CORPORACIÓN UNIFICADA NACIONAL DE

EDUCACIÓN SUPERIOR – CUN

Modelo de Gestión del Riesgo Institucional

Versión N° 00 – 15 de Julio de 2016

Bogotá, D.C / Regional.

1
 TABLA DE CONTENIDO

INTRODUCCIÓN ..............................................................................................................................3
1. MARCO TEÓRICO ...................................................................................................................4
1.1. Norma Técnica ISO 31000 ....................................................................................................... 4
1.2. Terminología ............................................................................................................................... 4
1.3. Tipología del riesgo .................................................................................................................... 5
1.4. Factores de riesgo ..................................................................................................................... 6
2. POLÍTICA PARA LA GESTIÓN DEL RIESGO ...................................................................7
3. ETAPAS PARA LA GESTIÓN DEL RIESGO ......................................................................8
3.1 Establecimiento del contexto ......................................................................................................... 8
3.2 Valoración del riesgo....................................................................................................................... 9
3.2.1 Identificación del riesgo ............................................................................................................... 9
3.2.2 Análisis del riesgo ...................................................................................................................... 10
3.2.3 Evaluación del riesgo................................................................................................................. 12
3.2.4 Valoración definitiva del riesgo ................................................................................................ 13
3.3 Acciones de Tratamiento:............................................................................................................. 14
4. MAPA DE RIESGOS DE GESTIÓN ................................................................................................. 15

2
 INTRODUCCIÓN

La nueva versión de la norma ISO 9001, versión 2015, nos resalta la necesidad de articular a la gestión
institucional, desde lo estratégico hasta lo operativo, a la Gestión del Riesgo como un componente
fundamental en la Gestión integral de la misma.

De manera explícita la norma nos referencia los siguientes aspectos:

 La organización debe determinar las cuestiones externas e internas que son pertinentes su
propósito y su dirección estratégica, y que afectan a su capacidad para lograr los resultados
previstos del sistema de gestión.

 La organización debe determinar los procesos necesarios para el sistema de gestión y su

aplicación a través de la organización, y debe, entre otros aspectos, abordar los riesgos y
oportunidades.

 Al planificar el sistema de gestión, la organización debe considerar las cuestiones referidas en el

contexto de la organización y desde la comprensión de las necesidades y expectativas de las
partes interesadas y determinar los riesgos y oportunidades que es necesario abordar con el fin
de:
o Asegurar que el sistema de gestión pueda lograr sus resultados previstos;
o Aumentar los efectos deseables;
o Prevenir o reducir efectos no deseados;
o Lograr la mejora.
 Por lo anterior, la institución debe planificar:
o Las acciones para abordar los riesgos y oportunidades;
o Y la manera de:
o Integrar e implementar las acciones en sus procesos del sistema de gestión
o Evaluar la eficacia de las acciones.

 Las acciones tomadas para abordar los riesgos y oportunidades deben ser proporcionales al
impacto potencial en la conformidad de los servicios y/o productos académicos.

Fuente: Norma Técnica Colombiana NTC-ISO 9001:2015

Además, desde la guía para la creación del Código de Buen Gobierno que ha replicado el Ministerio de
Educación Nacional – MEN, el cual recoge las disposiciones, orientaciones y obligaciones pertinentes al
Modelo Integrado de Planeación y Gestión del Estado y del Modelo de Gobierno Corporativo, Riesgo y
Control, para su creación e implementación. Entre los requisitos que nos referencia están:

 Política de Administración de riesgos, la cual describe que: “Corresponde al Equipo Directivo y a

los responsables de Área estimular la cultura de la identificación, análisis y prevención del riesgo
y definir y operacionalizar la política de Administración del riesgo, como un proceso permanente e
interactivo entre la administración y la oficina de control interno, evaluando los aspectos tanto
internos como externos que pueden llegar a representar amenaza para la consecución de los
objetivos organizacionales, con miras a establecer acciones efectivas, representadas en
actividades de control, acordadas entre los responsables de las áreas o procesos y la oficina de
control interno e integradas de manera inherente a los procedimientos”.

