Upload
others
View
38
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 1 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
ÍNDICE
1. GENERALIDADES 2
1.1. REFERENTE NORMATIVO. 2
2. DEFINICIONES 3
3. CONTENIDO 5
3.1 Comunicar y Consultar 5
3.2 Contexto Estratégico Organizacional. 6
3.3 Identificación de Riesgos 8
3.4 Análisis del Riesgo. 10
3.5 Valoración de Riesgo. 14
3.6 Políticas de Administración de Riesgos. 17
3.7 Monitoreo y Revisión. 18
4. REGISTROS 18
5. CONTROL DE CAMBIOS 18
6. ANEXOS. 18
Elaborado por Lurdais María Martínez Cárdenas Firma:
Cargo Líder Proceso de Seguimiento y Control
Revisado por Diana Carina Martelo Barrios Firma:
Cargo Líder Proceso de Gestión de Calidad
Aprobado por Diana Carina Martelo Barrios Firma:
Cargo Líder Proceso de Gestión de Calidad
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 2 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
1. GENERALIDADES
El propósito de este instructivo es exponer el modelo de administración del riesgo adoptado por la Universidad de Córdoba para todos los procesos del Sistema Integral de Calidad (SIGEC). Facilita el diligenciamiento del formato FMAN-013 Mapa de Riesgo, el cual contiene la identificación,
valoración y los controles de los riesgos de la Institución para su administración. En su elaboración se
adoptó la Guía de Administración del Riesgo emitida por el Departamento Administrativo de la Función
Pública (DAFP) en su versión del año 2011.
Los Mapas de Riesgos de los procesos se deben actualizar anualmente. Art. 73, ley 1474 de 2011, sin
embargo si la Institución o el procesos lo considera necesario se debe realizar en el momento
requerido y/o una vez se ha materializado el Riesgo.
El Mapa de Riesgos Institucional está conformado por los mapas de riesgos de los quince (15)
procesos del Sistema Integral de Gestión de Calidad.
1.1. REFERENTE NORMATIVO.
Ley 87 de 1993. Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011). Artículo 2 OBJETIVOS DEL CONTROL INTERNO: literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos. Ley 489 de 1998. Estatuto Básico de Organización y Funcionamiento de la Administración pública Capítulo VI. Sistema Nacional de Control Interno. Decreto 2145 de 1999 Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del Orden Nacional y territorial y se dictan otras disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000).(y por el Art. 8º. de la ley 1474 de 2011). Directiva presidencial 09 de 1999. Lineamientos para la implementación de la política de lucha contra la corrupción. Decreto 2593 del 2000. Por el cual se modifica parcialmente el Decreto 2145 de noviembre 4 de 1999.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 3 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
Decreto 1537 de 2001. Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado Parágrafo del Artículo 4º señala los objetivos del sistema de control interno (…) define y aplica medidas para prevenir los riesgos, detectar y corregir las desviaciones…y en su Artículo 3º establece el rol que deben desempeñar las oficinas de control interno (…) que se enmarca en cinco tópicos (…) valoración de riesgos. Así mismo establece en su Artículo 4º la Administración de riesgos, como parte integral del fortalecimiento de los sistemas. Decreto 1599 de 2005. Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano y se presenta el anexo técnico del MECI 1000:2005. 1.3 Componentes de administración del riesgo. Decreto 4485 de 2009. Por el cual se adopta la actualización de la NTCGP a su versión 2009. Numeral 4.1 Requisitos Generales literal g) “establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de la entidad” cuando un riesgo se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva a suceder”. Este decreto aclara la importancia de la Administración del riesgo en el Sistema de Gestión de la Calidad en las entidades. Ley 1474 de 2011. Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y de Atención al Ciudadano” que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la atención al ciudadano. 2. DEFINICIONES
Aceptar el Riesgo. Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en
particular.
Administración de Riesgos. Conjunto de elementos de control que al interrelacionarse permiten a
la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan
afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan
identificar oportunidades para un mejor cumplimiento de sus funciones.
Análisis de Riesgo. Permite establecer la probabilidad de ocurrencia de los eventos positivos y/o
negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la
capacidad de la entidad pública para su aceptación y manejo.
Autoevaluación del Control. Elemento de control que basado en un conjunto de mecanismos de
verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 4 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
procesos y de cada área organizacional responsable, permitiendo emprender las acciones de
mejoramiento del control requeridas.
Compartir el Riesgo. Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la
materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.
