidad.

Que por medio de la Resolución 357 de 2008 de la Contaduría General de la Nación se adoptó el procedimiento de control interno contable y de reporte del informe anual de evaluación a la Contaduría General de la Nación.

Que mediante el Decreto Distrital 651 de 2011 se creó el Sistema Integrado de Gestión Distrital -SIGD-y la Comisión Intersectorial del -SIGD-, y se dictaron otras disposiciones.

Que con el Decreto Distrital 652 de 2011 se adoptó la Norma Técnica Distrital del Sistema Integrado de Gestión para las Entidades y Organismos Distritales - NTD – SIG 001:2011.

Que de acuerdo con la Norma Técnica Distrital del Sistema Integrado de Gestión para las entidades y organismos distritales- NTD-SIG 001:2011- se deben tener en cuenta los elementos para la planificación de la gestión del riesgo en el Sistema Integrado de Gestión.

Que el artículo 73 de la Ley 1474 de 2011 determinó que "Cada entidad del orden nacional, departamental y municipal deberá elaborar anualmente una estrategia de lucha contra la corrupción y de atención al ciudadano. Dicha estrategia contemplará, entre otras cosas, el mapa de riesgos de corrupción en la respectiva entidad, las medidas concretas para mitigar esos riesgos, las estrategias anti trámites y los mecanismos para mejorar la atención al ciudadano." Igualmente, determinó en el parágrafo de este artículo que "en aquellas entidades donde se tenga implementado un sistema integral de administración de riesgos, se podrá validar la metodología de este sistema con la definida por el Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha contra la Corrupción."

Que según el marco normativo expuesto y como uno de los objetivos del Sistema de Control Interno, el estudio, análisis y manejo de los riesgos son actividades inherentes a la función del nivel gerencial dentro de la organización, que tienen como objetivo definir un conjunto de estrategias a partir de los recursos (humanos, físicos y financieros), de manera que en el corto plazo se mantenga la estabilidad de la organización, protegiendo los activos y recursos y, en el largo plazo se minimicen las pérdidas ocasionadas por la ocurrencia de dichos riesgos.

Que con la aplicación de estas directrices se busca encausar y optimizar el accionar de la Secretaría General en la estructuración de criterios orientados hacia la toma de decisiones respecto al tratamiento de los riesgos y sus efectos al interior de la entidad para el cumplimiento de la misión, los objetivos organizacionales, un uso eficiente de los recursos, la continuidad en la prestación de los servicios, y la protección de los bienes utilizados para servir a la comunidad. Igualmente, se busca el mejoramiento continuo con la aplicación e implementación de políticas efectivas de administración del riesgo.

Que es procedente actualizar la Política de Administración de Riesgos de la Secretaría General, para adecuarlo al marco normativo citado posterior a la Resolución 228 de 2008.

Que en mérito de lo expuesto,

ARTÍCULO 1°.- Establecer y desarrollar la Política Integral de Administración de Riesgos en la Secretaría General de la Alcaldía Mayor de Bogotá D.C., a través del adecuado tratamiento de los riesgos de gestión institucional por procesos y proyectos de inversión, que incluya los asociados a: activos de información; seguridad y salud ocupacional; gestión ambiental; procesos de selección y/o contratación; y los posibles riesgos relacionados con eventos de corrupción, para garantizar el cumplimiento de la misión, visión y objetivos institucionales, la cual será la base para la definición de los planes de contingencia y continuidad de la entidad.

ARTÍCULO 2°.- Objetivos: La Política Integral de Administración de Riesgos de la Secretaría General tendrá como objetivos:

• Generar una visión sistémica acerca de la administración y evaluación de riesgos, consolidando un ambiente de control adecuado a la Secretaría General y un direccionamiento estratégico, que fije orientación clara y planeada de la gestión suministrando las bases para el adecuado desarrollo de la Actividad de Control.

• Consolidar el ambiente de control necesario para la entidad y el direccionamiento estratégico, que fije la orientación clara y planeada de la gestión de los riesgos, como fundamento para el adecuado desarrollo de las actividades de control.