3
  Mapa de riesgos.

Por esto, para la CUN es importante articular en el SIGECC (Sistema Integrado de Gestión de la Calidad
Cunista) al modelo de gestión del riesgo, detallando cada uno de sus componentes de dicha
implementación.

Este documento desarrollará los conceptos, desde el referente principal que será la norma ISO 31000,
otros posibles referentes, la metodología, las matrices de trabajo, la definición de los controles, hasta los
aspectos de socialización y comunicación, desde un lenguaje sencillo, que les permitirán a todos los
colaboradores la apropiación de las directrices para la gestión del riesgo asociados a cada uno de los
procesos de la Institución.

1. MARCO TEÓRICO
1.1. Norma Técnica ISO 31000
Esta norma ayuda a generar un enfoque para mejorar la gestión del riesgo, de manera sistemática, y así,
brindar diversidad de posibilidades para que de manera integral exista una gestión que permita lograr a
cabalidad los objetivos de la institución. El documento normativo establece los procesos y principios para
la gestión del riesgo, en la que recomienda a las organizaciones el desarrollo, la implementación y el
mejoramiento continuo, como un importante componente de los Sistemas de Gestión.
Fuente: http://www.tiqal.com/iso-31000-gestion-de-riesgo-calidad-mejoramiento-continuo.

1.2. Terminología

 Análisis de riesgos: Elemento de control, que permite establecer la probabilidad de ocurrencia

de los eventos positivos y/o negativos y el impacto o sus consecuencias, calificándolos y
evaluándolos a fin de determinar la capacidad de la Institución para su aceptación y manejo.

 Asumir el riesgo: Es aceptar la pérdida residual probable y elaborar los planes de contingencia
para su manejo.

 Causas: Son los medios, circunstancias y agentes generadores de riesgos. Pueden ser internas
o externas.

 Compartir o transferir el riesgo: Se asocia con la forma de protección para disminuir las pérdidas
que ocurran luego de la materialización de un riesgo, es posible realizarlo mediante contratos,
seguros, cláusulas contractuales u otros medios.

 Consecuencia: Es el resultado de un evento expresado cualitativa o cuantitativamente, sea éste

una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad
o el proceso.

 Controles Preventivos: Aquellos que actúan para eliminar las causas del riesgo con el propósito
de prevenir su ocurrencia o materialización.

 Controles correctivos: Aquellos que permiten el restablecimiento de la actividad después de ser

detectado un evento no deseable; también permiten la modificación de las acciones que
propiciaron su ocurrencia. Conjunto de acciones tomadas para eliminar la(s) causa(s) de una no
conformidad detectada u otra situación no deseable.

 Evaluación del riesgo: Proceso utilizado para determinar las prioridades de la Administración del
Riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.

4
  Evento: Es un incidente o situación, que ocurre en un lugar determinado y durante un periodo de
tiempo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte
de una serie. Los eventos también pueden ser negativos o provenir del sub aprovechamiento de
situaciones positivas.

 Evitar el riesgo: Es tomar las medidas encaminadas a prevenir su materialización.

 Frecuencia: Medida del coeficiente de ocurrencia de un evento, expresado como la cantidad de

veces que ha ocurrido en un tiempo dado. Se aplica para medir la probabilidad del riesgo.

 Identificación de riesgos: Elemento de control, que posibilita conocer los eventos potenciales,
estén o no bajo el control de la Institución, que ponen en riesgo el logro de su Misión, estableciendo
los agentes generadores, las causas y los efectos de su ocurrencia. Se puede entender como el
proceso que permite determinar qué podría suceder, por qué sucedería y de qué manera se
llevaría a cabo.

 Mapas de Riesgos de Gestión: Denominación que comprende los Mapas de Riesgos diferentes
a los de Corrupción.

