UNIVERSIDAD DE CÓRDOBA

ÍNDICE 1. GENERALIDADES 2 1.1. REFERENTE NORMATIVO. 2 2. DEFINICIONES 3 3. CONTENIDO 5 3.1 Comunicar y Consultar 5

3.2 Contexto Estratégico Organizacional. 6

3.3 Identificación de Riesgos 8

3.4 Análisis del Riesgo. 10

3.5 Valoración de Riesgo. 14

3.6 Políticas de Administración de Riesgos. 17

3.7 Monitoreo y Revisión. 18

4. REGISTROS 18

5. CONTROL DE CAMBIOS 18

6. ANEXOS. 18

Elaborado por Lurdais María Martínez Cárdenas Firma: Cargo Líder Proceso de Seguimiento y Control

Revisado por Diana Carina Martelo Barrios _Firma:

Cargo Líder Proceso de Gestión de Calidad

Aprobado por Diana Carina Martelo Barrios Firma:

1. GENERALIDADES

El propósito de este instructivo es exponer el modelo de administración del riesgo adoptado por la Universidad de Córdoba para todos los procesos del Sistema Integral de Calidad (SIGEC).

Facilita el diligenciamiento del formato FMAN-013 Mapa de Riesgo, el cual contiene la identificación, valoración y los controles de los riesgos de la Institución para su administración. En su elaboración se adoptó la Guía de Administración del Riesgo emitida por el Departamento Administrativo de la Función Pública (DAFP) en su versión del año 2011.

Los Mapas de Riesgos de los procesos se deben actualizar anualmente. Art. 73, ley 1474 de 2011, sin embargo si la Institución o el procesos lo considera necesario se debe realizar en el momento requerido y/o una vez se ha materializado el Riesgo.

El Mapa de Riesgos Institucional está conformado por los mapas de riesgos de los quince (15) procesos del Sistema Integral de Gestión de Calidad.

1.1.

REFERENTE NORMATIVO.

Ley 87 de 1993.

Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011).

Artículo 2 OBJETIVOS DEL CONTROL INTERNO: literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos.

Ley 489 de 1998.

Estatuto Básico de Organización y Funcionamiento de la Administración pública

Capítulo VI. Sistema Nacional de Control Interno. Decreto 2145 de 1999

Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del Orden Nacional y territorial y se dictan otras disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000).(y por el Art. 8º. de la ley 1474 de 2011).

Directiva presidencial 09 de 1999.

Lineamientos para la implementación de la política de lucha contra la corrupción.

Decreto 2593 del 2000.

Decreto 1537 de 2001.

Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado Parágrafo del Artículo 4º señala los objetivos del sistema de control interno (…) define y aplica medidas para prevenir los riesgos, detectar y corregir las desviaciones…y en su Artículo 3º establece el rol que deben desempeñar las oficinas de control interno (…) que se enmarca en cinco tópicos (…) valoración de riesgos. Así mismo establece en su Artículo 4º la Administración de riesgos, como parte integral del fortalecimiento de los sistemas.

Decreto 1599 de 2005.

Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano y se presenta el anexo técnico del MECI 1000:2005. 1.3 Componentes de administración del riesgo.

Decreto 4485 de 2009.

Por el cual se adopta la actualización de la NTCGP a su versión 2009. Numeral 4.1 Requisitos Generales literal g) “establecer controles sobre los riesgos identificados y valorados que puedan afectar la satisfacción del cliente y el logro de los objetivos de la entidad” cuando un riesgo se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva a suceder”. Este decreto aclara la importancia de la Administración del riesgo en el Sistema de Gestión de la Calidad en las entidades.

Ley 1474 de 2011.

Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y de Atención al Ciudadano” que deben elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la atención al ciudadano.

2. DEFINICIONES

Aceptar el Riesgo. Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en particular.

Administración de Riesgos. Conjunto de elementos de control que al interrelacionarse permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de sus funciones.

Análisis de Riesgo. Permite establecer la probabilidad de ocurrencia de los eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo.

Autoevaluación del Control. Elemento de control que basado en un conjunto de mecanismos de verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los

procesos y de cada área organizacional responsable, permitiendo emprender las acciones de mejoramiento del control requeridas.

