Sei sulla pagina 1di 34
 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 1 de 34

GUÍA BÁSICA

ADMINISTRACIÓN DEL RIESGO

ADMINISTRACIÓN DEL RIESGO Página 1 de 34 GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO UNIVERSIDAD NACIONAL DE COLOMBIA

UNIVERSIDAD NACIONAL DE COLOMBIA

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 2 de 34

TABLA DE CONTENIDO

PRESENTACIÓN

3

1.

OBJETIVO DE LA GUIA

4

2.

ALCANCE

4

3.

DEFINICIONES

4

4.

NORMATIVIDAD LEGAL Y REGLAMENTARIA

7

5.

METODOLOGÍA

8

5.1

ADMINISTRACIÓN DE RIESGOS

8

5.1.1

DEFINICIÓN DEL CONTEXTO

9

5.1.2

IDENTIFICACIÓN DE RIESGOS:

9

5.1.3

ANÁLISIS DEL RIESGO

12

5.1.4

VALORACIÓN DEL RIESGO

16

5.1.5

TRATAMIENTO DE LOS RIESGOS

19

5.1.5.1

OPCIONES DE MANEJO

19

5.1.5.2

ACCIONES

20

5.1.5.3

MATRIZ DE RIESGOS

20

5.1.5.4

PLAN DE TRATAMIENTO

22

5.1.6

MONITOREO Y REVISIÓN

26

5.1.7

COMUNICACIÓN Y CONSULTA

26

5.1.8

VALIDACIÓN DE RIESGOS (ADAPTACIÓN, ADOPCIÓN E IDENTIFICACIÓN DE NUEVOS

RIESGOS)

27

6.

CONTROL DE CAMBIOS

28

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 3 de 34

PRESENTACIÓN

El UN-SIMEGE, Sistema de Mejor Gestión, es un conjunto de políticas, estrategias, metodologías, técnicas y mecanismos para mejorar la gestión y el manejo de los recursos de manera que se fortalezca la capacidad administrativa y el desempeño de la Universidad Nacional de Colombia.

Dentro del UN - SIMEGE, la Universidad Nacional de Colombia busca implementar un modelo de administración del riesgo con el fin de asegurar el logro de los objetivos misionales, dándole a la gestión universitaria un enfoque lógico, estratégico y racional para lograr la calidad y la excelencia.

La administración del riesgo es un proceso ordenado, sistemático y complementario a los demás procesos de la Universidad y busca generar las condiciones para que los servidores, en un ejercicio de autocontrol, posibiliten el logro de los objetivos misionales de una manera efectiva, identificando las oportunidades de mejora y las amenazas que puedan impedir el logro de los resultados propuestos.

Esta guía contiene la metodología para la administración del riesgo a desarrollar en la Universidad Nacional, que pretende convertirse en una herramienta para la gestión estratégica de los riesgos institucionales y de cada uno de los procesos, además de constituir el punto de partida para un ejercicio sistemático, transversal y constante de administración estratégica, que parte de una clara intención de mejoramiento y transformación positiva, buscando la sostenibilidad de la Universidad en el tiempo y la mejora continua en los procesos y los servicios.

La guía básica para la administración del riesgo de la Universidad Nacional de Colombia se basó en la Guía de Administración del Riesgo expedida por el Departamento Administrativo de la Función Pública (DAFP), la Norma Técnica Colombiana 5254 expedida por el Instituto Colombiano de Normas Técnicas (ICONTEC) y el Manual de Implementación del Modelo Estándar de Control Interno 1000 del 2005 (MECI 1000:2005).

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 4 de 34

1. OBJETIVO DE LA GUIA

Con la Guía Básica para la Administración del Riesgo, el UN-SIMEGE pretende unificar semánticamente los conceptos que forman parte de la implementación de un modelo de administración del riesgo para la Universidad Nacional de Colombia. Además de establecer una orientación metodológica que facilite la comprensión e implementación de las fases de la administración del riesgo partiendo desde la identificación, análisis, evaluación, medición, monitoreo y comunicación de los riesgos asociados a los procesos de la Universidad.

Mediante esta Guía básica adicionalmente se pretende orientar el establecimiento de los planes de tratamiento dirigidos a la mitigación y especialmente a la prevención de los riesgos, con el fin de minimizar pérdidas e identificar oportunidades de mejora, estableciendo las responsabilidades en la administración de riesgos, el seguimiento y pertinencia de las políticas para su tratamiento.

2. ALCANCE

La administración del riesgo es un proceso ordenado, sistemático y transversal que se desarrolla en una seria de etapas o fases secuenciales posibilitando el mejoramiento continuo y la toma de decisiones por lo tanto su implementación aplica para todos los procesos de la Universidad en sus diferentes dependencias, sedes (NODOS) u otras formas de organización interna.