Consecuencia. El resultado de un evento expresado cualitativa o cuantitativamente, sea este una
pérdida, perjuicio, desventaja o ganancia, frente ala consecución de los objetivos de la entidad o el
proceso.
Evaluación del Riesgo. Proceso utilizado para determinar las prioridades de la Administración del
riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.
Evento. Incidente o situación, que ocurre en un lugar determinado durante un periodo determinado.
Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie.
Frecuencia. Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces
que ha ocurrido un evento en un tiempo dado.
Identificación de Riesgo. Elemento de Control que posibilita conocer los eventos potenciales, estén
o no bajo el control de la entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo los
agentes generadores, las causas y los efectos de su ocurrencia.
Monitorear. Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una
actividad con el fin de identificar posibles cambios.
Pérdida. Consecuencia negativa que trae consigo un evento.
Probabilidad. Grado en el cual es probable que ocurra un evento, que se debe medir a través de la
relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.
Proceso de Administración de Riesgo. Aplicación sistemática de políticas, procedimientos y
prácticas de administración a las diferentes etapas de la Administración.
Reducción del Riesgo. Aplicación de controles para reducir las probabilidades de ocurrencia de un
evento.
Riesgo. Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos
institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 5 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
Riesgo Inherente. Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección
para modificar su probabilidad o impacto.
Riesgo Residual. Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.
Sistema de Administración de Riesgo. Conjunto de elementos del direccionamiento estratégico
de una entidad concerniente a la Administración de Riesgo.
3. CONTENIDO
PROCESO DE ADMINISTRACIÓN DE RIESGO
C O M U N I C A R
Y
C O N S U L T A R
M O N I T O R E A R
Y
R E V I S A R
Contexto Estratégico Organizacional.
Identificación de Riesgos: ¿Qué puede Suceder?
¿Cómo puede Suceder?
Análisis de Riesgos: Determinar la Probabilidad
Determinar el Impacto. Determinar Nivel de Riesgo
Valoración del Riesgo: Identificar Controles para el
Riesgo. Verificar la efectividad de los
Controles. Establecer tratamiento.
Políticas de Administración del Riesgo
3.1 Comunicar y Consultar
Es la actividad que se refiere al conocimiento previo que deben tener quienes participan en la administración del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en información pertinente y actualizada. Estos deberían incluir aspectos como el riesgo identificado, sus causas, sus consecuencias y las medidas que se toman para tratarlo. Esta comunicación es eficaz para garantizar que los responsables de implementar las actividades relacionadas con la gestión del riesgo entiendan las bases sobre las cuales se toman las decisiones.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 6 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
3.2 Contexto Estratégico Organizacional.
Para la formulación y operacionalización de la política de Administración del riesgo es fundamental tener claridad de la misión, Visión, Objetivos Institucional y del Proceso, Valores y tener una visión sistemática de la gestión del proceso, así como la normatividad aplicable. Por ende, el diseño se establece a partir de la identificación de los factores internos o externos a la entidad que puede generar riesgos que afecten el cumplimiento de sus objetivos. Este contexto estratégico es la base para la etapa identificación de los riesgos. El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, entre otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados de los componentes de ambiente de control, estructura organizacional, modelo de operación, cumplimiento de los planes y programas, sistemas de información, procesos y procedimientos y los recursos económicos, entre otros. Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados: Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el
análisis de la información externa y los planes y programas de la entidad.
Identificar los factores internos que pueden ocasionar la presencia de riesgo con base en el
análisis de los componentes del Ambiente de Control (Acuerdos, compromisos o protocolos éticos,
Desarrollo del talento humano, Estilos de Dirección), Direccionamiento Estratégico y demás
estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad.
Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo.
EJEMPLOS DE FACTORES INTERNOS Y EXTERNOS DE RIESGOS
FACTORES EXTERNOS FACTORES INTERNOS
Económicos: Disponibilidad de Capital, Emisión de deudas o no pago de éstas, Liquides, mercados financieros, desempleo, competencia
Infraestructura: Disponibilidad de Activos, capacidad de los activos, acceso al capital.
Medioambientales: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.
Talento Humano: Capacidad del personal, salud, seguridad.
Políticos: Cambios de Gobierno, Legislación, políticas públicas, regulación.
Procesos. Capacidad, diseño, ejecución, proveedores, entradas, salidas, conocimiento
Sociales: Demografía, responsabilidad social, terrorismo Tecnología: Integridad de datos, disponibilidad de
datos y sistemas, desarrollo, producción, mantenimiento.