 Mapa de Riesgos: Herramienta de Gestión establecida para minimizarlos, monitorearlos,

mitigarlos, con el fin de evitar la extensión de sus efectos.

 Políticas de administración de riesgos: Elemento de control que permite estructurar criterios

orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al
interior de la Institución, bien sea, para evitarlo, reducirlo, compartirlo o asumirlo.

 Reducir el riesgo: Aplicación de controles para reducir las probabilidades de ocurrencia de un

evento.

 Riesgo: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal

desarrollo de las funciones de la entidad y afectar el logro de sus objetivos. Los objetivos
institucionales pueden estar previstos en normas, planes, programas, proyectos y/o procesos.

 Riesgo inherente: El primer análisis del riesgo. Es y consiste en aquél al que se enfrenta una
entidad en ausencia de acciones o controles por parte de la dirección para modificar su
probabilidad o impacto.

 Riesgo Residual: Es el nivel de riesgo que permanece luego de tomar medidas de tratamiento de
riesgo.

 Sistema de Administración del Riesgo: Conjunto de elementos del direccionamiento estratégico

de una entidad concerniente a la Administración del Riesgo.

 Valoración del riesgo: Elemento de control que determina el nivel o grado de exposición de la
Institución al impacto del riesgo, permitiendo estimar las prioridades para su tratamiento.
Comprende la identificación de controles, la verificación de su efectividad y el establecimiento de
prioridades para su tratamiento

1.3. Tipología del riesgo

 Riesgo de imagen o reputacional: Es la posibilidad de pérdida que incurre una entidad por
desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas
de negocios, que cause pérdida de clientes, disminución de ingresos o procesos judiciales.

Fuente: Superintendencia Financiera de Colombia. Reglas Relativas a la Administración del Riesgo Operativo
Circular Externa 041 de 2007.

5
 Riesgo financiero: Es un término amplio utilizado para referirse al riesgo asociado a cualquier forma
de financiación. El riesgo se puede entender como la posibilidad de que los beneficios obtenidos sean
menores a los esperados o de que no hay un retorno en absoluto.

 Riesgo legal: Es la posibilidad de pérdida que incurre una entidad al ser sancionada u obligada a
indemnizar daños como resultado del incumplimiento de normas o regulaciones y obligaciones
contractuales. El riesgo legal surge también como consecuencia de fallas en los contratos y
transacciones, derivadas de actuaciones malintencionadas, negligencia o actos involuntarios que
afectan la formalización o ejecución de contratos o transacciones.

Fuente: Superintendencia Financiera de Colombia. Reglas Relativas a la Administración del Riesgo Operativo
Circular Externa 041 de 2007.

 Riesgo operacional: Se refiere a las pérdidas potenciales resultantes de sistemas inadecuados, fallas
administrativas, controles defectuosos, fraude, o error humano.

Fuente: Elaboración propia basado en: Lewent (1990), Fragoso (2002), Jorion (1999), Baca (1997) y, Díaz (1996).

1.4. Factores de riesgo

Se entiende por factor de riesgo, las fuentes generadoras de eventos en las que se originan las pérdidas
por riesgo. Son factores de riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los
acontecimientos externos, entre otros

Dichos factores se deben clasificar en internos o externos, según se indica a continuación:

Internos: Hace referencia al ambiente interno en el cual la organización busca alcanzar sus objetivos.

 Materia Prima: Son los insumos necesarios para el proceso, deben ser las especificadas por las hojas
de operaciones correspondientes, chequeando la procedencia, el estado, la cantidad y la fecha de
fabricación /ingreso.

 Mano de Obra: Es el recurso humano que trabaja en un proceso, debe estar instruida y entrenada en
las operaciones, sabiendo diferenciar de un producto / servicio que cumple con todas las especificación
del que no lo es.

 Método de trabajo: Hace referencia al paso a paso que se requiere para ejecutar adecuadamente las
actividades de un proceso, identificando los elementos de entrada y los productos o servicios, para
satisfacer una necesidad.