3. DEFINICIONES 1

3.1 ADMINISTRACIÓN DE RIESGOS: Una rama de administración que aborda las consecuencias del riesgo. Consta de dos etapas:

ETAPA I: El diagnóstico o valoración, mediante Identificación, análisis y valoración del riesgo ETAPA II: El manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace seguimiento al plan de tratamiento propuesto por el grupo de trabajo, evaluado y aceptado por el líder del equipo de gestión.

1 Definiciones tomadas: GUÍA DE ADMINISTRACIÓN DEL RIESGO – DAFP. Y la Norma Técnica Colombiana NTC 5254

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 5 de 34

3.2 ANÁLISIS DE RIESGO: Busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.

3.3 CAUSAS (interna o externa): medios, circunstancias y agentes generadores de riesgo.

3.4 CONSECUENCIAS: efecto de la ocurrencia del riesgo sobre los objetivos de la Universidad; generalmente se da sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como; daños físicos, fallecimiento, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño material.

3.5 CONTROLES CORRECTIVOS: Aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

3.6 CONTROLES PREVENTIVOS: Aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

3.7 COMPARTIR EL RIESGO: Traslado de la responsabilidad o carga por la pérdida a otra parte, por medio de la legislación, contratos, seguros u otros medios. La transferencia del riesgo también se puede referir al traslado de un riesgo físico o parte del mismo a cualquier otra parte.

3.8 EVALUACIÓN DEL RIESGO: Proceso usado para determinar las prioridades de gestión del riesgo mediante la comparación de los Resultados de la calificación y el Grado de exposición al Riesgo.

3.9 FACTIBILIDAD: Presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

3.10 FRECUENCIA: Número de ocasiones en el que se ha materializado el evento o puede generarse (por ejemplo: No. de veces en un tiempo determinado)

3.11 GESTIÓN DEL RIESGO: Cultura, procesos y estructuras que se dirigen hacia la gestión audaz de las oportunidades potenciales y los efectos adversos.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 6 de 34

3.12 IDENTIFICACIÓN DEL RIESGO: Proceso para determinar lo que puede suceder, por qué y cómo.

3.13 IMPACTO: Grado en que las Consecuencias pueden generar perdidas a la Universidad si se llega a materializar el riesgo.

3.14 MAPA DE RIESGO: Es un instrumento que permite visualizar el estado de los riesgos en cada uno de los procesos con el fin de tomar decisiones sobre los aspectos críticos identificados en él.

3.15 PROBABILIDAD: Frecuencia (Numero de veces) en la que se podría presentar un evento o se ha presentado y /o factibilidad (posibilidad) de que suceda el evento. La probabilidad se expresa con una escala de valores cuantitativos y cualitativos, como por ejemplo puede calificarse como probabilidad baja, media o alta, asignándole el valor de 1, 2 y 3 respectivamente en donde 1 indica un evento o resultado poco posible y 3 un evento y resultado seguro.

3.16 REDUCCIÓN DEL RIESGO: Aplicación selectiva de técnicas apropiadas y principios de gestión a fin de reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas.

3.17 RIESGO: La oportunidad de que suceda algo que tendrá impacto en los objetivos

3.18 SEGUIMIENTO: Verificar, supervisar, observar de forma crítica, o registrar el progreso de una actividad, acción o sistema, en forma regular, a fin de identificar cambios.

3.19 TRATAMIENTO DEL RIESGO: Selección e implementación de las opciones apropiadas para ocuparse del Riesgo.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 7 de 34

4. NORMATIVIDAD LEGAL Y REGLAMENTARIA

Tipo de documento

 

Titulo del documento

 

Origen

Externa

Interna

Ley 87 de 1993

Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones, artículo 2 literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Artículo 2 literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos.

   
 

Estatuto

básico

de

organización

y

funcionamiento

de

la

   

Ley 489 de 1998

administración pública.

 

Decreto 2145 de

Por el cual se dictan normas sobre el sistema nacional de control interno de las entidades y organismos de la administración pública del orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el decreto 2593 del

2000.

   

1999

Directiva presidencial 09 de 1999

Lineamientos para la implementación de la política de lucha contra la corrupción.

   

Decreto 1537 de

Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado. Cuarto parágrafo. Son objetivos del sistema de control interno (…) definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones… Artículo 3. El rol que deben desempeñar las oficinas de control interno (…) se enmarca en cinco tópicos (…) valoración de riesgos. Artículo 4. Administración de riesgos. Como parte integral del fortalecimiento de los sistemas de control interno en las entidades publicas (…).

   

2001

Ley 872 de 2003

Por la cual se crea el sistema de gestión de la calidad en la rama ejecutiva del poder público y en otras entidades prestadoras de servicios.

   

Decreto 4110 de

Por el cual se reglamenta la Ley 872 de 2003 y se adopta la

   

2005

norma técnica de calidad en la gestión pública.

 

Decreto 1599 de

Por el cual se adopta el modelo estándar de control interno para

   

2005

el Estado Colombiano

 
 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 8 de 34

5.

