DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 1 de 32

GUA BSICA ADMINISTRACIN DEL RIESGO

UNIVERSIDAD NACIONAL DE Colombia UN SIMEGE

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 2 de 32

PRESENTACIN..................................................................................................................................................... 3 1. OBJETIVO DE LA GUA ........................................................................................................................... 4 2. ALCANCE ................................................................................................................................................. 4 3. DEFINICIONES ......................................................................................................................................... 4 4. NORMATIVIDAD LEGAL Y REGLAMENTARIA ...................................................................................... 7 5. METODOLOGA........................................................................................................................................ 8 5.1 ADMINISTRACIN DE RIESGOS ............................................................................................................ 8 5.1.1 DEFINICIN DEL CONTEXTO ................................................................................................................. 9 5.1.2 IDENTIFICACIN DE RIESGOS ............................................................................................................ 11 5.1.3 ANLISIS DEL RIESGO ......................................................................................................................... 15 5.1.4 VALORACIN DEL RIESGO.................................................................................................................. 19 5.1.5 DISEO DE CONTROLES..................................................................................................................... 19 5.1.5.1 IMPLEMENTACIN DE CONTROLES................................................................................................... 21 5.1.5.2 VERIFICACIN DE CONTROLES ........................................................................................................... 21 5.1.5.3 ANLISIS DE EFECTIVIDAD ................................................................................................................. 21 5.1.6 TRATAMIENTO DE LOS RIESGOS ....................................................................................................... 24 5.1.6.1 OPCIONES DE MANEJO .......................................................................................................................... 25 5.1.6.2 ACCIONES .............................................................................................................................................. 25 5.1.6.3 MATRIZ DE RIESGOS .............................................................................................................................. 26 5.1.6.4 PLAN DE TRATAMIENTO ....................................................................................................................... 28 5.1.7 MONITOREO Y REVISIN ..................................................................................................................... 29 5.1.8 ACTUALIZACIN DEL MAPA DE RIESGOS ........................................................................................ 29 5.1.9 COMUNICACIN Y CONSULTA ............................................................................................................ 29 6. EVALUACIN DE LA GESTIN DEL RIESGO ............................................................................................... 30 ANEXOS ................................................................................................................................................................ 31 ANEXO 1. CLASIFICACIN DEL RIESGO .......................................................................................................... 31 ANEXO 2. EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE ELECTRONICO ..................................................................................................................................................... 31 ANEXO 3 EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRONICO ................................. 31 ANEXO4 EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRONICO ............................... 31

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO PRESENTACIN

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 3 de 32

El UN-SIMEGE, Sistema de Mejor Gestin, es un conjunto de polticas, estrategias, metodologas, tcnicas y mecanismos para mejorar la gestin y el manejo de los recursos de manera que se fortalezca la capacidad administrativa y el desempeo de la Universidad Nacional de Colombia.

Dentro del UN - SIMEGE, la Universidad Nacional de Colombia busca implementar un modelo de administracin del riesgo con el fin de asegurar el logro de los objetivos misionales, dndole a la gestin universitaria un enfoque lgico, estratgico y racional para lograr la calidad y la excelencia.

La administracin del riesgo es un proceso ordenado, sistemtico y complementario a los dems procesos de la Universidad y busca generar las condiciones para que los servidores, en un ejercicio de autocontrol, posibiliten el logro de los objetivos misionales de una manera efectiva, identificando las oportunidades de mejora y las amenazas que puedan impedir el logro de los resultados propuestos.

Esta gua contiene la metodologa para la administracin del riesgo a desarrollar en la Universidad Nacional, que pretende convertirse en una herramienta para la gestin estratgica de los riesgos institucionales y de cada uno de los procesos, adems de constituir el punto de partida para un ejercicio sistemtico, transversal y constante de administracin estratgica, que parte de una clara intencin de mejoramiento y transformacin positiva, buscando la sostenibilidad de la Universidad en el tiempo y la mejora continua en los procesos y los servicios.

La gua bsica para la administracin del riesgo de la Universidad Nacional de Colombia se bas en la Gua de Administracin del Riesgo expedida por el Departamento Administrativo de la Funcin Pblica (DAFP), la Norma Tcnica Colombiana 5254 expedida por el Instituto Colombiano de Normas Tcnicas (ICONTEC) y el Manual de Implementacin del Modelo Estndar de Control Interno 1000 del 2005 (MECI 1000:2005).

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO 1. OBJETIVO DE LA GUA

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 4 de 32

Con la Gua Bsica para la Administracin del Riesgo, el UN-SIMEGE pretende unificar semnticamente los conceptos que forman parte de la implementacin de un modelo de administracin del riesgo para la Universidad Nacional de Colombia. Adems de establecer una orientacin metodolgica que facilite la comprensin e implementacin de las fases de la administracin del riesgo partiendo desde la identificacin, anlisis, evaluacin, medicin, monitoreo y comunicacin de los riesgos asociados a los procesos de la Universidad.

Mediante esta Gua bsica adicionalmente se pretende orientar el establecimiento de los planes de tratamiento dirigidos a la mitigacin y especialmente a la prevencin de los riesgos, con el fin de minimizar prdidas e identificar oportunidades de mejora, estableciendo las responsabilidades en la administracin de riesgos, el seguimiento y pertinencia de las polticas para su tratamiento.

2. ALCANCE
La administracin del riesgo es un proceso ordenado, sistemtico y transversal que se desarrolla en una seria de etapas o fases secuenciales posibilitando el mejoramiento continuo y la toma de decisiones por lo tanto su implementacin aplica para todos los procesos de la Universidad en sus diferentes dependencias, sedes (NODOS) u otras formas de organizacin interna.

