Gua Admon Del Riesgo

DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003

Versión: 4.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 1 de 32


UNIVERSIDAD NACIONAL DE Colombia

UN SIMEGE


Versión: 4.0


Página 2 de 32

PRESENTACIÓN..................................................................................................................................................... 3 1. OBJETIVO DE LA GUÍA ........................................................................................................................... 4 2. ALCANCE ................................................................................................................................................. 4 3. DEFINICIONES ......................................................................................................................................... 4 4. NORMATIVIDAD LEGAL Y REGLAMENTARIA ...................................................................................... 7 5. METODOLOGÍA ........................................................................................................................................ 8 5.1 ADMINISTRACIÓN DE RIESGOS ............................................................................................................ 8 5.1.1 DEFINICIÓN DEL CONTEXTO ................................................................................................................. 9 5.1.2 IDENTIFICACIÓN DE RIESGOS ............................................................................................................ 11 5.1.3 ANÁLISIS DEL RIESGO ......................................................................................................................... 15 5.1.4 VALORACIÓN DEL RIESGO.................................................................................................................. 19 5.1.5 DISEÑO DE CONTROLES..................................................................................................................... 19 5.1.5.1 IMPLEMENTACIÓN DE CONTROLES ................................................................................................... 21 5.1.5.2 VERIFICACIÓN DE CONTROLES ........................................................................................................... 21 5.1.5.3 ANÁLISIS DE EFECTIVIDAD ................................................................................................................. 21 5.1.6 TRATAMIENTO DE LOS RIESGOS ....................................................................................................... 24 5.1.6.1 OPCIONES DE MANEJO .......................................................................................................................... 25 5.1.6.2 ACCIONES .............................................................................................................................................. 25 5.1.6.3 MATRIZ DE RIESGOS .............................................................................................................................. 26 5.1.6.4 PLAN DE TRATAMIENTO ....................................................................................................................... 28 5.1.7 MONITOREO Y REVISIÓN ..................................................................................................................... 29 5.1.8 ACTUALIZACIÓN DEL MAPA DE RIESGOS ........................................................................................ 29 5.1.9 COMUNICACIÓN Y CONSULTA ............................................................................................................ 29 6. EVALUACIÓN DE LA GESTIÓN DEL RIESGO ............................................................................................... 30 ANEXOS ................................................................................................................................................................ 31 ANEXO 1. CLASIFICACIÓN DEL RIESGO .......................................................................................................... 31 ANEXO 2. EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE ELECTRONICO ..................................................................................................................................................... 31 ANEXO 3 EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRONICO ................................. 31 ANEXO4 EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRONICO ............................... 31


Versión: 4.0


Página 3 de 32

PRESENTACIÓN

El UN-SIMEGE, Sistema de Mejor Gestión, es un conjunto de políticas, estrategias, metodologías, técnicas y

mecanismos para mejorar la gestión y el manejo de los recursos de manera que se fortalezca la capacidad

administrativa y el desempeño de la Universidad Nacional de Colombia.

Dentro del UN - SIMEGE, la Universidad Nacional de Colombia busca implementar un modelo de administración

del riesgo con el fin de asegurar el logro de los objetivos misionales, dándole a la gestión universitaria un enfoque

lógico, estratégico y racional para lograr la calidad y la excelencia.

La administración del riesgo es un proceso ordenado, sistemático y complementario a los demás procesos de la

Universidad y busca generar las condiciones para que los servidores, en un ejercicio de autocontrol, posibiliten el

logro de los objetivos misionales de una manera efectiva, identificando las oportunidades de mejora y las

amenazas que puedan impedir el logro de los resultados propuestos.

Esta guía contiene la metodología para la administración del riesgo a desarrollar en la Universidad Nacional, que

pretende convertirse en una herramienta para la gestión estratégica de los riesgos institucionales y de cada uno

de los procesos, además de constituir el punto de partida para un ejercicio sistemático, transversal y constante

de administración estratégica, que parte de una clara intención de mejoramiento y transformación positiva,

buscando la sostenibilidad de la Universidad en el tiempo y la mejora continua en los procesos y los servicios.

La guía básica para la administración del riesgo de la Universidad Nacional de Colombia se basó en la Guía de

Administración del Riesgo expedida por el Departamento Administrativo de la Función Pública (DAFP), la Norma

Técnica Colombiana 5254 expedida por el Instituto Colombiano de Normas Técnicas (ICONTEC) y el Manual de

Implementación del Modelo Estándar de Control Interno 1000 del 2005 (MECI 1000:2005).


Versión: 4.0


Página 4 de 32

1. OBJETIVO DE LA GUÍA

Con la Guía Básica para la Administración del Riesgo, el UN-SIMEGE pretende unificar semánticamente los

conceptos que forman parte de la implementación de un modelo de administración del riesgo para la Universidad

Nacional de Colombia. Además de establecer una orientación metodológica que facilite la comprensión e

implementación de las fases de la administración del riesgo partiendo desde la identificación, análisis,

evaluación, medición, monitoreo y comunicación de los riesgos asociados a los procesos de la Universidad.

Mediante esta Guía básica adicionalmente se pretende orientar el establecimiento de los planes de tratamiento

dirigidos a la mitigación y especialmente a la prevención de los riesgos, con el fin de minimizar pérdidas e

identificar oportunidades de mejora, estableciendo las responsabilidades en la administración de riesgos, el

seguimiento y pertinencia de las políticas para su tratamiento.

