ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 1 de 34

GUÍA BÁSICA

ADMINISTRACIÓN DEL RIESGO

UNIVERSIDAD NACIONAL DE COLOMBIA

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
TABLA DE CONTENIDO

Código: U-GU-15.004.004 Versión: 3.0 Página 2 de 34

PRESENTACIÓN..................................................................................................................................................... 3 1. OBJETIVO DE LA GUIA................................................................................................................................ 4 2. ALCANCE ...................................................................................................................................................... 4 3. DEFINICIONES .............................................................................................................................................. 4 4. NORMATIVIDAD LEGAL Y REGLAMENTARIA ........................................................................................... 7 5. METODOLOGÍA ............................................................................................................................................ 8 5.1 ADMINISTRACIÓN DE RIESGOS ............................................................................................................ 8 5.1.1 DEFINICIÓN DEL CONTEXTO ................................................................................................................. 9 5.1.2 IDENTIFICACIÓN DE RIESGOS: ............................................................................................................. 9 5.1.3 ANÁLISIS DEL RIESGO ......................................................................................................................... 12 5.1.4 VALORACIÓN DEL RIESGO.................................................................................................................. 16 5.1.5 TRATAMIENTO DE LOS RIESGOS ....................................................................................................... 19 5.1.5.1 OPCIONES DE MANEJO ................................................................................................................... 19 5.1.5.2 ACCIONES ......................................................................................................................................... 20 5.1.5.3 MATRIZ DE RIESGOS ....................................................................................................................... 20 5.1.5.4 PLAN DE TRATAMIENTO ................................................................................................................. 22 5.1.6 MONITOREO Y REVISIÓN ..................................................................................................................... 26 5.1.7 COMUNICACIÓN Y CONSULTA ............................................................................................................ 26 5.1.8 VALIDACIÓN DE RIESGOS (ADAPTACIÓN, ADOPCIÓN E IDENTIFICACIÓN DE NUEVOS RIESGOS) ............................................................................................................................................................. 27 6. CONTROL DE CAMBIOS ............................................................................................................................ 28

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO PRESENTACIÓN

Código: U-GU-15.004.004 Versión: 3.0 Página 3 de 34

El UN-SIMEGE, Sistema de Mejor Gestión, es un conjunto de políticas, estrategias, metodologías, técnicas y mecanismos para mejorar la gestión y el manejo de los recursos de manera que se fortalezca la capacidad administrativa y el desempeño de la Universidad Nacional de Colombia. Dentro del UN - SIMEGE, la Universidad Nacional de Colombia busca implementar un modelo de administración del riesgo con el fin de asegurar el logro de los objetivos misionales, dándole a la gestión universitaria un enfoque lógico, estratégico y racional para lograr la calidad y la excelencia. La administración del riesgo es un proceso ordenado, sistemático y complementario a los demás procesos de la Universidad y busca generar las condiciones para que los servidores, en un ejercicio de autocontrol, posibiliten el logro de los objetivos misionales de una manera efectiva, identificando las oportunidades de mejora y las amenazas que puedan impedir el logro de los resultados propuestos. Esta guía contiene la metodología para la administración del riesgo a desarrollar en la Universidad Nacional, que pretende convertirse en una herramienta para la gestión estratégica de los riesgos institucionales y de cada uno de los procesos, además de constituir el punto de partida para un ejercicio sistemático, transversal y constante de administración estratégica, que parte de una clara intención de mejoramiento y transformación positiva, buscando la sostenibilidad de la Universidad en el tiempo y la mejora continua en los procesos y los servicios. La guía básica para la administración del riesgo de la Universidad Nacional de Colombia se basó en la Guía de Administración del Riesgo expedida por el Departamento Administrativo de la Función Pública (DAFP), la Norma Técnica Colombiana 5254 expedida por el Instituto Colombiano de Normas Técnicas (ICONTEC) y el Manual de Implementación del Modelo Estándar de Control Interno 1000 del 2005 (MECI 1000:2005).

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO 1. OBJETIVO DE LA GUIA

Código: U-GU-15.004.004 Versión: 3.0 Página 4 de 34

Con la Guía Básica para la Administración del Riesgo, el UN-SIMEGE pretende unificar semánticamente los conceptos que forman parte de la implementación de un modelo de administración del riesgo para la Universidad Nacional de Colombia. Además de establecer una orientación metodológica que facilite la comprensión e implementación de las fases de la administración del riesgo partiendo desde la identificación, análisis, evaluación, medición, monitoreo y comunicación de los riesgos asociados a los procesos de la Universidad. Mediante esta Guía básica adicionalmente se pretende orientar el establecimiento de los planes de tratamiento dirigidos a la mitigación y especialmente a la prevención de los riesgos, con el fin de minimizar pérdidas e identificar oportunidades de mejora, estableciendo las responsabilidades en la administración de riesgos, el seguimiento y pertinencia de las políticas para su tratamiento.