3. DEFINICIONES1
3.1 ADMINISTRACIN DE RIESGOS: Una rama de administracin que aborda las consecuencias del riesgo. Consta de dos etapas: ETAPA I: El diagnstico o valoracin, mediante Identificacin, anlisis y valoracin del riesgo ETAPA II: El manejo o la administracin propiamente dicha, en que se elabora, ejecuta y hace seguimiento al plan de tratamiento propuesto por el grupo de trabajo, evaluado y aceptado por el lder del equipo de gestin.

Definiciones tomadas: GUA DE ADMINISTRACIN DEL RIESGO DAFP. Y la Norma Tcnica Colombiana NTC 5254
1

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

3.2

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 5 de 32

ANLISIS DE RIESGO: Busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificndolos y evalundolos con el fin de obtener informacin para establecer el nivel de riesgo y las acciones que se van a implementar. CAUSAS (interna o externa): medios, circunstancias y agentes generadores de riesgo. CONSECUENCIAS: efecto de la ocurrencia del riesgo sobre los objetivos de la Universidad; generalmente se da sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como; daos fsicos, fallecimiento, prdidas econmicas, de informacin, de bienes, de imagen, de credibilidad y de confianza, interrupcin del servicio y dao material. CONTROLES CORRECTIVOS: Aquellos que permiten el restablecimiento de la actividad despus de ser detectado un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su ocurrencia. CONTROLES PREVENTIVOS: Aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin. COMPARTIR EL RIESGO: Traslado de la responsabilidad o carga por la prdida a otra parte, por medio de la legislacin, contratos, seguros u otros medios. La transferencia del riesgo tambin se puede referir al traslado de un riesgo fsico o parte del mismo a cualquier otra parte. EVALUACIN DEL RIESGO: Proceso usado para determinar las prioridades de gestin del riesgo mediante la comparacin de los Resultados de la calificacin y el Grado de exposicin al Riesgo. FACTIBILIDAD: Presencia de factores internos y externos que pueden propiciar el riesgo, aunque ste no se haya materializado.

3.3 3.4

3.5

3.6

3.7

3.8

3.9

3.10 FRECUENCIA: Nmero de ocasiones en el que se ha materializado el evento o puede generarse (por ejemplo: No. de veces en un tiempo determinado) 3.11 GESTIN DEL RIESGO: Cultura, procesos y estructuras que se dirigen hacia la gestin audaz de las oportunidades potenciales y los efectos adversos. 3.12 IDENTIFICACIN DEL RIESGO: Proceso para determinar lo que puede suceder, por qu y cmo. 3.13 IMPACTO: Grado en que las Consecuencias pueden generar perdidas a la Universidad si se llega a materializar el riesgo.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 6 de 32

3.14 MAPA DE RIESGO: Es un instrumento que permite visualizar el estado de los riesgos en cada uno de los procesos con el fin de tomar decisiones sobre los aspectos crticos identificados en l. 3.15 PROBABILIDAD: Frecuencia (Numero de veces) en la que se podra presentar un evento o se ha presentado y /o factibilidad (posibilidad) de que suceda el evento. La probabilidad se expresa con una escala de valores cuantitativos y cualitativos, como por ejemplo puede calificarse como probabilidad baja, media o alta, asignndole el valor de 1, 2 y 3 respectivamente en donde 1 indica un evento o resultado poco posible y 3 un evento y resultado seguro. 3.16 REDUCCIN DEL RIESGO: Aplicacin selectiva de tcnicas apropiadas y principios de gestin a fin de reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas. 3.17 RIESGO: La oportunidad de que suceda algo que tendr impacto en los objetivos 3.18 SIMEGE ELECTRNICO: Software tipo web que permite la operacin en lnea del Sistema de Mejor Gestin UN-SIMEGE de la Universidad Nacional de Colombia. 3.19 SEGUIMIENTO: Verificar, supervisar, observar de forma crtica, o registrar el progreso de una actividad, accin o sistema, en forma regular, a fin de identificar cambios. 3.20 TRATAMIENTO DEL RIESGO: Seleccin e implementacin de las opciones apropiadas para ocuparse del Riesgo.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO 4. NORMATIVIDAD LEGAL Y REGLAMENTARIA

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 7 de 32

Origen Tipo de documento Titulo del documento Externa Interna

Ley 87 de 1993

Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones, artculo 2 literal a). Proteger los recursos de la organizacin, buscando su adecuada administracin ante posibles riesgos que los afectan. Artculo 2 literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organizacin y que puedan afectar el logro de los objetivos. Estatuto bsico de organizacin y funcionamiento de la administracin pblica. Por el cual se dictan normas sobre el sistema nacional de control interno de las entidades y organismos de la administracin pblica del orden nacional y territorial y se dictan otras disposiciones. Modificado parcialmente por el decreto 2593 del 2000. Lineamientos para la implementacin de la poltica de lucha contra la corrupcin. Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos tcnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado. Cuarto pargrafo. Son objetivos del sistema de control interno () definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones Artculo 3. El rol que deben desempear las oficinas de control interno () se enmarca en cinco tpicos () valoracin de riesgos. Artculo 4. Administracin de riesgos. Como parte integral del fortalecimiento de los sistemas de control interno en las entidades publicas (). Por la cual se crea el sistema de gestin de la calidad en la rama

