Gua Admon Del Riesgo
-
Upload
cpixo4043a -
Category
Documents
-
view
34 -
download
0
Transcript of Gua Admon Del Riesgo
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 1 de 32
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
UNIVERSIDAD NACIONAL DE Colombia
UN SIMEGE
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 2 de 32
PRESENTACIÓN..................................................................................................................................................... 3 1. OBJETIVO DE LA GUÍA ........................................................................................................................... 4 2. ALCANCE ................................................................................................................................................. 4 3. DEFINICIONES ......................................................................................................................................... 4 4. NORMATIVIDAD LEGAL Y REGLAMENTARIA ...................................................................................... 7 5. METODOLOGÍA ........................................................................................................................................ 8 5.1 ADMINISTRACIÓN DE RIESGOS ............................................................................................................ 8 5.1.1 DEFINICIÓN DEL CONTEXTO ................................................................................................................. 9 5.1.2 IDENTIFICACIÓN DE RIESGOS ............................................................................................................ 11 5.1.3 ANÁLISIS DEL RIESGO ......................................................................................................................... 15 5.1.4 VALORACIÓN DEL RIESGO.................................................................................................................. 19 5.1.5 DISEÑO DE CONTROLES..................................................................................................................... 19 5.1.5.1 IMPLEMENTACIÓN DE CONTROLES ................................................................................................... 21 5.1.5.2 VERIFICACIÓN DE CONTROLES ........................................................................................................... 21 5.1.5.3 ANÁLISIS DE EFECTIVIDAD ................................................................................................................. 21 5.1.6 TRATAMIENTO DE LOS RIESGOS ....................................................................................................... 24 5.1.6.1 OPCIONES DE MANEJO .......................................................................................................................... 25 5.1.6.2 ACCIONES .............................................................................................................................................. 25 5.1.6.3 MATRIZ DE RIESGOS .............................................................................................................................. 26 5.1.6.4 PLAN DE TRATAMIENTO ....................................................................................................................... 28 5.1.7 MONITOREO Y REVISIÓN ..................................................................................................................... 29 5.1.8 ACTUALIZACIÓN DEL MAPA DE RIESGOS ........................................................................................ 29 5.1.9 COMUNICACIÓN Y CONSULTA ............................................................................................................ 29 6. EVALUACIÓN DE LA GESTIÓN DEL RIESGO ............................................................................................... 30 ANEXOS ................................................................................................................................................................ 31 ANEXO 1. CLASIFICACIÓN DEL RIESGO .......................................................................................................... 31 ANEXO 2. EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE ELECTRONICO ..................................................................................................................................................... 31 ANEXO 3 EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRONICO ................................. 31 ANEXO4 EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRONICO ............................... 31
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 3 de 32
PRESENTACIÓN
El UN-SIMEGE, Sistema de Mejor Gestión, es un conjunto de políticas, estrategias, metodologías, técnicas y
mecanismos para mejorar la gestión y el manejo de los recursos de manera que se fortalezca la capacidad
administrativa y el desempeño de la Universidad Nacional de Colombia.
Dentro del UN - SIMEGE, la Universidad Nacional de Colombia busca implementar un modelo de administración
del riesgo con el fin de asegurar el logro de los objetivos misionales, dándole a la gestión universitaria un enfoque
lógico, estratégico y racional para lograr la calidad y la excelencia.
La administración del riesgo es un proceso ordenado, sistemático y complementario a los demás procesos de la
Universidad y busca generar las condiciones para que los servidores, en un ejercicio de autocontrol, posibiliten el
logro de los objetivos misionales de una manera efectiva, identificando las oportunidades de mejora y las
amenazas que puedan impedir el logro de los resultados propuestos.
Esta guía contiene la metodología para la administración del riesgo a desarrollar en la Universidad Nacional, que
pretende convertirse en una herramienta para la gestión estratégica de los riesgos institucionales y de cada uno
de los procesos, además de constituir el punto de partida para un ejercicio sistemático, transversal y constante
de administración estratégica, que parte de una clara intención de mejoramiento y transformación positiva,
buscando la sostenibilidad de la Universidad en el tiempo y la mejora continua en los procesos y los servicios.
La guía básica para la administración del riesgo de la Universidad Nacional de Colombia se basó en la Guía de
Administración del Riesgo expedida por el Departamento Administrativo de la Función Pública (DAFP), la Norma
Técnica Colombiana 5254 expedida por el Instituto Colombiano de Normas Técnicas (ICONTEC) y el Manual de
Implementación del Modelo Estándar de Control Interno 1000 del 2005 (MECI 1000:2005).
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 4 de 32
1. OBJETIVO DE LA GUÍA
Con la Guía Básica para la Administración del Riesgo, el UN-SIMEGE pretende unificar semánticamente los
conceptos que forman parte de la implementación de un modelo de administración del riesgo para la Universidad
Nacional de Colombia. Además de establecer una orientación metodológica que facilite la comprensión e
implementación de las fases de la administración del riesgo partiendo desde la identificación, análisis,
evaluación, medición, monitoreo y comunicación de los riesgos asociados a los procesos de la Universidad.
Mediante esta Guía básica adicionalmente se pretende orientar el establecimiento de los planes de tratamiento
dirigidos a la mitigación y especialmente a la prevención de los riesgos, con el fin de minimizar pérdidas e
identificar oportunidades de mejora, estableciendo las responsabilidades en la administración de riesgos, el
seguimiento y pertinencia de las políticas para su tratamiento.