 Máquina: Este concepto abarca el uso de máquinas, herramientas y tecnología necesaria que
interviene dentro de la ejecución de un proceso.

 Medio Ambiente: Es el conjunto de elementos de apoyo para el funcionamiento de una organización

(clima organizacional, a la seguridad de los funcionarios y a las condiciones físicas de las instalaciones,
entre otros aspectos) que se requieren para la prestación del servicio.

Externos: Son eventos asociados a la fuerza de la naturaleza, regulaciones u ocasionados por terceros,
que escapan en cuanto a su causa y origen al control de la entidad.

6
 2. POLÍTICA PARA LA GESTIÓN DEL RIESGO

La Corporación Unificada Nacional de Educación Superior toma los lineamientos de los códigos de Buen
Gobierno socializados para las instituciones de educación superior por el MEN y estipula su Política para
la gestión del Riesgo de la siguiente manera:

“Las Directivas institucionales propenderán por la cultura de la identificación, análisis y prevención del
riesgo y definen operacionalizar su administración, como un proceso permanente e interactivo entre la
gestión institucional, la oficina de Control Interno y otros entes de evaluación o control, evaluando los
aspectos tanto internos como externos que pueden llegar a representar amenaza u oportunidad para la
consecución de los objetivos organizacionales, con miras a establecer acciones efectivas, representadas
en actividades de control, acordadas entre los responsables de las áreas o procesos y la oficina de control
interno e integradas de manera inherente a los procedimientos. También se comprometen a definir,
mantener y mejorar las metodologías, los recursos y la formación del personal para el mejoramiento del
principio del autocontrol y la autorregulación de todos los aspectos y componentes de gestión institucional”.

Esta política hace parte integral del SIGECC (Sistema de Gestión Integral Cunista) y de manera
complementaria, las metodologías y demás documentos definidos en el marco o alcance de esta
propenderán por:

 La institución reconoce la importancia de gestionar adecuadamente los riesgos de manera integral,

asociados a los procesos y proyectos que se ejecuten en el sistema de gestión.

 Se expresa el compromiso, respaldo y dotación de recursos, para que esta metodología sea
implementada, documentada, revisada y divulgada a todos los procesos de la CUN.

 Todos los colaboradores deben conocer, aplicar y cumplir las normas internas y externas
relacionadas con la Administración del Riesgo.

 Los directores y responsables de los procesos y proyectos estratégicos deben documentar y

comunicar mediante los mecanismos establecidos por el SIGECC, todos los eventos que afecten
la gestión de los riesgos.

 Aplicar sobre los eventos de riesgos evidenciados y/o materializados, los procedimientos e
instrumentos que se definan en este documento.

 Dentro del proceso de fortalecimiento del Sistema Integral de Gestión es importante generar una
cultura organizacional proactiva y positiva para la gestión del riesgo.

7
 3. ETAPAS PARA LA GESTIÓN DEL RIESGO
Figura 1. Etapas del modelo

ESTABLECER CONTEXTO

MONITOREO Y REVISIÓN DEL RIESGO

RIESGO
DEL RIESGO
IDENTIFICACIÓN DEL RIESGO

COMUNICACIÓN DEL RIESGO

VALORACIÓN DEL
ANÁLISIS DEL RIESGO

VALORACIÓN
NO
EVALUACIÓN DEL RIESGO

SI

TRATAMIENTO DEL RIESGO

Fuente: Norma ISO 31000

3.1 Establecimiento del contexto

Concepto: Esta etapa es la definición de parámetros internos y externos que se han de tomar en
consideración cuando se gestiona el riesgo y el establecimiento del alcance y los criterios del riesgo para
su gestión.

Para establecer el contexto se debe tener en cuenta los ambientes interno y externo que afectan la
Institución:

 Contexto externo: Es el ambiente externo en el cual la organización busca alcanzar sus objetivos.
Incluye:
 El ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico,
natural y competitivo, bien sea internacional, nacional, regional o local.
 Las partes involucradas
 Impulsares claves y tendencias.