Ley 489 de 1998

Decreto 2145 de 1999

Directiva presidencial 09 de 1999

Decreto 1537 de 2001

Ley 872 de 2003

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 8 de 32

ejecutiva del poder pblico y en otras entidades prestadoras de servicios. Decreto 4110 de 2005 Decreto 1599 de 2005 Resolucin de Rectora 1066 del 4 septiembre de 2007 Resolucin de Rectora 711 de 19 de mayo 2009 se adopta MECI Por el cual se reglamenta la Ley 872 de 2003 y se adopta la norma tcnica de calidad en la gestin pblica. Por el cual se adopta el modelo estndar de control interno para el Estado Colombiano Por la cual se crea el Sistema de mejor de Gestin de la Universidad Nacional de Colombia. Por la cual se adoptan los documentos del Sistema de mejor de Gestin de la Universidad Nacional de Colombia. x x

5. METODOLOGA 5.1 ADMINISTRACIN DE RIESGOS

La Universidad Nacional debe darle cumplimiento a su misin institucional, para lo cual gestiona diferentes procesos y proyectos institucionales, que pueden verse afectados por la presencia de riesgos, por tanto se hace necesario contar con un plan de accin encaminado a administrar y prevenir la ocurrencia de riesgos al interior de la Universidad.

El adecuado manejo de los riesgos favorece el desarrollo, el crecimiento sostenible de la Universidad Nacional de Colombia y el logro de los objetivos misionales propuestos. Por lo cual se hace necesario establecer un proceso sistemtico que busque asegurar que la Universidad se anticipe a la ocurrencia de dichos eventos.

La administracin del riesgo esta compuesta por siete fases mnimas que garantizan una adecuada implementacin en el Grafico 1 se expone el proceso genrico y a lo largo de la gua se explican cada una de las fases:

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 9 de 32

Comunicacin y mejora continua

Establecer el contexto Identificar los riesgos Analizar los riesgos Valorar los riesgos

Actuar

Planear

Verificar
Monitoreo y Revisin

Hacer
Definir e implementar los planes de tratamiento

Grfico 1: Proceso para la Administracin del Riesgo

5.1.1 DEFINICIN DEL CONTEXTO

Para la formulacin y operacionalizacin de la poltica de administracin del riesgo es fundamental tener claridad sobre la misin, los objetivos y la naturaleza de la Universidad, como tambin se debe tener en cuenta la misin y objetivos de cada equipo de gestin y de los proceso que cada uno de ellos desarrolla, como parte de la misin general de la Universidad, adems, de tener una visin sistmica de la gestin universitaria de manera que no se perciba la administracin de riesgos como una herramienta aislada del accionar administrativo de la Universidad. Por ende, la definicin del contexto es el punto de partida de una identificacin eficiente de los factores internos o externos que pueden generar riesgos y que por lo tanto atenten contra el cumplimiento de los objetivos institucionales.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 10 de 32

El anlisis del contexto estratgico se realiza a partir del conocimiento e identificacin de situaciones del entorno tanto de carcter social, econmico, cultural, de orden pblico, poltico, legal y /o cambios tecnolgicos que afectan o pueden afectar al cumplimiento de los objetivos definidos en los procesos, y las particularidades internas de la institucin como la estructura organizacional, asignacin presupuestal, procesos internos, tipo de vinculacin de personal, entre otros.
Se recomienda la aplicacin de varias herramientas y tcnicas como por ejemplo: entrevistas con expertos en el rea, reuniones con directivos y con personas de todos los niveles en la Universidad, lluvias de ideas con los integrantes de las reas y los equipos de gestin, diagramas de flujo, herramientas de estudio causa y efecto y anlisis por escenarios, entre otros.

Estas herramientas deben ser tenidas en cuenta en cada fase de la Administracin de Riesgos, ya que la participacin activa de los integrantes del Equipo de Gestin permitir una correcta identificacin, Anlisis, Valoracin e implementacin de los planes de tratamiento de los Riesgos.

Nota: La gestin de los riesgos se administra a travs del mdulo de Riesgos del Simege electrnico, donde acorde a las etapas descritas se crea la matriz de riesgo asociada a los procesos institucionales de la Universidad Nacional de Colombia.

El cual incluye las etapas asociadas como: la identificacin del riesgo, con sus correspondientes caractersticas (descripcin, causas, consecuencias, agentes generadores y valoracin) la asociacin de controles (nivel de implementacin y evaluacin de la efectividad), las acciones y los planes de tratamiento (mdulo de acciones) a ejecutar, con el fin de asegurar la efectiva gestin del riesgo.

Se debe generar el acta respectiva, como respaldo de la revisin y aprobacin de la matriz de riesgos y el plan de tratamiento incluidos en el Simege electrnico.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 11 de 32

Con la realizacin de esta etapa se busca que la Universidad obtenga los siguientes resultados:

Identificar los factores externos e internos que pueden ocasionar la presencia de riesgos Aportar informacin que facilite y enriquezca las dems etapas de la administracin del riesgo

5.1.2 IDENTIFICACIN DE RIESGOS

La fase de la identificacin del riesgo debe ser permanente e interactiva, debe basarse en el resultado del anlisis del contexto estratgico y debe partir de la claridad de los objetivos de la Universidad, del proceso y de los equipos de gestin. La identificacin del riesgo debe tener en cuenta el conocimiento previo de situaciones que han o que pueden llegar a entorpecer u obstaculizar el cumplimiento de un objetivo, la obtencin de un resultado, obtener un producto o servicio especfico, el cumplimiento de un requisito legal, organizacional o externo, y/o la satisfaccin de los usuarios en la Institucin.