METODOLOGÍA

5.1 ADMINISTRACIÓN DE RIESGOS

La Universidad Nacional debe darle cumplimiento a su misión institucional, para lo cual gestiona diferentes procesos y proyectos institucionales, que pueden verse afectados por la presencia de riesgos, por tanto se hace necesario contar con un plan de acción encaminado a administrar y prevenir la ocurrencia de riesgos al interior de la Universidad.

El adecuado manejo de los riesgos favorece el desarrollo, el crecimiento sostenible de la Universidad Nacional de Colombia y el logro de los objetivos misionales propuestos. Por lo cual se hace necesario establecer un proceso sistemático que busque asegurar que la Universidad se anticipe a la ocurrencia de dichos eventos. La administración del riesgo esta compuesta por siete fases mínimas que garantizan una adecuada implementación en el Grafico 1 se expone el proceso genérico y a lo largo de la guía se explican cada una de las fases:

y a lo largo de la guía se explican cada una de las fases: Gráfico 1:
y a lo largo de la guía se explican cada una de las fases: Gráfico 1:
y a lo largo de la guía se explican cada una de las fases: Gráfico 1:

Gráfico 1: Proceso para la Administración del Riesgo

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 9 de 34

5.1.1 DEFINICIÓN DEL CONTEXTO

Para la formulación y operacionalización de la política de administración del riesgo es fundamental tener claridad sobre la misión, los objetivos y la naturaleza de la Universidad. Además, de tener una visión sistémica de la gestión universitaria de manera que no se perciba la administración de riesgos como una herramienta aislada del accionar administrativo de la Universidad. Por ende, la definición del contexto es el punto de partida de una identificación eficiente de los factores internos o externos que pueden generar riesgos y que por lo tanto atenten contra el cumplimiento de los objetivos institucionales.

El análisis del contexto estratégico se realiza a partir del conocimiento de situaciones del entorno tanto de carácter social, económico, cultural, de orden público, político, legal y /o cambios tecnológicos, entre otros.

Se recomienda la aplicación de varias herramientas y técnicas como por ejemplo: entrevistas con expertos en el área, reuniones con directivos y con personas de todos los niveles en la Universidad, lluvias de ideas con los integrantes de las áreas y los equipos de gestión, diagramas de flujo, herramientas de estudio “causa y efecto” y análisis por escenarios, entre otros.

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:

- Identificar los factores externos e internos que pueden ocasionar la presencia de riesgos

- Aportar información que facilite y enriquezca las demás etapas de la administración del riesgo

5.1.2 IDENTIFICACIÓN DE RIESGOS:

La fase de la identificación del riesgo debe ser permanente e interactiva, debe basarse en el resultado del análisis del contexto estratégico y debe partir de la claridad de los objetivos de la Universidad, del proceso y de los equipos de gestión.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 10 de 34

El instrumento para que todos los servidores de la Universidad conozcan y visualicen las causas, los riesgos y los efectos, es el formato de identificación de riesgos (U-FT-15.004.004.001) que se muestra a continuación.

(U-FT-15.004.004.001) que se muestra a continuación. Gráfico 2. Formato de id entificación de riesgos Este

Gráfico 2. Formato de identificación de riesgos

Este formato permite hacer un inventario de los riesgos, definiendo en primera instancia las causas o factores de riesgo, tanto internos como externos. Seguido por los riesgos, presentando una descripción de cada uno de estos y finalmente definiendo los posibles efectos.

Para un adecuado manejo del formato de identificación del riesgo es importante conocer con más detalle los siguientes conceptos:

Proceso: Nombre del proceso

Objetivo del proceso: se debe transcribir el objetivo que se ha definido para el proceso al cual se le están identificando los riesgos.

Riesgo: Representa la situación o evento que pueda entorpecer el normal desarrollo de las funciones del proceso y/o entidad y afectar el logro de sus objetivos.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 11 de 34

Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo; se pueden clasificar en varias categorías: personas (calidad, competencia, suficiencia), materiales (calidad de los insumos), Comités (directrices), método (procedimiento), instalaciones (infraestructura) y entorno (ambiente social, económico, cultural).

Descripción: se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.

Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la Universidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos, fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.

Cuando se generen dudas con respecto a si se identificó un riesgo o realmente lo identificado es una causa, se sugiere recordar la frase del riesgo

“Debido a _CAUSA_ puede ocurrir _RIESGO_ lo que conllevaría a _EFECTO_

Durante el proceso de identificación del riesgo se recomienda tener en cuenta la clasificación de los mismos según los tipos de riesgos (Ver Anexo 1 CLASIFICACION DEL RIESGO)

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:

- Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos para la Universidad.

- Describir los riesgos identificados con sus características.