Tecnológicos: Interrupciones comercio electrónico, datos externos, tecnología emergente.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 7 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
Para determinar el contexto estratégico de la institución es posible utilizar herramientas y técnicas como las que se relacionan a continuación: Lluvias de Ideas Análisis de Diagrama de Flujos de Procesos. Juicios basados en experiencia y datos históricos. Ejemplo Nº 1. Establecer los factores Internos y Externos que pueden ocasionar riesgos en el Proceso de Seguimiento y Control de la Institución.
CONTEXTO ESTRATÉGICO
Misión de la
Universidad de Córdoba
La Universidad de Córdoba es una institución pública de educación superior que forma
integralmente personas capaces de interactuar en un mundo globalizado, desde el campo de las ciencias básicas, asociadas a la producción agroindustrial, las ingenierías, las ciencias
sociales, humanas, la educación y la salud; genera conocimiento en ciencia, tecnología, arte
y cultura y contribuye al desarrollo humano y a la sostenibilidad ambiental de la región y del país.
Visión de la
Universidad de Córdoba
Ser reconocida como una de las mejores instituciones públicas de educación superior del país por la calidad de sus procesos académicos y de gestión institucional, orientada al
mejoramiento de la calidad de vida de la región, mediante la ejecución y aplicación de
proyectos de investigación y extensión en cooperación con el sector productivo.
Proceso Seguimiento y Control
Objetivo del
Proceso
Realizar seguimiento y control al Sistema Integral
de Gestión de Calidad, asegurando su conformidad con los requisitos legales, normativos
y del cliente; con el fin de mejorar continuamente
la eficacia, eficiencia y efectividad del Sistema
Fecha de
Análisis
Actividades desarrolladas en el Proceso
(Seguir hipervínculo)
Lista de Eventos que pueden afectar el logro del
objetivo del Proceso. Riesgos
PLANEAR
Diseño y planificación de las
actividades del proceso de seguimiento y Control.
Las Auditorías no contribuyan a la mejora de los
Procesos.
HACER Control del Servicio no conforme Exista poca Cultura de Control en la Institución
HACER Seguimiento al Plan de Mejoramiento de los Procesos
HACER Seguimiento a la Satisfacción del
Cliente
VERIFICAR Autoevaluación del Sistema Integral
de Gestión de Calidad
ACTUAR O
AJUSTAR
Definición de Acciones Preventivas,
Correctivas y de Mejora
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 8 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
3.3 Identificación de Riesgos
El proceso de identificación del riesgo debe ser permanente e interactivo, basado en el resultado del análisis del Contexto Estratégico y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados. Es importante centrarse en los riesgos más significativos para la entidad relacionados con el desarrollo de los procesos y los objetivos institucionales. Para la Identificación del riesgo se pueden tener en cuenta la Caracterización del Proceso, Normatividad Aplicable, Planes y Programas del Procesos u Otros. Se Puede utilizar la siguiente frase para establecer los riesgos, sus causas y Consecuencias: Debido a _________________ (Causa), puede _____________________(Riesgo), lo que conllevaría a ________________ (Efectos). Debido al Número Insuficiente de Auditores para el Proceso de Auditoria, se puede Incumplir el Programa de Auditoria, lo que conllevaría a la No evaluación completa del Sistema Integral de Gestión de la Calidad. Debido al Número Insuficiente de Auditores para el Proceso de Auditoria, se puede Incumplir el Programa de Auditoria, lo que conllevaría a la No evaluación completa del Sistema Integral de Gestión de la Calidad. Debido a la Falta de Capacitación de los auditores Internos, puede ocasionar que las Auditorias no contribuyan a la mejora de los procesos
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 9 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
Ejemplo Nº 2. Identificar los riesgos a los que están expuestos el proceso de Seguimiento y Control de la Universidad
IDENTIFICACIÓN DE RIESGOS
Nombre del Proceso Seguimiento y
Control Objetivo
Realizar seguimiento y control al Sistema Integral de Gestión de Calidad, asegurando su conformidad con
los requisitos legales, normativos y del cliente; con el fin de mejorar continuamente la eficacia,
eficiencia y efectividad del Sistema
N° Causas (Factores internos o Externos)
Riesgos Efectos (Consecuencias)
1
Falta de
Capacitación a los funcionarios
Las Auditorías no contribuyan a la
mejora de los
Procesos.
