licenciada en administración verónica elizabeth lópez muñoz
Transcription
licenciada en administración verónica elizabeth lópez muñoz
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE ESTUDIOS SUPERIORES CUAUTITLÁN IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR TRABAJO PROFESIONAL QUE PARA OBTENER EL TITULO DE: LICENCIADA EN ADMINISTRACIÓN PRESENTA: VERÓNICA ELIZABETH LÓPEZ MUÑOZ ASESOR: L.A. ANDREA CARO JIMÉNEZ PERDIGÓN CUAUTITLÁN IZCALLI, ESTADO DE MÉXICO. 2012 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Pág. 2 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. AGRADECIMIENTOS A aquél por quien se vive. A mis Padres ejemplo de vida y perseverancia. A los profesores que dejaron enseñanza de vida. Y a la vida misma por siempre colocar una meta más en el horizonte. Pág. 3 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. ÍNDICE AGRADECIMIENTOS ............................................................................................................................... 3 ÍNDICE .................................................................................................................................................... 4 INTRODUCCIÓN ..................................................................................................................................... 7 CAPÍTULO 1 .......................................................................................................................................... 8 ¿QUÉ ES EL CENAPI? ........................................................................................................................... 8 1.1 PROCURADURÍA GENERAL DE LA REPÚBLICA .............................................................................. 9 1.2 ANTECEDENTES ........................................................................................................................ 9 1.1.2 MISIÓN ................................................................................................................................ 12 1.1.3 VISIÓN ................................................................................................................................. 12 1.1.4 CÓDIGO DE CONDUCTA ...................................................................................................... 12 1.1.5 ESTRUCTURA ORGÁNICA DE LA PGR.................................................................................. 16 1.2 CENTRO NACIONAL DE PLANEACIÓN, ANÁLISIS E INFORMACIÓN PARA EL COMBATE A LA DELINCUENCIA (CENAPI) .................................................................................................................. 17 1.2.1 ANTECEDENTES ................................................................................................................... 17 1.2.2 MISIÓN ................................................................................................................................ 18 1.2.3 VISIÓN ................................................................................................................................. 18 1.2.4 OBJETIVOS........................................................................................................................... 18 1.2.5 MARCO NORMATIVO .......................................................................................................... 20 1.2.6 PROCESO MAESTRO DEL CENAPI ....................................................................................... 22 1.2.7 ESTRUCTURA ORGANIZACIONAL DEL CENAPI .................................................................... 24 1.2.8 FUNCIONES DE ÁREA .......................................................................................................... 25 CAPÍTULO 2 ........................................................................................................................................ 30 EXPERIENCIA LABORAL ..................................................................................................................... 30 2.1 PROFESIONAL EJECUTIVO DE SERVICIOS ESPECIALIZADOS ....................................................... 31 2.2 JEFE DE DEPARTAMENTO DE SEGURIDAD DE LA INFORMACIÓN ............................................. 33 2.3 SUBDIRECTOR DE POLÍTICA CRIMINAL Y DEL SISTEMA DE REGISTRO DE DETENIDOS ............. 36 CAPÍTULO 3 ........................................................................................................................................ 39 DESCRIPCIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS ................................................. 39 Pág. 4 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 3.1 DIAGNÓSTICO............................................................................................................................. 40 3.2 DESCRIPCIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS ................................................ 41 3.2.1 PROCESO PARA LA ADMINISTRACIÓN DE RIESGOS ............................................................ 42 CAPÍTULO 4 .......................................................................................................................................... 48 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI .......................... 48 4.1 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS (SAR) ................................. 49 4.1.1 ETAPA 1. IDENTIFICACIÓN DE LOS RIESGOS............................................................................ 51 4.1.1.1 ANÁLISIS PRELIMINAR...................................................................................................... 51 4.2 ETAPA 2. EVALUACIÓN DE RIESGOS ........................................................................................... 53 4.2.1 CÁLCULO ............................................................................................................................. 53 4.2.1 PRIORIZACIÓN ..................................................................................................................... 66 4.3 ETAPA 3. ADMINISTRACIÓN DE RIESGOS ................................................................................... 68 4.3.1 FORMULACIÓN ................................................................................................................... 68 4.3.2 IMPLANTACIÓN ................................................................................................................... 71 4.3.3 SEGUIMIENTO ..................................................................................................................... 72 CAPÍTULO 5 ........................................................................................................................................ 74 RESULTADOS Y SUGERENCIAS ......................................................................................................... 74 5.1 RESULTADOS DE LA IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS DEL CENTRO NACIONAL DE PLANEACIÓN, ANÁLISIS E INFORMACIÓN PARA EL COMBATE A LA DELINCUENCIA. ................................................................................................................................ 75 5.1.1 ALINEACIÓN CON EL SISTEMA DE PLANEACIÓN INSTITUCIONAL ....................................... 77 5.1.2 CONOCIMIENTO DEL ENTORNO INTERNO Y EXTERNO (FODA: FORTALEZAS, OPORTUNIDADES, DEBILIDADES Y AMENAZAS). ......................................................................... 77 5.1.3 IDENTIFICACIÓN OBJETIVA DE LOS RIESGOS (MAPA DE RIESGOS). .................................... 77 5.1.4 MARCO DE CONTROL Y EVALUACIÓN ÚNICO PARA CONSEGUIR UNA COBERTURA MÁS EFECTIVA Y EFICIENTE DEL TRATAMIENTO DE LOS RIESGOS. ...................................................... 78 5.1.5 REDUCCIÓN DE LA COMPLEJIDAD Y LA CARGA DE LA GESTIÓN (DEFINICIÓN DE RESPONSABLES Y TIEMPOS)......................................................................................................... 78 5.1.6 PROPORCIONA A LA ALTA DIRECCIÓN INFORMACIÓN VALIOSA Y FÁCIL DE ENTENDER PARA LA TOMA DE DECISIONES. .................................................................................................. 79 5.1.7 COADYUVA AL CUMPLIMIENTO CON LA NORMATIVIDAD VIGENTE. ................................. 79 5.1.8 PROPORCIONA INFORMACIÓN HISTÓRICA QUE PERMITE EVALUAR EL CRECIMIENTO Y DESARROLLO DE LA INSTITUCIÓN................................................................................................ 80 Pág. 5 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 5.2 SUGERENCIAS PARA LA MEJORA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI .......................................................................................................................................................... 80 5.2.1 TRATAMIENTO DEL RIESGO Y RIESGO RESIDUAL................................................................ 80 5.2.2 ENLACE ENCARGADO EN CADA ÁREA ................................................................................. 84 5.2.3 CONTINUIDAD A LOS PLANES Y PROGRAMAS PESE A LOS CAMBIOS DE ADMINISTRACIÓN DE FUNCIONARIOS ....................................................................................................................... 84 5.2.4 FOMENTAR LA CULTURA DEL ANÁLISIS DEL RIESGO. ......................................................... 85 CONCLUSIONES .................................................................................................................................. 86 BIBLIOGRAFÍA .................................................................................................................................... 88 Pág. 6 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. INTRODUCCIÓN En el presente trabajo se dará un breve pero sustancioso recorrido por la tarea de la implementación de un Sistema de Administración de Riesgos dentro de la Administración Pública Federal. Si ya desde su acepción es difícil definir cómo puede implementarse y mantenerse un Sistema de Administración de Riesgos en este tipo de entes, cuanto más, si hablamos del Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia de la Procuraduría General de la República. El resultado de tal planteamiento es hacerlo lo más sencillo y acercado a la realidad posible, con una metodología sistemática y con la herramienta tecnológica adecuada que permita facilitar el trabajo de seguimiento. Iniciar desde el conocimiento interno y externo de la Institución hasta construir un mapa de riesgos confiable y actualizado que nos de las directrices a seguir mediante planes de acción específicos. Como pieza del desarrollo laboral, formar parte de esta implementación y seguimiento provee del conocimiento general del CENAPI, que permite trabajar en pro del cumplimiento de sus funciones, lo cual genera certeza del crecimiento laboral. Pág. 7 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. CAPÍTULO 1 ¿QUÉ ES EL CENAPI? Pág. 8 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Al iniciar este recorrido, llamado trabajo profesional acerca de la implementación del Sistema de Administración de Riesgos, en el Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia (CENAPI), el cual es un órgano desconcentrado de la Procuraduría General de la República (PGR), es importante conocer, por lo menos de manera general, sus funciones y atribuciones, tanto de la PGR, como del CENAPI, pues serán la base para desarrollar el presente trabajo. 