Se pueden tomar como referencias metodologas como causa-efecto y la espina de pescado, anlisis de escenarios, entrevistas, cuestionarios u otros.

Por cada riesgo identificado, se definen en primera instancia sus causas y efectos (consecuencia) y su correspondiente descripcin.

Para lo cual es importante conocer el detalle los siguientes conceptos:

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 12 de 32

Proceso: Proceso al cual se le asocian los riesgos identificados.

Objetivo del proceso: se debe tener claridad en el objetivo que se ha definido para el proceso al cual se le estn identificando los riesgos.

Riesgo: Representa la situacin o evento que pueda entorpecer el normal desarrollo de las funciones del proceso y/o entidad y afectar el logro de sus objetivos.

Los riesgos pueden clasificarse en los siguientes:

Riesgos de Cumplimiento: Situaciones o eventos que atentan el cumplimiento de requisitos internos o externos de la Institucin. Riesgos Estratgicos: Situaciones o eventos que atentan el cumplimiento de la misin y los objetivos estratgicos, en funcin de sus polticas o directrices institucionales. Riesgos Financieros: Situaciones o eventos que atentan la sostenibilidad financiera, se relacionan con el manejo de los recursos de la entidad, la eficiencia y transparencia en el manejo de los recursos. Riesgos Operativos: Comprende los riesgos relacionados tanto con la parte operativa como tcnica de la entidad relacionados con su funcin.

Riesgos de Tecnologa: Se asocian con la capacidad de la Institucin para que la tecnologa disponible satisfaga las necesidades actuales y futuras de la entidad y soporten el cumplimiento de su misin. Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 13 de 32

Tipos de Causas:

Talento Humano Entradas Mtodo o procedimiento Infraestructura Recursos financieros Gestin o Administracin Factores externos Otros

Descripcin del Riesgo: Caractersticas generales o las formas en que se observa o manifiesta el riesgo identificado.

Efectos (consecuencias): constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la Universidad.

Tipos de Consecuencias:

Prdidas econmicas Prdida de Imagen Insostenibilidad Financiera Daos a la integridad Fsica Llamados de Atencin

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Sanciones Judiciales Reprocesos

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 14 de 32

Cuando se generen dudas con respecto a si se identific un riesgo o realmente lo identificado es una causa, se sugiere recordar la frase del riesgo

D e b i d o a _ C A U S A _ p ue d e o c u r ri r _ R I E S GO _ lo q u e co n l le v a r a a _ EF E C T O _

Durante el proceso de identificacin del riesgo se recomienda tener en cuenta la clasificacin de los mismos segn los tipos de riesgos (Ver Anexo 1 CLASIFICACION DEL RIESGO)

Con la realizacin de esta etapa se busca que la Universidad obtenga los siguientes resultados:

Determinar las causas (factores internos o externos) de las situaciones identificadas como riesgos para los Procesos y quipos de Gestin de la Universidad Nacional de Colombia. Describir los riesgos identificados con sus caractersticas. Precisar los efectos que los riesgos puedan ocasionarle a los procesos y/o a la Universidad.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO 5.1.3 ANLISIS DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 15 de 32

El anlisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de ellos, calificndolos y evalundolos para establecer el nivel de riesgo y las acciones que conformarn el plan de tratamiento a implementar. El anlisis del riesgo depender de la informacin obtenida en el formato de identificacin de riesgos y los aportes de la comunidad universitaria en general. Es decir, la responsabilidad del anlisis ser de todos los servidores pblicos de la Universidad Nacional de Colombia.

Se han establecido dos aspectos a tener evaluar en el anlisis de los riesgos identificados la Probabilidad y el Impacto. La Probabilidad puede ser medida con criterios de Frecuencia, si se ha materializado por ejemplo: No. de veces que un riesgo ha sucedido en un tiempo determinado, o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque ste no se haya materializado. El Impacto se mide segn el grado en que las consecuencias o efectos pueden perjudicar a la organizacin si se materializa el riesgo.

Para adelantar el anlisis del riesgo se deben considerar los siguientes aspectos:

La Calificacin del Riesgo: se logra a travs de la evaluacin de la probabilidad de ocurrencia y el impacto de la materializacin del riesgo. Los criterios para la calificacin son subjetivos, depende de la particularidad del riesgo y los antecedentes en cada uno de los procesos y los equipos de gestin. Para fines prcticos, la Universidad Nacional calificar los riesgos segn las siguientes tablas:

VALOR DE PROBABILIDAD

NIVEL DE PROBABILIDAD Bajo (raro) (Una vez en el ao).

DESCRIPCIN Puede ocurrir solo en circunstancias excepcionales

1 2

Medio(posible)

Es posible que ocurra algunas veces (entre 1 y 5 veces en el ao).

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 16 de 32

Alto (casi cierto)

Se espera que ocurra en la mayora de las circunstancias (mas de 8 veces al ao).

Grfico 2 Criterio para calificacin de Probabilidad

VALOR DE IMPACTO

NIVEL DE IMPACTO Leve

DESCRIPCIN Perdidas insignificantes, menor grado de incumplimiento en metas y objetivos Perdidas considerables, posibilidad de un alto grado de incumplimiento en metas y objetivos Perdidas enormes, dao en la imagen de la Universidad, alto grado de incumplimiento en metas y objetivos

5 10 20

Moderado

Catastrfico

Grfico 3 Criterio para calificacin de Impacto

La Evaluacin del Riesgo: permite comparar los resultados de la calificacin del riesgo para establecer el grado de exposicin de la Universidad y distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento.