No mejorar Continuamente el Sistema Integral de Gestión de
Calidad
Selección
inadecuada de los Auditores Internos.
Incumplimiento de los Objetivos de Calidad
El tiempo destinado
a la Auditoría no es suficiente.
Incumplimiento de los Objetivos de las Auditorías Concepción errónea
del proceso de Auditoría
2
Falta de Sensibilización
Exista poca
Cultura de Control en la Institución
No se cumplan los objetivos institucionales en lo que respecta al Control Interno
Resistencia al
Cambio Estancamiento del Sistema de Control Interno
Causas: Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes
generadores se entienden como todos los sujetos u objetos que tienen la capacidad de originar un
riesgo. Se pueden clasificar en 5 categorías (personas, materiales, comités, instalaciones y
Entorno).
Riesgos: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal
desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.
Efectos: Constituye las consecuencias de la ocurrencia del riesgo sobre los objetivos de la
entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con
incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas,
de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y
daño ambiental
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 10 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
3.4 Análisis del Riesgo.
Establece la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar. Permite establecer la probabilidad de ocurrencia de los Eventos (riesgos) y el impacto de sus consecuencias (efectos), calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo. Se han establecido dos aspectos en el análisis de los riesgos identificados: Probabilidad que es la posibilidad de ocurrencia del riesgo y puede ser medida con criterios de Frecuencias, si se ha materializado (por ejemplo: Número de veces en un tiempo determinado), o Factibilidad, teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. Impacto se entiende las consecuencias que puede ocasionar a la organización la materialización del riesgo. 3.4.1 Calificación del Riesgo. Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. Determinación de la probabilidad. Se debe utilizar la siguiente tabla:
Determinación de la Probabilidad
Calificación Descriptor Descripción Frecuencia
1 Raro El evento puede ocurrir solo en circunstancias excepcionales.
No se ha presentado en los últimos 5 años.
2 Improbable El evento puede ocurrir en algún momento
Al menos de 1 vez en los últimos 5 años.
3 Posible El evento podría ocurrir en algún momento
Al menos de 1 vez en los últimos 2 años.
4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias
Al menos de 1 vez en el último año.
5 Casi certeza Se espera que el evento ocurra en la mayoría de las circunstancias
Más de 1 vez al año.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 11 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
Determinación del impacto. Los impactos se pueden clasificar como:
Calificación de los Impactos
Nivel Descriptor Descripción
1 Insignificantes Si el hecho llegara a presentarse, tendría consecuencias o efectos mínimos sobre la entidad.
2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o efecto sobre la entidad.
3 Moderado Si el hecho llegara a presentarse, tendría medianas consecuencias o efectos sobre la entidad.
4 Mayor Si el hecho llegara a presentarse, tendría altas consecuencias o efectos sobre la entidad
5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas consecuencias o efectos sobre la entidad.
Para determinar el impacto se pueden utilizar las siguientes tablas que representan los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificación del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado. Impacto de Confidencialidad de la Información. Se refiere a la pérdida o revelación de la misma. Cuando se habla de información institucional se hace alusión a aquella que por la razón de ser de la entidad sólo puede ser conocida y difundida al interior de la misma; así mismo, la sensibilidad de la información depende de la importancia que esta tenga para el desarrollo de la misión de la entidad.
Impacto de Confidencialidad
Nivel Concepto
5 Estratégica
4 Institucional
3 Relativa al Proceso
2 Grupo de Persona
1 Personal
Impacto de Credibilidad. Se refiere a la perdida de ésta frente a diferentes actores sociales o dentro de la entidad.
Impacto de Credibilidad
Nivel Concepto
5 Usuario País
4 Usuarios Región
3 Usuarios Ciudad
2 Todos los funcionarios
1 Grupo de funcionarios
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 12 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
Impacto financiero. Establecido en salarios mínimos mensuales legales vigentes. Se refiere a la
pérdida de dineros o bienes públicos, es decir, al detrimento del patrimonio público.
Impacto Financiero
Nivel Concepto
5 Más de 2000
4 1501 - 2000
3 1001-1500
2 501-1000
1 0-500
Impacto Legal. El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su función administrativa, ejecución presupuestal y normatividad aplicable.
Impacto Legal
Nivel Concepto
5 Intervención – Sanción
4 Investigación Fiscal
3 Investigación Disciplinarias
2 Demandas
1 Multas
Impacto Operativo. Aplica en la mayoría de las entidades para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos dentro de la misma.