1.1 PROCURADURÍA GENERAL DE LA REPÚBLICA 1.2 ANTECEDENTES El Ministerio Público tiene su origen en el derecho español, que preveía la existencia de funcionarios denominados fiscales, encargados de promover justicia y perseguir a los delincuentes. Durante la Colonia formaban parte de las Reales Audiencias, de acuerdo con las leyes del 5 de octubre de 1626 y del 9 de octubre de 1812. Los fiscales subsistieron en las constituciones de Apatzingán de 1814, y en la federal de 1824 fueron incluidos en la organización del Poder Judicial; la primera contempló dos fiscales, uno para lo penal y otro para lo civil, como partes del Supremo Tribunal de Justicia; en la segunda integraba un fiscal a la Corte Suprema de Justicia y los promotores fiscales a los Tribunales de Circuito. A su vez, la Ley de los Tribunales de Circuito y Juzgados de Distrito del 22 de mayo de 1824 adscribió un promotor fiscal en cada Juzgado de Distrito. Las Leyes Constitucionales de 1836 determinaron que la Corte Suprema de Justicia estaría constituida por 11 ministros y un fiscal inamovible en el cargo, salvo la remoción por enjuiciamiento ante el Congreso General. Las Bases Orgánicas de 1843 sólo hicieron referencia al fiscal como miembro de la Corte Suprema. La Ley Lares de 1853, además del fiscal "que será oído en las causas criminales", menciona por primera vez, constitucionalmente, el cargo de Procurador General de la Nación con rango similar al de Pág. 9 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Ministro de la Suprema Corte de Justicia, movible a voluntad del Ejecutivo Federal, con funciones para intervenir en defensa de los intereses nacionales. La ley sobre Administración de Justicia, expedida por el Presidente Juan Álvarez en 1855, instituyó dos fiscales integrantes de la Suprema Corte. La Constitución de 1857 conservó la fiscalía en los Tribunales de la Federación y un Procurador General como integrante de la Suprema Corte de Justicia. En las discusiones del constituyente de 1857 se mencionó, por primera vez, al Ministerio Público con facultades para promover la instancia en representación de la sociedad, a pesar de lo cual no llegó a prosperar al establecimiento de la Institución. El Reglamento de la Suprema Corte de Justicia de la Nación, expedido en 1862 por el Presidente Benito Juárez, estableció que el Ministro Fiscal fuera " oído en todas las causas criminales o de responsabilidad, en todos los negocios que interesen a la jurisdicción o competencia de los tribunales, en las consultas sobre duda de la Ley y siempre que éste lo pida o el Tribunal lo estime oportuno". Además, señaló que el Procurador General tendría intervención "en todos los negocios que se interese la Hacienda Pública o de responsabilidad de sus empleados o agentes y en los que, por los mismos motivos, se interesen los fondos de los establecimientos públicos". En los Códigos de Procedimientos Penales de 1880 y 1894; en el Código de Procedimientos Federales de 1895 y en las Leyes Orgánicas del Ministerio Público Común y Federal de 1903 y 1908, respectivamente, son documentos clave para comprender el funcionamiento del Ministerio Público y de la Policía Judicial, antes de la Constitución de 1917. La Ley de Secretarías de Estado de 1891 incluyó al Ministerio Público Federal dentro de la Secretaría de Justicia e Instrucción Pública. En las reformas a los artículos 91 y 96 de la Constitución de 1857, de mayo de 1900, se separa al Ministerio Público Federal y al Procurador General de la República de la Suprema Corte de Justicia de la Nación, empleándose por vez primera el término de Ministerio Público Federal. La primera Ley Orgánica del Ministerio Público Federal se expidió en diciembre de 1908. Pág. 10 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. La Constitución de 1917 establece en materia penal, una doble función del MPF, como titular de la acción penal y como jefe de la policía judicial, asimismo la persecución de los delitos del orden federal. De igual forma se le otorgó al Procurador General de la República, de manera personal, el cargo de Consejero Jurídico del Gobierno e intervenir en los negocios en que la Federación fuera parte. Destaca el artículo 107 que establece las bases generales que regulan el juicio de amparo, haciendo referencia al Ministerio Público Federal. En agosto de 1919 se expidió la segunda Ley Orgánica en la cual se asigna al Ministerio Público intervenir como parte en todos los juicios de amparo; una tercera se publicó en agosto de 1934 en la cual se reestructura la Procuraduría. Durante la administración del Presidente Lázaro Cárdenas (1934-1940), la Procuraduría inició la lucha contra el tráfico de enervantes, impidiendo la siembra y la importación de drogas. En enero de 1942 se expidió la cuarta Ley Orgánica, en la cual se inserta la innovación de velar por el respeto a la Constitución por todas las autoridades federales y locales. En 1951 se reforma el artículo 107, fracción XV de la Constitución, estableciendo que el Procurador General o el agente del Ministerio Público será parte en todos los juicios de amparo y podrá abstenerse cuando éste carezca de interés público, y la quinta, expedida el 10 de noviembre de 1955 y publicada en el Diario Oficial de la Federación el 26 del mismo mes y año. En su evolución el Ministerio Público Federal se ha regido por diversos ordenamientos, siendo los principales la Ley Orgánica de la PGR y su Reglamento, los cuales se han modificado en distintas ocasiones, la última el 1 de noviembre de 2001.1 1 http://www.pgr.gob.mx Pág. 11 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.1.2 MISIÓN Contribuir a garantizar el Estado democrático de Derecho y preservar el cumplimiento irrestricto de la Constitución Política de los Estados Unidos Mexicanos, mediante una procuración de justicia federal eficaz y eficiente, apegada a los principios de legalidad, certeza jurídica y respeto a los derechos humanos, en colaboración con instituciones de los tres órdenes de gobierno y al servicio de la sociedad. 1.1.3 VISIÓN Institución de Procuración de Justicia eficiente, eficaz y confiable, integrada por servidores públicos éticos, profesionales y comprometidos; sólidamente organizada bajo un enfoque integral; operativamente ágil; con contundencia legal y cercana a la sociedad, que coadyuve al desarrollo del país y al disfrute de las libertades y derechos en la Nación. 1.1.4 CÓDIGO DE CONDUCTA 1.1.4.1 Legalidad Por medio del fiel cumplimiento y respeto de leyes, reglamentos y demás disposiciones jurídicas que rigen la operación de la Institución, en tanto estén vinculadas al desempeño de sus funciones, toda vez que constituyen los límites de la actuación de la autoridad frente a la sociedad. Preservando el recto ejercicio de sus atribuciones mediante la denuncia de cualquier acto que tienda al incumplimiento del marco jurídico aplicable. Pág. 12 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.1.4.2 Objetividad e Imparcialidad Al observar en todo momento como objetivo rector la procuración de justicia, sin intervención en ello de juicios personales o apreciaciones subjetivas. Asimismo, mediante un desempeño ajeno a la concesión de ventajas o privilegios ilegales, bajo un trato equitativo, tolerante y no discriminatorio. 1.1.4.3 Profesionalismo A través del ejercicio responsable de la función de procuración de justicia, la actualización permanente y el estudio pormenorizado de los asuntos encomendados, fortaleciendo así la honorabilidad propia de su encargo. Con un sentido profundo de pertenencia a la Institución y una plena identificación con su Visión y su Misión, integrando conocimiento, eficacia, experiencia y capacidad en el cumplimiento de estos objetivos. 1.1.4.4 Eficiencia Por conducto de un desempeño diligente y expedito, así como del uso adecuado de los instrumentos y herramientas de trabajo que le son proporcionados por la Institución. 1.1.4.5 Honradez y Congruencia Mediante la abstención del uso del cargo público para obtener beneficios o ventajas personales distintas a la retribución salarial correspondiente, de intervenir en la atención o Pág. 13 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. resolución de asuntos en los que tenga interés personal o de negocios, así como el empleo indebido de los recursos de la Institución. Decir lo que hacemos y hacer lo que decimos, es lograr el cumplimiento oportuno y eficaz de nuestras responsabilidades, con respecto a las demandas y exigencias de la sociedad en procuración de justicia. 1.1.4.6 Lealtad A través del reconocimiento del vínculo con la procuración de justicia derivado de su integración a la Institución, de manera que la fortalezca y proteja con su trabajo diario, así como de la confidencialidad de la información y documentación a que tenga acceso o de la que tome conocimiento, evitando su revelación oral o escrita. 1.1.4.7 Transparencia Al garantizar el derecho de todos los ciudadanos a conocer información propia de la actividad de la Institución, observando claridad en su trabajo y accesibilidad con quienes tengan interés jurídico y legítimo en los asuntos de su competencia, brindando información comprensible y verificable. 1.1.4.8 Respeto de la dignidad humana Por el ejercicio prudente y mesurado de sus facultades y el respeto irrestricto de las garantías y derechos fundamentales de las personas previstos en nuestra Constitución y en los tratados internacionales de los que México forma parte. Pág. 14 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.1.4.9 Solidaridad institucional y Colaboración Mediante un actuar copartícipe que contribuya al trabajo en equipo, anteponiendo a cualquier otro, los intereses de la Institución y de la sociedad. Estableciendo relaciones interpersonales sustentadas en la armonía, la confianza, el apoyo mutuo y la comunicación abierta que conduzcan a la realización del trabajo y al cumplimiento de las metas y objetivos institucionales, mediante un alto espíritu de trabajo en equipo. 1.1.4.10 Certeza A través del apego, en todo momento, a las disposiciones legales que rigen el ejercicio de sus funciones, para contribuir a dotar a la sociedad de certidumbre y seguridad respecto de la actuación que habrán de tener los servidores públicos que intervienen en la procuración de justicia. 1.1.4.11 Prudencia Mediante un comportamiento sensato y tolerante, de forma tal que los servidores públicos eviten actuar con descuido, ligereza o negligencia, previniendo en todo momento el surgimiento de situaciones que impliquen circunstancias adversas en la Institución o a sus trabajadores, significa minimizar riesgos en el desarrollo de las funciones. Pág. 15 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.1.4.12 Actitud más Aptitud A través de una actitud diligente, asertiva y de servicio hacia la sociedad para aplicar su inteligencia y capacidad creadora, vinculada a la aptitud técnica, legal y moral, como condiciones esenciales para el acceso y ejercicio de la función pública.2 1.1.5 ESTRUCTURA ORGÁNICA DE LA PGR Procuraduría General de la República (Órganos Sustantivos) Subprocuraduría Jurídica y de Asuntos Internacionales Subprocuraduría de Control Regional, Procedimientos Penales y Amparos Subprocuraduría de Investigación Especializada en Delitos Federales Subprocuraduría de Derechos Humanos, Atención a Víctimas y Servicios a la Comunidad Subprocuraduría de Investigación Especializada en Delincuencia Organizada Fiscalía Especializada para la Atención de Delitos Electorales Oficialía Mayor Visitaduría General Agencia Federal de Investigación Coordinación de Planeación, Desarrollo e Innovación Institucional Dirección General de Comunicación Social Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia 2 http://www.pgr.gob.mx Pág. 16 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.2 CENTRO NACIONAL DE PLANEACIÓN, ANÁLISIS E INFORMACIÓN PARA EL COMBATE A LA DELINCUENCIA (CENAPI) 1.2.1 ANTECEDENTES Tiene su origen desde 1984 como Dirección General de Control de Estupefacientes y fue sufriendo diversos cambios hasta evolucionar convirtiéndose en el Centro de Planeación para el Control de Drogas (CENDRO) en 1992, con la función fundamental de: “Coordinar, planear, conducir, evaluar e intercambiar información de las acciones realizadas entre las diversas dependencias del Poder Ejecutivo Federal en el Control del abuso de drogas”. Pág. 17 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Al diversificarse y ampliarse las funciones encomendadas al CENAPI; es decir, su competencia no solo en delitos contra salud como lo es el narcotráfico, sino también en todos los delitos del fuero federal, sobre todo aquéllos que supongan la Delincuencia Organizada; once años después, en 2003, se transforma, en el Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia (CENAPI). 1.2.2 MISIÓN Coadyuvar en el fortalecimiento del Ministerio Público mediante el suministro de información estratégica y táctica para la detección, seguimiento y persecución del delito federal así como la desarticulación de estructuras delincuenciales. 1.2.3 VISIÓN Aspiramos a ser un centro de planeación y análisis de información de alto rendimiento que fortalezca al Ministerio Público en sus tareas de procuración de justicia e investigación delictiva con productos y servicios congruentes, oportunos, objetivos y ciertos, mediante el intercambio de información con instancias nacionales e internacionales a través de mecanismos, procesos y recursos tecnológicos de vanguardia e integrado con personal calificado. 