Fuente: Norma ISO 31000

 Contexto interno: Es el ambiente interno en el cual la organización busca alcanzar sus objetivos.
Puede incluir:

 Gobierno, estructura organizacional, funciones y responsabilidades, políticas, objetivos y

estrategias implementadas para lograrlos.
 Las capacidades entendidas como recursos y conocimiento.
 Sistemas de información.
 Cultura organizacional.
 Normas directrices y modelos adoptados por la organización.
 Formas y extensiones de las relaciones contractuales.

8
 Figura 2. Establecimiento del Contexto

Fuente: Norma ISO 31000

3.2 Valoración del riesgo

Es el proceso global para la identificación, el análisis y la evaluación de riesgo. A partir de cada riesgo se
comienza a verificar el tipo de acciones que se encuentran implementadas para mitigar el riesgo en forma
efectiva.

3.2.1 Identificación del riesgo

Es el proceso para encontrar, reconocer y describir el riesgo, incluyendo la fuente del riesgo, los eventos,
las causas y las consecuencias potenciales.

Debe ser permanente e interactiva basada en el resultado del análisis del contexto estratégico y partir de
la claridad de los objetivos de la Institución, del proceso, así como del plan, programa o proyecto que lo
requiera, para la obtención de resultados.

Tipo de riesgo: durante el proceso de identificación del riesgo se recomienda hacer una clasificación de
los mismos teniendo en cuenta los siguientes conceptos:

Se asocia con la forma en que se administra la Institución. El manejo del riesgo

Riesgo estratégico se enfoca en asuntos globales relacionados con la misión y el
Estratégico cumplimiento de los objetivos institucionales, la clara definición de políticas,
diseño y conceptualización de la institución por parte de la alta gerencia.
Comprende los riesgos relacionados tanto con la parte operativa como técnica de
la entidad, incluye riesgos provenientes de deficiencias en los sistemas de
Riesgo información, en la definición de los procesos, en la estructura de la entidad por
Operativo desarticulación entre dependencias, lo cual conduce a: ineficiencias,
oportunidades de corrupción e incumplimiento de los compromisos institucionales.

9
 Se relaciona con el manejo de los recursos de la entidad que incluyen, la ejecución
presupuestal, la elaboración de los estados financieros, los pagos, manejos de
Riesgo excedentes de Tesorería y el manejo sobre los bienes de cada entidad. De la
Financiero eficiencia y transparencia en el manejo de los recursos, así como su interacción
con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad.

Se asocia con la capacidad de la entidad para cumplir con los requisitos legales,
Riesgo de contractuales, de ética pública y en general con su compromiso ante la
Cumplimiento comunidad.
Se asocia con la capacidad de la Entidad para que la tecnología disponible
Riesgo de satisfaga las necesidades actuales y futuras de la entidad y soporte el
Tecnología cumplimiento de la misión.
Está relacionado con la percepción y la confianza por parte de la ciudadanía hacia
Riesgo de la Institución.
Imagen
Se entiende como tal la posibilidad de que por acción u omisión, mediante el uso
Riesgo de indebido del poder, de los recursos o de la información, se lesionen los intereses
corrupción de la entidad y en consecuencia del Estado, para la obtención de un beneficio
particular.

3.2.2 Análisis del riesgo

El análisis del riesgo busca establecer la probabilidad (posibilidad de ocurrencia) de los riesgos y el impacto
(sus consecuencias), clasificándolos, calificándolos y evaluándolos con el fin de obtener información para
establecer el nivel de riesgo. Ese análisis del riesgo dependerá de la información obtenida en la
identificación del riesgo y la disponibilidad de datos históricos y aportes de los servidores de la Institución.

