DIAGNÓSTICO PLAN DE INTERVENCIÓNmedia.utp.edu.co/meci/archivos/administracion-de-riesgos/... ·...
Transcript of DIAGNÓSTICO PLAN DE INTERVENCIÓNmedia.utp.edu.co/meci/archivos/administracion-de-riesgos/... ·...
Vicerrectoría Administrativa Equipo de Gestión de Riesgos
Abril de 2012
Todas las intervenciones son válidas e importantes.
Daremos buen manejo al uso de la palabra.
Respetaremos las opiniones de nuestros compañeros así no las compartamos.
Nuestra actitud será siempre propositiva y proactiva.
Qué es?
Es el proceso que comprende el establecimiento y aplicación de las políticas, procedimientos, metodología e instrumentos que permiten brindar una seguridad razonable para controlar y responder a los acontecimientos potenciales, que puedan afectar los objetivos y resultados institucionales
Alcance:
el Sistema Integral de Gestión y Organismos Evaluadores de la Conformidad que sean usuarios del sistema.
Riesgos
La Universidad Tecnológica de Pereira promueve y fortalece la cultura de autocontrol y prevención de riesgos que viabilice el desarrollo de su misión institucional, a través de:
• El cuidado y uso eficiente de los recursos.
• El Cumplimiento de normas
• El Mejoramiento de los procesos
• El Cumplimiento de los objetivos institucionales y alcance de los resultados que impacten a la sociedad
La administración de riesgos es el
conjunto de acciones que se deben
seguir para autocontrolar los riesgos
en la Universidad.
La metodología establecida
contempla 4 etapas:
Identificación de los riesgos
Análisis de los riesgos
Valoración de los riesgos
Manejo de riesgos
Paso 1.
Establezca el contexto de su proceso
en la Universidad y en el entorno de
acuerdo a los siguientes factores
generadores de riesgo:
EXTERNOS:
No se encuentran bajo la
gobernabilidad de la
Universidad
INTERNOS:
La Universidad puede
ejercer gobernabilidad
sobre ellos
Mercado, flujo de dinero y servicios nacionales.
Medio en que se desarrollan las personas y
funciona la institución.
Alteraciones de las normas y principios de convivencia
que son de cumplimiento incondicional y que rigen a la
Universidad.
Leyes, políticas públicas y normas que rigen y
pueden afectar el funcionamiento de la institución
Medios tecnológicos que se requieren para el
funcionamiento de la institución, proporcionados por
fuentes externas.
Componentes físicos externos que actúan
directamente o indirectamente sobre los seres vivos.
Económicos
Socioculturales
Orden Público
Legal y normativo
Tecnológico
Ambientales
Actitudes, comportamientos, formación, educación,
habilidades y experiencia de los funcionarios
Talento Humano
Conjunto de software y hardware en los cuales se
procesan datos que generan información.
Sistemas de Información
Recursos monetarios propios, asignados y disponibles,
que permiten el funcionamiento del proceso.
Recursos Financieros
Descripción específica de tareas y actividades
realizadas en el proceso. Las políticas, los acuerdos y
resoluciones internas
Procedimientos reglamentación
Edificios, espacios de trabajo y servicios asociados
como el transporte Infraestructura
Medios y condiciones para preservar y proteger la
integridad de los funcionario en el trabajo
Salud Ocupacional
Componentes que orientan la difusión de políticas y la
información generada al interior de la Universidad Comunicación
Riesgo: Posibilidad de que ocurra un acontecimiento que impacte el alcance de los objetivos y resultados de la Institución Descripción: se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.
Paso 2.
Defina el riesgo de acuerdo a los
conceptos siguientes:
Causas: Es lo que origina el riesgo de acuerdo a los factores internos y externos identificados. Son el punto de partida para el planteamiento de acciones preventivas. Consecuencias: corresponde a los efectos ocasionados por el riesgo.
El riesgo se mide de acuerdo al impacto y la probabilidad y se debe ubicar en la Matriz de Priorización inicial
Probabilidad: Frecuencia que podría presentar el riesgo.
Alta Media Baja
Impacto: Forma en la cual el riesgo afecta los resultados del proceso.
Alto Medio Bajo
La matriz de priorización inicial no tiene en cuenta los controles asociados a
la prevención o mitigación del riesgo
Cada proceso debe individualizar la escala de calificación del riesgo basado en información objetiva y/o datos históricos.