1.2.4 OBJETIVOS Los objetivos del CENAPI, se pueden resumir de manera muy genérica en los siguientes: • Generar productos de información en apoyo al proceso de toma de decisiones para el combate a la delincuencia fortaleciendo la actuación del Ministerio Público. • Administrar los informes de seguimiento y evaluación de los programas institucionales en las acciones del Esfuerzo Nacional. • Desarrollar mecanismos de gestión de información para la oportuna planeación y análisis en la detección y combate a la delincuencia. Pág. 18 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. En la siguiente figura podemos observar la forma en que los objetivos del CENAPI, se alinean a los objetivos institucionales de la PGR: FIGURA 1. ALINEACIÓN DE OBJETIVOS OBJETIVOS PGR OBJETIVOS CENAPI TAREAS A DESARROLLAR CENAPI Persecución y combate de ilícitos Instrumentación de estrategias integrales que eleven la eficacia del MP Aprobar y establecer mecanismos de integración, análisis y explotación de la información Desarticulación de la Delincuencia Organizada Conocimiento del estado, evolución y relación de las conductas delictivas Proporcionar y proponer diagnósticos sistemáticos de las conductas delictivas Combate a la Delincuencia Organizada Coordinación estratégica del manejo de la información Establecer y conducir mecanismos de intercambio de información con dependencias y corporaciones Intercambio y pocesamiento de información inter e intra institucional Actualización de los Procesos de generación de inteligencia Implementar teconologías de información y comunicaciones en un entorno de alta seguridad Pág. 19 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.2.5 MARCO NORMATIVO El CENAPI tiene su sustento en la Ley Orgánica de la Procuraduría General de la República y su Reglamento (Articulo 73). “Artículo 73 del Reglamento de la Ley Orgánica de la Procuraduría General de la República. Al frente del Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia habrá un Titular, quien tendrá las siguientes facultades: I. Diseñar, integrar e implementar sistemas y mecanismos de análisis de la información relativa al fenómeno de la delincuencia en sus ámbitos nacional e internacional; II. Solicitar a las autoridades competentes, la información relativa a la identificación y evolución de las actividades y modos de operación de la delincuencia; III. Suministrar oportunamente a las unidades administrativas y órganos de la Institución la información disponible que requieran para el desempeño de sus funciones, de conformidad con las políticas institucionales, a través de mecanismos ágiles y seguros; IV. Gestionar y establecer sistemas y mecanismos de intercambio de información en materia de operación e impacto de la delincuencia organizada, con unidades administrativas de la Institución, así como con autoridades federales, del Distrito Federal, de los Estados y Municipios, de conformidad con las disposiciones jurídicas aplicables y las políticas institucionales; V. Diseñar, concertar, coordinar y dar seguimiento a los sistemas y mecanismos de intercambio de información en materia de operación e impacto de la delincuencia, con agencias extranjeras y organismos internacionales, de conformidad con las disposiciones jurídicas aplicables, los instrumentos de carácter internacional y las políticas institucionales; Pág. 20 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. VI. Desarrollar y operar sistemas de procesamiento de información, entre otras, sobre incidencia delictiva geo-referenciada, para la planeación del combate a la delincuencia, en coordinación con las unidades administrativas competentes de la Institución; VII. Diseñar y promover el desarrollo tecnológico e intercambio de información, para la oportuna prevención, detección e investigación de la delincuencia, en coordinación con las unidades administrativas competentes; VIII. Integrar y dar seguimiento, en coordinación con las unidades administrativas competentes de la Institución, a la ejecución del Programa Nacional para el Control de Drogas; IX. Operar los sistemas de seguimiento y evaluación de los diversos instrumentos programáticos que se establezcan para el control de la delincuencia, en coordinación con las unidades administrativas competentes; X. Establecer, operar y actualizar los sistemas de información estadística y de análisis necesarios para el desempeño de sus funciones, y XI. Las demás que le confieran otras disposiciones aplicables o el Procurador.” 3 En estos lineamientos y en el Acuerdo No. A/068/03 del Procurador General de la República, por el que se adscriben las unidades administrativas y órganos desconcentrados de la Procuraduría General de la República, del 24 de julio de 2003; se establece que el CENAPI, se constituye como un órgano desconcentrado, lo cual es parte del diseño orgánico para garantizar la procuración de justicia pronta, expedita y apegada a derecho, así como combatir los delitos del ámbito federal, en especial el tráfico ilícito de drogas y los relativos a la delincuencia organizada. 3 Reglamento de la Ley Orgánica de la Procuraduría General de la República, artículo 75, México 2003. Pág. 21 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Las normas referidas también facultan al Centro para desarrollar y operar sistemas de procesamiento de información sobre incidencia delictiva. Con base en lo anterior, el CENAPI se constituye en una instancia que, además de generar inteligencia, tiene como objetivo central contribuir con el Ministerio Público Federal en el seguimiento y la atención de los delitos incluidos en la Ley Federal contra la Delincuencia Organizada, entre ellos: Narcotráfico, Terrorismo, Falsificación de moneda, Operaciones con recursos de Procedencia ilícita, Acopio y tráfico de armas, municiones y explosivos, Tráfico de indocumentados, Tráfico de órganos, Tráfico y trata de personas, Asalto, Robo de vehículos y Secuestros. 1.2.6 PROCESO MAESTRO DEL CENAPI El proceso maestro del CENAPI consta de cuatro etapas iterativas que consideran la planificación y dirección (estrategia para el combate a la delincuencia organizada), la recolección de la información (proveniente de Averiguaciones previas, partes informativos, informes de dependencias, información de países, estados y municipios y de fuentes abiertas), el análisis de la información y generación de productos de inteligencia (tales como: panoramas, resultados estadísticos, diagnósticos internacionales, prospectiva del comportamiento delincuencial, casos, redes de vínculos, entre otros) y la difusión de los productos de inteligencia (retroalimentación). En cada una de las etapas o procedimientos van implícitas la sistematización y seguridad de la información; es decir, que las funciones se realizan a través de las tecnologías de la información pertinentes, guardando siempre la confidencialidad, integridad y disponibilidad de la información. Pág. 22 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 2. PROCESO MAESTRO DEL CENAPI • Averiguaciones •Planteamiento de la estrategia para el combate a la delincuencia organizada. Planificación y Dirección Recolección de la Información Difusión de los Productos de Inteligencia / Retroalimentación Análisis de la información y Generación de Productos de Inteligencia Previas •Partes Informativos •Informes de Dependencias •Información de Países, Estados y Municipios •Fuentes Abiertas •Panoramas •Resultados estadísticos •Diagnósticos internacionales •Prospectiva del comportamiento delincuencial •Casos •Redes de Vínculos •Otros •Interior de la PGR •Gobierno federal, estatal y municipal •Organismos internacionales Pág. 23 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.2.7 ESTRUCTURA ORGANIZACIONAL DEL CENAPI El CENAPI se divide en ocho áreas que realizan diferentes funciones para cumplir cabalmente con los objetivos y metas institucionales, de éstas, tres áreas son de apoyo administrativo, jurídico e informático. 1.2.7.1 Organigrama TITULAR DEL CENAPI C1 DIRECCIÓN GENERAL DE ANÁLISIS CONTRA LA DELINCUENCIA C2 DIRECCIÓN GRAL. ADJ. DE SISTEMATIZACIÓN DE INTELIGENCIA Y SEGURIDAD DE LA INFORMACIÓN C6 DIRECCIÓN GENERAL DE PLANEACIÓN ESTRATÉGICA Y ESTADÍSTICA C5 DIRECCIÓN GENERAL DE APOYO MINISTERIAL C4 DIRECCIÓN GENERAL DE INFORMACIÓN SOBRE CONDUCTAS DELICTIVAS C3 DIRECCIÓN GENERAL ADJUNTA DE ADMINISTRACIÓN C7 Pág. 24 DIRECCIÓN GENERAL ADJUNTA DE APOYO JURÍDICO C8 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.2.8 FUNCIONES DE ÁREA Cada área cuenta con un Titular, el cual se encarga de dirigir y coordinar los recursos para cumplir con los objetivos específicos de cada Dirección. A continuación se enlistarán las funciones generales de las áreas que conforman el CENAPI, presentando en la parte final, a la Dirección General Adjunta de Sistematización de Inteligencia y Seguridad de la Información (C6), de la cual se especificarán también las funciones de la Dirección de Seguridad de la Información y Proyectos Tecnológicos, y de la Jefatura de Seguridad de la Información, puesto en que se desempeñaron las funciones para la implementación del Sistema de Administración de Riesgos. 1.2.8.1 C1- OFICINA DEL TITULAR Enlace con la Oficina del C. Procurador y PGR en general. Atención de asuntos y seguimiento de acuerdos con las Secretarías Técnicas y el Consejo de Seguridad Nacional con PGR. Seguimiento de acuerdos y atención a requerimientos del Titular del CENAPI. 1.2.8.2 C2 - DIRECCIÓN GENERAL DE ANÁLISIS CONTRA LA DELINCUENCIA Conforma sistemas de información seguros a través de la red institucional, interinstitucional e internacional, para brindar al titular del CENAPI los panoramas, diagnósticos, seguimiento y evaluación de la situación que guardan los índices delincuenciales y las organizaciones en el país, en las regiones y en los estados, permitiendo con ello proponer líneas estratégicas para las Instituciones encargadas de la seguridad y procuración de justicia. Pág. 25 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.2.8.3 C3 – DIRECCIÓN GENERAL DE INFORMACIÓN SOBRE CONDUCTAS DELICTIVAS Elabora políticas en materia de seguridad para el combate a la delincuencia, organiza e intercambia información de manera inter e intra institucional. Elabora productos de inteligencia como diagnósticos, redes de vínculos, redes técnicas, informes, mapas geo-referenciales, entre otros. Atiende mandamientos ministeriales, coadyuvando a la integración de la Averiguación Previa. Desarrolla sistemas y procedimientos para integrar, clasificar, ordenar y procesar la información que permita identificar objetivos y recursos en materia de los diversos delitos. 1.2.8.4 C4 – DIRECCIÓN GENERAL DE APOYO MINISTERIAL Cumple los ordenamientos judiciales en materia de intervención de comunicaciones privadas. Gestiona y da seguimiento de solicitudes de información del Ministerio Público ante los concesionarios de redes públicas de telecomunicación. Garantiza la obtención y análisis de la información generada de la intervención de comunicaciones privadas con el propósito de coadyuvar en el trabajo estratégico para el combate a la delincuencia organizada. 1.2.8.5 C5 – DIRECCIÓN GENERAL DE PLANEACIÓN ESTRATÉGICA Y ESTADÍSTICA Desarrolla e implementa la planeación estratégica del CENAPI encaminada al apoyo del Ministerio Público en la investigación y persecución del delito, Pág. 26 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. proponiendo estrategias y políticas en la recolección, análisis y explotación de la información. Desarrolla estrategias de mejoramiento e implanta acciones de vinculación y fomento de procesos con las áreas inter e intra Institucional. Coordina el seguimiento estratégico de los programas implementados con base en la planeación a fin de asegurar el cumplimiento de los objetivos estratégicos en el tiempo previsto. 1.2.8.6 C7 – DIRECCIÓN GENERAL ADJUNTA DE ADMINISTRACIÓN Administra los recursos humanos, materiales y financieros asignados a CENAPI mediante procesos integrados y herramientas de calidad, garantizando el apoyo a las tareas sustantivas de este Centro de Inteligencia, la rendición de cuentas y el estricto apego al marco jurídico de actuación. 1.2.8.7 C8 – DIRECCIÓN GENERAL ADJUNTA DE APOYO JURÍDICO Solventa las necesidades de apoyo sobre la normatividad aplicable y consulta jurídica, conforme a los principios de legalidad, certeza jurídica, fundamentación y motivación, asimismo provee y difunde los criterios que sirvan de herramienta fundamental para contribuir a que la actuación de las unidades administrativas se realice conforme a derecho. Pág. 27 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 1.2.8.8 C6 – DIRECCIÓN GENERAL ADJUNTA DE SISTEMATIZACIÓN DE INTELIGENCIA Y SEGURIDAD DE LA INFORMACIÓN Diseña, integra e implementa sistemas y mecanismos de análisis de la información relativa al fenómeno de la delincuencia en sus ámbitos nacional e internacional. Gestiona y establece sistemas y mecanismos de intercambio de información, con unidades administrativas de la Institución, así como con autoridades federales y agencias internacionales. Diseña y promueve el desarrollo tecnológico e intercambio de información, para la oportuna prevención, detección e investigación de la delincuencia. Coordina el establecimiento, implementación y mejora del Sistema de Gestión de Seguridad de la Información y el Sistema de Administración de Riesgos. 1.2.8.8.1 DIRECCIÓN DE SEGURIDAD DE LA INFORMACIÓN Administra los proyectos de desarrollo tecnológico que permiten adquirir herramientas de tecnologías de la información con el propósito de integrarlas al proceso de inteligencia del CENAPI. Genera controles de tecnologías de la información con el propósito de incrementar la eficacia y eficiencia de los sistemas de información y comunicaciones del CENAPI. Desarrolla una visión estratégica con un enfoque tecnológico que permite integrar los sistemas de información y comunicaciones en las áreas del CENAPI. Desarrolla y coordina el esquema de seguridad informática, con el propósito de asegurar la correcta y segura operación de todos los elementos de Pág. 28 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. procesamiento de información, dentro del marco normativo correspondiente. Dirige y gestiona el establecimiento, implementación y mejora del Sistema de Gestión de Seguridad de la Información y el Sistema de Administración de Riesgos. 