2. ALCANCE
La administración del riesgo es un proceso ordenado, sistemático y transversal que se desarrolla en una seria de
etapas o fases secuenciales posibilitando el mejoramiento continuo y la toma de decisiones por lo tanto su
implementación aplica para todos los procesos de la Universidad en sus diferentes dependencias, sedes (NODOS) u
otras formas de organización interna.
3. DEFINICIONES1
3.1 ADMINISTRACIÓN DE RIESGOS: Una rama de administración que aborda las consecuencias del riesgo.
Consta de dos etapas:
ETAPA I: El diagnóstico o valoración, mediante Identificación, análisis y valoración del riesgo
ETAPA II: El manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace
seguimiento al plan de tratamiento propuesto por el grupo de trabajo, evaluado y aceptado por el líder del
equipo de gestión.
1 Definiciones tomadas: GUÍA DE ADMINISTRACIÓN DEL RIESGO – DAFP. Y la Norma Técnica Colombiana NTC 5254
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 5 de 32
3.2 ANÁLISIS DE RIESGO: Busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de
sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el
nivel de riesgo y las acciones que se van a implementar.
3.3 CAUSAS (interna o externa): medios, circunstancias y agentes generadores de riesgo.
3.4 CONSECUENCIAS: efecto de la ocurrencia del riesgo sobre los objetivos de la Universidad;
generalmente se da sobre las personas o los bienes materiales o inmateriales con incidencias
importantes tales como; daños físicos, fallecimiento, pérdidas económicas, de información, de bienes, de
imagen, de credibilidad y de confianza, interrupción del servicio y daño material.
3.5 CONTROLES CORRECTIVOS: Aquellos que permiten el restablecimiento de la actividad después de ser
detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su
ocurrencia.
3.6 CONTROLES PREVENTIVOS: Aquellos que actúan para eliminar las causas del riesgo para prevenir su
ocurrencia o materialización.
3.7 COMPARTIR EL RIESGO: Traslado de la responsabilidad o carga por la pérdida a otra parte, por medio
de la legislación, contratos, seguros u otros medios. La transferencia del riesgo también se puede referir
al traslado de un riesgo físico o parte del mismo a cualquier otra parte.
3.8 EVALUACIÓN DEL RIESGO: Proceso usado para determinar las prioridades de gestión del riesgo
mediante la comparación de los Resultados de la calificación y el Grado de exposición al Riesgo.
3.9 FACTIBILIDAD: Presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste
no se haya materializado.
3.10 FRECUENCIA: Número de ocasiones en el que se ha materializado el evento o puede generarse (por
ejemplo: No. de veces en un tiempo determinado)
3.11 GESTIÓN DEL RIESGO: Cultura, procesos y estructuras que se dirigen hacia la gestión audaz de las
oportunidades potenciales y los efectos adversos.
3.12 IDENTIFICACIÓN DEL RIESGO: Proceso para determinar lo que puede suceder, por qué y cómo.
3.13 IMPACTO: Grado en que las Consecuencias pueden generar perdidas a la Universidad si se llega a
materializar el riesgo.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 6 de 32
3.14 MAPA DE RIESGO: Es un instrumento que permite visualizar el estado de los riesgos en cada uno de los
procesos con el fin de tomar decisiones sobre los aspectos críticos identificados en él.
3.15 PROBABILIDAD: Frecuencia (Numero de veces) en la que se podría presentar un evento o se ha
presentado y /o factibilidad (posibilidad) de que suceda el evento. La probabilidad se expresa con una
escala de valores cuantitativos y cualitativos, como por ejemplo puede calificarse como probabilidad baja,
media o alta, asignándole el valor de 1, 2 y 3 respectivamente en donde 1 indica un evento o resultado
poco posible y 3 un evento y resultado seguro.
3.16 REDUCCIÓN DEL RIESGO: Aplicación selectiva de técnicas apropiadas y principios de gestión a fin de
reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas.
3.17 RIESGO: La oportunidad de que suceda algo que tendrá impacto en los objetivos
3.18 SIMEGE ELECTRÓNICO: Software tipo web que permite la operación en línea del Sistema de Mejor
Gestión UN-SIMEGE de la Universidad Nacional de Colombia.
3.19 SEGUIMIENTO: Verificar, supervisar, observar de forma crítica, o registrar el progreso de una actividad,
acción o sistema, en forma regular, a fin de identificar cambios.
3.20 TRATAMIENTO DEL RIESGO: Selección e implementación de las opciones apropiadas para ocuparse
del Riesgo.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 7 de 32
4. NORMATIVIDAD LEGAL Y REGLAMENTARIA
Tipo de documento Titulo del documento
Origen
Externa Interna
Ley 87 de 1993
Por la cual se establecen normas para el ejercicio del control
interno en las entidades y organismos del Estado y se dictan
otras disposiciones, artículo 2 literal a). Proteger los recursos de
la organización, buscando su adecuada administración ante
posibles riesgos que los afectan. Artículo 2 literal f). Definir y
aplicar medidas para prevenir los riesgos, detectar y corregir las
desviaciones que se presenten en la organización y que puedan
afectar el logro de los objetivos.