Con el fin de facilitar la calificacin y evaluacin a los riesgos, a continuacin se presenta la matriz de calificacin, evaluacin y respuesta a riesgos que contempla un anlisis cualitativo, que hace referencia al uso de formas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Tomando las siguientes categoras: leve (5), moderada (10) y catastrfica (20) en relacin con el impacto y alta (3), media (2) y baja (1) respecto a la probabilidad.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 17 de 32

As mismo, presenta un anlisis cuantitativo, que contempla valores numricos que contribuyen a la exactitud en la calificacin y evaluacin de los riesgos.

La forma en la cual la probabilidad y el impacto son expresados y combinados en la matriz provee la evaluacin del riesgo (Ver Grafico 5).

Probabilidad

Valor

15
Zona de Riesgo Moderado

30
Zona de Riesgo Importante

60
Zona de Riesgo Inaceptable

Alta

3
Evitar el Riesgo Reducir el Riesgo Evitar el Riesgo Compartir o transferir Evitar el riesgo Reducir el Riesgo Compartir o transferir

10
Zona de Riesgo Tolerable

20
Zona de Riesgo Moderado

40
Zona de Riesgo Importante

Media

2
Asumir el Riesgo Reducir el Riesgo Reducir el riesgo Evitar el Riesgo Compartir o transferir Reducir el Riesgo Evitar el Riesgo Compartir o transferir

10
Zona de Riesgo Tolerable

20
Zona de Riesgo Moderado

Baja

Zona de Riesgo Aceptable

Asumir el Riesgo

Reducir el riesgo

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Asumir el Riesgo Reducir el Riesgo

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 18 de 32 Compartir o transferir

Valor Impacto

5 Leve

10 Moderado

20 Catastrfica

Grfico 4 Matriz de calificacin, evaluacin y respuesta a los riesgos

Para realizar la Evaluacin del Riesgo se debe tener en cuenta la posicin del riesgo en la Matriz, segn la celda que ocupa, aplicando los siguientes criterios: Si el riesgo se ubica en la Zona de Riesgo Aceptable (calificacin 5), significa que su Probabilidad es baja y su Impacto es leve, lo cual permite a la Universidad asumirlo, es decir, el riesgo se encuentra en un nivel que puede aceptarlo sin necesidad de tomar otras medidas de control diferentes a las que se poseen. Si el riesgo se ubica en la Zona de Riesgo Inaceptable (calificacin 60), su Probabilidad es alta y su Impacto catastrfico, por tanto es aconsejable dar tratamiento a las causas que generan el riesgo. Es decir, se deben implementar controles de prevencin para reducir la Probabilidad del riesgo o disminuir el impacto de los efectos; medidas de Proteccin para compartir o transferir el riesgo si es posible a travs de plizas de seguros u otras opciones que estn disponibles, las acciones que se definan como tratamiento se deben establecer a corto plazo. Si el riesgo se sita en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar medidas para llevar los Riesgos a la Zona Aceptable o Tolerable, en lo posible. Las medidas dependen de la celda en la cual se ubica el riesgo, as: los Riesgos de Impacto leve y Probabilidad alta se previenen; los Riesgos con Impacto moderado y Probabilidad leve, se reduce o se comparte el riesgo, si es posible; tambin es viable combinar estas medidas. Cuando la Probabilidad del riesgo sea media y su Impacto leve, se debe realizar un anlisis del costo beneficio con el que se pueda decidir entre reducir el riesgo, asumirlo o compartirlo. Cuando el riesgo tenga una Probabilidad baja e Impacto catastrfico se debe tratar de compartir el riesgo.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 19 de 32

Con la realizacin de esta etapa se busca que la Universidad obtenga los siguientes resultados:

Establecer la probabilidad de ocurrencia de los riesgos, que pueden disminuir la capacidad de la Universidad, para cumplir su propsito. Medir el impacto, las consecuencias del riesgo sobre las personas, los recursos o la coordinacin de las acciones necesarias para llevar el logro de los objetivos institucionales o el desarrollo de los procesos. Establecer criterios de calificacin y evaluacin de los riesgos que permiten tomar decisiones pertinentes sobre su tratamiento.

5.1.4 VALORACIN DEL RIESGO

La valoracin del riesgo es el producto de confrontar los resultados de la evaluacin del riesgo con los controles identificados en el elemento de control, denominado Controles, del Subsistema de Control de Gestin del MECI, con el objetivo de establecer prioridades para su manejo y fijacin de polticas. Para adelantar esta etapa se hace necesario tener claridad sobre los puntos de control existentes en los diferentes procesos.

5.1.5 DISEO DE CONTROLES

Los controles se definen como mecanismos, polticas, prcticas u otras acciones existentes que actan para minimizar el riesgo negativo o potenciar oportunidades positivas en la gestin del riesgo, con el fin de garantizar el desarrollo y cumplimiento de las actividades acorde a los requisitos institucionales.

Los controles se pueden clasificar en:

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

-

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 20 de 32

Preventivos: aquellos que actan para eliminar las causas del riesgo para prevenir su ocurrencia o materializacin. Correctivos: aquellos que permiten el restablecimiento de la actividad despus de ser detectado un evento no deseable; tambin permiten la modificacin de las acciones que propiciaron su ocurrencia.

Los controles acorde a su tipo, correctivo o preventivo, debe tener en cuenta la viabilidad y costo de los mismos.

La clasificacin de los controles puede estar asociada a:

Controles de Gestin: Son aquellos controles orientados a garantizar el cumplimiento de las estrategias, polticas y objetivos institucionales, dentro de los cuales se encuentran: los indicadores, evaluaciones, auditorias, informes, comits etc.