1.2.8.8.1.1 JEFE DE DEPARTAMENTO DE SEGURIDAD DE LA INFORMACIÓN Participa en el establecimiento, implementación y mejora del Sistema de Gestión de la Información. Implementa controles de seguridad informática y realiza la evaluación de efectividad de los mismos. Coadyuva en la implementación del Sistema de Administración de Riesgos. Identifica, evalúa y administra los riesgos que puedan impactar negativamente el logro de los objetivos, metas y programas institucionales. Genera el Mapa de Riesgos Institucional y los Planes de Acción que se determinen para minimizar la probabilidad de ocurrencia de dichos riesgos y los posibles impactos, en caso de que estos se materialicen. Da seguimiento en la implementación de controles y en la puesta en marcha de cada uno de los planes de acción determinados para minimizar la probabilidad de ocurrencia de dichos riesgos y sus posibles impactos. Pág. 29 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. CAPÍTULO 2 EXPERIENCIA LABORAL Pág. 30 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. La meta alcanzada siempre nos invita a ver nuevos panoramas, a buscar nuevas metas y perseguir no solo el crecimiento, sino también el desarrollo laboral; lo anterior, construyendo día a día, con esfuerzo y perseverancia al profesional que queremos ser. La experiencia laboral que he adquirido en esta Institución Pública, mediante la capacitación y el ejercicio de los conocimientos, así como la apertura y constancia, me ha llevado a la búsqueda perpetua de la realización personal y profesional, y también a la tarea de buscar contribuir como servidora pública, a construir un mejor país. En breves palabras, busco SER y no solo HACER. Desde julio de 2007, comencé a laborar en el Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia (CENAPI), habiendo ocupado a la fecha 3 puestos que a continuación se describen: 2.1 PROFESIONAL EJECUTIVO DE SERVICIOS ESPECIALIZADOS Julio 2007 - Septiembre 2008 Adscrita a la Dirección General Adjunta de Administración en la Dirección de Desarrollo humano y Calidad. Principales funciones: Supervisar la implementación del Sistema de Gestión de Calidad en el CENAPI. Dentro de las etapas del Sistema de Gestión de la Calidad: Planear, Hacer, Verificar y Actuar; apoyaba a cada una de las áreas del CENAPI, a través de los enlaces correspondientes; a realizar el mapeo de sus procesos, identificar controles, determinar indicadores, principalmente a alinearse con las funciones prácticas de las áreas, es decir, identificar y describir los procesos y procedimientos que realmente se llevaban a cabo en cada una de las áreas, y Pág. 31 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. no aquellos que se encontraban escritos en un Manual de Procedimientos sin vigencia. Participación en el desarrollo e implementación del Sistema de Planeación Institucional (SPI) en el CENAPI. Dentro de toda la Procuraduría General de la República, se hizo una revisión de los elementos de la planeación estratégica que estaban operando cada una de las unidades administrativas de la PGR, por lo cual se determinó realizar una alineación a la misión y visión institucional. Lo anterior implicó para CENAPI la reestructuración de todos sus elementos de planeación, para lo cual participé en la determinación, actualización y alineación de la misión, visión, objetivos, procesos e indicadores del Centro, a través de una herramienta tecnológica y de diseño conceptual, llamada Sistema de Planeación Institucional (SPI). Participar en la implementación del Sistema de Análisis de Puestos Institucional (SAPI), para la descripción, perfil y valuación de puestos. En el SAPI realicé la integración y en algunos casos el desarrollo de las descripciones y perfiles de los puestos que conforman las áreas que integran al CENAPI, en todos sus niveles, tomando en cuenta rubros del puesto, tales como: identificación, misión, objetivos, funciones, relaciones, escolaridad, áreas de conocimiento, experiencia, competencias laborales, responsabilidad por manejo de información confidencial, valores, habilidades gerenciales y asertivas, habilidades en equipos y sistemas de cómputo, habilidades físicas, condiciones y ambiente de trabajo. Asimismo se hizo la valuación de cada uno de los puestos mediante los criterios desarrollados para cada nivel de puesto. Desarrollo e integración del Manual de Organización Específico del CENAPI. Actualización de la estructura orgánica y de cada uno de los puestos que Pág. 32 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. integran el CENAPI. Integración del Manual conforme a los lineamientos en la materia. Desarrollo e integración del Manual de Procedimientos del CENAPI. Actualización de los procedimientos de cada una de las áreas, realizando los mapeos correspondientes y brindando asesoría. Integración del Manual conforme a los lineamientos en la materia. Desarrollo de reportes mensuales del Subsistema Estadístico de Metas Programáticas, y del cumplimiento del Plan de Trabajo Institucional. 2.2 JEFE DE DEPARTAMENTO DE SEGURIDAD DE LA INFORMACIÓN Octubre 2008 – Julio 2010 Adscrita a la Dirección General Adjunta de Sistematización para la Inteligencia y Seguridad de la Información en la Dirección de Seguridad de la Información y Proyectos Tecnológicos. Cabe mencionar que es en este puesto donde se llevaron a cabo las funciones para la implementación del Sistema de Administración de Riesgos. Principales funciones: Participación en el establecimiento, implementación, revisión y mejora del Sistema de Gestión de Seguridad de la Información. o Desarrollo de las Políticas de Seguridad de la Información y de Seguridad Informática, que direccionan los trabajos a realizar para Pág. 33 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. preservar la confidencialidad, integridad y disponibilidad de la información. o Desarrollo e implementación de Lineamientos para rubros específicos, tales como: el ingreso y uso de dispositivos de almacenamiento externo (USB, memorias SD, discos duros externos, etc.), desarrollo y uso de contraseñas, depuración y eliminación segura de información, cifrado de información, organización y estructura del Sistema de Gestión y Seguridad de la Información. o Implementación y supervisión de controles para el ingreso y uso de unidades de almacenamiento externo, telefonía celular y dispositivos de banda ancha para el uso de internet, habilitación de los puertos USB y las unidades de lectura y escritura de CD y DVD, filtrado de contenido web (páginas de internet para entretenimiento, redes sociales, You Tube, radio y televisión por internet, etc.), control de virus informáticos, etc. o Difusión de las acciones realizadas en materia de seguridad de la información a través del desarrollo de crónicas y reseñas, además de desarrollar artículos y cápsulas para fomentar la cultura en seguridad de la información del personal respecto a las medidas y controles que se implementan para contribuir a preservar la confidencialidad, integridad y disponibilidad de la información y evitar el mal uso intencional o accidental de la misma o de los activos de información. Lo anterior en coordinación con el área de Comunicación del CENAPI, a través del periódico y la revista electrónicos. Pág. 34 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. o Capacitación y concienciación de todo el personal del CENAPI mediante charlas inductivas al Sistema de Gestión de Seguridad de la Información y de capacitación en el uso de las herramientas informáticas implementadas como medidas de control y supervisión. Participación en la implementación del Sistema de Administración de Riesgos. o Identificar, evaluar y administrar los riesgos que puedan impactar negativamente el logro de los objetivos, metas y programas institucionales. Coordinar y asesorar a cada una de las áreas del CENAPI para la identificación de los riesgos que afectan el cumplimiento de sus funciones, describiendo en cada uno de los riesgos, los factores de riesgo y las vulnerabilidades que las amenazas del entorno pudieran aprovechar para materializar el riesgo, estos factores de riesgo son diversos y van desde el recurso humano, como la infraestructura tecnológica, el presupuesto, etc. Después de identificarse los riegos y sus factores de riesgo, fue necesario evaluar los impactos al materializarse el riesgo en cada uno de los aspectos de la institución: recursos humanos, financieros o materiales, continuidad de las operaciones, reputación e imagen, etc. Además de determinar factores de riesgos y ámbitos de impacto, se estimó la probabilidad de ocurrencia y grado de impacto que se generan. o Generar el Mapa de Riesgos Institucional y los Planes de Acción que se determinen para minimizar la probabilidad de ocurrencia de los riesgos identificados y los posibles impactos, en caso de que estos se materialicen. Se clasifican los riesgos según su valuación y se determina que grado de importancia o urgencia tiene su atención Pág. 35 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. según los impactos que pudieran representar, lo cual se plasma en una matriz nombrada Mapa de Riesgos, de esta manera se logra captar de forma visual y sencilla el estatus que guarda cada riesgo y el modo en que deben administrarse, es decir, se debe priorizar la atención de los riesgos. En seguida, se determinan las estrategias para administrar los riesgos (minimizar, transferir, aceptar, etc.) analizando las fortalezas y oportunidades del Centro. Posteriormente es elaborado un Plan de Acción por cada Riesgo identificado, el cual se efectúa realizando las gestiones necesarias y una vez establecidos se implementan los mecanismos de seguimiento y autocontrol. 2.3 SUBDIRECTOR DE POLÍTICA CRIMINAL Y DEL SISTEMA DE REGISTRO DE DETENIDOS Agosto 2010 a la fecha Adscrita a la Dirección General de Información sobre Conductas Delictivas, en la Dirección de Consulta y Currícula. Para realizar de forma sistemática el fortalecimiento de los estudios encaminados a la identificación de factores criminógenos que permitan el diseño de planes y programas en materia de política criminal, según la incidencia y características de cada una de las entidades federativas, de manera que puedan articularse estrategias y acciones para la prevención del delito a nivel regional y nacional; se establece el intercambio de información entre las Delegaciones estatales de la Procuraduría General de la República a través de las Unidades de Política Criminal (UPC) y el Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia (CENAPI). Los mecanismos de intercambio de información fluyen en dos vertientes: Pág. 36 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. a. Requerimientos de información de las UPC al CENAPI. b. Requerimientos de información del CENAPI a las UPC. ACTIVIDADES REALIZADAS Desarrollar el Protocolo para el Intercambio de información de Política Criminal entre las UPC y el CENAPI, en colaboración con personal de las diferentes áreas del Centro y de la Subprocuraduría de Control Regional, Procedimientos Penales y Amparos (SCRPPA). Proponer, gestionar y coordinar Cursos de Capacitación para los enlaces de Política Criminal de cada una de las delegaciones de la PGR, que permitan la sistematización de información y la generación de productos que coadyuven a la toma de decisiones para el combate a la delincuencia. Coordinar estrategias en coordinación con la SCRPPA para la determinación de acciones a realizar derivadas del análisis de los resultados de los trabajos conjuntos con las Delegaciones Estatales de la PGR. Promover y coordinar el desarrollo e implementación del esquema de seguridad para el intercambio de información, a través del uso de carpetas compartidas y cifrado de la información, lo anterior con el apoyo de la Dirección General Adjunta de Sistematización para la Inteligencia y Seguridad de la Información. Coordinar el intercambio oportuno y seguro de información con base a los requerimientos hechos por los Enlaces de Política Criminal en las Delegaciones al CENAPI y viceversa. Pág. 37 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Gestionar a través de las instancias correspondientes, las respuestas a las solicitudes de información requeridas, tanto por los enlaces de política criminal, como por las áreas del CENAPI. Organizar y resguardar la información generada en materia de Política Criminal conforme a los lineamientos de seguridad de la información. Administración del Sistema de Registro de Detenidos de la Procuraduría General de la República en