2. ALCANCE
La administración del riesgo es un proceso ordenado, sistemático y transversal que se desarrolla en una seria de etapas o fases secuenciales posibilitando el mejoramiento continuo y la toma de decisiones por lo tanto su implementación aplica para todos los procesos de la Universidad en sus diferentes dependencias, sedes (NODOS) u otras formas de organización interna.

3. DEFINICIONES1
3.1 ADMINISTRACIÓN DE RIESGOS: Una rama de administración que aborda las consecuencias del riesgo. Consta de dos etapas: ETAPA I: El diagnóstico o valoración, mediante Identificación, análisis y valoración del riesgo ETAPA II: El manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace seguimiento al plan de tratamiento propuesto por el grupo de trabajo, evaluado y aceptado por el líder del equipo de gestión.

1

Definiciones tomadas: GUÍA DE ADMINISTRACIÓN DEL RIESGO – DAFP. Y la Norma Técnica Colombiana NTC 5254

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
3.2

Código: U-GU-15.004.004 Versión: 3.0 Página 5 de 34

ANÁLISIS DE RIESGO: Busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. CAUSAS (interna o externa): medios, circunstancias y agentes generadores de riesgo. CONSECUENCIAS: efecto de la ocurrencia del riesgo sobre los objetivos de la Universidad; generalmente se da sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como; daños físicos, fallecimiento, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño material. CONTROLES CORRECTIVOS: Aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia. CONTROLES PREVENTIVOS: Aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. COMPARTIR EL RIESGO: Traslado de la responsabilidad o carga por la pérdida a otra parte, por medio de la legislación, contratos, seguros u otros medios. La transferencia del riesgo también se puede referir al traslado de un riesgo físico o parte del mismo a cualquier otra parte. EVALUACIÓN DEL RIESGO: Proceso usado para determinar las prioridades de gestión del riesgo mediante la comparación de los Resultados de la calificación y el Grado de exposición al Riesgo. FACTIBILIDAD: Presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado.

3.3 3.4

3.5

3.6

3.7

3.8

3.9

3.10 FRECUENCIA: Número de ocasiones en el que se ha materializado el evento o puede generarse (por ejemplo: No. de veces en un tiempo determinado) 3.11 GESTIÓN DEL RIESGO: Cultura, procesos y estructuras que se dirigen hacia la gestión audaz de las oportunidades potenciales y los efectos adversos.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 6 de 34

3.12 IDENTIFICACIÓN DEL RIESGO: Proceso para determinar lo que puede suceder, por qué y cómo. 3.13 IMPACTO: Grado en que las Consecuencias pueden generar perdidas a la Universidad si se llega a materializar el riesgo. 3.14 MAPA DE RIESGO: Es un instrumento que permite visualizar el estado de los riesgos en cada uno de los procesos con el fin de tomar decisiones sobre los aspectos críticos identificados en él. 3.15 PROBABILIDAD: Frecuencia (Numero de veces) en la que se podría presentar un evento o se ha presentado y /o factibilidad (posibilidad) de que suceda el evento. La probabilidad se expresa con una escala de valores cuantitativos y cualitativos, como por ejemplo puede calificarse como probabilidad baja, media o alta, asignándole el valor de 1, 2 y 3 respectivamente en donde 1 indica un evento o resultado poco posible y 3 un evento y resultado seguro. 3.16 REDUCCIÓN DEL RIESGO: Aplicación selectiva de técnicas apropiadas y principios de gestión a fin de reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas. 3.17 RIESGO: La oportunidad de que suceda algo que tendrá impacto en los objetivos 3.18 SEGUIMIENTO: Verificar, supervisar, observar de forma crítica, o registrar el progreso de una actividad, acción o sistema, en forma regular, a fin de identificar cambios. 3.19 TRATAMIENTO DEL RIESGO: Selección e implementación de las opciones apropiadas para ocuparse del Riesgo.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO 4. NORMATIVIDAD LEGAL Y REGLAMENTARIA
Tipo de documento Titulo del documento

Código: U-GU-15.004.004 Versión: 3.0 Página 7 de 34

Origen Externa Interna

Ley 87 de 1993

Ley 489 de 1998

Decreto 2145 de 1999 Directiva presidencial 09 de 1999

Decreto 1537 de 2001

Ley 872 de 2003 Decreto 4110 de 2005 Decreto 1599 de 2005

Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones, artículo 2 literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Artículo 2 literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos. Estatuto básico de organización y funcionamiento de la administración pública. Por el cual se dictan normas sobre el sistema nacional de control interno de las entidades y organismos de la administración pública del orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el decreto 2593 del 2000. Lineamientos para la implementación de la política de lucha contra la corrupción. Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado. Cuarto parágrafo. Son objetivos del sistema de control interno (…) definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones… Artículo 3. El rol que deben desempeñar las oficinas de control interno (…) se enmarca en cinco tópicos (…) valoración de riesgos. Artículo 4. Administración de riesgos. Como parte integral del fortalecimiento de los sistemas de control interno en las entidades publicas (…). Por la cual se crea el sistema de gestión de la calidad en la rama ejecutiva del poder público y en otras entidades prestadoras de servicios. Por el cual se reglamenta la Ley 872 de 2003 y se adopta la norma técnica de calidad en la gestión pública. Por el cual se adopta el modelo estándar de control interno para el Estado Colombiano