- Precisar los efectos que los riesgos puedan ocasionarle a los procesos y/o a la Universidad.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 12 de 34

5.1.3 ANÁLISIS DEL RIESGO

El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de ellos, calificándolos y evaluándolos para establecer el nivel de riesgo y las acciones que conformarán el plan de tratamiento a implementar. El análisis del riesgo dependerá de la información obtenida en el formato de identificación de riesgos y los aportes de la comunidad universitaria en general. Es decir, la responsabilidad del análisis será de todos los servidores públicos de la Universidad Nacional de Colombia.

Se han establecido dos aspectos a tener evaluar en el análisis de los riesgos identificados la Probabilidad y el Impacto. La Probabilidad puede ser medida con criterios de Frecuencia, si se ha materializado por ejemplo: No. de veces que un riesgo ha sucedido en un tiempo determinado, o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. El Impacto se mide según el grado en que las consecuencias o efectos pueden perjudicar a la organización si se materializa el riesgo.

Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:

La Calificación del Riesgo: se logra a través de la evaluación de la probabilidad de ocurrencia y el impacto de la materialización del riesgo. Los criterios para la calificación son subjetivos, depende de la particularidad del riesgo y los antecedentes en cada uno de los procesos y los equipos de gestión. Para fines prácticos, la Universidad Nacional calificará los riesgos según las siguientes tablas:

VALOR DE

PROBABILIDAD

NIVEL DE

PROBABILIDAD

DESCRIPCIÓN

1

2

3

Puede ocurrir solo en circunstancias excepcionales

(Una vez en el año).

Bajo (raro)

Medio(posible)

Es posible que ocurra algunas veces (entre 1 y 5 veces

en el año).

Alto (casi cierto)

Se espera que ocurra en la mayoría de las

circunstancias (mas de 8 veces al año).

Gráfico 3 Criterio para calificación de Probabilidad

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 13 de 34

VALOR DE

NIVEL DE

DESCRIPCIÓN

IMPACTO

IMPACTO

5

 

Perdidas insignificantes, menor grado de incumplimiento en

Leve

metas y objetivos

10

 

Perdidas considerables, posibilidad de un alto grado de

Moderado

incumplimiento en metas y objetivos

20

 

Perdidas enormes, daño en la imagen de la Universidad, alto

Catastrófico

grado de incumplimiento en metas y objetivos

Gráfico 4 Criterio para calificación de Impacto

La Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo para establecer el grado de exposición de la Universidad y distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.

Con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta la matriz de calificación, evaluación y respuesta a riesgos que contempla un análisis cualitativo, que hace referencia al uso de formas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Tomando las siguientes categorías: leve (5), moderada (10) y catastrófica (20) en relación con el impacto y alta (3), media (2) y baja (1) respecto a la probabilidad.

Así mismo, presenta un análisis cuantitativo, que contempla valores numéricos que contribuyen a la exactitud en la calificación y evaluación de los riesgos.

La forma en la cual la probabilidad y el impacto son expresados y combinados en la matriz provee la evaluación del riesgo (Ver Grafico 5)

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 14 de 34

Probabilidad

Valor

 
   

15

30

60

Alta

3

Zona de Riesgo Moderado

Zona de Riesgo Importante

Zona de Riesgo Inaceptable

Evitar el Riesgo

Reducir el Riesgo Evitar el Riesgo Compartir o transferir

Evitar el riesgo Reducir el Riesgo Compartir o transferir

   

10

20

40

Media

2

Zona de Riesgo Tolerable

Zona de Riesgo Moderado

Zona de Riesgo Importante

Asumir el Riesgo Reducir el Riesgo

Reducir el riesgo Evitar el Riesgo Compartir o transferir

Reducir el Riesgo Evitar el Riesgo Compartir o transferir

   

5

10

20

Baja

1

Zona de Riesgo Aceptable

Zona de Riesgo Tolerable

Zona de Riesgo Moderado

Asumir el Riesgo

Asumir el Riesgo Reducir el Riesgo

Reducir el riesgo Compartir o transferir

 

Valor

5

10

20

Impacto

Leve

Moderado

Catastrófica

Gráfico 5 Matriz de calificación, evaluación y respuesta a los riesgos

Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz, según la celda que ocupa, aplicando los siguientes criterios:

Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificación 5), significa que su Probabilidad es baja y su Impacto es leve, lo cual permite a la Universidad asumirlo, es decir, el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 15 de 34

Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificación 60), su Probabilidad es alta y su Impacto catastrófico, por tanto es aconsejable dar tratamiento a las causas que generan el riesgo. Es decir, se deben implementar controles de prevención para reducir la Probabilidad del riesgo o disminuir el impacto de los efectos; medidas de Protección para compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras opciones que estén disponibles.

Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Las medidas dependen de la celda en la cual se ubica el riesgo, así: los Riesgos de Impacto leve y Probabilidad alta se previenen; los Riesgos con Impacto moderado y Probabilidad leve, se reduce o se comparte el riesgo, si es posible; también es viable combinar estas medidas.

Cuando la Probabilidad del riesgo sea media y su Impacto leve, se debe realizar un análisis del costo beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo. Cuando el riesgo tenga una Probabilidad baja e Impacto catastrófico se debe tratar de compartir el riesgo.