dónde: Se almacena, concentra y conserva la información que se integra en el SIRED. Se proporcionan y administran las claves de acceso de los usuarios del Sistema. Se lleva un registro de los servidores públicos que fungen como enlaces supervisores. Procesa la cancelación del registro conforme a lo establecido en el Art. 193 Quintus del Código Federal de Procedimientos Penales. En general, se realiza la administración del Sistema, emitiendo los lineamientos específicos para el manejo, captura, operación y resguardo de la información. Se desarrolla e imparte capacitación a los usuarios del Sistema. Pág. 38 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. CAPÍTULO 3 DESCRIPCIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS Pág. 39 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 3.1 DIAGNÓSTICO La materia prima y productos del CENAPI, son predominantemente información que coadyuva al Ministerio Público en el ejercicio de sus funciones, e información que genera líneas de acción para el Combate a la Delincuencia; por lo cual, es de suma importancia e imperativo mantener bajo lupa de análisis cada uno de los factores que pudieran vulnerar dicha información, no solo por el hecho de que pierda su confidencialidad, integridad y disponibilidad, sino también por las consecuencias que se derivan de la pérdida de cualquiera de estas tres características, pues se trata de información que tiene un impacto a nivel nacional en la Procuración de Justicia y en el Combate a la Delincuencia. Hasta el año 2008, en la PGR y por lo tanto en el CENAPI, no se contaba con una herramienta o modelo que pudiera sistematizar la información en el rubro de planeación estratégica del Centro, que permitiera observar y analizar con facilidad los objetivos, misión, visión, fortalezas, oportunidades, debilidades y amenazas; la forma en cómo pudieran ser explotadas las debilidades por las amenazas, o de cómo lograr un mejor aprovechamiento de las oportunidades y fortalezas; por tal motivo no se tenían identificados los riesgos que el Centro mantenía latentes, aunque de forma empírica o disgregada sí se conocían, sin embargo no se contaba con una visión general, ni mucho menos se administraban estratégica y sistemáticamente los riesgos, para saber si se mitigaban o se estaban acrecentando. Por lo anterior, desde el seno de la Procuraduría General de la República se gestó un Sistema de Planeación Institucional que permitiera ubicar y alinear cada uno de los elementos de planeación de cada unidad administrativa que integran la PGR, del cual toma su origen el Sistema de Administración de Riesgos. Pág. 40 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 3.2 DESCRIPCIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS Con objeto de contribuir al fortalecimiento del control interno en las dependencias y entidades de la Administración Pública Federal, es determinante que se identifiquen los riesgos existentes en las unidades administrativas, áreas y/o procesos, a fin de que posteriormente se les pueda analizar y prevenir. Es la propia dependencia o entidad la que debe llevar a cabo la identificación de los riesgos y dejarlos plasmados a través de un inventario de riesgos, para que con base en ello se determinen los mecanismos de control a instrumentar. Toda Institución, independientemente de su tamaño, estructura, naturaleza o sector al que pertenece, tiene riesgos tanto internos como externos en todos los niveles de su organización que deben evaluarse. Para el CENAPI, el Acuerdo PGR-02/07-05 del 07 de agosto de 2007, establece “… se retome el Modelo de Administración de Riesgos…” a fin de identificar, evaluar y administrar los riesgos de la PGR y con ello contribuir al logro de sus objetivos, metas y programas. El Riesgo es la probabilidad de que se presente un evento adverso, que obstaculice o impida el logro de los objetivos y metas institucionales. El riesgo se mide en términos de impacto y probabilidad de ocurrencia. Para la Procuraduría, la agenda de riesgos se refiere a problemas que pueden afectar la integridad personal o de las instalaciones, entre otros. Los riesgos: Afectan los esfuerzos de la institución para cumplir con su misión y visión. Limitan el cumplimiento de objetivos y metas específicos. Afectan la imagen pública y la calidad global de sus bienes, trámites y servicios. Pág. 41 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. La Administración de Riesgos es el proceso realizado por la dependencia o entidad que tiene como propósito identificar los riesgos a que se expone en el desarrollo de sus actividades y analizar los distintos factores que pueden provocarlos, con la finalidad de definir las estrategias que permitan controlarlos y, por tanto, contribuir al logro de las metas y objetivos de una manera razonable. El Sistema de Administración de Riesgos es una herramienta administrativa que permite identificar, evaluar y administrar en el mediano y largo plazo, los riesgos que pudieran obstaculizar el cumplimiento de metas y objetivos. 3.2.1 PROCESO PARA LA ADMINISTRACIÓN DE RIESGOS FIGURA 3. PROCESO PARA LA ADMINISTRACIÓN DE RIESGOS A. Identificación de los riesgos B. Análisis de los riesgos C. Planeación de acciones para enfrentar a los riesgos D. Seguimiento Pág. 42 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 3.2.1.1 Identificación de los riesgos Es esencial que todos los riesgos sean identificados y preferentemente desde la planeación de las actividades tendientes al logro de las metas y objetivos institucionales. Además, es muy importante separar lo que es el riesgo de las características del personal y de la operación: Características del personal • Experiencia • Conocimientos • Habilidades Características de la operación • Compleja • Regulada por un marco normativo • Sujeta a decisiones 3.2.1.2 Análisis de los riesgos Los pasos de un análisis de riesgos, y que retoma el Sistema de Administración de Riesgos, son los siguientes: I. Evaluar el grado de impacto que puede provocar en caso de materializarse. Pág. 43 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 4. GRADO DE IMPACTO Ponderación 20% 15% 15% 10% 10% 10% 10% 10% Criterios Rangos Muy complejo Complejidad de los procesos Medio complejo (sustantivos) y/o magnitud de los Poco complejo cambios realizados a esos procesos Nada complejo Alto Proporción de los recursos Medio alto financieros -presupuestales erogados Medio (comparados con el resto de las Medio bajo subprocuradurías u homólogas) Bajo Sobreregulada Suficiente Normatividad Relacionada Insuficiente Excelente Muy Bueno Ambiente de Control * Bueno Regular No Adecuado Excelente Muy Bueno Efectividad del sistema de control Bueno interno ** Regular No Adecuado Excelente Muy Bueno Competencia profesional de los Bueno mandos medios y superiores Regular No Adecuado Totalmente sistematizado y con los controles suficientes Totalmente sistematizado Grado de sistematización de los Nivel Medio de sistematización procesos Recientemente sistematizado Sin sistematizar Alto Impacto Impacto en el sector social, público y Impacto Medio privado Bajo Impacto Valores 10 5 2.5 0 10 7.5 5 2.5 0 5 0 10 0 2.5 5 7.5 10 0 2.5 5 7.5 10 0 2.5 5 7.5 10 0 2.5 5 7.5 10 10 5 2.5 100% * Factores: Compromiso, Estructura Organizacional, Manuales de Organización y Procedimientos, Administración de los Recursos Humanos e Integridad y Valores Éticos. ** Objetivos del Control Interno: Eficiencia y Eficacia de las operaciones, Cumplimiento de los Objetivos, Información financiera confiable y oportuna, Cumplimiento del Marco Legal y Salvaguarda de Activos. Pág. 44 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. II. Agrupar los riesgos por su importancia y priorizar su atención (en este último punto, considerando la cantidad de criterios para cada riesgo). FIGURA 5. PROBABILIDAD DE OCURRENCIA Ponderación Criterios Rangos 0.2 Evaluación de riesgos 0.1 Efectos de los cambios recientes en la normatividad 0.15 Quejas procedentes en el año inmediato anterior 0.1 Tiempo transcurrido desde la última auditoría o revisión de control 0.2 Observaciones recurrentes de auditorías 0.1 Opinión de las áreas 0.1 Riesgo proclive a la corrupción 0.05 Cambios organizacionales y operacionales (incluyendo el cambio del titular) Ninguna vez Una vez Positivos Negativos Cuatro o más Entre 2 y 3 Una Ninguna Más de tres años Dos años Un año Menor a un año Si No recurrentes pero sí hay observaciones Probabilidad Alta Probabilidad Media Probabilidad Baja Probabilidad Nula Probabilidad Alta Probabilidad Media Probabilidad Baja Probabilidad Nula Cuatro o más Entre dos y tres Uno en un año Sin cambios Valores 1 0 0 1 1 0.5 0.3 0.0 1 0.66 0.33 0 1 0.50 1 0.66 0.33 0.00 1 0.66 0.33 0.00 1 0.66 0.33 0 1.00 III. Agrupar los riesgos por su importancia y priorizar su atención (en este último punto, considerando la cantidad de criterios para cada riesgo) Pág. 45 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 6. MAPA DE RIESGOS Pág. 46 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 3.2.1.3 Planeación de acciones para enfrentar a los riesgos La planificación de acciones para enfrentar a los riesgos implica establecer prioridades en la atención de los mismos y desarrollar acciones para enfrentarlos (administrarlos). Esas acciones pueden estar enfocadas a: a. Asumir los riesgos b. Controlar los riesgos c. Transferir los riesgos 3.2.1.4 Seguimiento Durante esta etapa se vigila el estado de los riesgos y las acciones implantadas para administrarlos. Este seguimiento es esencial para mantener a los riesgos en un nivel aceptable, al determinar que las acciones siguen siendo suficientes y efectivas. Pág. 47 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. CAPÍTULO 4 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI Pág. 48 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 4.1 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS (SAR) La implementación del Sistema de Administración de Riesgos consta4 de tres etapas las cuales están integradas como sigue: FIGURA 7. ETAPAS DE LA IMPLEMENTACIÓN DEL SAR 4 El verbo utilizado en la descripción del proceso se usa en infinitivo por tratarse de una iteración constante y debido a que el ciclo del sistema se realiza completo cada año. Pág. 49 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Cabe mencionar que mi participación en cada una de las etapas de la implementación del Sistema de Administración de Riesgos, fue desarrollar cada una de las acciones mencionadas en el cuadro anterior, en conjunto con cada una de las áreas del CENAPI, de tal manera que toda la información quedara concentrada en una sola área y ésta fuera la encargada de planear, administrar, controlar y dar seguimiento a cada riesgo identificado, su tratamiento, seguimiento y control. De esta forma, fui la persona encargada de conjuntar la información completa del CENAPI, alimentando el Sistema de Administración de Riegos en los años 2009 y 2010, a través de la herramienta informática, manteniendo el estatus de cada riesgo y plan de acción en constante monitoreo, lo cual generó la actualización constante del sistema, así como la realización en tiempo y forma de cada una de las estrategias y planes de acción para el tratamiento de los riesgos identificados para cada ejercicio. El tiempo de implementación para el primer ejercicio (2009) fue de aproximadamente seis meses (de julio a diciembre de 2008) debido a que era el primer modelo desarrollado en el CENAPI y que debía ser monitoreado muy de cerca por las áreas Centrales de la PGR encargadas del Proyecto (Órgano Interno de Control y Coordinación de Planeación, Desarrollo e Innovación Institucional) para alinear dicho modelo a las características generales de implementación en cada unidad administrativa de la Procuraduría. Para el segundo ejercicio (2010), la realización de la identificación de los nuevos riesgos o la ratificación de algunos tratados en el ejercicio anterior, así como su valuación, elección de su tratamiento y realización de los planes de acción a seguir, tomó menos tiempo (tres meses, de octubre a diciembre de 2009), pues cada una de las áreas ya contábamos con la experiencia del primer ejercicio, cada una dentro del ámbito de competencia. Pág. 50 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 4.1.1 ETAPA 1. IDENTIFICACIÓN DE LOS RIESGOS 4.1.1.1 ANÁLISIS PRELIMINAR En esta etapa, realizamos en el CENAPI un análisis preliminar, que consistió en: Consultar la Misión y Visión Institucional de la Procuraduría General de la República para alinear las propias. Identificar los objetivos institucionales de la Procuraduría General de la República a los cuales se contribuye. Identificar y analizar los Objetivos específicos, iniciativas estratégicas (proyectos especiales y líneas de acción), indicadores y Metas del CENAPI, que contribuyen al cumplimiento de los Objetivos Institucionales correspondientes; así como las debilidades y amenazas que pudieran impactar negativamente estos elementos y, por lo tanto, en el Objetivo Institucional que se analiza. Esta fase de preparación, permitió al CENAPI contar con los elementos necesarios para proceder a la identificación y definición de los riesgos que pudieran impactar negativamente el cumplimiento de los Objetivos Institucionales. 