x
Ley 489 de 1998 Estatuto básico de organización y funcionamiento de la
administración pública. x
Decreto 2145 de 1999
Por el cual se dictan normas sobre el sistema nacional de control
interno de las entidades y organismos de la administración
pública del orden nacional y territorial y se dictan otras
disposiciones. Modificado parcialmente por el decreto 2593 del
2000.
x
Directiva presidencial
09 de 1999
Lineamientos para la implementación de la política de lucha
contra la corrupción. x
Decreto 1537 de 2001
Por el cual se reglamenta parcialmente la Ley 87 de 1993 en
cuanto a elementos técnicos y administrativos que fortalezcan el
sistema de control interno de las entidades y organismos del
Estado. Cuarto parágrafo. Son objetivos del sistema de control
interno (…) definir y aplicar medidas para prevenir los riesgos,
detectar y corregir las desviaciones… Artículo 3. El rol que
deben desempeñar las oficinas de control interno (…) se
enmarca en cinco tópicos (…) valoración de riesgos. Artículo 4.
Administración de riesgos. Como parte integral del
fortalecimiento de los sistemas de control interno en las
entidades publicas (…).
x
Ley 872 de 2003 Por la cual se crea el sistema de gestión de la calidad en la rama x
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 8 de 32
ejecutiva del poder público y en otras entidades prestadoras de
servicios.
Decreto 4110 de 2005 Por el cual se reglamenta la Ley 872 de 2003 y se adopta la
norma técnica de calidad en la gestión pública. x
Decreto 1599 de 2005 Por el cual se adopta el modelo estándar de control interno para
el Estado Colombiano x
Resolución de Rectoría
1066 del 4 septiembre
de 2007
Por la cual se crea el Sistema de mejor de Gestión de la
Universidad Nacional de Colombia. x
Resolución de Rectoría
711 de 19 de mayo
2009 se adopta MECI
Por la cual se adoptan los documentos del Sistema de mejor de
Gestión de la Universidad Nacional de Colombia. x
5. METODOLOGÍA
5.1 ADMINISTRACIÓN DE RIESGOS
La Universidad Nacional debe darle cumplimiento a su misión institucional, para lo cual gestiona diferentes
procesos y proyectos institucionales, que pueden verse afectados por la presencia de riesgos, por tanto se hace
necesario contar con un plan de acción encaminado a administrar y prevenir la ocurrencia de riesgos al interior
de la Universidad.
El adecuado manejo de los riesgos favorece el desarrollo, el crecimiento sostenible de la Universidad Nacional
de Colombia y el logro de los objetivos misionales propuestos. Por lo cual se hace necesario establecer un
proceso sistemático que busque asegurar que la Universidad se anticipe a la ocurrencia de dichos eventos.
La administración del riesgo esta compuesta por siete fases mínimas que garantizan una adecuada
implementación en el Grafico 1 se expone el proceso genérico y a lo largo de la guía se explican cada una de las
fases:
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 9 de 32
Gráfico 1: Proceso para la Administración del Riesgo
5.1.1 DEFINICIÓN DEL CONTEXTO
Para la formulación y operacionalización de la política de administración del riesgo es fundamental tener claridad
sobre la misión, los objetivos y la naturaleza de la Universidad, como también se debe tener en cuenta la misión
y objetivos de cada equipo de gestión y de los proceso que cada uno de ellos desarrolla, como parte de la misión
general de la Universidad, además, de tener una visión sistémica de la gestión universitaria de manera que no se
perciba la administración de riesgos como una herramienta aislada del accionar administrativo de la Universidad.
Por ende, la definición del contexto es el punto de partida de una identificación eficiente de los factores internos o
externos que pueden generar riesgos y que por lo tanto atenten contra el cumplimiento de los objetivos
institucionales.
• Definir e implementar los planes de tratamiento
• Monitoreo y Revisión
• Establecer el contexto
• Identificar los riesgos
• Analizar los riesgos
• Valorar los riesgos
• Comunicación y mejora continua
Actuar Planear
HacerVerificar
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 10 de 32
El análisis del contexto estratégico se realiza a partir del conocimiento e identificación de situaciones del entorno tanto de carácter social, económico, cultural, de orden público, político, legal y /o cambios tecnológicos que afectan o pueden afectar al cumplimiento de los objetivos definidos en los procesos, y las particularidades internas de la institución como la estructura organizacional, asignación presupuestal, procesos internos, tipo de vinculación de personal, entre otros.
Se recomienda la aplicación de varias herramientas y técnicas como por ejemplo: entrevistas con expertos en el
área, reuniones con directivos y con personas de todos los niveles en la Universidad, lluvias de ideas con los
integrantes de las áreas y los equipos de gestión, diagramas de flujo, herramientas de estudio “causa y efecto” y
análisis por escenarios, entre otros.
Estas herramientas deben ser tenidas en cuenta en cada fase de la Administración de Riesgos, ya que la
participación activa de los integrantes del Equipo de Gestión permitirá una correcta identificación, Análisis,
Valoración e implementación de los planes de tratamiento de los Riesgos.
Nota: La gestión de los riesgos se administra a través del módulo de Riesgos del Simege electrónico, donde
acorde a las etapas descritas se crea la matriz de riesgo asociada a los procesos institucionales de la
Universidad Nacional de Colombia.