Compartir el Riesgo. Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.

Consecuencia. El resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente ala consecución de los objetivos de la entidad o el proceso.

Evaluación del Riesgo. Proceso utilizado para determinar las prioridades de la Administración del riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.

Evento. Incidente o situación, que ocurre en un lugar determinado durante un periodo determinado. Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie.

Frecuencia. Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo dado.

Identificación de Riesgo. Elemento de Control que posibilita conocer los eventos potenciales, estén o no bajo el control de la entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo los agentes generadores, las causas y los efectos de su ocurrencia.

Monitorear. Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una actividad con el fin de identificar posibles cambios.

Pérdida. Consecuencia negativa que trae consigo un evento.

Probabilidad. Grado en el cual es probable que ocurra un evento, que se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.

Proceso de Administración de Riesgo. Aplicación sistemática de políticas, procedimientos y prácticas de administración a las diferentes etapas de la Administración.

Reducción del Riesgo. Aplicación de controles para reducir las probabilidades de ocurrencia de un evento.

Riesgo. Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias.

Riesgo Inherente. Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto.

Riesgo Residual. Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.

Sistema de Administración de Riesgo. Conjunto de elementos del direccionamiento estratégico de una entidad concerniente a la Administración de Riesgo.

3. CONTENIDO

PROCESO DE ADMINISTRACIÓN DE RIESGO

C O M U N I C A R Y C O N S U L T A R M O N I T O R E A R Y R E V I S A R Contexto Estratégico Organizacional. Identificación de Riesgos:

¿Qué puede Suceder? ¿Cómo puede Suceder?

Análisis de Riesgos:

Determinar la Probabilidad Determinar el Impacto. Determinar Nivel de Riesgo

Valoración del Riesgo:

Identificar Controles para el Riesgo.

Verificar la efectividad de los Controles.

Establecer tratamiento.

Políticas de Administración del Riesgo

3.1 Comunicar y Consultar

Es la actividad que se refiere al conocimiento previo que deben tener quienes participan en la administración del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en información pertinente y actualizada. Estos deberían incluir aspectos como el riesgo identificado, sus causas, sus consecuencias y las medidas que se toman para tratarlo. Esta comunicación es eficaz para garantizar que los responsables de implementar las actividades relacionadas con la gestión del riesgo entiendan las bases sobre las cuales se toman las decisiones.

3.2 Contexto Estratégico Organizacional.

Para la formulación y operacionalización de la política de Administración del riesgo es fundamental tener claridad de la misión, Visión, Objetivos Institucional y del Proceso, Valores y tener una visión sistemática de la gestión del proceso, así como la normatividad aplicable. Por ende, el diseño se establece a partir de la identificación de los factores internos o externos a la entidad que puede generar riesgos que afecten el cumplimiento de sus objetivos. Este contexto estratégico es la base para la etapa identificación de los riesgos.

El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, entre otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados de los componentes de ambiente de control, estructura organizacional, modelo de operación, cumplimiento de los planes y programas, sistemas de información, procesos y procedimientos y los recursos económicos, entre otros.

Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:

 Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el análisis de la información externa y los planes y programas de la entidad.

 Identificar los factores internos que pueden ocasionar la presencia de riesgo con base en el análisis de los componentes del Ambiente de Control (Acuerdos, compromisos o protocolos éticos, Desarrollo del talento humano, Estilos de Dirección), Direccionamiento Estratégico y demás estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad.

 Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo.

EJEMPLOS DE FACTORES INTERNOS Y EXTERNOS DE RIESGOS

FACTORES EXTERNOS FACTORES INTERNOS

Económicos: Disponibilidad de Capital, Emisión de deudas o no pago de éstas, Liquides, mercados financieros, desempleo, competencia

Infraestructura: Disponibilidad de Activos, capacidad de los activos, acceso al capital.

Medioambientales: Emisiones y residuos, energía, catástrofes naturales, desarrollo sostenible.

Talento Humano: Capacidad del personal, salud, seguridad.