La calificación del riesgo se logra a través de la estimación de la probabilidad de su ocurrencia y el

impacto que puede causar su materialización, acorde con los siguientes conceptos y niveles:

Probabilidad: Se entiende como la posibilidad de ocurrencia del riesgo; esta puede ser medida con
criterios de frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de
factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo,
aunque éste no se haya materializado.

NIVEL PROBABILIDAD DESCRIPCIÓN

El evento puede ocurrir solo en circunstancias excepcionales.

1 Raro
2 Improbable
3 Posible
4 Probable
5 Casi Seguro
Frecuencia: que no se ha presentado en los últimos 5 años.
El evento puede ocurrir en algún momento.
Frecuencia: al menos de 1 vez en los últimos 5 años.
El evento podría ocurrir en algún momento.
Frecuencia: es al menos de 1 vez en los últimos 2 años.
El evento probablemente ocurrirá en la mayoría de las circunstancias.
Frecuencia: al menos de 1 vez en el último año
Se espera que el evento ocurra en la mayoría de las circunstancias.
Frecuencia: más de 1 vez al año.

10
Impacto: Se entiende como las consecuencias que puede ocasionar a la organización la materialización
del riesgo.

NIVEL PROBABILIDAD DESCRIPCIÓN

Si el hecho llegara a presentarse, tendría consecuencias o efectos

1 Insignificante mínimos sobre los objetivos. (Ajuste a 1 actividad).
Si el hecho llegara a presentarse, tendría bajo impacto o efecto
2 Menor sobre los objetivos. (Genera cambios en algunos procedimientos).

Si el hecho llegara a presentarse, tendría medianas consecuencias o

3 Moderado efectos sobre los objetivos. (Genera cambios o ajustes al proceso).

Si el hecho llegara a presentarse, tendría altas consecuencias o

4 Mayor efectos sobre os objetivos. (Suspende o interrumpe parcialmente).
Si el hecho llegara a presentarse, tendría desastrosas consecuencias
5 Catastrófico o efectos sobre los objetivos. (Para el proceso).

La evaluación del riesgo se realiza al comparar los resultados de su calificación, con los criterios definidos
para establecer la Zona de Riesgo de la Institución (vista desde el proceso, así como del programa o
proyecto que lo requiera); de esta forma es posible distinguir entre los riesgos bajos, moderados, altos o
extremos y fijar las prioridades de las acciones requeridas para su tratamiento, tal y como se observa en
la siguiente matriz:

Matriz de Calificación, Evaluación y Respuesta a los Riesgos

OPCIONES DE MANEJO

B: Zona de Riesgo Baja: Asumir el riesgo

M: Zona de Riesgo Moderada: Asumir el riesgo, Reducir el riesgo
A: Zona de Riesgo Alta: Reducir el riesgo, Evitar, compartir y transferir
E: Zona de Riesgo Extrema: Reducir el riesgo, Evitar, compartir o trasferir

Al analizar la Matriz de Calificación, Evaluación y Respuestas si el riesgo se ubica en la Zona de Riesgo

Baja, significa que su Probabilidad es rara, improbable o posible y su Impacto es insignificante o menor,

11
lo cual permite a la Institución asumirlo. Es decir, el Riesgo se encuentra en un nivel que puede aceptarlo
sin necesidad de tomar otras medidas de control diferentes a las que se poseen, pues con ellas puede
controlarlo.

Si el riesgo se sitúa en cualquiera de las otras zonas (Riesgo moderado, alto o extremo) se deben tomar
medidas para llevar los Riesgos a la Zona baja o moderada, según el caso, en lo posible.

Si el riesgo se ubica en la Zona de Riesgo Extrema su Probabilidad es posible, probable o casi segura y
su Impacto es Moderado, mayor o catastrófico. Por lo tanto, es aconsejable eliminar la actividad que genera
el riesgo en la medida que sea posible.

De lo contrario se deben implementar controles de prevención para evitar la Probabilidad del riesgo, de
Protección para disminuir el Impacto o compartir o transferir el riesgo si es posible a través de pólizas de
seguros u otras opciones que estén disponibles. Las medidas dependen de la celda en la cual se ubica el
riesgo.