El cual incluye las etapas asociadas como: la identificación del riesgo, con sus correspondientes características
(descripción, causas, consecuencias, agentes generadores y valoración) la asociación de controles (nivel de
implementación y evaluación de la efectividad), las acciones y los planes de tratamiento (módulo de acciones) a
ejecutar, con el fin de asegurar la efectiva gestión del riesgo.
Se debe generar el acta respectiva, como respaldo de la revisión y aprobación de la matriz de riesgos y el plan
de tratamiento incluidos en el Simege electrónico.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 11 de 32
Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:
- Identificar los factores externos e internos que pueden ocasionar la presencia de riesgos
- Aportar información que facilite y enriquezca las demás etapas de la administración del riesgo
5.1.2 IDENTIFICACIÓN DE RIESGOS
La fase de la identificación del riesgo debe ser permanente e interactiva, debe basarse en el resultado del
análisis del contexto estratégico y debe partir de la claridad de los objetivos de la Universidad, del proceso y de
los equipos de gestión.
La identificación del riesgo debe tener en cuenta el conocimiento previo de situaciones que han o que pueden
llegar a entorpecer u obstaculizar el cumplimiento de un objetivo, la obtención de un resultado, obtener un
producto o servicio específico, el cumplimiento de un requisito legal, organizacional o externo, y/o la satisfacción
de los usuarios en la Institución.
Se pueden tomar como referencias metodologías como causa-efecto y la espina de pescado, análisis de
escenarios, entrevistas, cuestionarios u otros.
Por cada riesgo identificado, se definen en primera instancia sus causas y efectos (consecuencia) y su
correspondiente descripción.
Para lo cual es importante conocer el detalle los siguientes conceptos:
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 12 de 32
Proceso: Proceso al cual se le asocian los riesgos identificados.
Objetivo del proceso: se debe tener claridad en el objetivo que se ha definido para el proceso al cual se le
están identificando los riesgos.
Riesgo: Representa la situación o evento que pueda entorpecer el normal desarrollo de las funciones del
proceso y/o entidad y afectar el logro de sus objetivos.
Los riesgos pueden clasificarse en los siguientes:
Riesgos de Cumplimiento: Situaciones o eventos que atentan el cumplimiento de requisitos internos o externos
de la Institución.
Riesgos Estratégicos: Situaciones o eventos que atentan el cumplimiento de la misión y los objetivos
estratégicos, en función de sus políticas o directrices institucionales.
Riesgos Financieros: Situaciones o eventos que atentan la sostenibilidad financiera, se relacionan con el
manejo de los recursos de la entidad, la eficiencia y transparencia en el manejo de los recursos.
Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la
entidad relacionados con su función.
Riesgos de Tecnología: Se asocian con la capacidad de la Institución para que la tecnología disponible
satisfaga las necesidades actuales y futuras de la entidad y soporten el cumplimiento de su misión.
Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores de riesgo.
Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar
un riesgo.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 13 de 32
Tipos de Causas:
Talento Humano
Entradas
Método o procedimiento
Infraestructura
Recursos financieros
Gestión o Administración
Factores externos
Otros
Descripción del Riesgo: Características generales o las formas en que se observa o manifiesta el riesgo
identificado.
Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la
Universidad.
Tipos de Consecuencias:
Pérdidas económicas
Pérdida de Imagen
Insostenibilidad Financiera
Daños a la integridad Física
Llamados de Atención
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 14 de 32
Sanciones Judiciales
Reprocesos
Cuando se generen dudas con respecto a si se identificó un riesgo o realmente lo identificado es una causa, se
sugiere recordar la frase del riesgo
“Deb ido a _CAUSA_ puede ocu r r i r _RIESGO_ l o que con l leva r ía a _ EFECTO_ ”
Durante el proceso de identificación del riesgo se recomienda tener en cuenta la clasificación de los mismos
según los tipos de riesgos (Ver Anexo 1 CLASIFICACION DEL RIESGO)
Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:
- Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos para los Procesos y quipos de Gestión de la Universidad Nacional de Colombia.
- Describir los riesgos identificados con sus características.
- Precisar los efectos que los riesgos puedan ocasionarle a los procesos y/o a la Universidad.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 15 de 32
5.1.3 ANÁLISIS DEL RIESGO
El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de ellos,
calificándolos y evaluándolos para establecer el nivel de riesgo y las acciones que conformarán el plan de
tratamiento a implementar. El análisis del riesgo dependerá de la información obtenida en el formato de
identificación de riesgos y los aportes de la comunidad universitaria en general. Es decir, la responsabilidad del
análisis será de todos los servidores públicos de la Universidad Nacional de Colombia.
Se han establecido dos aspectos a tener evaluar en el análisis de los riesgos identificados la Probabilidad y el
Impacto. La Probabilidad puede ser medida con criterios de Frecuencia, si se ha materializado por ejemplo: No.
de veces que un riesgo ha sucedido en un tiempo determinado, o de Factibilidad teniendo en cuenta la presencia
de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. El Impacto
se mide según el grado en que las consecuencias o efectos pueden perjudicar a la organización si se materializa
el riesgo.