Controles Operativos: Son aquellos controles enfocados a garantizar la ejecucin de las actividades, se encuentran soportados en los manuales, procedimientos, guas o instructivos definidos para desarrollar dicha actividad; tambin hacen parte las funciones y responsabilidades determinadas al personal, la infraestructura y todos los recursos dispuestos para la realizacin de dichas actividades.

Controles Legales: Son aquellos en los cuales hacen parte la normatividad interna y externa aplicable a la Institucin. Por ejemplo, Acuerdos, Resoluciones etc.

Los controles definidos pueden estar incluidos en:

Las actividades de los procedimientos. En la realizacin de actividades de capacitacin o sensibilizacin a los servidores pblicos sobre autocontrol y autoevaluacin. La evaluacin al sistema de control interno de la Institucin.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Las auditorias y los planes de mejoramiento.

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 21 de 32

5.1.5.1 IMPLEMENTACIN DE CONTROLES

La implementacin se asocia a que estn claramente definidos, documentados, conocidos y puestos en marcha acorde a los criterios establecidos.

5.1.5.2 VERIFICACIN DE CONTROLES

La verificacin de su implementacin se debe realizar por medio de mecanismos como seguimientos, evaluaciones y/o auditorias, con el fin de asegurar el mantenimiento de los mismos y/o necesidad de cambio de stos.

5.1.5.3 ANLISIS DE EFECTIVIDAD

El anlisis de efectividad de los controles se refleja directamente en los resultados de desempeo del proceso asociado, el cumplimiento de la poltica de administracin del riesgo y la ocurrencia de eventos asociados a la materializacin del riesgo.

Para una adecuada valoracin del riesgo responda las siguientes preguntas:

Existen controles en el proceso o en el equipo de gestin para disminuir o evitar el riesgo? Los controles estn documentados? Los controles se estn aplicando en la actualidad?

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

El control es efectivo para minimizar el riesgo?

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 22 de 32

Una vez ha respondido proceda a realizar la valoracin, as:

Pondrelos segn la siguiente tabla, teniendo en cuenta las respuestas a las preguntas anteriormente formuladas (los controles se encuentran documentados, se aplican y son efectivos). Ubique en la Matriz de Calificacin, Evaluacin y Respuesta a los riesgos (Grafico 5), el estado final de riesgo, de acuerdo a los resultados obtenidos en la valoracin del mismo.

CRITERIOS

VALORACIN DEL RIESGO Se mantiene el resultado de la evaluacin antes de controles

No existen Controles

Los Controles existentes no son efectivos

Se mantiene el resultado de la evaluacin antes de controles

Cambia el resultado a una casilla inferior de la matriz de Los Controles existentes son efectivos pero evaluacin antes de controles (el desplazamiento depende de si el control afecta el impacto o la no estn documentados probabilidad) Los Controles existentes son efectivos y estn documentados Pasa a escala inferior, es decir el riesgo pasa a estar en una menor zona de riesgo (el desplazamiento depende de si el control afecta el impacto o la probabilidad)

Grfico 5 Tabla de Valoracin de Controles.

Ejemplo: Riesgo: Prdida de informacin debido a la entrada de un virus en la red de informacin de la Universidad.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Probabilidad:

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 23 de 32

Alta - 3, porque todos los computadores de la Universidad estn conectados a la misma red.

Impacto: Alto - 20, porque la prdida de informacin conllevara a graves consecuencias para el quehacer de la Universidad.

Evaluacin del Riesgo: De acuerdo a la matriz de calificacin y evaluacin sera de 60 y se encontrara en la zona de riesgo inaceptable.

Descripcin de los controles existentes:

- Se hace backup o copias de seguridad, semanalmente. - Se vacunan todos los programas y equipos, diariamente. - Se guarda la informacin ms relevante fuera de la red en un centro de informacin. - Los controles estn documentados? SI - Se esta aplicando en la actualidad? SI - Es efectivo para minimizar el riesgo? SI

La valoracin del riesgo cambia:

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 24 de 32

La probabilidad cambia a Media y se ubica en la zona de riesgo Moderado 10. Esto debido a la efectividad de los controles existentes, ya que los dos primeros controles apuntan a la disminuir la probabilidad y el ltimo a disminuir el impacto, por lo tanto las acciones que se implementen entrarn a reforzar los controles establecidos y a valorar la efectividad de los mismos.

Nota: En caso que los controles no se encuentren completamente implementados y su efectividad no sea la esperada, se debe generar un plan de accin enfocado a garantizar su efectividad.

Con la realizacin de esta etapa se busca que la Universidad obtenga los siguientes resultados:

Identificacin de los controles existentes para los riesgos identificados y analizados. Priorizacin de los riesgos de acuerdo con los resultados obtenidos de confrontar la evaluacin del riesgo con los controles existentes, a fin de establecer aquellos que pueden causar mayor impacto a la Universidad en caso de materializarse. Elaborar el mapa de riesgos para cada proceso.

5.1.6 TRATAMIENTO DE LOS RIESGOS

El tratamiento de los riesgos involucra identificar las opciones para tratar los riesgos, evaluar esas opciones (Costo-Beneficio, Viabilidad tcnica y jurdica, etc.), preparar planes para tratamiento de los riesgos e implementarlos.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO 5.1.6.1 OPCIONES DE MANEJO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 25 de 32

Se deben tener en cuenta alguna de las siguientes opciones, las cuales pueden considerarse cada una de ellas independientemente, interrelacionadas o en conjunto.