• Reducir la vulnerabilidad y fortalecer la prevención y mitigación de los efectos de los riesgos.

• Proteger los recursos de la entidad, resguardándolos de la materialización de los riesgos.

• Evitar que se creen situaciones de crisis en la Secretaría General.

• Incluir dentro de los procesos las acciones de mitigación resultado de la administración de riesgos.

• Analizar dentro de los procesos los riesgos de sus activos de información, relacionados con acceso no autorizado o pérdida de confidencialidad, pérdida de integridad y pérdida de la disponibilidad del activo de información.

• Adelantar en todos los procesos de selección y/o contratación desde su fase de planeación y hasta su liquidación estudios de comportamiento de las variables que generen incertidumbre durante el desarrollo del contrato y que afecten el equilibrio financiero, así como el cumplimiento de los fines institucionales.

• Identificar para cada proceso, además de los otros tipos de riesgos, los relacionados con la corrupción, con sus respectivas medidas para mitigar la ocurrencia de los factores internos y externos que los puedan generar.

• Involucrar y comprometer a todos los servidores de la Secretaría General y a los particulares que cumplan funciones públicas en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos.

• Propender porque la Secretaría General interactúe entre sus procesos y con otras entidades, para fortalecer su desarrollo.

• Asegurar el cumplimiento de la Constitución, las leyes y demás disposiciones normativas y reglamentarias.

ARTÍCULO 3°.- Articulación: En el marco del Sistema Integrado de Gestión se deben estructurar criterios orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad. Por tanto, la implementación de la Política Integral de Administración de Riesgos debe ser coordinada por el representante de la alta dirección del Sistema Integrado de Gestión, el equipo directivo y contar con el apoyo del equipo operativo (Gestores del Sistema Integrado de Gestión); también debe ser interiorizada por todos los servidores públicos y contratistas que sean responsables y/o participen en el desarrollo de los diferentes procesos y proyectos y/o de los procesos de selección o contratación.

ARTÍCULO 4°.- Operacionalización: Los responsables de los procesos, en equipo con sus colaboradores, deben utilizar la herramienta electrónica publicada en la Intranet y/o Página Web -Administración de Riesgos-, de acuerdo con el rol asignado y en los ciclos de control definidos en la presente Resolución.

ARTÍCULO 5°.- Roles y Responsabilidades: Para la Administración Integral del Riesgo en la Secretaría General se determinan los roles de los diferentes actores, de acuerdo con la directriz del Departamento Administrativo de la Función Pública consignada en el Manual de Implementación del MECI 1000:2005, así:

• Identificar y construir los mapas de riesgos de los procesos a su cargo, teniendo en cuenta los aspectos ambientales, de seguridad de la información, seguridad y salud ocupacional, gestión ambiental, entre otros, que afecten el cumplimiento de los objetivos organizacionales.

• Adelantar la revisión, actualización periódica y seguimiento de los mapas de riesgos, en todos aquellos aspectos que les fueren asignados.

• Adoptar las medidas necesarias para el cabal desempeño de la Gerencia o Administración de Riesgos en cumplimiento de las funciones, la entrega de los productos y prestación de los servicios y/o la ejecución de los procesos asignados a sus cargos, con miras a la realización de los fines del Estado.

• Corresponde a todos los responsables de los procesos, identificar e implementar acciones preventivas cuando el cálculo del riesgo residual los ubique en zona de riesgo extrema, alta o moderada.

• Cuando el cálculo del riesgo residual los ubique en zona de riesgo bajo, se debe continuar con la aplicación de los controles establecidos y el monitoreo permanente del comportamiento del riesgo.

• Cuando el impacto de la materialización del riesgo residual sea catastrófico o mayor, los responsables de los procesos deben establecer planes de contingencia que permitan continuar con el desarrollo de las actividades y el logro de los objetivos propuestos.

• En los procesos que se hayan identificado riesgos que no tengan establecidos controles se deben implementar, para evitar la materialización del riesgo o establecer acciones preventivas para eliminar la causa del posible riesgo.