Para adelantar el análisis del riesgo se deben considerar los siguientes aspectos:
La Calificación del Riesgo: se logra a través de la evaluación de la probabilidad de ocurrencia y el impacto de la
materialización del riesgo. Los criterios para la calificación son subjetivos, depende de la particularidad del riesgo
y los antecedentes en cada uno de los procesos y los equipos de gestión. Para fines prácticos, la Universidad
Nacional calificará los riesgos según las siguientes tablas:
VALOR DE
PROBABILIDAD
NIVEL DE
PROBABILIDAD DESCRIPCIÓN
1 Bajo (raro)
Puede ocurrir solo en circunstancias excepcionales
(Una vez en el año).
2 Medio(posible) Es posible que ocurra algunas veces (entre 1 y 5 veces en el
año).
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 16 de 32
3 Alto (casi cierto) Se espera que ocurra en la mayoría de las circunstancias
(mas de 8 veces al año).
Gráfico 2 Criterio para calificación de Probabilidad
VALOR DE
IMPACTO
NIVEL DE
IMPACTO DESCRIPCIÓN
5 Leve Perdidas insignificantes, menor grado de incumplimiento en metas y
objetivos
10 Moderado Perdidas considerables, posibilidad de un alto grado de
incumplimiento en metas y objetivos
20 Catastrófico Perdidas enormes, daño en la imagen de la Universidad, alto grado
de incumplimiento en metas y objetivos
Gráfico 3 Criterio para calificación de Impacto
La Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo para establecer el grado
de exposición de la Universidad y distinguir entre los riesgos aceptables, tolerables, moderados, importantes o
inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.
Con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta la matriz de calificación,
evaluación y respuesta a riesgos que contempla un análisis cualitativo, que hace referencia al uso de formas
descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia
(probabilidad). Tomando las siguientes categorías: leve (5), moderada (10) y catastrófica (20) en relación con el
impacto y alta (3), media (2) y baja (1) respecto a la probabilidad.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 17 de 32
Así mismo, presenta un análisis cuantitativo, que contempla valores numéricos que contribuyen a la exactitud en
la calificación y evaluación de los riesgos.
La forma en la cual la probabilidad y el impacto son expresados y combinados en la matriz provee la evaluación
del riesgo (Ver Grafico 5).
Probabilidad Valor
Alta 3
15
Zona de Riesgo
Moderado
Evitar el Riesgo
30
Zona de Riesgo
Importante
Reducir el Riesgo
Evitar el Riesgo
Compartir o transferir
60
Zona de Riesgo
Inaceptable
Evitar el riesgo
Reducir el Riesgo
Compartir o transferir
Media 2
10
Zona de Riesgo
Tolerable
Asumir el Riesgo
Reducir el Riesgo
20
Zona de Riesgo
Moderado
Reducir el riesgo
Evitar el Riesgo
Compartir o transferir
40
Zona de Riesgo
Importante
Reducir el Riesgo
Evitar el Riesgo
Compartir o transferir
Baja 1
5
Zona de Riesgo
Aceptable
10
Zona de Riesgo
Tolerable
Asumir el Riesgo
20
Zona de Riesgo
Moderado
Reducir el riesgo
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 18 de 32
Asumir el Riesgo Reducir el Riesgo Compartir o transferir
Valor 5 10 20
Impacto Leve Moderado Catastrófica
Gráfico 4 Matriz de calificación, evaluación y respuesta a los riesgos
Para realizar la Evaluación del Riesgo se debe tener en cuenta la posición del riesgo en la Matriz, según la celda
que ocupa, aplicando los siguientes criterios:
Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificación 5), significa que su Probabilidad es baja y su
Impacto es leve, lo cual permite a la Universidad asumirlo, es decir, el riesgo se encuentra en un nivel que puede
aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen.
Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificación 60), su Probabilidad es alta y su Impacto
catastrófico, por tanto es aconsejable dar tratamiento a las causas que generan el riesgo. Es decir, se deben
implementar controles de prevención para reducir la Probabilidad del riesgo o disminuir el impacto de los efectos;
medidas de Protección para compartir o transferir el riesgo si es posible a través de pólizas de seguros u otras
opciones que estén disponibles, las acciones que se definan como tratamiento se deben establecer a corto plazo.
Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar
medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Las medidas dependen de la
celda en la cual se ubica el riesgo, así: los Riesgos de Impacto leve y Probabilidad alta se previenen; los Riesgos
con Impacto moderado y Probabilidad leve, se reduce o se comparte el riesgo, si es posible; también es viable
combinar estas medidas.
Cuando la Probabilidad del riesgo sea media y su Impacto leve, se debe realizar un análisis del costo beneficio
con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo. Cuando el riesgo tenga una
Probabilidad baja e Impacto catastrófico se debe tratar de compartir el riesgo.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 19 de 32
Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:
- Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad de la
Universidad, para cumplir su propósito.
- Medir el impacto, las consecuencias del riesgo sobre las personas, los recursos o la coordinación de
las acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los
procesos.
- Establecer criterios de calificación y evaluación de los riesgos que permiten tomar decisiones
pertinentes sobre su tratamiento.
5.1.4 VALORACIÓN DEL RIESGO
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles
identificados en el elemento de control, denominado “Controles”, del Subsistema de Control de Gestión del MECI,
con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa se hace
necesario tener claridad sobre los puntos de control existentes en los diferentes procesos.
5.1.5 DISEÑO DE CONTROLES
Los controles se definen como mecanismos, políticas, prácticas u otras acciones existentes que actúan para
minimizar el riesgo negativo o potenciar oportunidades positivas en la gestión del riesgo, con el fin de garantizar
el desarrollo y cumplimiento de las actividades acorde a los requisitos institucionales.