2. ALCANCE

La administración del riesgo es un proceso ordenado, sistemático y transversal que se desarrolla en una seria de

etapas o fases secuenciales posibilitando el mejoramiento continuo y la toma de decisiones por lo tanto su

implementación aplica para todos los procesos de la Universidad en sus diferentes dependencias, sedes (NODOS) u

otras formas de organización interna.

3. DEFINICIONES1

3.1 ADMINISTRACIÓN DE RIESGOS: Una rama de administración que aborda las consecuencias del riesgo.

Consta de dos etapas:

ETAPA I: El diagnóstico o valoración, mediante Identificación, análisis y valoración del riesgo

ETAPA II: El manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace

seguimiento al plan de tratamiento propuesto por el grupo de trabajo, evaluado y aceptado por el líder del

equipo de gestión.

1 Definiciones tomadas: GUÍA DE ADMINISTRACIÓN DEL RIESGO – DAFP. Y la Norma Técnica Colombiana NTC 5254


Versión: 4.0


Página 5 de 32

3.2 ANÁLISIS DE RIESGO: Busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de

sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el

nivel de riesgo y las acciones que se van a implementar.

3.3 CAUSAS (interna o externa): medios, circunstancias y agentes generadores de riesgo.

3.4 CONSECUENCIAS: efecto de la ocurrencia del riesgo sobre los objetivos de la Universidad;

generalmente se da sobre las personas o los bienes materiales o inmateriales con incidencias

importantes tales como; daños físicos, fallecimiento, pérdidas económicas, de información, de bienes, de

imagen, de credibilidad y de confianza, interrupción del servicio y daño material.

3.5 CONTROLES CORRECTIVOS: Aquellos que permiten el restablecimiento de la actividad después de ser

detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su

ocurrencia.

3.6 CONTROLES PREVENTIVOS: Aquellos que actúan para eliminar las causas del riesgo para prevenir su

ocurrencia o materialización.

3.7 COMPARTIR EL RIESGO: Traslado de la responsabilidad o carga por la pérdida a otra parte, por medio

de la legislación, contratos, seguros u otros medios. La transferencia del riesgo también se puede referir

al traslado de un riesgo físico o parte del mismo a cualquier otra parte.

3.8 EVALUACIÓN DEL RIESGO: Proceso usado para determinar las prioridades de gestión del riesgo

mediante la comparación de los Resultados de la calificación y el Grado de exposición al Riesgo.

3.9 FACTIBILIDAD: Presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste

no se haya materializado.

3.10 FRECUENCIA: Número de ocasiones en el que se ha materializado el evento o puede generarse (por

ejemplo: No. de veces en un tiempo determinado)

3.11 GESTIÓN DEL RIESGO: Cultura, procesos y estructuras que se dirigen hacia la gestión audaz de las

oportunidades potenciales y los efectos adversos.

3.12 IDENTIFICACIÓN DEL RIESGO: Proceso para determinar lo que puede suceder, por qué y cómo.

3.13 IMPACTO: Grado en que las Consecuencias pueden generar perdidas a la Universidad si se llega a

materializar el riesgo.


Versión: 4.0


Página 6 de 32

3.14 MAPA DE RIESGO: Es un instrumento que permite visualizar el estado de los riesgos en cada uno de los

procesos con el fin de tomar decisiones sobre los aspectos críticos identificados en él.

3.15 PROBABILIDAD: Frecuencia (Numero de veces) en la que se podría presentar un evento o se ha

presentado y /o factibilidad (posibilidad) de que suceda el evento. La probabilidad se expresa con una

escala de valores cuantitativos y cualitativos, como por ejemplo puede calificarse como probabilidad baja,

media o alta, asignándole el valor de 1, 2 y 3 respectivamente en donde 1 indica un evento o resultado

poco posible y 3 un evento y resultado seguro.

3.16 REDUCCIÓN DEL RIESGO: Aplicación selectiva de técnicas apropiadas y principios de gestión a fin de

reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas.

3.17 RIESGO: La oportunidad de que suceda algo que tendrá impacto en los objetivos

3.18 SIMEGE ELECTRÓNICO: Software tipo web que permite la operación en línea del Sistema de Mejor

Gestión UN-SIMEGE de la Universidad Nacional de Colombia.

3.19 SEGUIMIENTO: Verificar, supervisar, observar de forma crítica, o registrar el progreso de una actividad,

acción o sistema, en forma regular, a fin de identificar cambios.

3.20 TRATAMIENTO DEL RIESGO: Selección e implementación de las opciones apropiadas para ocuparse

del Riesgo.


