Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1
TABLA DE CONTENIDO
INTRODUCCIÓN ..............................................................................................................................3
1. MARCO TEÓRICO ...................................................................................................................4
1.1. Norma Técnica ISO 31000 ....................................................................................................... 4
1.2. Terminología ............................................................................................................................... 4
1.3. Tipología del riesgo .................................................................................................................... 5
1.4. Factores de riesgo ..................................................................................................................... 6
2. POLÍTICA PARA LA GESTIÓN DEL RIESGO ...................................................................7
3. ETAPAS PARA LA GESTIÓN DEL RIESGO ......................................................................8
3.1 Establecimiento del contexto ......................................................................................................... 8
3.2 Valoración del riesgo....................................................................................................................... 9
3.2.1 Identificación del riesgo ............................................................................................................... 9
3.2.2 Análisis del riesgo ...................................................................................................................... 10
3.2.3 Evaluación del riesgo................................................................................................................. 12
3.2.4 Valoración definitiva del riesgo ................................................................................................ 13
3.3 Acciones de Tratamiento:............................................................................................................. 14
4. MAPA DE RIESGOS DE GESTIÓN ................................................................................................. 15
2
INTRODUCCIÓN
La nueva versión de la norma ISO 9001, versión 2015, nos resalta la necesidad de articular a la gestión
institucional, desde lo estratégico hasta lo operativo, a la Gestión del Riesgo como un componente
fundamental en la Gestión integral de la misma.
La organización debe determinar las cuestiones externas e internas que son pertinentes su
propósito y su dirección estratégica, y que afectan a su capacidad para lograr los resultados
previstos del sistema de gestión.
Las acciones tomadas para abordar los riesgos y oportunidades deben ser proporcionales al
impacto potencial en la conformidad de los servicios y/o productos académicos.
Además, desde la guía para la creación del Código de Buen Gobierno que ha replicado el Ministerio de
Educación Nacional – MEN, el cual recoge las disposiciones, orientaciones y obligaciones pertinentes al
Modelo Integrado de Planeación y Gestión del Estado y del Modelo de Gobierno Corporativo, Riesgo y
Control, para su creación e implementación. Entre los requisitos que nos referencia están:
3
Mapa de riesgos.
Por esto, para la CUN es importante articular en el SIGECC (Sistema Integrado de Gestión de la Calidad
Cunista) al modelo de gestión del riesgo, detallando cada uno de sus componentes de dicha
implementación.
Este documento desarrollará los conceptos, desde el referente principal que será la norma ISO 31000,
otros posibles referentes, la metodología, las matrices de trabajo, la definición de los controles, hasta los
aspectos de socialización y comunicación, desde un lenguaje sencillo, que les permitirán a todos los
colaboradores la apropiación de las directrices para la gestión del riesgo asociados a cada uno de los
procesos de la Institución.
1. MARCO TEÓRICO
1.1. Norma Técnica ISO 31000
Esta norma ayuda a generar un enfoque para mejorar la gestión del riesgo, de manera sistemática, y así,
brindar diversidad de posibilidades para que de manera integral exista una gestión que permita lograr a
cabalidad los objetivos de la institución. El documento normativo establece los procesos y principios para
la gestión del riesgo, en la que recomienda a las organizaciones el desarrollo, la implementación y el
mejoramiento continuo, como un importante componente de los Sistemas de Gestión.
Fuente: http://www.tiqal.com/iso-31000-gestion-de-riesgo-calidad-mejoramiento-continuo.
1.2. Terminología
Asumir el riesgo: Es aceptar la pérdida residual probable y elaborar los planes de contingencia
para su manejo.
Causas: Son los medios, circunstancias y agentes generadores de riesgos. Pueden ser internas
o externas.
Compartir o transferir el riesgo: Se asocia con la forma de protección para disminuir las pérdidas
que ocurran luego de la materialización de un riesgo, es posible realizarlo mediante contratos,
seguros, cláusulas contractuales u otros medios.
Controles Preventivos: Aquellos que actúan para eliminar las causas del riesgo con el propósito
de prevenir su ocurrencia o materialización.
Evaluación del riesgo: Proceso utilizado para determinar las prioridades de la Administración del
Riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.
4
Evento: Es un incidente o situación, que ocurre en un lugar determinado y durante un periodo de
tiempo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte
de una serie. Los eventos también pueden ser negativos o provenir del sub aprovechamiento de
situaciones positivas.