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO 5. METODOLOGÍA 5.1 ADMINISTRACIÓN DE RIESGOS

Código: U-GU-15.004.004 Versión: 3.0 Página 8 de 34

La Universidad Nacional debe darle cumplimiento a su misión institucional, para lo cual gestiona diferentes procesos y proyectos institucionales, que pueden verse afectados por la presencia de riesgos, por tanto se hace necesario contar con un plan de acción encaminado a administrar y prevenir la ocurrencia de riesgos al interior de la Universidad. El adecuado manejo de los riesgos favorece el desarrollo, el crecimiento sostenible de la Universidad Nacional de Colombia y el logro de los objetivos misionales propuestos. Por lo cual se hace necesario establecer un proceso sistemático que busque asegurar que la Universidad se anticipe a la ocurrencia de dichos eventos. La administración del riesgo esta compuesta por siete fases mínimas que garantizan una adecuada implementación en el Grafico 1 se expone el proceso genérico y a lo largo de la guía se explican cada una de las fases:

Gráfico 1: Proceso para la Administración del Riesgo

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO 5.1.1 DEFINICIÓN DEL CONTEXTO

Código: U-GU-15.004.004 Versión: 3.0 Página 9 de 34

Para la formulación y operacionalización de la política de administración del riesgo es fundamental tener claridad sobre la misión, los objetivos y la naturaleza de la Universidad. Además, de tener una visión sistémica de la gestión universitaria de manera que no se perciba la administración de riesgos como una herramienta aislada del accionar administrativo de la Universidad. Por ende, la definición del contexto es el punto de partida de una identificación eficiente de los factores internos o externos que pueden generar riesgos y que por lo tanto atenten contra el cumplimiento de los objetivos institucionales. El análisis del contexto estratégico se realiza a partir del conocimiento de situaciones del entorno tanto de carácter social, económico, cultural, de orden público, político, legal y /o cambios tecnológicos, entre otros. Se recomienda la aplicación de varias herramientas y técnicas como por ejemplo: entrevistas con expertos en el área, reuniones con directivos y con personas de todos los niveles en la Universidad, lluvias de ideas con los integrantes de las áreas y los equipos de gestión, diagramas de flujo, herramientas de estudio “causa y efecto” y análisis por escenarios, entre otros.

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados: Identificar los factores externos e internos que pueden ocasionar la presencia de riesgos Aportar información que facilite y enriquezca las demás etapas de la administración del riesgo

5.1.2

IDENTIFICACIÓN DE RIESGOS:

La fase de la identificación del riesgo debe ser permanente e interactiva, debe basarse en el resultado del análisis del contexto estratégico y debe partir de la claridad de los objetivos de la Universidad, del proceso y de los equipos de gestión.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 10 de 34

El instrumento para que todos los servidores de la Universidad conozcan y visualicen las causas, los riesgos y los efectos, es el formato de identificación de riesgos (U-FT-15.004.004.001) que se muestra a continuación.

Gráfico 2. Formato de identificación de riesgos

Este formato permite hacer un inventario de los riesgos, definiendo en primera instancia las causas o factores de riesgo, tanto internos como externos. Seguido por los riesgos, presentando una descripción de cada uno de estos y finalmente definiendo los posibles efectos. Para un adecuado manejo del formato de identificación del riesgo es importante conocer con más detalle los siguientes conceptos: Proceso: Nombre del proceso Objetivo del proceso: se debe transcribir el objetivo que se ha definido para el proceso al cual se le están identificando los riesgos. Riesgo: Representa la situación o evento que pueda entorpecer el normal desarrollo de las funciones del proceso y/o entidad y afectar el logro de sus objetivos.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 11 de 34

Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo; se pueden clasificar en varias categorías: personas (calidad, competencia, suficiencia), materiales (calidad de los insumos), Comités (directrices), método (procedimiento), instalaciones (infraestructura) y entorno (ambiente social, económico, cultural). Descripción: se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la Universidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos, fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental. Cuando se generen dudas con respecto a si se identificó un riesgo o realmente lo identificado es una causa, se sugiere recordar la frase del riesgo “Debido a _CAU SA_ puede ocur rir _ RIESGO_ lo que conllevaría a _ EFECT O _” Durante el proceso de identificación del riesgo se recomienda tener en cuenta la clasificación de los mismos según los tipos de riesgos (Ver Anexo 1 CLASIFICACION DEL RIESGO)