Versión: 4.0


Página 7 de 32

4. NORMATIVIDAD LEGAL Y REGLAMENTARIA

Tipo de documento Titulo del documento

Origen

Externa Interna

Ley 87 de 1993

Por la cual se establecen normas para el ejercicio del control

interno en las entidades y organismos del Estado y se dictan

otras disposiciones, artículo 2 literal a). Proteger los recursos de

la organización, buscando su adecuada administración ante

posibles riesgos que los afectan. Artículo 2 literal f). Definir y

aplicar medidas para prevenir los riesgos, detectar y corregir las

desviaciones que se presenten en la organización y que puedan

afectar el logro de los objetivos.

x

Ley 489 de 1998 Estatuto básico de organización y funcionamiento de la

administración pública. x

Decreto 2145 de 1999

Por el cual se dictan normas sobre el sistema nacional de control

interno de las entidades y organismos de la administración

pública del orden nacional y territorial y se dictan otras

disposiciones. Modificado parcialmente por el decreto 2593 del

2000.

x

Directiva presidencial

09 de 1999

Lineamientos para la implementación de la política de lucha

contra la corrupción. x

Decreto 1537 de 2001

Por el cual se reglamenta parcialmente la Ley 87 de 1993 en

cuanto a elementos técnicos y administrativos que fortalezcan el

sistema de control interno de las entidades y organismos del

Estado. Cuarto parágrafo. Son objetivos del sistema de control

interno (…) definir y aplicar medidas para prevenir los riesgos,

detectar y corregir las desviaciones… Artículo 3. El rol que

deben desempeñar las oficinas de control interno (…) se

enmarca en cinco tópicos (…) valoración de riesgos. Artículo 4.

Administración de riesgos. Como parte integral del

fortalecimiento de los sistemas de control interno en las

entidades publicas (…).

x

Ley 872 de 2003 Por la cual se crea el sistema de gestión de la calidad en la rama x


Versión: 4.0


Página 8 de 32

ejecutiva del poder público y en otras entidades prestadoras de

servicios.

Decreto 4110 de 2005 Por el cual se reglamenta la Ley 872 de 2003 y se adopta la

norma técnica de calidad en la gestión pública. x

Decreto 1599 de 2005 Por el cual se adopta el modelo estándar de control interno para

el Estado Colombiano x

Resolución de Rectoría

1066 del 4 septiembre

de 2007

Por la cual se crea el Sistema de mejor de Gestión de la

Universidad Nacional de Colombia. x

Resolución de Rectoría

711 de 19 de mayo

2009 se adopta MECI

Por la cual se adoptan los documentos del Sistema de mejor de

Gestión de la Universidad Nacional de Colombia. x

5. METODOLOGÍA

5.1 ADMINISTRACIÓN DE RIESGOS

La Universidad Nacional debe darle cumplimiento a su misión institucional, para lo cual gestiona diferentes

procesos y proyectos institucionales, que pueden verse afectados por la presencia de riesgos, por tanto se hace

necesario contar con un plan de acción encaminado a administrar y prevenir la ocurrencia de riesgos al interior

de la Universidad.

El adecuado manejo de los riesgos favorece el desarrollo, el crecimiento sostenible de la Universidad Nacional

de Colombia y el logro de los objetivos misionales propuestos. Por lo cual se hace necesario establecer un

proceso sistemático que busque asegurar que la Universidad se anticipe a la ocurrencia de dichos eventos.

La administración del riesgo esta compuesta por siete fases mínimas que garantizan una adecuada

implementación en el Grafico 1 se expone el proceso genérico y a lo largo de la guía se explican cada una de las

fases:


Versión: 4.0


Página 9 de 32

Gráfico 1: Proceso para la Administración del Riesgo

5.1.1 DEFINICIÓN DEL CONTEXTO

Para la formulación y operacionalización de la política de administración del riesgo es fundamental tener claridad

sobre la misión, los objetivos y la naturaleza de la Universidad, como también se debe tener en cuenta la misión

y objetivos de cada equipo de gestión y de los proceso que cada uno de ellos desarrolla, como parte de la misión

general de la Universidad, además, de tener una visión sistémica de la gestión universitaria de manera que no se

perciba la administración de riesgos como una herramienta aislada del accionar administrativo de la Universidad.

Por ende, la definición del contexto es el punto de partida de una identificación eficiente de los factores internos o

externos que pueden generar riesgos y que por lo tanto atenten contra el cumplimiento de los objetivos

institucionales.

• Definir e implementar los planes de tratamiento

• Monitoreo y Revisión

• Establecer el contexto

• Identificar los riesgos

• Analizar los riesgos

• Valorar los riesgos

• Comunicación y mejora continua

Actuar Planear

HacerVerificar


Versión: 4.0


Página 10 de 32

El análisis del contexto estratégico se realiza a partir del conocimiento e identificación de situaciones del entorno tanto de carácter social, económico, cultural, de orden público, político, legal y /o cambios tecnológicos que afectan o pueden afectar al cumplimiento de los objetivos definidos en los procesos, y las particularidades internas de la institución como la estructura organizacional, asignación presupuestal, procesos internos, tipo de vinculación de personal, entre otros.

Se recomienda la aplicación de varias herramientas y técnicas como por ejemplo: entrevistas con expertos en el

área, reuniones con directivos y con personas de todos los niveles en la Universidad, lluvias de ideas con los

integrantes de las áreas y los equipos de gestión, diagramas de flujo, herramientas de estudio “causa y efecto” y

análisis por escenarios, entre otros.

Estas herramientas deben ser tenidas en cuenta en cada fase de la Administración de Riesgos, ya que la

participación activa de los integrantes del Equipo de Gestión permitirá una correcta identificación, Análisis,

Valoración e implementación de los planes de tratamiento de los Riesgos.

Nota: La gestión de los riesgos se administra a través del módulo de Riesgos del Simege electrónico, donde

acorde a las etapas descritas se crea la matriz de riesgo asociada a los procesos institucionales de la

Universidad Nacional de Colombia.