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:

- Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad de la Universidad, para cumplir su propósito.

- Medir el impacto, las consecuencias del riesgo sobre las personas, los recursos o la coordinación de las acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los procesos.

- Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes sobre su tratamiento.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 16 de 34

5.1.4 VALORACIÓN DEL RIESGO

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados en el elemento de control, denominado “Controles”, del Subsistema de Control de Gestión del MECI, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos.

Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en:

- Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización.

- Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

Para una adecuada valoración del riesgo responda las siguientes preguntas:

- ¿Existen controles en el proceso o en el equipo de gestión para disminuir o evitar el riesgo?

- ¿Los controles están documentados?

- ¿Los controles se están aplicando en la actualidad?

- ¿El control es efectivo para minimizar el riesgo?

Una vez ha respondido proceda a realizar la valoración, así:

- Pondérelos según la siguiente tabla, teniendo en cuenta las respuestas a las preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican y son efectivos).

- Ubique en la Matriz de Calificación, Evaluación y Respuesta a los riesgos (Grafico 5), el estado final de riesgo, de acuerdo a los resultados obtenidos en la valoración del mismo.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 17 de 34

CRITERIOS

VALORACIÓN DEL RIESGO

No existen Controles

Se mantiene el resultado de la evaluación antes de controles

Los Controles existentes no son efectivos

Se mantiene el resultado de la evaluación antes de controles

Los Controles existentes son efectivos pero no están documentados

Cambia el resultado a una casilla inferior de la matriz de evaluación antes de controles (el desplazamiento depende de si el control afecta el impacto o la probabilidad)

Los Controles existentes son efectivos y están documentados

Pasa a escala inferior, es decir el riesgo pasa a estar en una menor zona de riesgo (el desplazamiento depende de si el control afecta el impacto o la probabilidad)

Gráfico 6 Tabla de Valoración de Controles

Ejemplo:

Riesgo:

Pérdida de información debido a la entrada de un virus en la red de información de la Universidad.

Probabilidad:

Alta - 3, porque todos los computadores de la Universidad están conectados a la misma red.

Impacto:

Alto - 20, porque la pérdida de información conllevaría a graves consecuencias para el quehacer de la Universidad.

Evaluación del Riesgo:

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 18 de 34

De acuerdo a la matriz de calificación y evaluación sería de 60 y se encontraría en la zona de riesgo inaceptable.

Descripción de los controles existentes:

- Se hace backup o copias de seguridad, semanalmente.

- Se vacunan todos los programas y equipos, diariamente.

- Se guarda la información más relevante fuera de la red en un centro de información.

- ¿Los controles están documentados? SI

- ¿Se esta aplicando en la actualidad? SI

- ¿Es efectivo para minimizar el riesgo? SI

La valoración del riesgo cambia:

La probabilidad cambia a Media y se ubica en la zona de riesgo Moderado 10. Esto debido a la efectividad de los controles existentes, ya que los dos primeros controles apuntan a la disminuir la probabilidad y el último a disminuir el impacto, por lo tanto las acciones que se implementen entrarán a reforzar los controles establecidos y a valorar la efectividad de los mismos.

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:

- Identificación de los controles existentes para los riesgos identificados y analizados.

- Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluación del riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la Universidad en caso de materializarse.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 19 de 34

- Elaborar el mapa de riesgos para cada proceso.

5.1.5 TRATAMIENTO DE LOS RIESGOS

El tratamiento de los riesgos involucra identificar las opciones para tratar los riesgos, evaluar esas opciones (Costo-Beneficio, Viabilidad técnica y jurídica, etc.), preparar planes para tratamiento de los riesgos e implementarlos.

5.1.5.1OPCIONES DE MANEJO

Se deben tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto.

- Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

- Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles.

- Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra Universidad, como en los contratos a riesgo compartido. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 20 de 34

- Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

5.1.5.2ACCIONES

Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos, entre otros. La selección de las acciones más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base en los siguientes criterios:

a. La valoración del riesgo

b. El balance entre el costo de la implementación de cada acción contra el beneficio de la misma.

Para la ejecución de las acciones, se deben identificar las áreas o dependencias responsables de llevarlas a cabo, definir un cronograma y unos indicadores que permitan verificar la efectividad de las acciones en el tratamiento del riesgo.

5.1.5.3MATRIZ DE RIESGOS

Es la compilación por parte de los equipos de gestión y sedes de la información que se ha construido a lo largo de lo descrito en la Guía Básica en el siguiente formato (U-FT-15.004.004.005):

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 21 de 34

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO Página 21 de 34 Gráfico 7 Matriz de Riesgo Las matrices

Gráfico 7 Matriz de Riesgo

Las matrices de riesgo están establecidas para el cumplimiento de los objetivos de cada equipo de gestión, por lo tanto cada uno de ellos deben identificar y controlar los riesgos de manera participativa, evidenciando la contribución de los servidores de cada equipo en la construcción y tratamiento.