Siempre que el riesgo sea calificado con Impacto catastrófico la Institución debe diseñar planes de
contingencia, para protegerse en caso de su ocurrencia.

3.2.3 Evaluación del riesgo

Es el producto de confrontar los resultados de la calificación y evaluación del riesgo con los controles
identificados, con el objetivo de establecer prioridades para su manejo y fijar políticas de mitigación.

Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes, los
cuales permiten obtener información para realizar una nueva calificación de la probabilidad y del impacto,
así como la nueva zona de riesgo.

Para la Valoración de riesgos, se diligencia la Plantilla PLN06 Plantilla de Caracterización

¿Existen los Controles?: se debe responder SI o NO

Descripción del control: se asigna un número consecutivo y a continuación se realiza la descripción

concreta del control.

Tipo de control: se registra Controles Preventivos o Controles Correctivos, para precisar la clase de
control. Los controles se clasifican en: -Preventivos: aquellos que actúan para eliminar las causas del
riesgo con el propósito de prevenir su ocurrencia o materialización. - Correctivos: aquellos que permiten
el restablecimiento de la actividad, después de ser detectado un evento no deseable; también permiten la
modificación de las acciones que propiciaron su ocurrencia.

Aspecto que controla: se determina si controla la probabilidad o el impacto o los dos.

Controles. Parámetros y criterios: para ponderar de manera objetiva los controles, se tiene en cuenta
el siguiente cuadro:

12
 PARAMETROS CRITERIOS

Posee una herramienta para ejercer el control (20 puntos)

Existen manuales, instructivos o procedimientos para el manejo de la

Herramientas para
herramienta (20 puntos)
ejercer el control
En el tiempo que lleva la herramienta ha demostrado ser efectiva. (20
puntos)

Están definidos los responsables de la ejecución del control y del

seguimiento. (20 puntos)
Seguimiento al
control
La frecuencia de ejecución del control y seguimiento es adecuada. (20
puntos)

Cumple el criterio de probabilidad o impacto: se responde SI o NO.

Puntaje Probabilidad - Impacto: se determina de acuerdo a los valores asignados, con base en el
anterior cuadro, discriminando puntajes parciales y totales.

Desplazamiento en Probabilidad e Impacto: Consultando la Matriz de Calificación, Evaluación y

Respuesta a los riesgos, se determina el desplazamiento que tendrá dentro de la misma, bajo los
siguientes parámetros:

Dependiendo si el control afecta probabilidad o impacto desplazan la

RANGOS
matriz de calificación, evaluación y respuesta a los riesgos.
DE CALIFICACION DE LOS Cuadrantes a disminuir en Cuadrantes a disminuir en
CONTROLES LA PROBABILIDAD EL IMPACTO
Entre 0 - 59 0 0
Entre 60 -79 1 1

Entre 80 – 100 2 2

3.2.4 Valoración definitiva del riesgo

Probabilidad:

Se registra el nivel definitivo de Probabilidad. Si existen controles, se presentará una disminución de

cuadrantes en la Matriz de Calificación, evaluación y Respuesta a los Riesgos.

Impacto:

Se registra el nivel definitivo de Impacto. Si existen controles, se presentará una disminución de cuadrantes
en la Matriz de Calificación, Evaluación y Respuesta a los Riesgos.

Zona de riesgo definitiva:

Se evalúa haciendo uso de la Matriz de Calificación, Evaluación y Respuesta a los riesgos.