Los controles se pueden clasificar en:
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 20 de 32
- Preventivos: aquellos que actúan para eliminar las causas del riesgo para prevenir su ocurrencia o
materialización.
- Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento
no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.
Los controles acorde a su tipo, correctivo o preventivo, debe tener en cuenta la viabilidad y costo de los mismos.
La clasificación de los controles puede estar asociada a:
Controles de Gestión: Son aquellos controles orientados a garantizar el cumplimiento de las estrategias,
políticas y objetivos institucionales, dentro de los cuales se encuentran: los indicadores, evaluaciones, auditorias,
informes, comités etc.
Controles Operativos: Son aquellos controles enfocados a garantizar la ejecución de las actividades, se
encuentran soportados en los manuales, procedimientos, guías o instructivos definidos para desarrollar dicha
actividad; también hacen parte las funciones y responsabilidades determinadas al personal, la infraestructura y
todos los recursos dispuestos para la realización de dichas actividades.
Controles Legales: Son aquellos en los cuales hacen parte la normatividad interna y externa aplicable a la
Institución. Por ejemplo, Acuerdos, Resoluciones etc.
Los controles definidos pueden estar incluidos en:
Las actividades de los procedimientos.
En la realización de actividades de capacitación o sensibilización a los servidores públicos sobre
autocontrol y autoevaluación.
La evaluación al sistema de control interno de la Institución.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 21 de 32
Las auditorias y los planes de mejoramiento.
5.1.5.1 IMPLEMENTACIÓN DE CONTROLES
La implementación se asocia a que estén claramente definidos, documentados, conocidos y puestos en marcha
acorde a los criterios establecidos.
5.1.5.2 VERIFICACIÓN DE CONTROLES
La verificación de su implementación se debe realizar por medio de mecanismos como seguimientos,
evaluaciones y/o auditorias, con el fin de asegurar el mantenimiento de los mismos y/o necesidad de cambio de
éstos.
5.1.5.3 ANÁLISIS DE EFECTIVIDAD
El análisis de efectividad de los controles se refleja directamente en los resultados de desempeño del proceso
asociado, el cumplimiento de la política de administración del riesgo y la ocurrencia de eventos asociados a la
materialización del riesgo.
Para una adecuada valoración del riesgo responda las siguientes preguntas:
- ¿Existen controles en el proceso o en el equipo de gestión para disminuir o evitar el riesgo?
- ¿Los controles están documentados?
- ¿Los controles se están aplicando en la actualidad?
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 22 de 32
- ¿El control es efectivo para minimizar el riesgo?
Una vez ha respondido proceda a realizar la valoración, así:
- Pondérelos según la siguiente tabla, teniendo en cuenta las respuestas a las preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican y son efectivos).
- Ubique en la Matriz de Calificación, Evaluación y Respuesta a los riesgos (Grafico 5), el estado final de
riesgo, de acuerdo a los resultados obtenidos en la valoración del mismo.
CRITERIOS VALORACIÓN DEL RIESGO
No existen Controles Se mantiene el resultado de la evaluación antes de
controles
Los Controles existentes no son efectivos Se mantiene el resultado de la evaluación antes de
controles
Los Controles existentes son efectivos pero
no están documentados
Cambia el resultado a una casilla inferior de la matriz de
evaluación antes de controles (el desplazamiento
depende de si el control afecta el impacto o la
probabilidad)
Los Controles existentes son efectivos y
están documentados
Pasa a escala inferior, es decir el riesgo pasa a estar en
una menor zona de riesgo (el desplazamiento depende
de si el control afecta el impacto o la probabilidad)
Gráfico 5 Tabla de Valoración de Controles.
Ejemplo:
Riesgo:
Pérdida de información debido a la entrada de un virus en la red de información de la Universidad.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 23 de 32
Probabilidad:
Alta - 3, porque todos los computadores de la Universidad están conectados a la misma red.
Impacto:
Alto - 20, porque la pérdida de información conllevaría a graves consecuencias para el quehacer de la
Universidad.
Evaluación del Riesgo:
De acuerdo a la matriz de calificación y evaluación sería de 60 y se encontraría en la zona de riesgo
inaceptable.
Descripción de los controles existentes:
- Se hace backup o copias de seguridad, semanalmente.
- Se vacunan todos los programas y equipos, diariamente.
- Se guarda la información más relevante fuera de la red en un centro de información.
- ¿Los controles están documentados? SI
- ¿Se esta aplicando en la actualidad? SI
- ¿Es efectivo para minimizar el riesgo? SI
La valoración del riesgo cambia:
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 24 de 32
La probabilidad cambia a Media y se ubica en la zona de riesgo Moderado 10. Esto debido a la
efectividad de los controles existentes, ya que los dos primeros controles apuntan a la disminuir la
probabilidad y el último a disminuir el impacto, por lo tanto las acciones que se implementen entrarán a
reforzar los controles establecidos y a valorar la efectividad de los mismos.
Nota: En caso que los controles no se encuentren completamente implementados y su efectividad no sea la
esperada, se debe generar un plan de acción enfocado a garantizar su efectividad.
Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:
- Identificación de los controles existentes para los riesgos identificados y analizados.
- Priorización de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluación del
riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la
Universidad en caso de materializarse.