Descripción de la Matriz de riesgo

Equipo de Gestión: Hace relación al equipo dueño de la matriz de riesgo.

Nodo: Nodo al que pertenece el equipo.

Fecha de Actualización: Ultima fecha de actualización de la matriz

Macroproceso: Gran Proceso al cual pertenece el riesgo a tratar.

Proceso: Hace relación al proceso al cual se le administrará los riesgos.

Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la Universidad y le impidan el logro de sus objetivos.

Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 22 de 34

Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

Evaluación del Riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta a los riesgos teniendo en consideración la probabilidad y el impacto de estos.

Controles existentes: especificar cuál es el control que la Universidad tiene implementado para combatir, minimizar o prevenir el riesgo.

Valoración del Riesgo: es el resultado de determinar la vulnerabilidad de la Universidad al riesgo, luego de confrontar la evaluación del riesgo con los controles existentes.

Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo. Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de tratamiento del riesgo.

Responsables: cargo del líder del proceso responsable de garantizar la ejecución de las acciones propuestas.

Cronograma: son las fechas establecidas para implementar las acciones por parte del equipo de trabajo.

Indicadores: se consignan los indicadores diseñados para evaluar la efectividad de las acciones implementadas, midiendo así el comportamiento del riesgo.

5.1.5.4PLAN DE TRATAMIENTO

Para hacer control a la ejecución de acciones de tratamiento se construyó el formato U-FT-

15.004.004.003.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 23 de 34

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO Página 23 de 34 Gráfico 8 Formato de Tratamiento de riesgos

Gráfico 8 Formato de Tratamiento de riesgos

Este formato debe ser diligenciado por cada uno de los equipos de gestión y su objetivo es contribuir a concretar y evidenciar las actividades que se van a llevar a cabo, los responsables y fechas de inicio y finalización de la ejecución por cada actividad. Así mismo el formato sirve como instrumento de direccionamiento puesto que en el quedan consignadas las políticas de tratamiento de riesgos.

Este formato es un elemento primordial para la planeación estratégica, la ejecución de acciones preventivas, correctivas y de mejoramiento, el seguimiento y el control a la gestión de los riesgos.

El formato está compuesto por:

MACROPROCESO: Gran Proceso al cual pertenece el proceso.

PROCESO: Hace relación al proceso que administrará los riesgos.

Nº: Número de identificación del riesgo.

RIESGO: Riesgo identificado en el mapa de riesgo y al cual se le va a dar tratamiento.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 24 de 34

ACCIÓN: Acción o acciones que se propuso para tratar el riesgo.

CALIFICACION DEL RIESGO:

PROBABILIDAD: Calificación dada a la posibilidad de ocurrencia del riesgo

IMPACTO: Calificación dada respecto al grado en que afecta la materialización del riesgo al proceso o a la Universidad.

EVALUACION DEL RIESGO: Resultado de la calificación (Probabilidad x Impacto).

VALORACION DEL RIESGO: Estado del Riesgo después de confrontarlo con los controles existentes.

TRATAMIENTO: Posición ante el riesgo, esta se escoge entre evitar, disminuir, compartir o asumir el riesgo.

PLAN DE TRARAMIENTO: Comprende las Actividades, responsables, fechas de ejecución y seguimiento de las acciones establecidas, responsables del seguimiento y la ejecución, hallazgos y estado de la actividad.

ACTIVIDADES: Conjunto de tareas a realizar para tratar el riesgo

RESPONSABLE DE LA EJECUCION: Cargo de quien liderara la ejecución de la acción.

FECHA DE INICIO: Fecha concreta en la cual se iniciara la ejecución de la Actividad

FECHA DE CIERRE: Fecha tentativa en la cual finalizara la Actividad.

FECHA DE SEGUIMIENTO: Fecha propuesta para verificar el cumplimiento de las actividades propuestas.

RESPONSABLE DEL SEGUIMIENTO: Cargo y persona responsable de hacer el seguimiento a la ejecución de la acción.

HALLAZGO DEL SEGUIMIENTO: situación encontrada en el seguimiento con respecto al desarrollo de las actividades.

ESTADO DE LA ACTIVIDAD: señalar al día del seguimiento si la actividad fue implementada, esta en implementación o no se implementó.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 25 de 34

POLITICA DE TRATAMIENTO DEL RIESGO: política emitida por el Nodo o equipo de gestión que orienta a la realización de acciones para tratar el riesgo.

OBSERVACIONES: comentarios que den a lugar sobre la realización y diligenciamiento del formato.

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:

- Lograr un uso eficiente de los recursos.

- Garantizar la continuidad en la prestación de los servicios

- Proteger los recursos de la Universidad

- Políticas de Administración de Riesgo

- Acciones de manejo y planes de tratamiento para cada riesgo identificado

NOTA:

Elaboración del Mapa de Riesgos por proceso y el Mapa de Riesgos institucional.