El cual incluye las etapas asociadas como: la identificación del riesgo, con sus correspondientes características

(descripción, causas, consecuencias, agentes generadores y valoración) la asociación de controles (nivel de

implementación y evaluación de la efectividad), las acciones y los planes de tratamiento (módulo de acciones) a

ejecutar, con el fin de asegurar la efectiva gestión del riesgo.

Se debe generar el acta respectiva, como respaldo de la revisión y aprobación de la matriz de riesgos y el plan

de tratamiento incluidos en el Simege electrónico.


Versión: 4.0


Página 11 de 32

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:

- Identificar los factores externos e internos que pueden ocasionar la presencia de riesgos

- Aportar información que facilite y enriquezca las demás etapas de la administración del riesgo

5.1.2 IDENTIFICACIÓN DE RIESGOS

La fase de la identificación del riesgo debe ser permanente e interactiva, debe basarse en el resultado del

análisis del contexto estratégico y debe partir de la claridad de los objetivos de la Universidad, del proceso y de

los equipos de gestión.

La identificación del riesgo debe tener en cuenta el conocimiento previo de situaciones que han o que pueden

llegar a entorpecer u obstaculizar el cumplimiento de un objetivo, la obtención de un resultado, obtener un

producto o servicio específico, el cumplimiento de un requisito legal, organizacional o externo, y/o la satisfacción

de los usuarios en la Institución.

Se pueden tomar como referencias metodologías como causa-efecto y la espina de pescado, análisis de

escenarios, entrevistas, cuestionarios u otros.

Por cada riesgo identificado, se definen en primera instancia sus causas y efectos (consecuencia) y su

correspondiente descripción.

Para lo cual es importante conocer el detalle los siguientes conceptos:


Versión: 4.0


Página 12 de 32

Proceso: Proceso al cual se le asocian los riesgos identificados.

Objetivo del proceso: se debe tener claridad en el objetivo que se ha definido para el proceso al cual se le

están identificando los riesgos.

Riesgo: Representa la situación o evento que pueda entorpecer el normal desarrollo de las funciones del

proceso y/o entidad y afectar el logro de sus objetivos.

Los riesgos pueden clasificarse en los siguientes:

Riesgos de Cumplimiento: Situaciones o eventos que atentan el cumplimiento de requisitos internos o externos

de la Institución.

Riesgos Estratégicos: Situaciones o eventos que atentan el cumplimiento de la misión y los objetivos

estratégicos, en función de sus políticas o directrices institucionales.

Riesgos Financieros: Situaciones o eventos que atentan la sostenibilidad financiera, se relacionan con el

manejo de los recursos de la entidad, la eficiencia y transparencia en el manejo de los recursos.

Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la

entidad relacionados con su función.

Riesgos de Tecnología: Se asocian con la capacidad de la Institución para que la tecnología disponible

satisfaga las necesidades actuales y futuras de la entidad y soporten el cumplimiento de su misión.

Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores de riesgo.

Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar

un riesgo.


Versión: 4.0


Página 13 de 32

Tipos de Causas:

Talento Humano

Entradas

Método o procedimiento

Infraestructura

Recursos financieros

Gestión o Administración

Factores externos

Otros

Descripción del Riesgo: Características generales o las formas en que se observa o manifiesta el riesgo

identificado.

Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la

Universidad.

Tipos de Consecuencias:

Pérdidas económicas

Pérdida de Imagen

Insostenibilidad Financiera

Daños a la integridad Física

Llamados de Atención


Versión: 4.0


Página 14 de 32

Sanciones Judiciales

Reprocesos

Cuando se generen dudas con respecto a si se identificó un riesgo o realmente lo identificado es una causa, se

sugiere recordar la frase del riesgo

“Deb ido a _CAUSA_ puede ocu r r i r _RIESGO_ l o que con l leva r ía a _ EFECTO_ ”

Durante el proceso de identificación del riesgo se recomienda tener en cuenta la clasificación de los mismos

según los tipos de riesgos (Ver Anexo 1 CLASIFICACION DEL RIESGO)


- Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos para los Procesos y quipos de Gestión de la Universidad Nacional de Colombia.

- Describir los riesgos identificados con sus características.

- Precisar los efectos que los riesgos puedan ocasionarle a los procesos y/o a la Universidad.


Versión: 4.0


Página 15 de 32

5.1.3 ANÁLISIS DEL RIESGO

El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de ellos,

calificándolos y evaluándolos para establecer el nivel de riesgo y las acciones que conformarán el plan de

tratamiento a implementar. El análisis del riesgo dependerá de la información obtenida en el formato de

identificación de riesgos y los aportes de la comunidad universitaria en general. Es decir, la responsabilidad del

análisis será de todos los servidores públicos de la Universidad Nacional de Colombia.

Se han establecido dos aspectos a tener evaluar en el análisis de los riesgos identificados la Probabilidad y el

Impacto. La Probabilidad puede ser medida con criterios de Frecuencia, si se ha materializado por ejemplo: No.

de veces que un riesgo ha sucedido en un tiempo determinado, o de Factibilidad teniendo en cuenta la presencia

de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. El Impacto

se mide según el grado en que las consecuencias o efectos pueden perjudicar a la organización si se materializa

el riesgo.

Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:

La Calificación del Riesgo: se logra a través de la evaluación de la probabilidad de ocurrencia y el impacto de la

materialización del riesgo. Los criterios para la calificación son subjetivos, depende de la particularidad del riesgo

y los antecedentes en cada uno de los procesos y los equipos de gestión. Para fines prácticos, la Universidad

Nacional calificará los riesgos según las siguientes tablas:

VALOR DE

PROBABILIDAD

NIVEL DE

PROBABILIDAD DESCRIPCIÓN

1 Bajo (raro)

Puede ocurrir solo en circunstancias excepcionales

(Una vez en el año).

2 Medio(posible) Es posible que ocurra algunas veces (entre 1 y 5 veces en el

año).


Versión: 4.0


Página 16 de 32

3 Alto (casi cierto) Se espera que ocurra en la mayoría de las circunstancias

(mas de 8 veces al año).

Gráfico 2 Criterio para calificación de Probabilidad

VALOR DE

IMPACTO

NIVEL DE

IMPACTO DESCRIPCIÓN

5 Leve Perdidas insignificantes, menor grado de incumplimiento en metas y

objetivos

10 Moderado Perdidas considerables, posibilidad de un alto grado de

incumplimiento en metas y objetivos

20 Catastrófico Perdidas enormes, daño en la imagen de la Universidad, alto grado

de incumplimiento en metas y objetivos

Gráfico 3 Criterio para calificación de Impacto

La Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo para establecer el grado

de exposición de la Universidad y distinguir entre los riesgos aceptables, tolerables, moderados, importantes o

inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.

Con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta la matriz de calificación,

evaluación y respuesta a riesgos que contempla un análisis cualitativo, que hace referencia al uso de formas

descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia

(probabilidad). Tomando las siguientes categorías: leve (5), moderada (10) y catastrófica (20) en relación con el

impacto y alta (3), media (2) y baja (1) respecto a la probabilidad.


Versión: 4.0


Página 17 de 32

Así mismo, presenta un análisis cuantitativo, que contempla valores numéricos que contribuyen a la exactitud en

la calificación y evaluación de los riesgos.

La forma en la cual la probabilidad y el impacto son expresados y combinados en la matriz provee la evaluación

del riesgo (Ver Grafico 5).

Probabilidad Valor

Alta 3

15

Zona de Riesgo

Moderado

Evitar el Riesgo

30

Zona de Riesgo

Importante

Reducir el Riesgo

Evitar el Riesgo

Compartir o transferir

60

Zona de Riesgo

Inaceptable

Evitar el riesgo

Reducir el Riesgo


Media 2

10

Zona de Riesgo

Tolerable

Asumir el Riesgo

Reducir el Riesgo

20

Zona de Riesgo

Moderado

Reducir el riesgo

Evitar el Riesgo


40

Zona de Riesgo

Importante

Reducir el Riesgo

Evitar el Riesgo


Baja 1

5

Zona de Riesgo

Aceptable

10

Zona de Riesgo

Tolerable

Asumir el Riesgo

20

Zona de Riesgo

Moderado

Reducir el riesgo


Versión: 4.0


Página 18 de 32

Asumir el Riesgo Reducir el Riesgo Compartir o transferir

Valor 5 10 20

Impacto Leve Moderado Catastrófica

Gráfico 4 Matriz de calificación, evaluación y respuesta a los riesgos

Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz, según la celda

que ocupa, aplicando los siguientes criterios:

Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificación 5), significa que su Probabilidad es baja y su

Impacto es leve, lo cual permite a la Universidad asumirlo, es decir, el riesgo se encuentra en un nivel que puede

aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificación 60), su Probabilidad es alta y su Impacto

catastrófico, por tanto es aconsejable dar tratamiento a las causas que generan el riesgo. Es decir, se deben

implementar controles de prevención para reducir la Probabilidad del riesgo o disminuir el impacto de los efectos;

medidas de Protección para compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras

opciones que estén disponibles, las acciones que se definan como tratamiento se deben establecer a corto plazo.

Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar

medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Las medidas dependen de la

celda en la cual se ubica el riesgo, así: los Riesgos de Impacto leve y Probabilidad alta se previenen; los Riesgos

con Impacto moderado y Probabilidad leve, se reduce o se comparte el riesgo, si es posible; también es viable

combinar estas medidas.

Cuando la Probabilidad del riesgo sea media y su Impacto leve, se debe realizar un análisis del costo beneficio

con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo. Cuando el riesgo tenga una

Probabilidad baja e Impacto catastrófico se debe tratar de compartir el riesgo.


Versión: 4.0


Página 19 de 32


- Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad de la

Universidad, para cumplir su propósito.

- Medir el impacto, las consecuencias del riesgo sobre las personas, los recursos o la coordinación de

las acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los

procesos.

- Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones

pertinentes sobre su tratamiento.

5.1.4 VALORACIÓN DEL RIESGO

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles

identificados en el elemento de control, denominado “Controles”, del Subsistema de Control de Gestión del MECI,

con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa se hace

necesario tener claridad sobre los puntos de control existentes en los diferentes procesos.

5.1.5 DISEÑO DE CONTROLES

Los controles se definen como mecanismos, políticas, prácticas u otras acciones existentes que actúan para

minimizar el riesgo negativo o potenciar oportunidades positivas en la gestión del riesgo, con el fin de garantizar

el desarrollo y cumplimiento de las actividades acorde a los requisitos institucionales.