Identificación de riesgos: Elemento de control, que posibilita conocer los eventos potenciales,
estén o no bajo el control de la Institución, que ponen en riesgo el logro de su Misión, estableciendo
los agentes generadores, las causas y los efectos de su ocurrencia. Se puede entender como el
proceso que permite determinar qué podría suceder, por qué sucedería y de qué manera se
llevaría a cabo.
Mapas de Riesgos de Gestión: Denominación que comprende los Mapas de Riesgos diferentes
a los de Corrupción.
Riesgo inherente: El primer análisis del riesgo. Es y consiste en aquél al que se enfrenta una
entidad en ausencia de acciones o controles por parte de la dirección para modificar su
probabilidad o impacto.
Riesgo Residual: Es el nivel de riesgo que permanece luego de tomar medidas de tratamiento de
riesgo.
Valoración del riesgo: Elemento de control que determina el nivel o grado de exposición de la
Institución al impacto del riesgo, permitiendo estimar las prioridades para su tratamiento.
Comprende la identificación de controles, la verificación de su efectividad y el establecimiento de
prioridades para su tratamiento
Fuente: Superintendencia Financiera de Colombia. Reglas Relativas a la Administración del Riesgo Operativo
Circular Externa 041 de 2007.
5
Riesgo financiero: Es un término amplio utilizado para referirse al riesgo asociado a cualquier forma
de financiación. El riesgo se puede entender como la posibilidad de que los beneficios obtenidos sean
menores a los esperados o de que no hay un retorno en absoluto.
Riesgo legal: Es la posibilidad de pérdida que incurre una entidad al ser sancionada u obligada a
indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones
contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y
transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que
afectan la formalización o ejecución de contratos o transacciones.
Fuente: Superintendencia Financiera de Colombia. Reglas Relativas a la Administración del Riesgo Operativo
Circular Externa 041 de 2007.
Riesgo operacional: Se refiere a las pérdidas potenciales resultantes de sistemas inadecuados, fallas
administrativas, controles defectuosos, fraude, o error humano.
Fuente: Elaboración propia basado en: Lewent (1990), Fragoso (2002), Jorion (1999), Baca (1997) y, Díaz (1996).
Se entiende por factor de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas
por riesgo. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los
acontecimientos externos, entre otros
Internos: Hace referencia al ambiente interno en el cual la organización busca alcanzar sus objetivos.
Materia Prima: Son los insumos necesarios para el proceso, deben ser las especificadas por las hojas
de operaciones correspondientes, chequeando la procedencia, el estado, la cantidad y la fecha de
fabricación /ingreso.
Mano de Obra: Es el recurso humano que trabaja en un proceso, debe estar instruida y entrenada en
las operaciones, sabiendo diferenciar de un producto / servicio que cumple con todas las especificación
del que no lo es.
Método de trabajo: Hace referencia al paso a paso que se requiere para ejecutar adecuadamente las
actividades de un proceso, identificando los elementos de entrada y los productos o servicios, para
satisfacer una necesidad.
Máquina: Este concepto abarca el uso de máquinas, herramientas y tecnología necesaria que
interviene dentro de la ejecución de un proceso.
Externos: Son eventos asociados a la fuerza de la naturaleza, regulaciones u ocasionados por terceros,
que escapan en cuanto a su causa y origen al control de la entidad.
6
2. POLÍTICA PARA LA GESTIÓN DEL RIESGO
La Corporación Unificada Nacional de Educación Superior toma los lineamientos de los códigos de Buen
Gobierno socializados para las instituciones de educación superior por el MEN y estipula su Política para
la gestión del Riesgo de la siguiente manera:
“Las Directivas institucionales propenderán por la cultura de la identificación, análisis y prevención del
riesgo y definen operacionalizar su administración, como un proceso permanente e interactivo entre la
gestión institucional, la oficina de Control Interno y otros entes de evaluación o control, evaluando los
aspectos tanto internos como externos que pueden llegar a representar amenaza u oportunidad para la
consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas
en actividades de control, acordadas entre los responsables de las áreas o procesos y la oficina de control
interno e integradas de manera inherente a los procedimientos. También se comprometen a definir,
mantener y mejorar las metodologías, los recursos y la formación del personal para el mejoramiento del
principio del autocontrol y la autorregulación de todos los aspectos y componentes de gestión institucional”.