4.1.1.2 Definición de riesgos Por cada Objetivo Institucional, en CENAPI se definió entre uno y tres riesgos, los más relevantes o estratégicos, teniendo presente que, riesgo es la incertidumbre de que ocurra un evento con probable impacto negativo. En este rubro se tuvo especial cuidado en no confundir los riesgos con los factores de riesgos, los cuales son toda circunstancia o situación que aumenta la posibilidad de que un riesgo se materialice. Pág. 51 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Definido el riesgo, se clasificó de acuerdo a las perspectivas del Mapa Estratégico Institucional; es decir, en riesgo del impacto Social, de Procesos Internos, de Desarrollo de Personal e Información, y de Recursos. FIGURA 8. LISTA DE RIESGOS IDENTIFICADOS Pág. 52 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 4.2 ETAPA 2. EVALUACIÓN DE RIESGOS 4.2.1 CÁLCULO Una vez identificado y clasificado el riesgo, se procedió a: I. PASO 1. Identificar los factores genéricos de riesgo y describir de manera concreta los factores específicos aplicables, tanto internos como externos, los cuales pudieran propiciar que el riesgo se materialice. Factores genéricos de riesgo y ejemplo de factores específicos: i) Internos (1) Liderazgo (a) Falta de liderazgo para impulsar proyectos (b) Cambios de Titular (c) Falta de involucramiento del Titular (2) Estructura orgánica (a) Estructura orgánica obsoleta o inoperante (b) Plazas congeladas (c) Vacantes (d) Manuales de Organización y/o Procedimientos desactualizados (3) Recursos humanos (a) Perfiles de personal inadecuados (b) Inadecuada selección del personal (c) Falta de capacitación o actualización (d) Salarios bajos o inequitativos (e) Expedientes desactualizados Pág. 53 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. (f) Distribución desigual de personal sustantivo (g) Resistencia al cambio en las nuevas formas de operar (h) Rotación o renuncia de personal con experiencia o altamente capacitado (i) Competencia profesional limitada de los mandos medios y superiores (j) Inadecuados principios y valores del personal (4) Recursos materiales (a) Recursos insuficientes (b) Recepción inoportuna de recursos (c) Distribución inadecuada (d) Inventarios desactualizados (5) Recursos financieros (a) Presupuesto autorizado insuficiente (b) Inadecuada distribución presupuestal (c) Ministraciones inoportunas (d) Uso inadecuado de los recursos (e) Recortes en el presupuesto autorizado (f) Incremento en el presupuesto programado (g) Altos costos de operación (6) Tecnología (a) Software o hardware insuficiente u obsoleto (b) Servicio de internet intermitente (c) Distribución inadecuada de equipo (d) Baja confiabilidad de la tecnología de información (e) Grado insuficiente de sistematización de las operaciones (f) Falta de acceso a nuevas tecnologías (g) Hackeo de bases de datos (7) Condiciones de trabajo y ambiente laboral Pág. 54 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. (a) Horarios inadecuados (b) Bajos sueldos (c) Vacaciones insuficientes (d) Prestaciones insuficientes (e) Falta de estímulos y recompensas (f) Inoperatividad del servicio de carrera (g) Conflictos internos (h) Trato desigual (i) Desmotivación del personal (j) Instalaciones inadecuadas (k) Mobiliario y equipo de oficina insuficiente (8) Trabajo en equipo (a) Falta de trabajo en equipo propiciado por malas relaciones interpersonales (b) Protagonismos (c) Competencia desleal (9) Procesos (a) Inadecuada sistematización de procesos (b) Burocracia excesiva o falta de simplificación de los procesos (c) Falta de alineación a los objetivos institucionales (d) Procesos modificados, no difundidos entre todo el personal operativo (10) Aspectos jurídicos (a) Normatividad obsoleta (b) Duplicidad de normas (c) Conflicto de normas (d) Cambios frecuentes de normatividad (e) Falta de difusión de la normatividad interna Pág. 55 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. (f) Falta de análisis de los efectos y alcances de los cambios a la normatividad (g) Incumplimiento de la normatividad (11) Sistema de control interno (a) Inadecuada calidad de los controles internos en los medios, mecanismos o procedimientos para realizar las actividades que aseguren el cumplimiento de los objetivos y metas institucionales (12) Supervisión (a) Ausencia de acciones de seguimiento y evaluación para detectar desviaciones y garantizar el adecuado cumplimiento de los objetivos y metas institucionales. (13) Información (a) Inadecuada sistematización de la información. (b) Retraso en el envío de información (c) Duplicidad de información (d) Conflicto de la misma información obtenida en diferentes fuentes ii) Externos (1) Factores sociales (a) Pérdida de fuentes de empleo (b) Conflictos de diversos sectores de la población (2) Incidencia delictiva (a) Incremento de la incidencia delictiva (b) Proliferación de nuevos carteles de la droga (c) Incremento de nuevas organizaciones delictivas Pág. 56 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. (d) Nuevos “modus operandi” (3) Delincuencia organizada (a) Nivel de organización (b) Financiamiento (c) Tecnología (d) Mayor y mejor equipamiento de las organizaciones delictivas (e) Posible filtración física o lógica de la delincuencia organizada en la PGR (4) Factores políticos (a) Procesos electorales (b) Cambio de gobierno (c) Remoción de titulares (d) Cambio de políticas públicas en materia de procuración de justicia (e) Polarización de los partidos políticos en asuntos de procuración de justicia (5) Factores económicos (a) Presupuesto anual autorizado para la PGR (b) Estructura y plantilla de personal aprobadas (c) Inflación (d) Recesión económica mundial (e) Devaluación del peso (f) Baja en las bolsas internacionales (6) Participación ciudadana (a) Incremento o baja en la cultura de la denuncia (b) Prevención del delito (c) Interacción de las sociedad civil organizada con la PGR (7) Aspectos jurídicos Pág. 57 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. (a) Normatividad obsoleta o desactualizada (b) Retraso en la aprobación de nuevas iniciativas de ley en materia de procuración de justicia (c) Conflicto de leyes (8) Coordinación y colaboración con los diferentes niveles de gobierno, los poderes de la unión y otros actores clave, nacionales y extranjeros (a) Inadecuada coordinación y colaboración entre autoridades de los gobiernos estatales, municipales y la PGR, con autoridades de otros países, así como con el Poder Legislativo y Judicial, y con otras dependencias propias del Poder Ejecutivo Federal (9) Corrupción e impunidad (a) Incremento de los índices de corrupción entre el personal ministerial y policial, federal y estatal; y personal del Poder Judicial (10) Proveedores (a) Largos procesos de licitación (b) Retraso en la entrega de bienes o servicios con una calidad inferior a la contratada (11) Auditorías externas (a) Observaciones y recomendaciones emitidas por las instancias fiscalizadoras: SHCP, SFP, Auditoria Superior de la Federación (b) Reporte inoportunos o inadecuados (12) Información veraz y oportuna (a) Difusión errónea o manipulada de información por los medios de comunicación Pág. 58 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 9. FACTOR ESPECÍFICO DE RIESGO Pág. 59 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. II. PASO 2. Asignar un valor a cada factor específico en una escala de 1 a 5, donde 1 representa la probabilidad más baja de que el factor específico se produzca y motive la materialización del riesgo, y 5 representa la probabilidad más alta. Valor Probabilidad 1 Concepto Casi Factor específico de riesgo cuya probabilidad de ocurrencia es muy improbable baja, es decir, se tiene entre 1% a 25% de seguridad de que éste se presente. 2 Poco Factor específico de riesgo cuya probabilidad de ocurrencia es baja, probable es decir, se tiene entre 26% a 50% de seguridad que éste se presente. 3 Moderado Factor específico de riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 51% a 74% de seguridad que éste se presente. 4 Probable Factor específico de riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 75% a 95% de seguridad de que éste se presente. 5 Casi con Factor específico de riesgo cuya probabilidad de ocurrencia es muy certeza alta, es decir se tiene plena seguridad de que éste se presente. Tiende a un 100%. Pág. 60 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 10. VALOR DEL FACTOR ESPECÍFICO DE RIESGO Pág. 61 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. III. PASO 3. Sumar los valores asignados a los diversos factores específicos de riesgo y dividir entre el número de factores específicos identificados, a fin de determinar el promedio numérico, cuyo resultado final corresponderá a la ubicación del riesgo en el eje de probabilidad de ocurrencia (Las operaciones aritméticas de cada riesgo, se realizan automáticamente en la herramienta informática). IV. PASO 4. Evaluada la probabilidad de ocurrencia se procede a evaluar el grado de impacto, para lo cual se deberá identificar los ámbitos genéricos en que puede impactar el riesgo en caso de materializarse, tanto en lo interno como en lo externo, y describir de forma concreta los impactos específicos correspondientes. A continuación se enlistan una serie de ámbitos genéricos de impacto y ejemplos de ámbitos específicos de impacto: i) Internos (1) Cultura organizacional: fortalecimiento del trabajo individual de cada área en perjuicio del trabajo en equipo; disminución y merma en la cantidad y calidad de los productos generados por la institución; inobservancia de las garantías individuales, la igualdad de género y el respeto a los derechos humanos. (2) Servidores públicos: rezago en el desarrollo de las capacidades y competencias del personal; desmotivación a la proactividad de los servidores públicos; detrimento en la calidad de vida del personal. (3) Ambiente laboral: desmotivación del personal ante la falta de involucramiento y liderazgo de los mandos superiores en los proyectos y procesos institucionales. Pág. 62 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. (4) Sistema de control interinstitucional: deficiencias o pérdida del control interinstitucional. (5) Eficacia y eficiencia institucional: Incumplimiento de objetivos y metas institucionales; altos costos de operación (relación costo-beneficio); resultados de bajo impacto ante la falta de trabajo en equipo. ii) Externos (1) Percepción ciudadana: mala imagen institucional y/o del C. Procurador; pérdida de la credibilidad y confianza de la ciudadanía en las instituciones de procuración de justicia. (2) Incidencia delictiva e impunidad: incremento de la incidencia delictiva; fortalecimiento de las organizaciones criminales. (3) Derechos humanos, igualdad de género y garantías individuales: Incremento en las recomendaciones emitidas por la CNDH y organismos estatales competentes por violación a los derechos humanos, la igualdad de género y las garantías individuales en la actuación de los servidores públicos de la PGR. (4) Interacción con otros actores claves nacionales e internacionales: pérdida de liderazgo de la PGR entre las PGJ en la investigación y persecución de los delitos; mala imagen institucional; mala imagen entre la comunidad internacional por una inadecuada comunicación, coordinación y colaboración multilateral. (5) Involucramiento social: desinterés de las sociedad civil organizada en participar en acciones de prevención del delito; desinterés en la cultura de denuncia. Pág. 63 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. V. PASO 5. Una vez que se han determinado los ámbitos genéricos de impacto y descritos los ámbitos específicos, se procede a asignar un valor a cada impacto específico en una escala de 1 a 5, donde 1 representa el impacto más bajo en la Institución en caso de materializarse el riesgo y 5 representa el impacto más alto. VALOR IMPACTO CONCEPTO 1 INSIGNIFICANTE Impacto específico que, en caso de que el riesgo se materialice, puede tener un pequeño o nulo efecto en la Institución. 2 MENOR Impacto específico que, en caso de que el riesgo se materialice, causa daño el patrimonio o imagen, que se puede corregir en el corto tiempo y que no afecta el cumplimiento de los objetivos estratégicos. 3 MODERADO Impacto específico que, en caso de que el riesgo se materialice, causa una pérdida importante en el patrimonio o un deterioro significativamente de la imagen. Además, se requeriría una cantidad de tiempo importante de la alta dirección en investigar y corregir los daños. 