Evitar el riesgo, tomar las medidas encaminadas a prevenir su materializacin. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseo o eliminacin, resultado de unos adecuados controles y acciones emprendidas. Un ejemplo de esto puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnolgico, etc. Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevencin), como el impacto (medidas de proteccin). La reduccin del riesgo es probablemente el mtodo ms sencillo y econmico para superar las debilidades antes de aplicar medidas ms costosas y difciles. Se consigue mediante la optimizacin de los procedimientos y la implementacin de controles. Compartir o Transferir el riesgo, reduce su efecto a travs del traspaso de las prdidas a otras organizaciones, como en el caso de los contratos de seguros o a travs de otros medios que permiten distribuir una porcin del riesgo con otra Universidad, como en los contratos a riesgo compartido. Es as como por ejemplo, la informacin de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicacin segura, en vez de dejarla concentrada en un solo lugar. Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el gerente del proceso simplemente acepta la prdida residual probable y elabora planes de contingencia para su manejo.

5.1.6.2 ACCIONES
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementacin de las polticas, definicin de estndares, optimizacin de procesos y procedimientos y cambios fsicos, entre otros. La seleccin de las acciones ms conveniente debe considerar la viabilidad jurdica, tcnica, institucional, financiera y econmica y se puede realizar con base en los siguientes criterios:

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 26 de 32

a. La valoracin del riesgo b. El balance entre el costo de la implementacin de cada accin contra el beneficio de la misma. Para la ejecucin de las acciones, se deben identificar las reas o dependencias responsables de llevarlas a cabo, definir un cronograma y parmetros para realizar el seguimiento y verificacin de las actividades realizadas.

Las acciones definidas se describen a travs de los planes de tratamiento.

Nota: Las acciones (planes de tratamiento) definidas se administran y gestionan a travs del mdulo de Acciones del Simege electrnico.

5.1.6.3 MATRIZ DE RIESGOS

Las matrices de riesgo estn establecidas para el cumplimiento de los objetivos de cada equipo de gestin, por lo tanto cada uno de ellos deben identificar y controlar los riesgos de manera participativa, evidenciando la contribucin de los servidores de cada equipo en la construccin y tratamiento.

Las matrices de riesgo se construyen a partir de las caractersticas previamente descritas, en el Mdulo de Riesgos del Simege electrnico, donde se visualiza la matriz con su correspondiente informacin.

Informacin que contiene la Matriz de Riesgo:

Proceso: Hace relacin al proceso al cual se le administrar los riesgos.

Riesgo: posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la Universidad y le impidan el logro de sus objetivos.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 27 de 32

Impacto: consecuencias que puede ocasionar a la organizacin la materializacin del riesgo.

Probabilidad: entendida como la posibilidad de ocurrencia del riesgo; sta puede ser medida con criterios de Frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque ste no se haya materializado.

Evaluacin del Riesgo: Resultado obtenido en la matriz de calificacin, evaluacin y respuesta a los riesgos teniendo en consideracin la probabilidad y el impacto de estos.

Controles existentes: especificar cul es el control que la Universidad tiene implementado para combatir, minimizar o prevenir el riesgo.

Valoracin del Riesgo: es el resultado de determinar la vulnerabilidad de la Universidad al riesgo, luego de confrontar la evaluacin del riesgo con los controles existentes.

Opciones de Manejo: opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar o transferir el riesgo; o asumir el riesgo.

Acciones: es la aplicacin concreta de las opciones de manejo del riesgo que entrarn a prevenir o a reducir el riesgo y harn parte del plan de tratamiento del riesgo.

En lo relacionado con los indicadores, se establece que los indicadores que sustenten el desempeo del proceso son los que respaldan una efectiva gestin del riesgo.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO 5.1.6.4 PLAN DE TRATAMIENTO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 28 de 32

Los planes de tratamiento son el conjunto de actividades (acciones) encaminadas a prevenir y/o mitigar el riesgo, las cuales comprenden su correspondiente descripcin, fechas de inicio, fechas de ejecucin, seguimiento y responsables.

Nota: En caso que se materialice un riesgo, se debe generar el plan de mejoramiento (accin correctiva) respectivo, el cual se formaliza a travs del mdulo de acciones del Simege Electrnico.

Con la realizacin de esta etapa se busca que la Universidad obtenga los siguientes resultados:

Lograr un uso eficiente de los recursos. Garantizar la continuidad en la prestacin de los servicios Proteger los recursos de la Universidad Polticas de Administracin de Riesgo Acciones de manejo y planes de tratamiento para cada riesgo identificado

NOTA: Elaboracin del Mapa de Riesgos por proceso y el Mapa de Riesgos institucional. El mapa de riesgos institucional contiene a nivel estratgico los mayores riesgos a los cuales est expuesta la Universidad Nacional de Colombia, permitiendo conocer las opciones de manejo tendientes a evitar, reducir, transferir el riesgo; o asumirlo, y la aplicacin de acciones concretadas.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 29 de 32

Los Mapas de Riesgos por proceso se consolidan a travs del Simege Electrnico, en la medida que cada equipo de gestin ingrese la matriz de riesgos, con el fin de visualizar los riesgos significativos, sus controles y las acciones especificadas, con el fin de definir las polticas de administracin de riesgo por proceso y evidenciar el cumplimiento de los planes de tratamiento definidos.

5.1.7 MONITOREO Y REVISIN

Es necesario monitorear continuamente los riesgos, la efectividad del plan de tratamiento, las estrategias y el sistema de administracin que se establece para controlar la implementacin. Los riesgos y la efectividad de las medidas de control necesitan ser revisadas constantemente para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos, la aparicin de riesgos remanentes. Es importante tener en cuenta que pocos riesgos permanecen estticos.