Los controles se pueden clasificar en:


Versión: 4.0


Página 20 de 32

- Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o

materialización.

- Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento

no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

Los controles acorde a su tipo, correctivo o preventivo, debe tener en cuenta la viabilidad y costo de los mismos.

La clasificación de los controles puede estar asociada a:

Controles de Gestión: Son aquellos controles orientados a garantizar el cumplimiento de las estrategias,

políticas y objetivos institucionales, dentro de los cuales se encuentran: los indicadores, evaluaciones, auditorias,

informes, comités etc.

Controles Operativos: Son aquellos controles enfocados a garantizar la ejecución de las actividades, se

encuentran soportados en los manuales, procedimientos, guías o instructivos definidos para desarrollar dicha

actividad; también hacen parte las funciones y responsabilidades determinadas al personal, la infraestructura y

todos los recursos dispuestos para la realización de dichas actividades.

Controles Legales: Son aquellos en los cuales hacen parte la normatividad interna y externa aplicable a la

Institución. Por ejemplo, Acuerdos, Resoluciones etc.

Los controles definidos pueden estar incluidos en:

Las actividades de los procedimientos.

En la realización de actividades de capacitación o sensibilización a los servidores públicos sobre

autocontrol y autoevaluación.

La evaluación al sistema de control interno de la Institución.


Versión: 4.0


Página 21 de 32

Las auditorias y los planes de mejoramiento.

5.1.5.1 IMPLEMENTACIÓN DE CONTROLES

La implementación se asocia a que estén claramente definidos, documentados, conocidos y puestos en marcha

acorde a los criterios establecidos.

5.1.5.2 VERIFICACIÓN DE CONTROLES

La verificación de su implementación se debe realizar por medio de mecanismos como seguimientos,

evaluaciones y/o auditorias, con el fin de asegurar el mantenimiento de los mismos y/o necesidad de cambio de

éstos.

5.1.5.3 ANÁLISIS DE EFECTIVIDAD

El análisis de efectividad de los controles se refleja directamente en los resultados de desempeño del proceso

asociado, el cumplimiento de la política de administración del riesgo y la ocurrencia de eventos asociados a la

materialización del riesgo.

Para una adecuada valoración del riesgo responda las siguientes preguntas:

- ¿Existen controles en el proceso o en el equipo de gestión para disminuir o evitar el riesgo?

- ¿Los controles están documentados?

- ¿Los controles se están aplicando en la actualidad?


Versión: 4.0


Página 22 de 32

- ¿El control es efectivo para minimizar el riesgo?

Una vez ha respondido proceda a realizar la valoración, así:

- Pondérelos según la siguiente tabla, teniendo en cuenta las respuestas a las preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican y son efectivos).

- Ubique en la Matriz de Calificación, Evaluación y Respuesta a los riesgos (Grafico 5), el estado final de

riesgo, de acuerdo a los resultados obtenidos en la valoración del mismo.

CRITERIOS VALORACIÓN DEL RIESGO

No existen Controles Se mantiene el resultado de la evaluación antes de

controles

Los Controles existentes no son efectivos Se mantiene el resultado de la evaluación antes de

controles

Los Controles existentes son efectivos pero

no están documentados

Cambia el resultado a una casilla inferior de la matriz de

evaluación antes de controles (el desplazamiento

depende de si el control afecta el impacto o la

probabilidad)

Los Controles existentes son efectivos y

están documentados

Pasa a escala inferior, es decir el riesgo pasa a estar en

una menor zona de riesgo (el desplazamiento depende

de si el control afecta el impacto o la probabilidad)

Gráfico 5 Tabla de Valoración de Controles.

Ejemplo:

Riesgo:

Pérdida de información debido a la entrada de un virus en la red de información de la Universidad.


Versión: 4.0


Página 23 de 32

Probabilidad:

Alta - 3, porque todos los computadores de la Universidad están conectados a la misma red.

Impacto:

Alto - 20, porque la pérdida de información conllevaría a graves consecuencias para el quehacer de la

Universidad.

Evaluación del Riesgo:

De acuerdo a la matriz de calificación y evaluación sería de 60 y se encontraría en la zona de riesgo

inaceptable.

Descripción de los controles existentes:

- Se hace backup o copias de seguridad, semanalmente.

- Se vacunan todos los programas y equipos, diariamente.

- Se guarda la información más relevante fuera de la red en un centro de información.

- ¿Los controles están documentados? SI

- ¿Se esta aplicando en la actualidad? SI

- ¿Es efectivo para minimizar el riesgo? SI

La valoración del riesgo cambia:


Versión: 4.0


Página 24 de 32

La probabilidad cambia a Media y se ubica en la zona de riesgo Moderado 10. Esto debido a la

efectividad de los controles existentes, ya que los dos primeros controles apuntan a la disminuir la

probabilidad y el último a disminuir el impacto, por lo tanto las acciones que se implementen entrarán a

reforzar los controles establecidos y a valorar la efectividad de los mismos.

Nota: En caso que los controles no se encuentren completamente implementados y su efectividad no sea la

esperada, se debe generar un plan de acción enfocado a garantizar su efectividad.


- Identificación de los controles existentes para los riesgos identificados y analizados.

- Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluación del

riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la

Universidad en caso de materializarse.

- Elaborar el mapa de riesgos para cada proceso.

5.1.6 TRATAMIENTO DE LOS RIESGOS

El tratamiento de los riesgos involucra identificar las opciones para tratar los riesgos, evaluar esas opciones

(Costo-Beneficio, Viabilidad técnica y jurídica, etc.), preparar planes para tratamiento de los riesgos e

implementarlos.


Versión: 4.0


Página 25 de 32

5.1.6.1 OPCIONES DE MANEJO

Se deben tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas

independientemente, interrelacionadas o en conjunto.

- Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera

alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por

mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un

ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los

equipos, desarrollo tecnológico, etc.

- Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de

prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método

más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles.

Se consigue mediante la optimización de los procedimientos y la implementación de controles.

- Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras

organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten

distribuir una porción del riesgo con otra Universidad, como en los contratos a riesgo compartido. Es así

como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y

de ubicación segura, en vez de dejarla concentrada en un solo lugar.

- Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que

se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y

elabora planes de contingencia para su manejo.

5.1.6.2 ACCIONES

Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser

factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de

procesos y procedimientos y cambios físicos, entre otros. La selección de las acciones más conveniente debe

considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base en los

siguientes criterios:


Versión: 4.0


Página 26 de 32

a. La valoración del riesgo

b. El balance entre el costo de la implementación de cada acción contra el beneficio de la misma.

Para la ejecución de las acciones, se deben identificar las áreas o dependencias responsables de llevarlas a

cabo, definir un cronograma y parámetros para realizar el seguimiento y verificación de las actividades

realizadas.

Las acciones definidas se describen a través de los planes de tratamiento.

Nota: Las acciones (planes de tratamiento) definidas se administran y gestionan a través del módulo de

Acciones del Simege electrónico.

5.1.6.3 MATRIZ DE RIESGOS

Las matrices de riesgo están establecidas para el cumplimiento de los objetivos de cada equipo de gestión, por lo

tanto cada uno de ellos deben identificar y controlar los riesgos de manera participativa, evidenciando la

contribución de los servidores de cada equipo en la construcción y tratamiento.

Las matrices de riesgo se construyen a partir de las características previamente descritas, en el Módulo de

Riesgos del Simege electrónico, donde se visualiza la matriz con su correspondiente información.

Información que contiene la Matriz de Riesgo:

Proceso: Hace relación al proceso al cual se le administrará los riesgos.

Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la

Universidad y le impidan el logro de sus objetivos.


Versión: 4.0


Página 27 de 32

Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.

Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de

Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de Factibilidad

teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no

se haya materializado.

Evaluación del Riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta a los riesgos

teniendo en consideración la probabilidad y el impacto de estos.

Controles existentes: especificar cuál es el control que la Universidad tiene implementado para combatir,

minimizar o prevenir el riesgo.

Valoración del Riesgo: es el resultado de determinar la vulnerabilidad de la Universidad al riesgo, luego de

confrontar la evaluación del riesgo con los controles existentes.

Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar o transferir

el riesgo; o asumir el riesgo.

Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el

riesgo y harán parte del plan de tratamiento del riesgo.

En lo relacionado con los indicadores, se establece que los indicadores que sustenten el desempeño del proceso

son los que respaldan una efectiva gestión del riesgo.


Versión: 4.0


Página 28 de 32

5.1.6.4 PLAN DE TRATAMIENTO

Los planes de tratamiento son el conjunto de actividades (acciones) encaminadas a prevenir y/o mitigar el riesgo,

las cuales comprenden su correspondiente descripción, fechas de inicio, fechas de ejecución, seguimiento y

responsables.

Nota: En caso que se materialice un riesgo, se debe generar el plan de mejoramiento (acción correctiva)

respectivo, el cual se formaliza a través del módulo de acciones del Simege Electrónico.


- Lograr un uso eficiente de los recursos.

- Garantizar la continuidad en la prestación de los servicios

- Proteger los recursos de la Universidad

- Políticas de Administración de Riesgo

- Acciones de manejo y planes de tratamiento para cada riesgo identificado

NOTA:

Elaboración del Mapa de Riesgos por proceso y el Mapa de Riesgos institucional.

El mapa de riesgos institucional contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la

Universidad Nacional de Colombia, permitiendo conocer las opciones de manejo tendientes a evitar, reducir,

transferir el riesgo; o asumirlo, y la aplicación de acciones concretadas.


Versión: 4.0


Página 29 de 32

Los Mapas de Riesgos por proceso se consolidan a través del Simege Electrónico, en la medida que cada

equipo de gestión ingrese la matriz de riesgos, con el fin de visualizar los riesgos significativos, sus controles y

las acciones especificadas, con el fin de definir las políticas de administración de riesgo por proceso y evidenciar

el cumplimiento de los planes de tratamiento definidos.

5.1.7 MONITOREO Y REVISIÓN

Es necesario monitorear continuamente los riesgos, la efectividad del plan de tratamiento, las estrategias y el

sistema de administración que se establece para controlar la implementación. Los riesgos y la efectividad de las

medidas de control necesitan ser revisadas constantemente para asegurar que las circunstancias cambiantes no

alteren las prioridades de los riesgos, la aparición de riesgos remanentes. Es importante tener en cuenta que

pocos riesgos permanecen estáticos.