Esta política hace parte integral del SIGECC (Sistema de Gestión Integral Cunista) y de manera
complementaria, las metodologías y demás documentos definidos en el marco o alcance de esta
propenderán por:
Se expresa el compromiso, respaldo y dotación de recursos, para que esta metodología sea
implementada, documentada, revisada y divulgada a todos los procesos de la CUN.
Todos los colaboradores deben conocer, aplicar y cumplir las normas internas y externas
relacionadas con la Administración del Riesgo.
Aplicar sobre los eventos de riesgos evidenciados y/o materializados, los procedimientos e
instrumentos que se definan en este documento.
Dentro del proceso de fortalecimiento del Sistema Integral de Gestión es importante generar una
cultura organizacional proactiva y positiva para la gestión del riesgo.
7
3. ETAPAS PARA LA GESTIÓN DEL RIESGO
Figura 1. Etapas del modelo
ESTABLECER CONTEXTO
VALORACIÓN DEL
ANÁLISIS DEL RIESGO
VALORACIÓN
NO
EVALUACIÓN DEL RIESGO
SI
Concepto: Esta etapa es la definición de parámetros internos y externos que se han de tomar en
consideración cuando se gestiona el riesgo y el establecimiento del alcance y los criterios del riesgo para
su gestión.
Para establecer el contexto se debe tener en cuenta los ambientes interno y externo que afectan la
Institución:
Contexto externo: Es el ambiente externo en el cual la organización busca alcanzar sus objetivos.
Incluye:
El ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico,
natural y competitivo, bien sea internacional, nacional, regional o local.
Las partes involucradas
Impulsares claves y tendencias.
Contexto interno: Es el ambiente interno en el cual la organización busca alcanzar sus objetivos.
Puede incluir:
8
Figura 2. Establecimiento del Contexto
Es el proceso global para la identificación, el análisis y la evaluación de riesgo. A partir de cada riesgo se
comienza a verificar el tipo de acciones que se encuentran implementadas para mitigar el riesgo en forma
efectiva.
Debe ser permanente e interactiva basada en el resultado del análisis del contexto estratégico y partir de
la claridad de los objetivos de la Institución, del proceso, así como del plan, programa o proyecto que lo
requiera, para la obtención de resultados.
Tipo de riesgo: durante el proceso de identificación del riesgo se recomienda hacer una clasificación de
los mismos teniendo en cuenta los siguientes conceptos:
9
Se relaciona con el manejo de los recursos de la entidad que incluyen, la ejecución
presupuestal, la elaboración de los estados financieros, los pagos, manejos de
Riesgo excedentes de Tesorería y el manejo sobre los bienes de cada entidad. De la
Financiero eficiencia y transparencia en el manejo de los recursos, así como su interacción
con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad.
Se asocia con la capacidad de la entidad para cumplir con los requisitos legales,
Riesgo de contractuales, de ética pública y en general con su compromiso ante la
Cumplimiento comunidad.
Se asocia con la capacidad de la Entidad para que la tecnología disponible
Riesgo de satisfaga las necesidades actuales y futuras de la entidad y soporte el
Tecnología cumplimiento de la misión.
Está relacionado con la percepción y la confianza por parte de la ciudadanía hacia
Riesgo de la Institución.
Imagen
Se entiende como tal la posibilidad de que por acción u omisión, mediante el uso
Riesgo de indebido del poder, de los recursos o de la información, se lesionen los intereses
corrupción de la entidad y en consecuencia del Estado, para la obtención de un beneficio
particular.
Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de
factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo,
aunque éste no se haya materializado.
10
Impacto: Se entiende como las consecuencias que puede ocasionar a la organización la materialización
del riesgo.
La evaluación del riesgo se realiza al comparar los resultados de su calificación, con los criterios definidos
para establecer la Zona de Riesgo de la Institución (vista desde el proceso, así como del programa o
proyecto que lo requiera); de esta forma es posible distinguir entre los riesgos bajos, moderados, altos o
extremos y fijar las prioridades de las acciones requeridas para su tratamiento, tal y como se observa en
la siguiente matriz:
OPCIONES DE MANEJO
11
lo cual permite a la Institución asumirlo. Es decir, el Riesgo se encuentra en un nivel que puede aceptarlo
sin necesidad de tomar otras medidas de control diferentes a las que se poseen, pues con ellas puede
controlarlo.
Si el riesgo se sitúa en cualquiera de las otras zonas (Riesgo moderado, alto o extremo) se deben tomar
medidas para llevar los Riesgos a la Zona baja o moderada, según el caso, en lo posible.