- Elaborar el mapa de riesgos para cada proceso.
5.1.6 TRATAMIENTO DE LOS RIESGOS
El tratamiento de los riesgos involucra identificar las opciones para tratar los riesgos, evaluar esas opciones
(Costo-Beneficio, Viabilidad técnica y jurídica, etc.), preparar planes para tratamiento de los riesgos e
implementarlos.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 25 de 32
5.1.6.1 OPCIONES DE MANEJO
Se deben tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas
independientemente, interrelacionadas o en conjunto.
- Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera
alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por
mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Un
ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los
equipos, desarrollo tecnológico, etc.
- Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de
prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método
más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles.
Se consigue mediante la optimización de los procedimientos y la implementación de controles.
- Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras
organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten
distribuir una porción del riesgo con otra Universidad, como en los contratos a riesgo compartido. Es así
como por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y
de ubicación segura, en vez de dejarla concentrada en un solo lugar.
- Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que
se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y
elabora planes de contingencia para su manejo.
5.1.6.2 ACCIONES
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser
factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de
procesos y procedimientos y cambios físicos, entre otros. La selección de las acciones más conveniente debe
considerar la viabilidad jurídica, técnica, institucional, financiera y económica y se puede realizar con base en los
siguientes criterios:
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 26 de 32
a. La valoración del riesgo
b. El balance entre el costo de la implementación de cada acción contra el beneficio de la misma.
Para la ejecución de las acciones, se deben identificar las áreas o dependencias responsables de llevarlas a
cabo, definir un cronograma y parámetros para realizar el seguimiento y verificación de las actividades
realizadas.
Las acciones definidas se describen a través de los planes de tratamiento.
Nota: Las acciones (planes de tratamiento) definidas se administran y gestionan a través del módulo de
Acciones del Simege electrónico.
5.1.6.3 MATRIZ DE RIESGOS
Las matrices de riesgo están establecidas para el cumplimiento de los objetivos de cada equipo de gestión, por lo
tanto cada uno de ellos deben identificar y controlar los riesgos de manera participativa, evidenciando la
contribución de los servidores de cada equipo en la construcción y tratamiento.
Las matrices de riesgo se construyen a partir de las características previamente descritas, en el Módulo de
Riesgos del Simege electrónico, donde se visualiza la matriz con su correspondiente información.
Información que contiene la Matriz de Riesgo:
Proceso: Hace relación al proceso al cual se le administrará los riesgos.
Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la
Universidad y le impidan el logro de sus objetivos.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 27 de 32
Impacto: consecuencias que puede ocasionar a la organización la materialización del riesgo.
Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con criterios de
Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de Factibilidad
teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no
se haya materializado.
Evaluación del Riesgo: Resultado obtenido en la matriz de calificación, evaluación y respuesta a los riesgos
teniendo en consideración la probabilidad y el impacto de estos.
Controles existentes: especificar cuál es el control que la Universidad tiene implementado para combatir,
minimizar o prevenir el riesgo.
Valoración del Riesgo: es el resultado de determinar la vulnerabilidad de la Universidad al riesgo, luego de
confrontar la evaluación del riesgo con los controles existentes.
Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar o transferir
el riesgo; o asumir el riesgo.
Acciones: es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el
riesgo y harán parte del plan de tratamiento del riesgo.
En lo relacionado con los indicadores, se establece que los indicadores que sustenten el desempeño del proceso
son los que respaldan una efectiva gestión del riesgo.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 28 de 32
5.1.6.4 PLAN DE TRATAMIENTO
Los planes de tratamiento son el conjunto de actividades (acciones) encaminadas a prevenir y/o mitigar el riesgo,
las cuales comprenden su correspondiente descripción, fechas de inicio, fechas de ejecución, seguimiento y
responsables.
Nota: En caso que se materialice un riesgo, se debe generar el plan de mejoramiento (acción correctiva)
respectivo, el cual se formaliza a través del módulo de acciones del Simege Electrónico.
Con la realización de esta etapa se busca que la Universidad obtenga los siguientes resultados:
- Lograr un uso eficiente de los recursos.
- Garantizar la continuidad en la prestación de los servicios
- Proteger los recursos de la Universidad
- Políticas de Administración de Riesgo
- Acciones de manejo y planes de tratamiento para cada riesgo identificado
NOTA:
Elaboración del Mapa de Riesgos por proceso y el Mapa de Riesgos institucional.
El mapa de riesgos institucional contiene a nivel estratégico los mayores riesgos a los cuales está expuesta la
Universidad Nacional de Colombia, permitiendo conocer las opciones de manejo tendientes a evitar, reducir,
transferir el riesgo; o asumirlo, y la aplicación de acciones concretadas.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 29 de 32
Los Mapas de Riesgos por proceso se consolidan a través del Simege Electrónico, en la medida que cada
equipo de gestión ingrese la matriz de riesgos, con el fin de visualizar los riesgos significativos, sus controles y
las acciones especificadas, con el fin de definir las políticas de administración de riesgo por proceso y evidenciar
el cumplimiento de los planes de tratamiento definidos.
5.1.7 MONITOREO Y REVISIÓN
Es necesario monitorear continuamente los riesgos, la efectividad del plan de tratamiento, las estrategias y el
sistema de administración que se establece para controlar la implementación. Los riesgos y la efectividad de las
medidas de control necesitan ser revisadas constantemente para asegurar que las circunstancias cambiantes no
alteren las prioridades de los riesgos, la aparición de riesgos remanentes. Es importante tener en cuenta que
pocos riesgos permanecen estáticos.