Es esencial una revisin sobre la marcha para asegurar que el plan de administracin mantiene su relevancia. Pueden cambiar los factores que podran afectar las probabilidades y consecuencias de un resultado, como tambin los factores que afectan la conveniencia o costos de las distintas opciones de tratamiento. En consecuencia, es necesario repetir regularmente el ciclo de administracin de riesgos.

El seguimiento es una parte integral del plan de tratamiento de la administracin de riesgos; la periodicidad de la revisin de todos los componentes de la administracin de riesgos lo determinaran al interior de cada equipo de gestin administrador de sus riesgos.

5.1.8 ACTUALIZACIN DEL MAPA DE RIESGOS

Cuando el proceso evaluado presente cambios organizacionales, como objetivo, alcance y/o actividades se deber actualizar el mapa, teniendo como mnimo una revisin y/o actualizacin anual a partir de su fecha de emisin.

5.1.9 COMUNICACIN Y CONSULTA

La comunicacin y retroalimentacin son una fase constante en cada fase del proceso de administracin de riesgos, por eso la importancia de un proceso de construccin y tratamiento participativo y colectivo. Es primordial desarrollar un plan de comunicacin de los riesgos y los tratamientos para los actores internos y

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 30 de 32

externos interesados en los procesos y procedimientos de cada equipo de gestin. Este plan debera encarar aspectos relativos al riesgo en s mismo y al proceso, adems de garantizar que el flujo de informacin sea en ambas direcciones que permita una asertiva toma decisiones.

Es importante la comunicacin efectiva interna y externa para asegurar que aquellos responsables por implementar la administracin de riesgos logren visionar la base sobre la cual se toman las decisiones y por qu se requieren ciertas acciones en particular.

Las percepciones de los riesgos pueden variar debido a diferencias en los supuestos, conceptos, las necesidades, aspectos y preocupaciones de cada equipo de gestin y por lo tanto de los actores interesados para cada caso. Los interesados normalmente actan haciendo juicios de aceptabilidad de los riesgos basados en su percepcin y experiencia.

6. EVALUACIN DE LA GESTIN DEL RIESGO

La evaluacin de la efectiva gestin del riesgo se puede evidenciar a travs de:

La disminucin de la valoracin de los riesgos significativos identificados. El aumento del nmero de controles existentes. Los resultados de la evaluacin de efectividad de los controles. La ejecucin de los planes de tratamiento determinados. La materializacin del Riesgo. Los resultados asociados al desempeo de los procesos. El Cumplimiento de los Objetivos Institucionales.C

Elabor: Cargo: Fecha:

Equipo tcnico SIMEGE Analistas 1-1-2011

Revis: Cargo: Fecha:

Coordinadora Aprob: General SIMEGE Asesora 04-26-2011 Cargo: Fecha:

Vicerrectoria General Vicerrectora General 04-26-2011

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 31 de 32

ANEXOS
ANEXO 1. CLASIFICACIN DEL RIESGO ANEXO 2. EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE ELECTRONICO ANEXO 3 EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRONICO ANEXO4 EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRONICO

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 32 de 32

ANEXO 1: CLASIFICACIN DEL RIESGO

RIESGOS ESTRATGICOS

Forma de administrar la Universidad Cumplimiento de la misin, visin y objetivos generales Definicin de polticas, diseo y conceptualizacin por parte de la gerencia RIESGOS OPERATIVOS Aspectos operativos y tcnicos de la presentacin del Servicio Deficiencias en sistemas de informacin Inadecuada definicin de procesos Estructura interna de la Universidad Oportunidades de corrupcin Incumplimiento de compromisos organizacionales y contractuales RIESGOS FINANCIEROS

Inadecuado manejo de los recursos de la Universidad Inadecuado manejo presupuestal Elaboracin inadecuada de los estados financieros Pagos, Tesorera, Cartera Y todos aquellos que puedan llevar al fracaso e inestabilidad de la Universidad RIESGOS DE CUMPLIMIENTO Incumplimiento de requisitos legales Contractuales tica pblica Compromiso ante la comunidad

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

RIESGOS DE TECNOLOGIA La tecnologa disponible no satisfaga las necesidades de la Universidad Equipos Inadecuados Afectacin en el cumplimiento actual y futuro de la Universidad No permitan el cumplimiento de la misin de la Universidad.

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 33 de 32

ANEXO 2: EJEMPLO SOBRE CRITERIOS A INCLUIR DE LA MATRIZ DE RIESGOS EN EL SIMEGE ELECTRONICO.

Caractersticas del Riesgo a incluir.

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 34 de 32

ANEXO 3: EJEMPLO SOBRE LA MATRIZ DE RIESGO EN EL SIMEGE ELECTRNICO

Descripcin del Proceso asociado al riesgo identificado.

Descripcin de la valoracin del Riesgo

Descripcin de los controles

DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Descripcin del Plan de Tratamiento

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 35 de 32

MEJORAMIENTO DEL DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 36 de 32

ANEXO 4: EJEMPLO SOBRE PLAN DE TRATAMIENTO EN EL SIMEGE ELECTRNICO

Generacin del plan de tratamiento en el mdulo de acciones en el Simege Electrnico.

MEJORAMIENTO DEL DESARROLLO ORGANIZACIONAL GUA BSICA ADMINISTRACIN DEL RIESGO

Cdigo: U-GU-15.001.003 Versin: 4.0 Pgina 37 de 32