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados: Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos para la Universidad. Describir los riesgos identificados con sus características. Precisar los efectos que los riesgos puedan ocasionarle a los procesos y/o a la Universidad.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO 5.1.3 ANÁLISIS DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 12 de 34

El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de ellos, calificándolos y evaluándolos para establecer el nivel de riesgo y las acciones que conformarán el plan de tratamiento a implementar. El análisis del riesgo dependerá de la información obtenida en el formato de identificación de riesgos y los aportes de la comunidad universitaria en general. Es decir, la responsabilidad del análisis será de todos los servidores públicos de la Universidad Nacional de Colombia. Se han establecido dos aspectos a tener evaluar en el análisis de los riesgos identificados la Probabilidad y el Impacto. La Probabilidad puede ser medida con criterios de Frecuencia, si se ha materializado por ejemplo: No. de veces que un riesgo ha sucedido en un tiempo determinado, o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. El Impacto se mide según el grado en que las consecuencias o efectos pueden perjudicar a la organización si se materializa el riesgo. Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos: La Calificación del Riesgo: se logra a través de la evaluación de la probabilidad de ocurrencia y el impacto de la materialización del riesgo. Los criterios para la calificación son subjetivos, depende de la particularidad del riesgo y los antecedentes en cada uno de los procesos y los equipos de gestión. Para fines prácticos, la Universidad Nacional calificará los riesgos según las siguientes tablas: VALOR DE PROBABILIDAD NIVEL DE PROBABILIDAD Bajo (raro) Medio(posible) Alto (casi cierto) (Una vez en el año). Es posible que ocurra algunas veces (entre 1 y 5 veces en el año). Se espera que ocurra en la mayoría de las circunstancias (mas de 8 veces al año).

DESCRIPCIÓN Puede ocurrir solo en circunstancias excepcionales

1 2 3

Gráfico 3 Criterio para calificación de Probabilidad

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 13 de 34

VALOR DE IMPACTO

NIVEL DE IMPACTO Leve Moderado Catastrófico metas y objetivos

DESCRIPCIÓN Perdidas insignificantes, menor grado de incumplimiento en Perdidas considerables, posibilidad de un alto grado de incumplimiento en metas y objetivos Perdidas enormes, daño en la imagen de la Universidad, alto grado de incumplimiento en metas y objetivos

5 10 20

Gráfico 4 Criterio para calificación de Impacto

La Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo para establecer el grado de exposición de la Universidad y distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento. Con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta la matriz de calificación, evaluación y respuesta a riesgos que contempla un análisis cualitativo, que hace referencia al uso de formas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Tomando las siguientes categorías: leve (5), moderada (10) y catastrófica (20) en relación con el impacto y alta (3), media (2) y baja (1) respecto a la probabilidad. Así mismo, presenta un análisis cuantitativo, que contempla valores numéricos que contribuyen a la exactitud en la calificación y evaluación de los riesgos. La forma en la cual la probabilidad y el impacto son expresados y combinados en la matriz provee la evaluación del riesgo (Ver Grafico 5)

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 14 de 34

Probabilidad

Valor

15

30
Zona de Riesgo Importante Reducir el Riesgo Evitar el Riesgo Compartir o transferir Zona de Riesgo Moderado Reducir el riesgo Evitar el Riesgo Compartir o transferir

60
Zona de Riesgo Inaceptable Evitar el riesgo Reducir el Riesgo Compartir o transferir Zona de Riesgo Importante Reducir el Riesgo Evitar el Riesgo Compartir o transferir

Alta

3

Zona de Riesgo Moderado Evitar el Riesgo

Media

2

Zona de Riesgo Tolerable Asumir el Riesgo Reducir el Riesgo

10

20

40

5

10
Zona de Riesgo Tolerable Asumir el Riesgo Reducir el Riesgo

20
Zona de Riesgo Moderado Reducir el riesgo Compartir o transferir

Baja

1
Valor Impacto

Zona de Riesgo Aceptable Asumir el Riesgo

5 Leve

10 Moderado

20 Catastrófica

Gráfico 5 Matriz de calificación, evaluación y respuesta a los riesgos

Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz, según la celda que ocupa, aplicando los siguientes criterios: Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificación 5), significa que su Probabilidad es baja y su Impacto es leve, lo cual permite a la Universidad asumirlo, es decir, el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 15 de 34

Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificación 60), su Probabilidad es alta y su Impacto catastrófico, por tanto es aconsejable dar tratamiento a las causas que generan el riesgo. Es decir, se deben implementar controles de prevención para reducir la Probabilidad del riesgo o disminuir el impacto de los efectos; medidas de Protección para compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras opciones que estén disponibles. Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Las medidas dependen de la celda en la cual se ubica el riesgo, así: los Riesgos de Impacto leve y Probabilidad alta se previenen; los Riesgos con Impacto moderado y Probabilidad leve, se reduce o se comparte el riesgo, si es posible; también es viable combinar estas medidas. Cuando la Probabilidad del riesgo sea media y su Impacto leve, se debe realizar un análisis del costo beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo. Cuando el riesgo tenga una Probabilidad baja e Impacto catastrófico se debe tratar de compartir el riesgo.