Es esencial una revisión sobre la marcha para asegurar que el plan de administración mantiene su relevancia.
Pueden cambiar los factores que podrían afectar las probabilidades y consecuencias de un resultado, como
también los factores que afectan la conveniencia o costos de las distintas opciones de tratamiento. En
consecuencia, es necesario repetir regularmente el ciclo de administración de riesgos.
El seguimiento es una parte integral del plan de tratamiento de la administración de riesgos; la periodicidad de la
revisión de todos los componentes de la administración de riesgos lo determinaran al interior de cada equipo de
gestión administrador de sus riesgos.
5.1.8 ACTUALIZACIÓN DEL MAPA DE RIESGOS
Cuando el proceso evaluado presente cambios organizacionales, como objetivo, alcance y/o actividades se
deberá actualizar el mapa, teniendo como mínimo una revisión y/o actualización anual a partir de su fecha de
emisión.
5.1.9 COMUNICACIÓN Y CONSULTA
La comunicación y retroalimentación son una fase constante en cada fase del proceso de administración de
riesgos, por eso la importancia de un proceso de construcción y tratamiento participativo y colectivo. Es
primordial desarrollar un plan de comunicación de los riesgos y los tratamientos para los actores internos y
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 30 de 32
externos interesados en los procesos y procedimientos de cada equipo de gestión. Este plan debería encarar
aspectos relativos al riesgo en sí mismo y al proceso, además de garantizar que el flujo de información sea en
ambas direcciones que permita una asertiva toma decisiones.
Es importante la comunicación efectiva interna y externa para asegurar que aquellos responsables por
implementar la administración de riesgos logren visionar la base sobre la cual se toman las decisiones y por qué
se requieren ciertas acciones en particular.
Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, las
necesidades, aspectos y preocupaciones de cada equipo de gestión y por lo tanto de los actores interesados
para cada caso. Los interesados normalmente actúan haciendo juicios de aceptabilidad de los riesgos basados
en su percepción y experiencia.
6. EVALUACIÓN DE LA GESTIÓN DEL RIESGO
La evaluación de la efectiva gestión del riesgo se puede evidenciar a través de:
La disminución de la valoración de los riesgos significativos identificados.
El aumento del número de controles existentes.
Los resultados de la evaluación de efectividad de los controles.
La ejecución de los planes de tratamiento determinados.
La materialización del Riesgo.
Los resultados asociados al desempeño de los procesos.
El Cumplimiento de los Objetivos Institucionales.C
Elaboró: Equipo técnico
SIMEGE Revisó:
Coordinadora
General SIMEGE Aprobó: Vicerrectoria
General
Cargo: Analistas Cargo: Asesora Cargo: Vicerrectora General
Fecha: 1-1-2011 Fecha: 04-26-2011 Fecha: 04-26-2011
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 31 de 32
ANEXOS
ANEXO 1. CLASIFICACIÓN DEL RIESGO
ANEXO 2. EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE
ELECTRONICO
ANEXO 3 EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRONICO
ANEXO4 EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRONICO
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 32 de 32
ANEXO 1: CLASIFICACIÓN DEL RIESGO
RIESGOS ESTRATÉGICOS
Forma de administrar la Universidad
Cumplimiento de la misión, visión y objetivos generales
Definición de políticas, diseño y conceptualización por parte de la gerencia
RIESGOS OPERATIVOS
Aspectos operativos y técnicos de la presentación del Servicio
Deficiencias en sistemas de información
Inadecuada definición de procesos
Estructura interna de la Universidad
Oportunidades de corrupción
Incumplimiento de compromisos organizacionales y contractuales
RIESGOS FINANCIEROS
Inadecuado manejo de los recursos de la Universidad
Inadecuado manejo presupuestal
Elaboración inadecuada de los estados financieros
Pagos, Tesorería, Cartera
Y todos aquellos que puedan llevar al fracaso e inestabilidad de la Universidad
RIESGOS DE CUMPLIMIENTO
Incumplimiento de requisitos legales
Contractuales
Ética pública
Compromiso ante la comunidad
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 33 de 32
RIESGOS DE TECNOLOGIA
La tecnología disponible no satisfaga las necesidades de la Universidad
Equipos Inadecuados
Afectación en el cumplimiento actual y futuro de la Universidad
No permitan el cumplimiento de la misión de la Universidad.
ANEXO 2: EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE ELECTRONICO.
Características del Riesgo a incluir.
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 34 de 32
ANEXO 3: EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRÓNICO
Descripción del Proceso asociado al riesgo identificado.
Descripción de la valoración del Riesgo
Descripción de los controles
DESARROLLO ORGANIZACIONAL Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 35 de 32
Descripción del Plan de Tratamiento
MEJORAMIENTO DEL DESARROLLO ORGANIZACIONAL
Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 36 de 32
ANEXO 4: EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRÓNICO
Generación del plan de tratamiento en el módulo de acciones en el Simege Electrónico.
MEJORAMIENTO DEL DESARROLLO ORGANIZACIONAL
Código: U-GU-15.001.003
Versión: 4.0
GUÍA BÁSICA ADMINISTRACIÓN DEL RIESGO
Página 37 de 32