Si el riesgo se ubica en la Zona de Riesgo Extrema su Probabilidad es posible, probable o casi segura y
su Impacto es Moderado, mayor o catastrófico. Por lo tanto, es aconsejable eliminar la actividad que genera
el riesgo en la medida que sea posible.
De lo contrario se deben implementar controles de prevención para evitar la Probabilidad del riesgo, de
Protección para disminuir el Impacto o compartir o transferir el riesgo si es posible a través de pólizas de
seguros u otras opciones que estén disponibles. Las medidas dependen de la celda en la cual se ubica el
riesgo.
Siempre que el riesgo sea calificado con Impacto catastrófico la Institución debe diseñar planes de
contingencia, para protegerse en caso de su ocurrencia.
Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes, los
cuales permiten obtener información para realizar una nueva calificación de la probabilidad y del impacto,
así como la nueva zona de riesgo.
Tipo de control: se registra Controles Preventivos o Controles Correctivos, para precisar la clase de
control. Los controles se clasifican en: -Preventivos: aquellos que actúan para eliminar las causas del
riesgo con el propósito de prevenir su ocurrencia o materialización. - Correctivos: aquellos que permiten
el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la
modificación de las acciones que propiciaron su ocurrencia.
Controles. Parámetros y criterios: para ponderar de manera objetiva los controles, se tiene en cuenta
el siguiente cuadro:
12
PARAMETROS CRITERIOS
Puntaje Probabilidad - Impacto: se determina de acuerdo a los valores asignados, con base en el
anterior cuadro, discriminando puntajes parciales y totales.
Entre 80 – 100 2 2
Probabilidad:
Impacto:
Se registra el nivel definitivo de Impacto. Si existen controles, se presentará una disminución de cuadrantes
en la Matriz de Calificación, Evaluación y Respuesta a los Riesgos.
13
Opción de manejo
Sirve para definir las acciones a seguir. Se deben tener en cuenta las siguientes opciones que pueden
considerarse independientemente, interrelacionadas o en conjunto:
OPCIONES DESCRIPCION
Para el manejo de los riesgos se analizan las posibles acciones a emprender, las cuales deben ser factibles
y efectivas, tales como: la implementación de la política, definición de estándares, optimización de
procesos y procedimientos y cambios físicos, entre otros. La selección de las acciones más convenientes
debe consultar la viabilidad jurídica, técnica, institucional, financiera y/o económica de éstas y se puede
realizar con base en los siguientes criterios:
En esta etapa se involucra la selección de una o más opciones para modificar los riesgos y la
implementación de las mismas. Una vez implementado, el tratamiento suministra controles o los modifica.
Son aquellas medidas que se convierten en nuevos controles y la forma en que se implementarán, teniendo
en cuenta su viabilidad técnica, jurídica y financiera.
Con la realización de esta etapa se busca encauzar el accionar de la entidad hacia el uso eficiente de los
recursos, la continuidad en la prestación de los servicios y la protección de los bienes utilizados para servir
a la comunidad.
14
Cuando el riesgo se ubica en Zona de Riesgo Moderada se considera que es controlable y se debe
mitigar adoptando medidas que reduzcan su probabilidad en los siguientes seis (6) meses.
Si el riesgo se encuentra en Zona de Riesgo Alta se deben adoptar medidas en los siguientes noventa
(90) días para mitigarlo, mientras tanto sólo debe afrontarse en casos especiales.
Si el riesgo se ubica en la Zona de Riesgo Extrema, es aconsejable eliminar la actividad que genera el
riesgo en la medida que sea posible o suspenderla hasta que las condiciones cambien. De lo contrario se
deben implementar controles de prevención para evitar la Probabilidad del riesgo, de Protección para
disminuir el Impacto o compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras
opciones que estén disponibles. Siempre que el riesgo sea calificado con Impacto catastrófico se deben
diseñar planes de contingencia, para protegerse en caso de su
ocurrencia.
Se identifican las dependencias o áreas encargadas de adelantar las acciones propuestas. Se registran
las fechas para implementar las acciones por parte del equipo de trabajo.
Indicador
Se determina (n) la (s) fechas (s) en la que se realizará un monitoreo a las acciones de tratamiento (o
planes de acción) formuladas para mitigar los riesgos. En el caso de los Mapas de Riesgos por procesos,
el monitoreo se hará por parte de Gestión de Calidad de la Oficina de Desarrollo y Planeación.
15