Impacto Operativo.
Nivel Concepto
5 Paro Total del Proceso
4 Intermitencia en el Servicio
3 Cambios en la interacción de los procesos
2 Cambios en Procedimientos
1 Ajustes a una actividad concreta
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 13 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
3.4.2 Evaluación del Riesgo. Permite comparar los resultados de la probabilidad y del impacto del Riesgo, los cuales se relaciona en la siguiente matriz:
MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS
PROBABILIDAD
IMPACTO
Insignificante (1)
Menor (2)
Moderado (3) Mayor
(4) Catastrófico (5)
Raro (1)
Zona de Riesgo Baja (Asumir el Riesgo)
Zona de Riesgo Baja (Asumir el Riesgo)
Zona de Riesgo Moderada (Asumir y/o Reducir el Riesgo)
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo)
Improbable (2)
Zona de Riesgo Baja (Asumir el Riesgo)
Zona de Riesgo Baja (Asumir el Riesgo)
Zona de Riesgo Moderada (Asumir y/o Reducir el Riesgo)
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el
Riesgo)
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el
Riesgo)
Posible (3)
Zona de Riesgo Baja (Asumir el Riesgo)
Zona de Riesgo Moderada (Asumir y/o Reducir el Riesgo)
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo)
Probable (4)
Zona de Riesgo Moderado (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo)
Casi Certeza (5)
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo)
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo)
Controles: Si el riesgo se ubica en la Zona de Riesgo Baja (Color Verde), el riesgo se encuentra en un nivel
que se puede aceptar sin necesidad de tomar otras medidas de control diferentes a las que se
poseen.
Si el riesgo se ubica en la Zona de Riesgo extrema (Color Rojo), es aconsejable eliminar la
actividad que genera el riesgo en la medida que sea posible, de lo contrario, se deben
implementar controles de prevención para evitar la probabilidad del riesgo y de protección para
disminuir el Impacto o compartir o transferir el riesgo si es posibles a través de pólizas de seguros
u otras opciones que estén disponibles.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 14 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
Si el riesgo se sitúa en cualquier de las otras zonas Moderada o Alta (Color Amarillo y Naranjado
Respectivamente), se deben tomar medidas para llevar en lo posible los riesgos a la zona
moderada o baja.
Siempre que el riesgo sea calificado con Impacto catastrófico, la Entidad debe diseñar planes de
contingencia, para protegerse en caso de su ocurrencia.
Ejemplo Nº 3. Realizar el Análisis de un Riesgo del proceso de Seguimiento y Control.
Análisis del Riesgo
Proceso Seguimiento y Control
Riesgo Calificación
Evaluación Probabilidad Impacto
Las Auditorías no contribuyan a la mejora de los Procesos.
4 Probable 3 Moderado
Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo)
Exista poca Cultura de Control en la Institución
4 Probable 4 Mayor
Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo)
3.5 Valoración de Riesgo.
La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa es necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomas decisiones. Para realizar la valoración de los controles existentes es necesario recordar que estos de clasifican en: Preventivos. Aquellos que actúan para eliminar las causas del riesgo, para prevenir su ocurrencia
o materialización.
Correctivos. Aquellos que permiten el restablecimiento de la actividad después de ser detectado
un evento no deseable; también permiten la modificación de las acciones que propiciaron su
ocurrencia.
Los controles acordes a su tipo, Correctivos o Preventivos, debe tener en cuenta la viabilidad y costo de los mismos. Para los riesgos que no tengan controles, el proceso deberá establecer los que considere necesario. La siguiente tabla relaciona los criterios con la valoración de los riesgos.
EJEMPLOS DE CONTROLES
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 15 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
EJEMPLOS DE CONTROLES
CONTROLES DE GESTIÓN
Políticas claras aplicadas
Seguimiento al plan estratégico y operativo
Indicadores de Gestión
Tableros de Control
Seguimiento a Cronogramas
Evaluación del desempeño
Informes de Gestión
Monitoreo de Riesgos
CONTROLES OPERATIVOS
Conciliaciones
Consecutivos
Listas de Chequeo
Registro controlado
Segregación de funciones
Niveles de Autorización
Custodia Apropiada
Procedimientos formales aplicados
Pólizas
Seguridad física
Contingencias y respaldo
Personal capacitado
Aseguramiento y Calidad
CONTROLES LEGALES Normas claras y aplicadas
Control de Términos
Procedimiento para la Valoración del riesgo. El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica: a. Describirlos (estableciendo si son preventivos o correctivos). b. Revisarlos para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo. c. Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado. Como se Valoran los Riesgos. A continuación se muestran dos cuadros orientadores para ponderar de manera objetiva los controles y poder determinar el desplazamiento dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 16 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
Parámetros Criterios Tipo de Control
Puntaje Probabilidad Impacto
Herramientas para ejercer el control
Posee una herramienta para ejercer el control.