Probabilidad Ejemplo 1 Ejemplo 2
Alta Más de tres veces al semestre Un vez por semana
Media Dos o Tres veces al semestre Una vez al mes
Baja Una vez al semestre Una vez al trimestre
Impacto Ejemplo 1 Ejemplo 2
Alto Superior a 20 SMMLV Afecta a más de 3 personas e instalaciones
Medio Entre 10 a 20 SMMLV Afecta menos de 3 personas e instalaciones
Bajo Menos de 10 SMMLV No afecta personas, pero si las instalaciones
CONTROL NUEVA POSICIÓN EN LA
MATRIZ
0. No Existe
I. No efectivo
II. Efectivo y No
documentado
SE MANTIENE
III. Efectivo y
documentado
IV. Efectivo,
documentado y
aplicado
BAJA UN NIVEL
(Probabilidad,
impacto o ambos)
Frente a cada riesgo se debe preguntar:
Existen controles?
Los controles existentes son efectivos?
Los controles existentes están
documentados?
Los controles son aplicados?
Control: Es toda acción que tiende a
prevenir o mitigar los riesgos. Tipos:
Dirección
Detectivo
Preventivo
Correctivos
Movimiento en la matriz de priorización después de la evaluación de controles
CONTROL NUEVA POSICIÓN
EN LA MATRIZ
0. No Existe
I. No efectivo
II. Efectivo y No
documentado
SE MANTIENE
III. Efectivo y
documentado
IV. Efectivo, documentado
y aplicado
BAJA UN NIVEL
(Probabilidad, impacto o
ambos)
Matriz priorización
inicial
Evaluación del control
El nivel de riesgo estará determinado por la posición del riesgo en la matriz de
priorización definitiva
Posición en la matriz de priorización definitiva
A33 A32 A23
Posición en la matriz de priorización definitiva
B22 B31 B21
Posición en la matriz de priorización definitiva
B13 B12
Posición en la matriz de priorización definitiva
C11
Nivel de Riesgo
Matriz de Priorización
Opciones de tratamiento del Riesgo
Evitar: Implementar acciones
direccionadas a prevenir la
materialización del riesgo Reducir: Implementar acciones
orientadas a disminuir la probabilidad y
el impacto del riesgo Transferir: Implementar acciones que
permitan traspasar las pérdidas a una
entidad externa. Compartir: Implementar acciones que
permitan la cooperación entre los
procesos. Asumir: Aceptar el riesgo
La relación costo beneficio.
Recursos asignados y disponibles.
En caso de tomar acciones que conlleve al tratamiento de "Compartir" se deberá concertar previamente con el proceso o entidad involucrada.
Para una acción que conlleve el tratamiento "Transferir" se deberá concertar previamente con la entidad involucrada y contar con las autorizaciones administrativas pertinentes.
Las acciones preventivas a implementar deberán tener en cuenta:
Nivel 1
Tratamiento:
Evitar, reducir, transferir ,
Compartir
Implementar:
1. Acciones preventivas
(implementar controles
que prevengan la
materialización del
riesgo y a mitigar el
impacto)
2. Plan de contingencia
frente a estos riesgos.
Nivel 2
Tratamiento:
Reducir, transferir ,
Compartir
Implementar :
1. Acciones preventivas
que conlleven a
documentar los controles
existentes y a establecer
nuevos que prevengan la
materialización y mitiguen
el impacto del riesgo
2. Si lo considera
pertinente el plan de
contingencia
Nivel 3
Tratamiento:
Reducir, Compartir
Implementar :
1. Acciones
preventivas que
conlleven a
prevenir su
ocurrencia
Nivel 4
Tratamiento:
Asumir
Implementar :
1. Seguimientos con
el fin de verificar su
impacto,
probabilidad y la
efectividad de los
controles.
Recuerde implementar un indicador que le permita monitorear el comportamiento del riesgo, evaluando la efectividad de los controles
y las acciones preventivas implementadas.
Θ Activo: cualquier cosa que tiene valor para la
organización.
Θ seguridad de la información: preservación de
la confidencialidad, la integridad y la disponibilidad
de la información.
Θ SGSI: parte del sistema de gestión global, basada
en un enfoque hacia los riesgos de un negocio, cuyo
fin es establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar la
seguridad de la información.
La preservación de las propiedades de la información:
Θ Confidencialidad: propiedad que determina
que la información no esté disponible ni sea
revelada a individuos, entidades o procesos no
autorizados.
Θ Disponibilidad: propiedad de que la
información sea accesible y utilizable por solicitud
de una entidad autorizada.
Θ Integridad: propiedad de salvaguardar la
exactitud y estado completo de los activos.
…un componente que integra
Sistema de
Control Interno
Sistema de
Gestión de la
Calidad
Gestión De
Riesgos
Gracias
TALLER