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados: Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad de la Universidad, para cumplir su propósito. Medir el impacto, las consecuencias del riesgo sobre las personas, los recursos o la coordinación de las acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los procesos. Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones pertinentes sobre su tratamiento.

-

-

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 16 de 34

5.1.4

VALORACIÓN DEL RIESGO

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados en el elemento de control, denominado “Controles”, del Subsistema de Control de Gestión del MECI, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos. Para realizar la valoración de los controles existentes es necesario recordar que éstos se clasifican en: Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o materialización. Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

-

Para una adecuada valoración del riesgo responda las siguientes preguntas: ¿Existen controles en el proceso o en el equipo de gestión para disminuir o evitar el riesgo? ¿Los controles están documentados? ¿Los controles se están aplicando en la actualidad? ¿El control es efectivo para minimizar el riesgo?

Una vez ha respondido proceda a realizar la valoración, así: Pondérelos según la siguiente tabla, teniendo en cuenta las respuestas a las preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican y son efectivos). Ubique en la Matriz de Calificación, Evaluación y Respuesta a los riesgos (Grafico 5), el estado final de riesgo, de acuerdo a los resultados obtenidos en la valoración del mismo.

-

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 17 de 34

CRITERIOS No existen Controles

VALORACIÓN DEL RIESGO Se mantiene el resultado de la evaluación antes de controles Se mantiene el resultado de la evaluación antes de controles

Los Controles existentes no son efectivos

Cambia el resultado a una casilla inferior de la Los Controles existentes son efectivos matriz de evaluación antes de controles (el pero no están documentados desplazamiento depende de si el control afecta el impacto o la probabilidad) Pasa a escala inferior, es decir el riesgo pasa a Los Controles existentes son efectivos y estar en una menor zona de riesgo (el están documentados desplazamiento depende de si el control afecta el impacto o la probabilidad)
Gráfico 6 Tabla de Valoración de Controles

Ejemplo: Riesgo: Pérdida de información debido a la entrada de un virus en la red de información de la Universidad. Probabilidad: Alta - 3, porque todos los computadores de la Universidad están conectados a la misma red. Impacto: Alto - 20, porque la pérdida de información conllevaría a graves consecuencias para el quehacer de la Universidad. Evaluación del Riesgo:

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 18 de 34

De acuerdo a la matriz de calificación y evaluación sería de 60 y se encontraría en la zona de riesgo inaceptable.

Descripción de los controles existentes: - Se hace backup o copias de seguridad, semanalmente. - Se vacunan todos los programas y equipos, diariamente. - Se guarda la información más relevante fuera de la red en un centro de información. - ¿Los controles están documentados? SI - ¿Se esta aplicando en la actualidad? SI - ¿Es efectivo para minimizar el riesgo? SI La valoración del riesgo cambia: La probabilidad cambia a Media y se ubica en la zona de riesgo Moderado 10. Esto debido a la efectividad de los controles existentes, ya que los dos primeros controles apuntan a la disminuir la probabilidad y el último a disminuir el impacto, por lo tanto las acciones que se implementen entrarán a reforzar los controles establecidos y a valorar la efectividad de los mismos.

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados: Identificación de los controles existentes para los riesgos identificados y analizados. Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluación del riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la Universidad en caso de materializarse.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Elaborar el mapa de riesgos para cada proceso.

Código: U-GU-15.004.004 Versión: 3.0 Página 19 de 34

5.1.5

TRATAMIENTO DE LOS RIESGOS

El tratamiento de los riesgos involucra identificar las opciones para tratar los riesgos, evaluar esas opciones (Costo-Beneficio, Viabilidad técnica y jurídica, etc.), preparar planes para tratamiento de los riesgos e implementarlos.

5.1.5.1OPCIONES DE MANEJO
Se deben tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto. - Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. - Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. - Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra Universidad, como en los contratos a riesgo compartido. Es así como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 20 de 34

- Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

5.1.5.2ACCIONES
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos, entre otros. La selección de las acciones más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base en los siguientes criterios: a. La valoración del riesgo b. El balance entre el costo de la implementación de cada acción contra el beneficio de la misma. Para la ejecución de las acciones, se deben identificar las áreas o dependencias responsables de llevarlas a cabo, definir un cronograma y unos indicadores que permitan verificar la efectividad de las acciones en el tratamiento del riesgo.