15
Existen manuales, instructivos o procedimientos para el manejo de la herramienta
15
En el tiempo que lleva la herramienta ha demostrado ser efectiva.
30
Seguimiento al control
Están definidos los responsables de la ejecución del control y del seguimiento.
15
La frecuencia de ejecución del control y seguimiento es adecuada.
25
Rangos de Calificación de los
Controles
Dependiendo si el Control Afecta Probabilidad o Impacto Desplaza en la Matriz de Calificación,
Evaluación y Respuesta a los Riesgos
Cuadrantes a disminuir en la Probabilidad
Cuadrantes a Disminuir en el Impacto
Entre 0 -50 0 0
Entre 51-75 1 1
Entre 76-100 2 2
Ejemplo Nº 4. Realizar Valoración de un Riesgo del proceso de Seguimiento y Control.
SI1. Los Auditores Internos se
seleccionan en relación a su SI SI SI SI Impacto
SI
3. Seguimiento a los Planes de
Mejoramiento de las Auditoria SI SI SI SI Impacto
SI4. Informar a los Lideres de
Procesos y a los Servidores SI SI SI SI Probabilidad
VALORACIÓN DEL RIESGO
Las Auditorías no
contribuyan a la mejora
de los Procesos.
Zona de riesgo
moderada - Asumir y/o
Reducir el Riesgo
¿La frecuencia y
ejecución del
control y
seguimiento es
adecuada?
¿Están definidos los
responsables de la
ejecución del Control y
del seguimiento?
¿En el tiempo que lleva el
control ha demostrado ser
efectivo?
¿El control está
documentado?¿Qué controles existen? Riesgo Residual
¿Este Control
reduce el Impacto
o la probabilidad?
¿Existen
controles
para evitar el
Riesgo?
RIESGOS
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 17 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
3.6 Políticas de Administración de Riesgos.
Permite estructurar criterios orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad pública. Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de riesgos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo. 3.6.1 Opciones de Manejo. Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la
primera alternativa a considerar. Un ejemplo de estos puede ser el control de calidad, manejo de
los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.
Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad
(medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es
probablemente el método más sencillo y económico para superar las debilidades antes de aplicar
medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la
implementación de controles.
Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las perdidas a otras
organizaciones, como en el caso de los contratos de seguros o a través de otros medios que
permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo
compartido.
Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo
residual que se mantiene, en este caso el líder del proceso simplemente acepta la pérdida residual
probable y elabora planes de contingencia para su manejo.
3.6.2 Acciones. Es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo. Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros. La selección de las acciones más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica. Responsable. Son las dependencias o áreas encargadas de adelantar las acciones propuestas. Cronograma. Son las fechas establecidas para implementar las acciones por parte del grupo de trabajo. (Mensual, Bimensual, Semestral u otros). Indicador. Se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 01
EMISIÓN: 17/09/2012
PÁGINA 18 de 18
INSTRUCTIVO PARA DILIGENCIAR EL FORMATO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio http://web.www3.unicordoba.edu.co/es/calidad/documentos que ésta es la versión vigente.
3.7 Monitoreo y Revisión.
Los riesgos son necesarios monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización. El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas El monitoreo lo realizan los Lideres de los procesos. La Unidad de Control Interno realiza seguimiento al plan de manejo y/o Controles establecidos en el Mapa de riesgos, en intervalos planificados. 4. REGISTROS
N° Código Nombre Responsable Lugar de Archivo
Medio de Archivo
Tiempo de Archivo
Disposición
01 FMAM-013
Mapa de Riesgo
Gestores Documentales de cada proceso
Procesos que lo Generan, pagina Web del SIGEC
Físico y electrónico
3 años Conservación
07 N.A Guía de Administración del Riesgo
N.A N.A Electrónico N.A N.A
5. CONTROL DE CAMBIOS
N.A 6. ANEXOS.
N.A