El mapa de riesgos institucional contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la Universidad Nacional de Colombia, permitiendo conocer las opciones de manejo tendientes a evitar, reducir, transferir el riesgo; o asumirlo, y la aplicación de acciones (a las cuales se evaluará su efectividad) así como los responsables, el cronograma y los indicadores. El formato a usar es el U-

FT-15.004.004.002

Los Mapas de Riesgos de Procesos se podrán visualizar finalmente a medida que cada equipo de gestión ingrese al aplicativo del SIMEGE ELECTRONICO la matriz de sus riesgos logrando obtener un consolidado de los riesgos por cada proceso con la identificación plena de los responsables en cada uno. El formato que se utiliza para este fin es el U-FT-15.004.004.002 que se codificara acorde a lo estipulado en el procedimiento de Control de Documentos.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 26 de 34

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO Página 26 de 34 Gráfico 9 Mapa de riesgos 5.1.6 MONITOREO

Gráfico 9 Mapa de riesgos

5.1.6 MONITOREO Y REVISIÓN

Es necesario monitorear continuamente los riesgos, la efectividad del plan de tratamiento, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y la efectividad de las medidas de control necesitan ser revisadas constantemente para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos, la aparición de riesgos remanentes. Es importante tener en cuenta que pocos riesgos permanecen estáticos.

Es esencial una revisión sobre la marcha para asegurar que el plan de administración mantiene su relevancia. Pueden cambiar los factores que podrían afectar las probabilidades y consecuencias de un resultado, como también los factores que afectan la conveniencia o costos de las distintas opciones de tratamiento. En consecuencia, es necesario repetir regularmente el ciclo de administración de riesgos.

El seguimiento es una parte integral del plan de tratamiento de la administración de riesgos; la periodicidad de la revisión de todos los componentes de la administración de riesgos lo determinaran al interior de cada equipo de gestión administrador de sus riesgos. La responsabilidad así como la periodicidad será definida en el formato U-FT-15.004.004.003.

5.1.7 COMUNICACIÓN Y CONSULTA

La comunicación y retroalimentación son una fase constante en cada fase del proceso de administración de riesgos, por eso la importancia de un proceso de construcción y tratamiento participativo y colectivo. Es primordial desarrollar un plan de comunicación de los riesgos y los tratamientos para los actores internos y externos interesados en los procesos y procedimientos de cada equipo de gestión. Este plan debería encarar aspectos relativos al riesgo en sí mismo y al proceso,

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 27 de 34

además de garantizar que el flujo de información sea en ambas direcciones que permita una asertiva toma decisiones.

Es importante la comunicación efectiva interna y externa para asegurar que aquellos responsables por implementar la administración de riesgos logren visionar la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular.

Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, las necesidades, aspectos y preocupaciones de cada equipo de gestión y por lo tanto de los actores interesados para cada caso. Los interesados normalmente actúan haciendo juicios de aceptabilidad de los riesgos basados en su percepción y experiencia.

5.1.8 VALIDACIÓN DE RIESGOS (ADAPTACIÓN, ADOPCIÓN E

IDENTIFICACIÓN DE NUEVOS RIESGOS)

Con el fin de que cada sede, equipo de Gestión u otra forma de organización interna (facultad, dependencia, etc.) de la Universidad Nacional de Colombia pueda Administrar los riesgos propios de

sus procesos se diseño el Formato de Adaptación, Adopción y/o Identificación de nuevos riesgos U-FT-

15.004.004.004.

y/o Identificación de nuevos riesgos U-FT- 15.004.004.004. Este formato debe ser diligenciado usando como referencia

Este formato debe ser diligenciado usando como referencia los Mapas de Riesgos de Procesos previamente construidos ya sea con los líderes de los procesos en el Nodo Nacional o en la sede Bogotá, entre los nuevos conceptos encontramos las siguientes:

Macroproceso: Relacionar los Macroprocesos que se llevan a cabo en el equipo de Gestión (Agrupación de Procesos encaminados a cumplir un mismo fin en la Universidad.)

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 28 de 34

Proceso: relacionar en cada casilla los procesos de cada Macroproceso que se llevan a cabo en el equipo de gestión y a los cuales se les administrara los riesgos a los cuales están expuestos.

Código del Mapa: se refiere a la codificación del mapa de riesgos sobre el cual se esta llevando a cabo la Adaptación, Adopción y/o Identificación de Nuevos riesgos, ej.: N-MR-15.003

Versión: Se refiere a la versión del mapa sobre el cual se esta llevando a cabo la Adaptación, Adopción y/o Identificación de Nuevos riesgos. Ej.: Versión (0) Cero, Versión 1(uno)

Adoptar: No se hace ningún cambio respecto al riesgo excepto en el responsable de las acciones de tratamiento.

Adaptar: se realizan algunas modificaciones al riesgo identificado.