Políticos: Cambios de Gobierno, Legislación,

políticas públicas, regulación. Procesos.proveedores, entradas, salidas, conocimiento Capacidad, diseño, ejecución,

Sociales: Demografía, responsabilidad social,

terrorismo Tecnología: Integridad de datos, disponibilidad de datos y sistemas, desarrollo, producción, mantenimiento.

Tecnológicos: Interrupciones comercio electrónico, datos externos, tecnología emergente.

Para determinar el contexto estratégico de la institución es posible utilizar herramientas y técnicas como las que se relacionan a continuación:

Lluvias de Ideas

Análisis de Diagrama de Flujos de Procesos. Juicios basados en experiencia y datos históricos.

Ejemplo Nº 1.

Establecer los factores Internos y Externos que pueden ocasionar riesgos en el Proceso de Seguimiento y Control de la Institución.

CONTEXTO ESTRATÉGICO Misión de la

Universidad de Córdoba

La Universidad de Córdoba es una institución pública de educación superior que forma integralmente personas capaces de interactuar en un mundo globalizado, desde el campo de las ciencias básicas, asociadas a la producción agroindustrial, las ingenierías, las ciencias sociales, humanas, la educación y la salud; genera conocimiento en ciencia, tecnología, arte y cultura y contribuye al desarrollo humano y a la sostenibilidad ambiental de la región y del país.

Visión de la Universidad de

Córdoba

Ser reconocida como una de las mejores instituciones públicas de educación superior del país por la calidad de sus procesos académicos y de gestión institucional, orientada al mejoramiento de la calidad de vida de la región, mediante la ejecución y aplicación de proyectos de investigación y extensión en cooperación con el sector productivo.

Proceso Seguimiento y Control

Objetivo del Proceso

Realizar seguimiento y control al Sistema Integral de Gestión de Calidad, asegurando su conformidad con los requisitos legales, normativos y del cliente; con el fin de mejorar continuamente la eficacia, eficiencia y efectividad del Sistema Fecha de

Análisis

Actividades desarrolladas en el Proceso (Seguir hipervínculo)

Lista de Eventos que pueden afectar el logro del objetivo del Proceso.

Riesgos PLANEAR Diseño y planificación de las actividades del proceso de

seguimiento y Control.

Las Auditorías no contribuyan a la mejora de los Procesos.

HACER Control del Servicio no conforme Exista poca Cultura de Control en la Institución HACER Seguimiento al Plan de Mejoramiento _{de los Procesos}

HACER Seguimiento a la Satisfacción del _Cliente VERIFICAR Autoevaluación del Sistema Integral _{de Gestión de Calidad} ACTUAR O

3.3 Identificación de Riesgos

El proceso de identificación del riesgo debe ser permanente e interactivo, basado en el resultado del análisis del Contexto Estratégico y debe partir de la claridad de los objetivos estratégicos de la entidad para la obtención de resultados.

Es importante centrarse en los riesgos más significativos para la entidad relacionados con el desarrollo de los procesos y los objetivos institucionales.

Para la Identificación del riesgo se pueden tener en cuenta la Caracterización del Proceso, Normatividad Aplicable, Planes y Programas del Procesos u Otros.

Se Puede utilizar la siguiente frase para establecer los riesgos, sus causas y Consecuencias:

Debido a _________________ (Causa), puede _____________________(Riesgo), lo que conllevaría a ________________ (Efectos).

Debido al Número Insuficiente de Auditores para el Proceso de Auditoria, se puede Incumplir el Programa de Auditoria, lo que conllevaría a la No evaluación completa del Sistema Integral de Gestión de la Calidad.

Debido al Número Insuficiente de Auditores para el Proceso de Auditoria, se puede Incumplir el Programa de Auditoria, lo que conllevaría a la No evaluación completa del Sistema Integral de Gestión de la Calidad.

Debido a la Falta de Capacitación de los auditores Internos, puede ocasionar que las Auditorias no contribuyan a la mejora de los procesos

Ejemplo Nº 2.