5.1.5.3MATRIZ DE RIESGOS
Es la compilación por parte de los equipos de gestión y sedes de la información que se ha construido a lo largo de lo descrito en la Guía Básica en el siguiente formato (U-FT-15.004.004.005):

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 21 de 34

Las matrices de riesgo están establecidas para el cumplimiento de los objetivos de cada equipo de gestión, por lo tanto cada uno de ellos deben identificar y controlar los riesgos de manera participativa, evidenciando la contribución de los servidores de cada equipo en la construcción y tratamiento. Descripción de la Matriz de riesgo Equipo de Gestión: Hace relación al equipo dueño de la matriz de riesgo. Nodo: Nodo al que pertenece el equipo. Fecha de Actualización: Ultima fecha de actualización de la matriz Macroproceso: Gran Proceso al cual pertenece el riesgo a tratar. Proceso: Hace relación al proceso al cual se le administrará los riesgos. Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la Universidad y le impidan el logro de sus objetivos. Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.

Gráfico 7 Matriz de Riesgo

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 22 de 34

Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Evaluación del Riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta a los riesgos teniendo en consideración la probabilidad y el impacto de estos. Controles existentes: especificar cuál es el control que la Universidad tiene implementado para combatir, minimizar o prevenir el riesgo. Valoración del Riesgo: es el resultado de determinar la vulnerabilidad de la Universidad al riesgo, luego de confrontar la evaluación del riesgo con los controles existentes. Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo. Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de tratamiento del riesgo. Responsables: cargo del líder del proceso responsable de garantizar la ejecución de las acciones propuestas. Cronograma: son las fechas establecidas para implementar las acciones por parte del equipo de trabajo. Indicadores: se consignan los indicadores diseñados para evaluar la efectividad de las acciones implementadas, midiendo así el comportamiento del riesgo.

5.1.5.4PLAN DE TRATAMIENTO
Para hacer control a la ejecución de acciones de tratamiento se construyó el formato U-FT15.004.004.003.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 23 de 34

Gráfico 8 Formato de Tratamiento de riesgos

Este formato debe ser diligenciado por cada uno de los equipos de gestión y su objetivo es contribuir a concretar y evidenciar las actividades que se van a llevar a cabo, los responsables y fechas de inicio y finalización de la ejecución por cada actividad. Así mismo el formato sirve como instrumento de direccionamiento puesto que en el quedan consignadas las políticas de tratamiento de riesgos. Este formato es un elemento primordial para la planeación estratégica, la ejecución de acciones preventivas, correctivas y de mejoramiento, el seguimiento y el control a la gestión de los riesgos. El formato está compuesto por: MACROPROCESO: Gran Proceso al cual pertenece el proceso. PROCESO: Hace relación al proceso que administrará los riesgos. Nº: Número de identificación del riesgo. RIESGO: Riesgo identificado en el mapa de riesgo y al cual se le va a dar tratamiento.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
ACCIÓN: Acción o acciones que se propuso para tratar el riesgo. CALIFICACION DEL RIESGO:

Código: U-GU-15.004.004 Versión: 3.0 Página 24 de 34

PROBABILIDAD: Calificación dada a la posibilidad de ocurrencia del riesgo IMPACTO: Calificación dada respecto al grado en que afecta la materialización del riesgo al proceso o a la Universidad. EVALUACION DEL RIESGO: Resultado de la calificación (Probabilidad x Impacto). VALORACION DEL RIESGO: Estado del Riesgo después de confrontarlo con los controles existentes. TRATAMIENTO: Posición ante el riesgo, esta se escoge entre evitar, disminuir, compartir o asumir el riesgo. PLAN DE TRARAMIENTO: Comprende las Actividades, responsables, fechas de ejecución y seguimiento de las acciones establecidas, responsables del seguimiento y la ejecución, hallazgos y estado de la actividad. ACTIVIDADES: Conjunto de tareas a realizar para tratar el riesgo RESPONSABLE DE LA EJECUCION: Cargo de quien liderara la ejecución de la acción. FECHA DE INICIO: Fecha concreta en la cual se iniciara la ejecución de la Actividad FECHA DE CIERRE: Fecha tentativa en la cual finalizara la Actividad. FECHA DE SEGUIMIENTO: Fecha propuesta para verificar el cumplimiento de las actividades propuestas. RESPONSABLE DEL SEGUIMIENTO: Cargo y persona responsable de hacer el seguimiento a la ejecución de la acción. HALLAZGO DEL SEGUIMIENTO: situación encontrada en el seguimiento con respecto al desarrollo de las actividades. ESTADO DE LA ACTIVIDAD: señalar al día del seguimiento si la actividad fue implementada, esta en implementación o no se implementó.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 25 de 34

POLITICA DE TRATAMIENTO DEL RIESGO: política emitida por el Nodo o equipo de gestión que orienta a la realización de acciones para tratar el riesgo. OBSERVACIONES: comentarios que den a lugar sobre la realización y diligenciamiento del formato.

Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados: Lograr un uso eficiente de los recursos. Garantizar la continuidad en la prestación de los servicios Proteger los recursos de la Universidad Políticas de Administración de Riesgo Acciones de manejo y planes de tratamiento para cada riesgo identificado

NOTA: Elaboración del Mapa de Riesgos por proceso y el Mapa de Riesgos institucional. El mapa de riesgos institucional contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la Universidad Nacional de Colombia, permitiendo conocer las opciones de manejo tendientes a evitar, reducir, transferir el riesgo; o asumirlo, y la aplicación de acciones (a las cuales se evaluará su efectividad) así como los responsables, el cronograma y los indicadores. El formato a usar es el UFT-15.004.004.002 Los Mapas de Riesgos de Procesos se podrán visualizar finalmente a medida que cada equipo de gestión ingrese al aplicativo del SIMEGE ELECTRONICO la matriz de sus riesgos logrando obtener un consolidado de los riesgos por cada proceso con la identificación plena de los responsables en cada uno. El formato que se utiliza para este fin es el U-FT-15.004.004.002 que se codificara acorde a lo estipulado en el procedimiento de Control de Documentos.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 26 de 34

Gráfico 9 Mapa de riesgos

5.1.6

MONITOREO Y REVISIÓN

Es necesario monitorear continuamente los riesgos, la efectividad del plan de tratamiento, las estrategias y el sistema de administración que se establece para controlar la implementación. Los riesgos y la efectividad de las medidas de control necesitan ser revisadas constantemente para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos, la aparición de riesgos remanentes. Es importante tener en cuenta que pocos riesgos permanecen estáticos. Es esencial una revisión sobre la marcha para asegurar que el plan de administración mantiene su relevancia. Pueden cambiar los factores que podrían afectar las probabilidades y consecuencias de un resultado, como también los factores que afectan la conveniencia o costos de las distintas opciones de tratamiento. En consecuencia, es necesario repetir regularmente el ciclo de administración de riesgos. El seguimiento es una parte integral del plan de tratamiento de la administración de riesgos; la periodicidad de la revisión de todos los componentes de la administración de riesgos lo determinaran al interior de cada equipo de gestión administrador de sus riesgos. La responsabilidad así como la periodicidad será definida en el formato U-FT-15.004.004.003.

5.1.7

COMUNICACIÓN Y CONSULTA

La comunicación y retroalimentación son una fase constante en cada fase del proceso de administración de riesgos, por eso la importancia de un proceso de construcción y tratamiento participativo y colectivo. Es primordial desarrollar un plan de comunicación de los riesgos y los tratamientos para los actores internos y externos interesados en los procesos y procedimientos de cada equipo de gestión. Este plan debería encarar aspectos relativos al riesgo en sí mismo y al proceso,

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 27 de 34

además de garantizar que el flujo de información sea en ambas direcciones que permita una asertiva toma decisiones. Es importante la comunicación efectiva interna y externa para asegurar que aquellos responsables por implementar la administración de riesgos logren visionar la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular. Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, las necesidades, aspectos y preocupaciones de cada equipo de gestión y por lo tanto de los actores interesados para cada caso. Los interesados normalmente actúan haciendo juicios de aceptabilidad de los riesgos basados en su percepción y experiencia.

5.1.8 VALIDACIÓN DE RIESGOS (ADAPTACIÓN, ADOPCIÓN E IDENTIFICACIÓN DE NUEVOS RIESGOS)
Con el fin de que cada sede, equipo de Gestión u otra forma de organización interna (facultad, dependencia, etc.) de la Universidad Nacional de Colombia pueda Administrar los riesgos propios de sus procesos se diseño el Formato de Adaptación, Adopción y/o Identificación de nuevos riesgos U-FT15.004.004.004.

Este formato debe ser diligenciado usando como referencia los Mapas de Riesgos de Procesos previamente construidos ya sea con los líderes de los procesos en el Nodo Nacional o en la sede Bogotá, entre los nuevos conceptos encontramos las siguientes: Macroproceso: Relacionar los Macroprocesos que se llevan a cabo en el equipo de Gestión (Agrupación de Procesos encaminados a cumplir un mismo fin en la Universidad.)

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 28 de 34

Proceso: relacionar en cada casilla los procesos de cada Macroproceso que se llevan a cabo en el equipo de gestión y a los cuales se les administrara los riesgos a los cuales están expuestos. Código del Mapa: se refiere a la codificación del mapa de riesgos sobre el cual se esta llevando a cabo la Adaptación, Adopción y/o Identificación de Nuevos riesgos, ej.: N-MR-15.003 Versión: Se refiere a la versión del mapa sobre el cual se esta llevando a cabo la Adaptación, Adopción y/o Identificación de Nuevos riesgos. Ej.: Versión (0) Cero, Versión 1(uno) Adoptar: No se hace ningún cambio respecto al riesgo excepto en el responsable de las acciones de tratamiento. Adaptar: se realizan algunas modificaciones al riesgo identificado. Nuevo: Cuando se Identifica un nuevo riesgo no contemplado en los mapas de Riesgos de cada proceso construido inicialmente. NOTA: Esta matriz (U-FT-14.004.004.004) fue construida transitoriamente como punto de partida para estos nuevos equipos de Gestión, sedes u otra organización interna iniciaran la administración de sus riesgos, posteriormente evidenciaran la continuidad de este compromiso a través de la Matriz UFT.14.004.004.005) y el software adquirido para tal fin.