• Las acciones preventivas deben fundamentarse en la comprensión y origen de las causas que generan el riesgo, así como en el análisis de las interrelaciones de los procesos, porque de ello depende el grado de control que pueda ejercerse sobre aquellas, y por consiguiente la efectividad del tratamiento.

• Los responsables de los procesos deben realizar la medición de sus controles en términos de eficacia, eficiencia y efectividad, para determinar la pertinencia y la necesidad de ajuste o modificación en caso de presentarse.

• Cuando al responsable de la dependencia y/o proceso se le asigne la supervisión y/o interventoría de un contrato, le corresponde verificar cómo se comportan los riesgos en la ejecución del mismo, dando especial atención al reporte y seguimiento sobre los eventos que se monitorean, respecto de la parte que le corresponde asumir el riesgo. Cuando se trate de eventos que pudieran impactar el valor del contrato, se dará aviso inmediato al Ordenador del Gasto para la adopción de las medidas que correspondan.

• Con base en la valoración de los riesgos, los responsables de los procesos deben tomar decisiones adecuadas y fijar los lineamientos de la administración de los riesgos de sus procesos, teniendo en cuenta las siguientes opciones:

* Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización.

* Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad como el impacto.

* Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones o la distribución de una porción del riesgo con otra entidad.

* Asumir el riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el responsable del proceso acepta la pérdida residual probable.

• Formular, orientar, dirigir y coordinar la implementación del componente de la Administración del Riesgo.

• Apoyar a los responsables de procesos, supervisores y/o interventores en la implementación de la política de Administración del Riesgo.

• Asegurar que se desarrollen a cabalidad cada una de las etapas previstas para el diseño e implementación del Componente de la Administración del Riesgo, a través del Sistema de Administración del Riesgo.

• Informar en los Comités del Sistema Integrado de Gestión a la Alta Dirección sobre la planificación, avances, implementación y resultados de la Política Integral de Administración del Riesgo.

• Dirigir y coordinar las actividades del Equipo de Gestores del Sistema Integrado de Gestión.

• Coordinar con los directivos o responsables de cada dependencia o proceso las actividades que requiere realizar el Equipo Operativo (Gestores del Sistema Integrado de Gestión), en armonía y colaboración con los servidores de las mismas.

• Hacer seguimiento a las actividades planeadas para la implementación del Componente de la Administración del Riesgo, aplicando las acciones que se requieran.

• Someter a consideración del Comité Directivo del Sistema Integrado de Gestión los resultados de la implementación del Componente de la Administración del Riesgo, para su mejoramiento continuo.

El Equipo Operativo o de Gestores cumplirá los siguientes roles y responsabilidades:

• Apoyar el proceso de implementación de la Política Integral de Administración del Riesgo, bajo las orientaciones del Representante de la Alta Dirección del Sistema Integrado de Gestión.

• Socializar y sensibilizar a los servidores de su dependencia en la utilización de la metodología de la herramienta – Sistema de Administración de Riesgos.

• Apoyar al jefe de la dependencia y/o responsable del proceso en la identificación, análisis, valoración y acciones de mitigación del riesgo, así como en la revisión, análisis y consolidación periódica de la información en el Sistema de Alarmas Tempranas de la Administración del Riesgo, en coordinación con los demás servidores que participan en el proceso.

Dentro del marco del importante objetivo de la contratación, la política de riesgos en materia de contratación pública debe contribuir a los fines de ésta, relativos a la adecuada planeación, economía y transparencia, así como a garantizar la continuidad en la prestación de los servicios públicos, evitando dilaciones injustificadas o suspensiones en la provisión de los mismos, por lo tanto la Subdirección de Contratos debe:

• Revisar que en el estudio previo la tipificación, distribución y asignación de los riesgos previsibles se haga dentro del marco legal y sin vulnerar derechos de las partes y terceros interesados, y que la modalidad de contratación por la que se opte sea la más conveniente y corresponda al marco de la Ley 1150 de 2007 y sus normas reglamentarias, teniendo en cuenta la justificación contenida en los estudios previos adelantados por la dependencia que necesita la adquisición del bien, servicio u obra.