4 MAYOR Impacto específico que, en caso de que el riesgo se materialice, daña significativamente el patrimonio, imagen o logro de los objetivos sociales. Además, se requeriría una cantidad importante de tiempo de la alta dirección en investigar y corregir los daños. 5 CATASTRÓFICO Impacto específico que, en caso de que el riesgo se materialice, influye directamente en el cumplimiento de la misión, pérdida patrimonial o deterioro de la imagen, dejando además sin funcionar totalmente o por un periodo importante de tiempo, los programas o servicios que entrega la institución. Pág. 64 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 11. IMPACTO ESPECÍFICO DEL RIESGO Pág. 65 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. VI. PASO 6. Sumar los valores asignados a los diversos impactos específicos y dividir entre el número de impactos específicos identificados, a fin de determinar el promedio numérico, cuyo resultado final corresponderá a la ubicación del riesgo en el eje de grado de impacto, las operaciones aritméticas de cada riesgo, se realizan de forma automática en la aplicación informática. 4.2.1 PRIORIZACIÓN VII. PASO 7. Una vez determinados y evaluados los factores de riesgo y los ámbitos de impacto, se procederá a la priorización, en donde se genera el mapa de riesgos (de manera automática al evaluar cada riesgo, en la herramienta informática) e identifica la prioridad de atención conforme a los cuadrantes del propio mapa, según se muestra en la siguiente tabla: ATENCIÓN CONCEPTO Atención Son riesgos relevantes y de alta prioridad. Pueden afectar el cumplimiento inmediata de los objetivos y metas institucionales. Deben ser eliminados o reducidos. Atención periódica De seguimiento Controlados Son riesgos significativos pero de menor impacto que los de atención inmediata. Para asegurar que su probabilidad de ocurrencia sea baja, hay que revisar los controles internos con cierta regularidad. Son riesgos menos significativos pero tienen un alto grado de impacto. Se deben revisar por lo menos dos veces al año los controles internos para comprobar que se están administrando correctamente. Son riesgos poco probables y de bajo impacto. El seguimiento y los controles internos son mínimos. Pág. 66 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 12. MAPA DE RIESGOS Pág. 67 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 4.3 ETAPA 3. ADMINISTRACIÓN DE RIESGOS 4.3.1 FORMULACIÓN I. PASO 1. Una vez identificada la prioridad de atención del riesgo, se debe elegir una estrategia para administrarlo, es decir: ESTRATEGIA CONCEPTO Evitar el Implica eliminar todos los factores específicos de riesgo para prevenir y riesgo Reducir el riesgo finalmente evitar que el riesgo se materialice. Implica eliminar el mayor número de factores específicos de riesgo para disminuir la probabilidad de que el riesgo se materialice e implementar acciones para minimizar el impacto en caso de que el riesgo ocurra. Implica aceptar el riesgo, cuando se concluye que no es posible reducirlo, Asumir el riesgo por lo que debe establecerse un plan de acción para su manejo. Esta estrategia se recomienda sólo para los riesgos de bajo impacto y baja probabilidad de ocurrencia (Controlados), nunca para los de alto impacto y alta probabilidad de ocurrencia (Atención inmediata). Implica segmentar el riesgo, canalizar la parte correspondiente al área de Compartir el competencia y asumir la propia, e implementar las acciones tendientes a riesgo minimizar la probabilidad de ocurrencia y el impacto en caso de que el riego se materialice. Implica responsabilizar a un tercero del manejo del riesgo, por tratarse de Trasferir el riesgo la instancia especializada y con experiencia relacionada con la naturaleza del riesgo; e implica implementar acciones de seguimiento para asegurar que el riesgo está siendo adecuadamente manejado por el tercero. (V.gr.: el seguro de automóviles para el parque vehicular de la institución). Pág. 68 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 13. ESTRATEGIAS PARA EL TRATAMIENTO DEL RIESGO Pág. 69 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. II. PASO 2. Determinada la estrategia para administrar el riesgo se procede a analizar las fortalezas y oportunidades a fin de considerarlas al momento de elaborar el plan de acción, a través del cual se administrará el riesgo. III. PASO 3. Se elabora un plan de acción congruente con la estrategia elegida para administrar el riesgo (evitar, reducir, asumir, compartir o transferir el riesgo) a fin de minimizar su impacto en caso de que se materialice. FIGURA 14. PLANES DE ACCIÓN PARA EL CUMPLIMIENTO DE LAS ESTRATEGIAS Pág. 70 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Cabe señalar que entre las acciones que se prevén para administrar el riesgo, se deben considerar tanto acciones para minimizar la probabilidad de ocurrencia como para minimizar el impacto en caso de que finalmente el riesgo se materialice. 4.3.2 IMPLANTACIÓN IV. PASO 4. Se realizan las gestiones necesarias ante las instancias correspondientes para ejecutar las acciones comprometidas. Es decir, que una vez que se han identificado los riesgos latentes en el CENAPI, y habiendo hecho la valuación y evaluación de los mismos (identificación de vulnerabilidades, amenazas, probabilidad de ocurrencia y valores de posibles impactos); se identifican los recursos con los que se cuenta (identificación de fortalezas y oportunidades) para poner en marcha los planes para el tratamiento de los riesgos. Aquí también, jugó un papel neurálgico la coordinación con cada una de las áreas del Centro, de modo que, los planes de acción pudieran implementarse según la forma y tiempos acordados, de manera tal, que los resultados de dicha implementación se vieran no solo reflejados en el mapa de riesgos, sino también en la disminución de la probabilidad de ocurrencia y/o valores de los impactos si estos riesgos se materializaran. En efecto, en cada plan de acción implementado, cada área tuvo un tramo de responsabilidad bastante bien acotado por las funciones encomendadas y desempeñadas, por lo que el área(s) en cuestión que presenta el riesgo tratado, implemente funcionalmente el plan de acción y el área (en la cual yo me encontraba) encargada de la planeación y seguimiento verifique la acción implementada y recabe los documentos comprobatorios necesarios para la evidencia en el sistema. Pág. 71 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 4.3.3 SEGUIMIENTO V. PASO 5. Se establecen los mecanismos de seguimiento y autocontrol que permitan asegurar que las acciones comprometidas se están cumpliendo en tiempo y forma; para administrar y controlar el riesgo. En este, paso como se mencionó en los párrafos anteriores, se da pie a la verificación y seguimiento de la implementación de las acciones para el tratamiento de cada uno de los riesgos por parte del área encargada de la recopilación de toda la información del sistema, contribuyendo no sólo la herramienta informática se mantuviera actualizada y representará realmente el estatus en el que se encontraba el Sistema de Administración de Riesgos, sino también asegurarse de que las acciones se implementarán de acuerdo a los planes realizados y, que además estén realmente contribuyendo al tratamiento de los riesgos identificados. Pág. 72 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 15. SEGUIMIENTO DE LOS RIESGOS IDENTIFICADOS Pág. 73 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. CAPÍTULO 5 RESULTADOS Y SUGERENCIAS Pág. 74 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 5.1 RESULTADOS DE LA IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS DEL CENTRO NACIONAL DE PLANEACIÓN, ANÁLISIS E INFORMACIÓN PARA EL COMBATE A LA DELINCUENCIA. El uso del Sistema de Administración de Riesgos en el CENAPI se convirtió en una herramienta clave para la toma de decisiones inmersa en la alta Dirección de este Centro de Planeación, puesto que se constituyó de primera instancia, en alineación a los objetivos institucionales y los objetivos propios del Centro. La información del Centro guardaba la característica de compartimentación, lo cual se había diseñado así, en años anteriores con la finalidad de proteger la confidencialidad de la misma. La compartimentación se refiere, a que cada área conocía solamente la parte de los trabajos que realizaban, pero no los productos finales, que eran enriquecidos con los trabajos de las demás áreas. Además de la compartimentación, la resistencia al cambio se originó debido a la idea errónea, de que éste sistema agregaba más carga de trabajo a cada una de las áreas del CENAPI, sin mostrar verdaderos beneficios o eficacia. Afortunadamente, en el desarrollo de la implementación, el personal del CENAPI, iniciando por la alta Dirección hasta los analistas, se dieron cuenta que el tener identificados los riesgos latentes en el CENAPI, y los planes y estrategias para su tratamiento, dotaba de un amplio campo de actuación para mantener la confiabilidad, integridad y disponibilidad de los activos de información, así como del personal, de los procesos, de la plataforma tecnológica, entre otros recursos para el cumplimiento de los objetivos institucionales. Pág. 75 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. FIGURA 16. RESULTADOS Y/O BENEFICIOS Alineación con Institucional el Sistema de Planeación Conocimiento del entorno interno y externo (FODA: Fortalezas, Oportunidades, Debilidades y Amenazas) Identificación objetiva de los riesgos (mapa de riesgos). Marco de control y evaluación único para conseguir una cobertura más efectiva y eficiente del tratamiento de los riesgos. Reducción de la complejidad y la carga de la gestión (definición de responsables y tiempos). Proporciona a la Alta Dirección información valiosa y fácil de entender para la toma de decisiones. Coadyuva al cumplimiento con la normatividad vigente. Proporciona Información histórica que permite evaluar el crecimiento y desarrollo de la Institución. Pág. 76 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 5.1.1 ALINEACIÓN CON EL SISTEMA DE PLANEACIÓN INSTITUCIONAL Esta alineación contempla todas y cada una de las áreas de la Procuraduría General de la República y es monitoreado por la Alta Dirección de la misma institución. La alineación permite que el CENAPI adquiera de manera visible el reconocimiento a la contribución del cumplimiento de las metas y objetivos institucionales en los que participa de manera intra e interinstitucional. 5.1.2 CONOCIMIENTO DEL ENTORNO INTERNO Y EXTERNO (FODA: FORTALEZAS, OPORTUNIDADES, DEBILIDADES Y AMENAZAS). Tal vez para las empresas privadas sea más común cada uno de los términos anteriores, aunque de algunos años atrás a la fecha, las empresas públicas han tomado parte en la implementación de las nuevas formas de administración, dónde incluye no suponer que por ser gobierno no se depende del entorno. Ahora bien, se incluye en la Planeación Estratégica de cada entidad pública, el análisis FODA, que permite prever los riesgos a los cuales se enfrenta y/o enfrentará la institución y cuáles son los recursos externos y/o internos para solventarlos. De esta misma manera, para CENAPI ha sido de gran utilidad incorporar este análisis al Sistema de Administración de Riesgos, conociendo de forma clara y precisa cada uno de los riesgos y los recursos con los que cuenta para hacerles frente. 5.1.3 IDENTIFICACIÓN OBJETIVA DE LOS RIESGOS (MAPA DE RIESGOS). El Sistema de Administración de Riesgos permite que toda la información se reúna en esquemas de diferentes niveles de información para la visualización y control de cada uno de los factores que intervienen en el mismo y que incidirán en el tratamiento de los riesgos, uno de estos esquemas que muestra la información por grado de prioridad y que permite incluso la toma de decisiones es el Mapa de Pág. 77 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Riesgos, por lo cual se considera uno de los beneficios más objetivos de la implementación de este Sistema. 5.1.4 MARCO DE CONTROL Y EVALUACIÓN ÚNICO PARA CONSEGUIR UNA COBERTURA MÁS EFECTIVA Y EFICIENTE DEL TRATAMIENTO DE LOS RIESGOS. Con el Sistema de Administración de Riesgos en el CENAPI, las amenazas y vulnerabilidades pueden ser gestionadas mediante una combinación de prevención y de los controles de detección, tácticas de anulación y aceptación, o por trasferencia a otro. Este es uno de los beneficios de mayor importancia aportado por el SAR, ya que en la implementación de los controles correspondientes o tratamiento adecuado del riesgo, descansa la parte neurálgica del Sistema. 