6. CONTROL DE CAMBIOS

Elaboró: Cargo: Fecha:

Equipo técnico Revisó: SIMEGE Analistas 7-10-2009 Cargo: Fecha:

Coordinadora General SIMEGE Asesora 8-10-2009

Aprobó: Cargo: Fecha:

Vicerrectoria General Vicerrectora General 13-10-2009

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 29 de 34

TABLA DE ANEXOS
 
ANEXO 1: CLASIFICACIÓN DEL RIESGO  ANEXO 2: EJEMPLO SOBRE LA IDENTIFICACION DE RIESGOS  ANEXO 3: EJEMPLO SOBRE LA MATRIZ DE RIESGO  ANEXO 4: MAPA DE RIESGO  30  31  32  34 

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO ANEXO 1: CLASIFICACIÓN DEL RIESGO
RIESGOS ESTRATÉGICOS   

Código: U-GU-15.004.004 Versión: 3.0 Página 30 de 34

Forma de administrar la Universidad Cumplimiento de la misión, visión y objetivos generales Definición de políticas, diseño y conceptualización por parte de la gerencia

RIESGOS OPERATIVOS  Aspectos operativos y técnicos de la presentación del Servicio  Deficiencias en sistemas de información  Inadecuada definición de procesos  Estructura interna de la Universidad  Oportunidades de corrupción  Incumplimiento de compromisos organizacionales y contractuales RIESGOS FINANCIEROS      Inadecuado manejo de los recursos de la Universidad Inadecuado manejo presupuestal Elaboración inadecuada de los estados financieros Pagos, Tesorería, Cartera Y todos aquellos que puedan llevar al fracaso e inestabilidad de la Universidad

RIESGOS DE CUMPLIMIENTO  Incumplimiento de requisitos legales  Contractuales  Ética pública  Compromiso ante la comunidad RIESGOS DE TECNOLOGIA  La tecnología disponible no satisfaga las necesidades de la Universidad  Equipos Inadecuados  Afectación en el cumplimiento actual y futuro de la Universidad  No permitan el cumplimiento de la misión de la Universidad

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 31 de 34

ANEXO 2: EJEMPLO SOBRE LA IDENTIFICACION DE RIESGOS
Con el animo de desarrollar destrezas en el levantamiento de mapas de riesgos, se ejemplifica el levantamiento del mapa de Riesgos del Proceso “Organización y Desarrollo” del Macroproceso “Gestión del Talento Humano”, iniciando con la identificación de sus riesgos. Identificación de Riesgos. Según los expertos del proceso, a través de lluvia de ideas y herramienta causa-efecto, se identificó:

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 32 de 34

ANEXO 3: EJEMPLO SOBRE LA MATRIZ DE RIESGO
Análisis del Riesgo. Analizando la posibilidad de ocurrencia se considera que La probabilidad de que ocurra es media (ha ocurrido y lo consideran posible que siga ocurriendo) y el impacto seria catastrófico, ya que los efectos son Significativos, por tanto la calificación del riesgo seria (2 x 20= 40 (Probabilidad x Impacto)) Evaluación del Riesgo. Al consultar la Matriz Calificación y Evaluación de Resultados, el Riesgo estaría en una zona de riesgo Importante. Valoración del Riesgo. El siguiente paso, consta de validar la evaluación del riesgo comparándola con los controles presentes en la tabla de valoración de Controles, en donde los asistentes manifiestan que no hay suficientes y eficientes controles, con lo único que se cuenta es  en el caso de docentes el proceso lo hacen las facultades, hecho que facilita el nombramiento. (Elegibles Docentes) por tanto el resultado de la valoración es el mismo Tratamiento del Riesgo. Las acciones a llevar a cabo, según evaluación y valoración del riesgo, estarán encaminadas a Reducir el riesgo, empleando acciones como Desarrollo permanente de concursos administrativos y docentes. Y seguimientos a las convocatorias docentes y generando finalmente las políticas de administración del riesgo que impida la materialización de éste.

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 33 de 34

ADMINISTRACION Y MEJORAMIENTO DEL SISTEMA DE MEJOR GESTION GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO ANEXO 4: MAPA DE RIESGO

Código: U-GU-15.004.004 Versión: 3.0 Página 34 de 34

Sign up to vote on this title
UsefulNot useful