• La Subdirección de Contratos y el Comité de Adjudicaciones deben revisar y formular los ajustes necesarios a los procedimientos y manual de riesgos de la contratación, para aplicar la Política Integral de Administración de Riesgos a todos los procesos de selección y/o contratación.

• Rol directo: Asesorar a los servidores de los procesos de la Secretaría General en la identificación, análisis, valoración y acciones de mitigación de los riesgos institucionales y en la utilización de la metodología de la herramienta del sistema de Administración del Riesgo, y realizar recomendaciones preventivas y/o correctivas a los responsables de los procesos. Igualmente, debe hacer seguimiento a la evolución de los riesgos y al cumplimiento de las acciones propuestas, con el fin de verificar su ejecución, y proponer mejoras.

• Rol indirecto: Verificar que en la Secretaría General se implementen políticas y mecanismos efectivos de la Administración del Riesgo.

PARÁGRAFO: Los responsables de los procesos que incurran en incumplimiento de los roles establecidos para el cumplimiento de esta Política, deberán adelantar acciones correctivas, que permitan eliminar la causa del incumplimiento. De ser reiterativa esta situación, se presentará a consideración del Comité del Sistema Integrado de Gestión, para que adopte las decisiones pertinentes.

La Oficina de Control Interno, a través de las evaluaciones y seguimiento al Sistema de Control Interno, estará atenta a resolver las dificultades que resulten y a prestar la colaboración necesaria en el marco de su competencia.

ARTÍCULO 6°.- Ciclos de Control: Modificado por el art 1, Resolución 172 de 2017. Para la operación del Sistema de Administración de Riesgos, los controles establecidos se revisarán y se ajustarán si es necesario para adaptarlos a los cambios, situaciones o circunstancias por las que pueda atravesar la Entidad; igualmente se debe cumplir con los siguientes Ciclos de Control:

1. A 31 de marzo de cada año se debe actualizar la información del Sistema de Administración de Riesgos, para lo cual:

La Oficina Asesora de Planeación en coordinación con los responsables de procesos y/o jefes de dependencias dispondrá de los controles para que la información requerida se mantenga actualizada por proceso y procedimiento, permitiendo a los responsables del proceso utilizar las últimas versiones (Caracterización de procesos y procedimientos).

2. Por lo menos en los primeros diez (10) días hábiles de julio y noviembre de cada año se deben realizar nuevas evaluaciones de probabilidad e impacto, a través del aplicativo, teniendo en cuenta que los riesgos nunca dejan de representar una amenaza para la organización.

De acuerdo con los resultados, se debe actualizar o modificar las acciones de mitigación consignando las nuevas acciones y justificaciones en el plan de mitigación.

El monitoreo debe estar a cargo de los responsables de los procesos, su finalidad principal es la de aplicar y sugerir los correctivos y ajustes necesarios para asegurar un efectivo manejo del riesgo.

El monitoreo debe asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación, adelantando revisiones sobre la marcha, para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.

3. Teniendo en cuenta que el adecuado manejo de los riesgos favorece el fortalecimiento del desarrollo institucional de la Secretaría General, con el fin de asegurar dicho manejo es importante que los responsables del proceso, a través del aplicativo, establezcan el entorno de la entidad, la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de los riesgos, teniendo en cuenta las siguientes etapas o elementos establecidos en el Modelo Estándar de Control Interno:

• Contexto Estratégico: El contexto estratégico es la base para la identificación de los riesgos en los procesos y actividades. El análisis se realiza a partir del conocimiento de situaciones del entorno interno y externo de la entidad, tanto de carácter social, económico, cultural, ambiental, de orden público, político, legal y/o cambios tecnológicos, infraestructura, personal entre otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados de los Componentes de Ambiente de Control, Estructura Organizacional, Modelo de Operación, cumplimiento de los Planes y Programas, sistemas de información, procesos y procedimientos y los recursos económicos, entre otros.

• Identificación de Eventos de Riesgo: El proceso de la identificación del riesgo debe ser permanente e interactivo basado en el resultado del análisis del contexto estratégico, en el proceso de planeación y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.