Es esencial una revisión sobre la marcha para asegurar que el plan de administración mantiene su relevancia.

Pueden cambiar los factores que podrían afectar las probabilidades y consecuencias de un resultado, como

también los factores que afectan la conveniencia o costos de las distintas opciones de tratamiento. En

consecuencia, es necesario repetir regularmente el ciclo de administración de riesgos.

El seguimiento es una parte integral del plan de tratamiento de la administración de riesgos; la periodicidad de la

revisión de todos los componentes de la administración de riesgos lo determinaran al interior de cada equipo de

gestión administrador de sus riesgos.

5.1.8 ACTUALIZACIÓN DEL MAPA DE RIESGOS

Cuando el proceso evaluado presente cambios organizacionales, como objetivo, alcance y/o actividades se

deberá actualizar el mapa, teniendo como mínimo una revisión y/o actualización anual a partir de su fecha de

emisión.

5.1.9 COMUNICACIÓN Y CONSULTA

La comunicación y retroalimentación son una fase constante en cada fase del proceso de administración de

riesgos, por eso la importancia de un proceso de construcción y tratamiento participativo y colectivo. Es

primordial desarrollar un plan de comunicación de los riesgos y los tratamientos para los actores internos y


Versión: 4.0


Página 30 de 32

externos interesados en los procesos y procedimientos de cada equipo de gestión. Este plan debería encarar

aspectos relativos al riesgo en sí mismo y al proceso, además de garantizar que el flujo de información sea en

ambas direcciones que permita una asertiva toma decisiones.

Es importante la comunicación efectiva interna y externa para asegurar que aquellos responsables por

implementar la administración de riesgos logren visionar la base sobre la cual se toman las decisiones y por qué

se requieren ciertas acciones en particular.

Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, las

necesidades, aspectos y preocupaciones de cada equipo de gestión y por lo tanto de los actores interesados

para cada caso. Los interesados normalmente actúan haciendo juicios de aceptabilidad de los riesgos basados

en su percepción y experiencia.

6. EVALUACIÓN DE LA GESTIÓN DEL RIESGO

La evaluación de la efectiva gestión del riesgo se puede evidenciar a través de:

La disminución de la valoración de los riesgos significativos identificados.

El aumento del número de controles existentes.

Los resultados de la evaluación de efectividad de los controles.

La ejecución de los planes de tratamiento determinados.

La materialización del Riesgo.

Los resultados asociados al desempeño de los procesos.

El Cumplimiento de los Objetivos Institucionales.C

Elaboró: Equipo técnico

SIMEGE Revisó:

Coordinadora

General SIMEGE Aprobó: Vicerrectoria

General

Cargo: Analistas Cargo: Asesora Cargo: Vicerrectora General

Fecha: 1-1-2011 Fecha: 04-26-2011 Fecha: 04-26-2011


Versión: 4.0


Página 31 de 32

ANEXOS

ANEXO 1. CLASIFICACIÓN DEL RIESGO

ANEXO 2. EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE

ELECTRONICO

ANEXO 3 EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRONICO

ANEXO4 EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRONICO


Versión: 4.0


Página 32 de 32

ANEXO 1: CLASIFICACIÓN DEL RIESGO

RIESGOS ESTRATÉGICOS

Forma de administrar la Universidad

Cumplimiento de la misión, visión y objetivos generales

Definición de políticas, diseño y conceptualización por parte de la gerencia

RIESGOS OPERATIVOS

Aspectos operativos y técnicos de la presentación del Servicio

Deficiencias en sistemas de información

Inadecuada definición de procesos

Estructura interna de la Universidad

Oportunidades de corrupción

Incumplimiento de compromisos organizacionales y contractuales

RIESGOS FINANCIEROS

Inadecuado manejo de los recursos de la Universidad

Inadecuado manejo presupuestal

Elaboración inadecuada de los estados financieros

Pagos, Tesorería, Cartera

Y todos aquellos que puedan llevar al fracaso e inestabilidad de la Universidad

RIESGOS DE CUMPLIMIENTO

Incumplimiento de requisitos legales

Contractuales

Ética pública

Compromiso ante la comunidad


Versión: 4.0


Página 33 de 32

RIESGOS DE TECNOLOGIA

La tecnología disponible no satisfaga las necesidades de la Universidad

Equipos Inadecuados

Afectación en el cumplimiento actual y futuro de la Universidad

No permitan el cumplimiento de la misión de la Universidad.

ANEXO 2: EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE ELECTRONICO.

Características del Riesgo a incluir.


Versión: 4.0


Página 34 de 32

ANEXO 3: EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRÓNICO

Descripción del Proceso asociado al riesgo identificado.

Descripción de la valoración del Riesgo

Descripción de los controles


Versión: 4.0


Página 35 de 32

Descripción del Plan de Tratamiento

MEJORAMIENTO DEL DESARROLLO ORGANIZACIONAL

Código: U-GU-15.001.003

Versión: 4.0


Página 36 de 32

ANEXO 4: EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRÓNICO

Generación del plan de tratamiento en el módulo de acciones en el Simege Electrónico.

MEJORAMIENTO DEL DESARROLLO ORGANIZACIONAL

Código: U-GU-15.001.003

Versión: 4.0


Página 37 de 32

Gua Admon Del Riesgo

Documents

Transcript of Gua Admon Del Riesgo