5.1.5 REDUCCIÓN DE LA COMPLEJIDAD Y LA CARGA DE LA GESTIÓN (DEFINICIÓN DE RESPONSABLES Y TIEMPOS). Al señalar en el Sistema de Administración de Riesgos en la fase de Planes de acción los responsables de dichos planes, se clarifica el grado de responsabilidad y participación de cada área, por lo cual el cumplimiento de estas acciones se tomará como prioridad para el área de competencia. Esto contribuye de manera importante a la implementación efectiva del Sistema, pero además proporciona una visión sistémica del CENAPI, lo cual provee cultura de trabajo en equipo y conocimiento del mismo Centro de manera más objetiva. Pág. 78 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 5.1.6 PROPORCIONA A LA ALTA DIRECCIÓN INFORMACIÓN VALIOSA Y FÁCIL DE ENTENDER PARA LA TOMA DE DECISIONES. Como ya se había mencionado, la forma de presentar la información respectiva de cada riesgo identificado es muy gráfica, lo cual permite hacer presentaciones ejecutivas para la Alta Dirección y facilitar la compresión de todo el cúmulo de información para la acertada toma de decisiones, con base a los riegos identificados y a su plan de tratamiento. 5.1.7 COADYUVA AL CUMPLIMIENTO CON LA NORMATIVIDAD VIGENTE. Cada entidad pública o privada desde su constitución mantiene dentro de sus funciones cumplir con la normatividad que corresponde a sus atribuciones, de las cuales su cumplimiento depende de órganos de evaluación y regulación de las mismas. El CENAPI al ser un órgano desconcentrado de la PGR debe cumplir con la Constitución, Ley Orgánica de la PGR, el Reglamento de la Ley Orgánica de la PGR, Acuerdos y Leyes diversas, por ejemplo: la Ley del IFAI, entre otros. Dentro de los órganos de regulación que auditan las funciones y trabajos desarrollados por el CENAPI se encuentran el Órgano Interno de Control, la Auditoría Superior de la Federación, el Instituto Federal de Acceso a la Información, etc. El Sistema de Administración de Riesgos junto con el Sistema de Planeación Institucional forma parte de las directrices estipuladas dentro del marco normativo aplicable al Centro. Pág. 79 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. 5.1.8 PROPORCIONA INFORMACIÓN HISTÓRICA QUE PERMITE EVALUAR EL CRECIMIENTO Y DESARROLLO DE LA INSTITUCIÓN. No sólo la información almacenada en el Sistema de Administración de Riesgos, sino también aquélla incluida en el Sistema de Planeación Institucional. En materia de tratamiento de riesgos, toda la información de cada uno de los ejercicios de identificación de riesgos, desarrollo de los planes de tratamiento de los mismos y su evaluación y seguimiento, se encuentra en el SAR. 5.2 SUGERENCIAS PARA LA MEJORA DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI Al trabajar en la implementación del Sistema de Administración de Riesgos de los años 2009 y 2010 dentro del Centro Nacional de Planeación, Análisis e Información para el Combate a la Delincuencia, pude observar diversas áreas de oportunidad para la mejora del Sistema dentro del CENAPI, resultado del trabajo e interacción con el mismo Sistema, visto como una herramienta de apoyo, y con el desarrollo de los controles implementados en los planes de acción dentro de cada una de las áreas de competencia. Por lo anterior, a continuación se anexa una lista con las áreas de oportunidad más relevantes identificadas: 5.2.1 TRATAMIENTO DEL RIESGO Y RIESGO RESIDUAL. Dentro del tratamiento de los riesgos, como ya vimos en el presente trabajo existen diferentes opciones como son: la reducción del riesgo, la aceptación consciente y objetiva del riesgo, la transferencia del mismo y la de evitar el riesgo. Para la toma Pág. 80 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. de decisiones de cada una de estas opciones se sugiere reforzar dichas decisiones tomando en cuenta lo siguiente: 5.2.1.1 Reducción del riesgo: Para todos aquellos riesgos donde se ha elegido la opción de reducirlo, se deberán implementar los controles apropiados para aminorarlos. Los controles pueden reducir los riesgos en diferentes formas: o Reducir la probabilidad de que la vulnerabilidad sea explotada; o Reducir el impacto probable si el riesgo ocurre al detectar los eventos indeseados, reaccionando, y recuperándose de ellos. Cuando se seleccionen los controles para su implementación, un número de factores deben ser considerados: o La facilidad de uso del control; o La confiabilidad y repetibilidad del control; o La fortaleza relativa de los controles; y o Los tipos de funciones realizadas (prevención, disuasión, detección, recuperación, corrección, monitoreo y concienciación). 5.2.1.2 Aceptación consciente y objetiva del riesgo Es posible que para algunos riesgos no se puedan identificar controles o para los cuales el costo de implementación del mismo sobrepase la pérdida potencial en el caso de que el riesgo acurra. Pág. 81 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. La organización, deberá documentar esta decisión, demostrando que la alta dirección es consciente y acepta el riesgo. Es importante obtener diferentes puntos de vista antes de aceptar el riesgo (incluso de personas fuera del Centro). Cuando un riesgo sea aceptado, se deberá evaluar el peor escenario y deberá ser consultado por todos los posibles afectados para obtener su aprobación. Cuando un riesgo es inaceptable, pero los controles son demasiados costosos, se puede decidir transferir el riesgo. 5.2.1.3 Transferencia del riesgo Transferir el riesgo será una opción cuando sea difícil para la institución el reducir o controlar el riesgo a un nivel aceptable o cuando es más económico el transferirlo a un tercero. Un mecanismo para transferir el riesgo, son los seguros; sin embargo, aún existe un elemento de riesgo residual porque habrá condiciones y exclusiones que serán aplicadas dependiendo del tipo de evento. Evaluar si es transferible acorde a la normatividad que rige a la Institución, en atención a la observancia del tratamiento confidencial de la información. Otra posibilidad es el uso de terceros en outsourcing que estén adecuadamente preparados para manejar activos o procesos críticos del Centro. o En este caso, se deberá tener cuidado de que todos los requerimientos de seguridad, objetivos de control y controles estén considerados en el contrato. o Es recomendable especificar en los niveles de servicio, las actividades de seguridad a realizar y las métricas de rendimiento asociadas. Pág. 82 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. Se debe tomar en cuenta que el riesgo residual está presente y que el responsable último de la seguridad de la información e instalaciones de procesamiento de la información permanecen en el CENAPI. El considerar un modelo de outsourcing introducirá nuevos riesgos que deberán ser evaluados y gestionados por el Centro. 5.2.1.4 Evitar el riesgo Evitar el riesgo describe cualquier acción donde las actividades del Centro o la forma como se conducen las funciones del CENAPI son modificados para evitar que ocurra el riesgo. Evitar el riesgo se puede alcanzar mediante: o No conducir ciertas actividades del Centro; o Mover activos fuera de un área de riesgo; o o Decidir no procesar información particularmente sensible. Después de tomada la decisión de cuál será la forma de tratamiento del riesgo, se debe tomar en cuenta que siempre quedará un riesgo residual, que habrá que tomar en cuenta en la evaluación de la efectividad de los controles, como ya se mencionó en los casos anteriores. 5.2.1.5 Riesgo residual El riesgo residual es aquél que permanece aún después de implementados los mecanismos para el tratamiento de los riesgos. En el CENAPI, no se toma en cuenta la premisa anterior, por lo que se recomienda evaluar cada riesgo después de implementadas las opciones de tratamiento y así, analizar el riesgo residual observando las siguientes sugerencias: Se debe evaluar qué tanto ayudan a reducir el riesgo las decisiones de tratamiento del riesgo y que tanto riesgo residual permanece. Pág. 83 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. El riesgo residual puede ser difícil de evaluar, pero al menos debe hacerse un estimado para asegurar que se alcanza la protección adecuada. Si el riesgo residual es inaceptable, la Alta Dirección deberá tomar una decisión de cómo resolver esta situación. o Una opción es identificar diferentes opciones de tratamiento de riesgos, más controles, acuerdos con aseguradoras, etc., para reducir finalmente el riesgo a un nivel aceptable. Aunque generalmente es una buena práctica no tolerar riesgos inaceptables, no siempre es posible o costeable reducir el riesgo y puede ser necesario aceptarlo de manera consciente y objetiva. 5.2.2 ENLACE ENCARGADO EN CADA ÁREA En la implementación del Sistema de Administración de Riesgos en el CENAPI uno de los obstáculos para el seguimiento del mismo, fue que solo se asignan responsables para cada uno de los planes de acción, pero no hay un enlace por área que de seguimiento a todos los riesgos competentes. Por lo cual se recomienda que para mejorar la gestión y cumplir de manera más eficiente, en tiempo y forma, los planes de acción y las tareas relacionadas al seguimiento y control del Sistema, se designe a un enlace en cada una de las áreas que conforman el CENAPI. 5.2.3 CONTINUIDAD A LOS PLANES Y PROGRAMAS PESE A LOS CAMBIOS DE ADMINISTRACIÓN DE FUNCIONARIOS Dentro de cada Institución, los cambios de sus Titulares, trae consigo el relevo de los funcionarios de la Alta Dirección, lo que conlleva que los planes, proyectos y sistemas, en la gran mayoría de los casos, pierdan continuidad. Al evaluar los resultados del Sistema de Administración de Riesgos, se recomienda exponerlos a Pág. 84 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. los nuevos integrantes de la Alta Dirección para que se de continuidad al mismo y además potenciar sus fortalezas y oportunidades para crear una cultura de seguridad de la información, a la vez que se fortalece los trabajos realizados en el CENAPI en cumplimiento de las funciones encomendadas al mismo; lo anterior, por tratarse de un sistema que contempla el tratamiento de los riesgos que lo acechan, contemplando su seguimiento y control. 5.2.4 FOMENTAR LA CULTURA DEL ANÁLISIS DEL RIESGO. Para cualquier sistema, proyecto y empresa o institución, el recurso más importante, neurálgico y fundamental es el ser humano; el cual, es determinante para el éxito y permanencia de la misma Institución; por ello es de suma importancia que se haga partícipe del Sistema de Administración de Riesgos, a todas y cada una de las personas que laboran en el Centro y que colaboran en el cumplimiento de los objetivos institucionales, del valor de conocer las amenazas y vulnerabilidades a los que se enfrenta y/o enfrentará el CENAPI, y asimismo de las oportunidades y fortalezas con que cuenta, haciendo énfasis en el valor de su colaboración, agregando todos los conceptos de seguridad de la información, todo lo anterior en pláticas de concienciación al personal, información publicada en cápsulas informativas a través del correo interno institucional y del periódico digital, contribuyendo así a permear en toda la pirámide organizacional, desde los altos directivos hasta los analistas, la cultura del análisis del riesgo y de la seguridad de la información, que dicho sea de paso, ésta última es el activo más importante de este Centro de Planeación. Pág. 85 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. CONCLUSIONES Pág. 86 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. En conclusión, todo lo expuesto en el presente trabajo permite obtener los siguientes beneficios: Visualizar en un gráfico los riesgos institucionales. Pareciera mentira que un simple gráfico, pueda ofrecer una visión tan amplia y acertada de dónde está la prioridad para trabajarse de un riesgo latente, de cómo afrontarlo o si simplemente es aceptado; pero es realmente así, la visión consolidada de los riesgos y su estatus, así como de las estrategias y controles a seguir, abona en gran medida a la objetividad del sistema y del actuar en el tratamiento de los riesgos. Tomar decisiones para su administración. Una vez que se ha estudiado cada riesgo, la probabilidad de su materialización y sus impactos, genera para la Alta Dirección el insumo necesario para la toma de Decisiones, primero en cuanto al riesgo en sí, y también en cuanto a la Planeación estratégica del mismo Centro en el cumplimiento de sus funciones. Asegurar de una manera razonable el cumplimiento de metas y objetivos. El poder refiere siempre al conocimiento, cuanto más, si se habla de la radiografía de la Institución en materia de riesgos, tomando en cuenta que no se trata de una herramienta aislada sino que, cuenta con todas las bases de la planeación y sus elementos, que permiten observar desde un análisis FODA con qué se cuenta y en dónde se adolece, para cumplir con las funciones competentes; haciendo que los riesgos sean conocidos y que sus impactos estén calculados y controlados. Pág. 87 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. BIBLIOGRAFÍA Pág. 88 IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN DE RIESGOS EN EL CENAPI, PGR. PÁGINAS DE INTERNET 1. http://www.pgr.gob.mx 2. http://sar.pgr.gob.mx PUBLICACIONES 1. Acuerdo PGR-02/07-05 del COCOA, publicado en el Diario Oficial de la Federación el 7 de agosto de 2007. OTROS 1. Ley Orgánica de la PGR 2. Reglamento de la Ley Orgánica de la PGR Pág. 89