El Modelo Estándar de Control Interno lo define como: Elemento de control que posibilita conocer los eventos potenciales, estén o no bajo el control de la Entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia.

La identificación de los riesgos se realiza a nivel del componente de direccionamiento estratégico, identificando los factores internos o externos a la entidad, que pueden ocasionar riesgos que afecten el logro de los objetivos. Es la base del análisis de riesgos que permite avanzar hacia una adecuada implementación de políticas que conduzcan a su control.

Se debe realizar determinando las causas, con base en los factores internos y/o externos que pueden afectar el logro de los objetivos de los procesos y los objetivos institucionales.

Para los riesgos previsibles de la contratación estatal se deben identificar aquellos que puedan afectar el equilibrio financiero del contrato.

Para los riesgos de activos de información se deben identificar aquellos eventos relacionados con la perdida de confidencialidad, integridad y de disponibilidad del activo de información.

• Análisis de Riesgos: El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información obtenida, de la identificación de riesgos y de la disponibilidad de datos históricos y aportes de los servidores de la entidad.

Para el análisis de los riesgos de los activos de información se debe identificar las causas que los generan por factores, circunstancias y/o agentes de vulnerabilidad y amenaza a que puede estar expuesta la información.

Para el análisis de riesgos de la contratación estatal se cuantificará los riesgos previsibles que puedan afectar el equilibrio financiero mediante la estandarización de una metodología cuantitativas y/o semicuantitativas.

• Valoración de Riesgos: La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados en el Elemento de Control, denominado "Controles", del Subsistema de Control de Gestión, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomar decisiones.

Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en:

- Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

- Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

• Tratamiento de los Riesgos: Para la consolidación de la política de administración de riesgos, se deben tener en cuenta todas las etapas anteriormente desarrolladas en el ejercicio de la administración del riesgo.

Las acciones para tratar y manejar los riesgos basadas en la valoración de los mismos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo, a su vez transmiten la posición de la Secretaría y establecen las guías de acción necesarias a todos los servidores de la entidad, encaminadas a evitar, reducir, compartir o transferir, o finalmente a asumir el riesgo.

Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: implementación de acciones, definición de estándares, optimización de procesos y procedimientos y cambios físicos, entre otros. La selección de acciones debe considerar la viabilidad ambiental, jurídica, técnica, institucional, financiera y económica.

Para la ejecución de las acciones se debe identificar los responsables de llevarlas a cabo, a través del sistema de alarmas tempranas, y definir el cronograma e indicadores que permitan verificar el cumplimiento para tomar medidas preventivas y/o correctivas cuando sea necesario.

A través de los Subcomités de Autocontrol, establecidos mediante la Resolución 086 de 2011, los responsables del proceso con su equipo de colaboradores deben hacer seguimiento y monitoreo permanente al riesgo identificado y revisar los avances de las acciones a los planes de contingencia para la mitigación de riesgos.

4. Para el tratamiento de los riesgos previsibles de la contratación de la Secretaria General, se realizará desde el momento de elaborar los presupuestos y modelos financieros contenidos en los estudios previos que se adelantan en la etapa de planeación de la contratación. En la ejecución, se debe monitorear los riesgos e implementar controles y acciones sobre los factores, buscando reducir el impacto económico del riesgo.

ARTÍCULO 7°.- Procedimiento: La Oficina Asesora de Planeación incluirá y mantendrá actualizado el procedimiento para la administración de riesgos, en el proceso correspondiente, el cual será de obligatorio cumplimiento por todos los servidores de la Secretaría General. En coordinación con la Subdirección de Informática y Sistemas se diseñara e integrará al sistema de administración de riesgos una metodología para la valoración de los riesgos de los activos de información.

La Subdirección de Contratación mantendrá actualizados los procedimientos, y los manuales de contratación y de riesgos de la contratación de la entidad.

ARTÍCULO 8°.- La presente Resolución rige a partir de la fecha de su publicación y deroga la Resolución 338 de 2008 expedida por la Secretaría General de la Alcaldía Mayor de Bogotá, D.C.