Nuevo: Cuando se Identifica un nuevo riesgo no contemplado en los mapas de Riesgos de cada proceso construido inicialmente.

NOTA:

Esta matriz (U-FT-14.004.004.004) fue construida transitoriamente como punto de partida para estos nuevos equipos de Gestión, sedes u otra organización interna iniciaran la administración de sus riesgos, posteriormente evidenciaran la continuidad de este compromiso a través de la Matriz U- FT.14.004.004.005) y el software adquirido para tal fin.

6.CONTROL DE CAMBIOS

     

Coordinadora

   

Elaboró:

Equipo técnico

SIMEGE

Revisó:

General

SIMEGE

Aprobó:

Vicerrectoria

General

         

Vicerrectora

Cargo:

Analistas

Cargo:

Asesora

Cargo:

General

Fecha:

7-10-2009

Fecha:

8-10-2009

Fecha:

13-10-2009

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 29 de 34

TABLA DE ANEXOS

ANEXO 1: CLASIFICACIÓN DEL RIESGO

30

ANEXO 2: EJEMPLO SOBRE LA IDENTIFICACION DE RIESGOS

31

ANEXO 3: EJEMPLO SOBRE LA MATRIZ DE RIESGO

32

ANEXO 4: MAPA DE RIESGO

34

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 30 de 34

ANEXO 1: CLASIFICACIÓN DEL RIESGO

RIESGOS ESTRATÉGICOS

Forma de administrar la Universidad

Cumplimiento de la misión, visión y objetivos generales

Definición de políticas, diseño y conceptualización por parte de la gerencia

RIESGOS OPERATIVOS

Aspectos operativos y técnicos de la presentación del Servicio

Deficiencias en sistemas de información

Inadecuada definición de procesos

Estructura interna de la Universidad

Oportunidades de corrupción

Incumplimiento de compromisos organizacionales y contractuales

RIESGOS FINANCIEROS

Inadecuado manejo de los recursos de la Universidad

Inadecuado manejo presupuestal

Elaboración inadecuada de los estados financieros

Pagos, Tesorería, Cartera

Y todos aquellos que puedan llevar al fracaso e inestabilidad de la Universidad

RIESGOS DE CUMPLIMIENTO

Incumplimiento de requisitos legales

Contractuales

Ética pública

Compromiso ante la comunidad

RIESGOS DE TECNOLOGIA

La tecnología disponible no satisfaga las necesidades de la Universidad

Equipos Inadecuados

Afectación en el cumplimiento actual y futuro de la Universidad

No permitan el cumplimiento de la misión de la Universidad

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 31 de 34

ANEXO 2: EJEMPLO SOBRE LA IDENTIFICACION DE RIESGOS

Con el animo de desarrollar destrezas en el levantamiento de mapas de riesgos, se ejemplifica el levantamiento del mapa de Riesgos del Proceso “Organización y Desarrollo” del Macroproceso “Gestión del Talento Humano”, iniciando con la identificación de sus riesgos.

Identificación de Riesgos.

Según los expertos del proceso, a través de lluvia de ideas y herramienta causa-efecto, se identificó:

de Riesgos. Según los expertos del proceso, a través de lluvia de ideas y herramienta causa-efecto,
 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 32 de 34

ANEXO 3: EJEMPLO SOBRE LA MATRIZ DE RIESGO

Análisis del Riesgo.

Analizando la posibilidad de ocurrencia se considera que La probabilidad de que ocurra es media (ha ocurrido y lo consideran posible que siga ocurriendo) y el impacto seria catastrófico, ya que los efectos son Significativos, por tanto la calificación del riesgo seria (2 x 20= 40 (Probabilidad x Impacto))

Evaluación del Riesgo.

Al consultar la Matriz Calificación y Evaluación de Resultados, Importante.

Valoración del Riesgo.

el Riesgo estaría en una zona de riesgo

El siguiente paso, consta de validar la evaluación del riesgo comparándola con los controles presentes en la tabla de valoración de Controles, en donde los asistentes manifiestan que no hay suficientes y eficientes controles, con lo único que se cuenta es en el caso de docentes el proceso lo hacen las facultades, hecho que facilita el nombramiento. (Elegibles Docentes) por tanto el resultado de la valoración es el mismo

Tratamiento del Riesgo.

Las acciones a llevar a cabo, según evaluación y valoración del riesgo, estarán encaminadas a Reducir el riesgo, empleando acciones como Desarrollo permanente de concursos administrativos y docentes. Y seguimientos a las convocatorias docentes y generando finalmente las políticas de administración del riesgo que impida la materialización de éste.

 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 33 de 34

GESTION Código: U-GU-15.004.004 Versión: 3.0 GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO Página 33 de 34
 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION

Código: U-GU-15.004.004

Versión: 3.0

Versión: 3.0

GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Página 34 de 34

ANEXO 4: MAPA DE RIESGO

U-GU-15.004.004 Versión: 3.0 GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO Página 34 de 34 ANEXO 4: MAPA DE