13
Opción de manejo

Sirve para definir las acciones a seguir. Se deben tener en cuenta las siguientes opciones que pueden
considerarse independientemente, interrelacionadas o en conjunto:

OPCIONES DESCRIPCION

Tomar las medidas encaminadas a prevenir la materialización del riesgo. Es siempre la

primera alternativa a considerar. Se logra cuando al interior de los procesos, planes,
programas o proyectos, se generan cambios sustanciales por mejoramiento, rediseño o
eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo
Evitar el
de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo
riesgo: de los equipos, desarrollo tecnológico, etc.
Implica tomar las medidas encaminadas a disminuir tanto la probabilidad (medidas de
prevención), como el impacto (medidas de corrección). La reducción del riesgo es
probablemente el método más sencillo y económico para superar las debilidades antes de
Reducir el aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los
riesgo: procedimientos y la implementación de controles.
Reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en
el caso de los contratos de seguros o a través de otros medios que permiten distribuir una
porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Es así
Compartir como por ejemplo, la información de gran importancia se puede duplicar y almacenar en
o transferir un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, a
el riesgo: través de la tercerización.
Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual; en
Asumir el este caso el gerente del proceso, plan, programa o proyecto, simplemente acepta la
riesgo: pérdida residual probable y elabora planes de contingencia para su manejo.

Para el manejo de los riesgos se analizan las posibles acciones a emprender, las cuales deben ser factibles
y efectivas, tales como: la implementación de la política, definición de estándares, optimización de
procesos y procedimientos y cambios físicos, entre otros. La selección de las acciones más convenientes
debe consultar la viabilidad jurídica, técnica, institucional, financiera y/o económica de éstas y se puede
realizar con base en los siguientes criterios:

a) La valoración del riesgo.

b) El balance entre el costo de la implementación de cada acción contra el beneficio de la misma.

En esta etapa se involucra la selección de una o más opciones para modificar los riesgos y la
implementación de las mismas. Una vez implementado, el tratamiento suministra controles o los modifica.

3.3 Acciones de Tratamiento:

Son aquellas medidas que se convierten en nuevos controles y la forma en que se implementarán, teniendo
en cuenta su viabilidad técnica, jurídica y financiera.

Con la realización de esta etapa se busca encauzar el accionar de la entidad hacia el uso eficiente de los
recursos, la continuidad en la prestación de los servicios y la protección de los bienes utilizados para servir
a la comunidad.

Al analizar la Matriz de Calificación, Evaluación y Respuestas, si el riesgo se ubica en la Zona de Riesgo

Baja, la acción a seguir será la de asegurar que las medidas existentes funcionen y monitorearlo
permanentemente.

14
Cuando el riesgo se ubica en Zona de Riesgo Moderada se considera que es controlable y se debe
mitigar adoptando medidas que reduzcan su probabilidad en los siguientes seis (6) meses.

Si el riesgo se encuentra en Zona de Riesgo Alta se deben adoptar medidas en los siguientes noventa
(90) días para mitigarlo, mientras tanto sólo debe afrontarse en casos especiales.

Si el riesgo se ubica en la Zona de Riesgo Extrema, es aconsejable eliminar la actividad que genera el
riesgo en la medida que sea posible o suspenderla hasta que las condiciones cambien. De lo contrario se
deben implementar controles de prevención para evitar la Probabilidad del riesgo, de Protección para
disminuir el Impacto o compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras
opciones que estén disponibles. Siempre que el riesgo sea calificado con Impacto catastrófico se deben
diseñar planes de contingencia, para protegerse en caso de su
ocurrencia.

Responsable y fecha de implementación

Se identifican las dependencias o áreas encargadas de adelantar las acciones propuestas. Se registran
las fechas para implementar las acciones por parte del equipo de trabajo.

Indicador

Se consigna el indicador diseñado para evaluar el resultado de las acciones implementadas.

Responsable y fecha de seguimiento

Se determina (n) la (s) fechas (s) en la que se realizará un monitoreo a las acciones de tratamiento (o
planes de acción) formuladas para mitigar los riesgos. En el caso de los Mapas de Riesgos por procesos,
el monitoreo se hará por parte de Gestión de Calidad de la Oficina de Desarrollo y Planeación.

4. MAPA DE RIESGOS DE GESTIÓN

Corresponde al resumen de la información registrada en la Plantilla PLN06 Plantilla de Caracterización

15