Identificar los riesgos a los que están expuestos el proceso de Seguimiento y Control de la Universidad

IDENTIFICACIÓN DE RIESGOS Nombre del Proceso Seguimiento y _Control Objetivo

Realizar seguimiento y control al Sistema Integral de Gestión de Calidad, asegurando su conformidad con los requisitos legales, normativos y del cliente; con el fin de mejorar continuamente la eficacia, eficiencia y efectividad del Sistema

N° Causas_{internos o Externos)} (Factores Riesgos Efectos (Consecuencias)

1 Falta de Capacitación a los funcionarios Las Auditorías no contribuyan a la mejora de los Procesos.

No mejorar Continuamente el Sistema Integral de Gestión de Calidad

Selección

inadecuada de los

Auditores Internos. Incumplimiento de los Objetivos de Calidad El tiempo destinado

a la Auditoría no es

suficiente. _{Incumplimiento de los Objetivos de las Auditorías} Concepción errónea

del proceso de Auditoría

2

Falta de

Sensibilización Exista _{Cultura de Control} poca en la Institución

No se cumplan los objetivos institucionales en lo que respecta al Control Interno

Resistencia al

Cambio Estancamiento del Sistema de Control Interno

 Causas: Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo. Se pueden clasificar en 5 categorías (personas, materiales, comités, instalaciones y Entorno).

 Riesgos: Representa la posibilidad de ocurrencia de un evento que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus objetivos.

 Efectos: Constituye las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental

3.4 Análisis del Riesgo.

Establece la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos, con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.

Permite establecer la probabilidad de ocurrencia de los Eventos (riesgos) y el impacto de sus consecuencias (efectos), calificándolos y evaluándolos a fin de determinar la capacidad de la entidad pública para su aceptación y manejo.

Se han establecido dos aspectos en el análisis de los riesgos identificados: Probabilidad que es la posibilidad de ocurrencia del riesgo y puede ser medida con criterios de Frecuencias, si se ha materializado (por ejemplo: Número de veces en un tiempo determinado), o Factibilidad, teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado. Impacto se entiende las consecuencias que puede ocasionar a la organización la materialización del riesgo.

3.4.1 Calificación del Riesgo.

Se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo.

Determinación de la probabilidad. Se debe utilizar la siguiente tabla:

Determinación de la Probabilidad

Calificación Descriptor Descripción Frecuencia

1 Raro El evento puede ocurrir solo en _{circunstancias excepcionales.} No se ha presentado en los últimos 5 años.

2 Improbable El evento puede ocurrir en algún _momento Al menos de 1 vez en los últimos 5 años.

3 Posible El evento podría ocurrir en algún _momento Al menos de 1 vez en los últimos 2 años.

4 Probable El evento probablemente ocurrirá en la _{mayoría de las circunstancias} Al menos de 1 vez en el último año.

Determinación del impacto. Los impactos se pueden clasificar como:

Calificación de los Impactos

Nivel Descriptor Descripción

1 Insignificantes Si el hecho llegara a presentarse, tendría consecuencias o _{efectos mínimos sobre la entidad.} 2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o _{efecto sobre la entidad.} 3 Moderado Si el hecho llegara a presentarse, tendría medianas _{consecuencias o efectos sobre la entidad.} 4 Mayor Si el hecho llegara a presentarse, tendría altas _{consecuencias o efectos sobre la entidad} 5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas _{consecuencias o efectos sobre la entidad.} Para determinar el impacto se pueden utilizar las siguientes tablas que representan los temas en que suelen impactar la ocurrencia de los riesgos y se asocian con la clasificación del riesgo previamente realizada, y se relaciona con las consecuencias potenciales del riesgo identificado.

Impacto de Confidencialidad de la Información. Se refiere a la pérdida o revelación de la misma. Cuando se habla de información institucional se hace alusión a aquella que por la razón de ser de la entidad sólo puede ser conocida y difundida al interior de la misma; así mismo, la sensibilidad de la información depende de la importancia que esta tenga para el desarrollo de la misión de la entidad.

Impacto de Confidencialidad Nivel Concepto 5 Estratégica 4 Institucional 3 Relativa al Proceso 2 Grupo de Persona 1 Personal

Impacto de Credibilidad. Se refiere a la perdida de ésta frente a diferentes actores sociales o dentro de la entidad. Impacto de Credibilidad Nivel Concepto 5 Usuario País 4 Usuarios Región 3 Usuarios Ciudad 2 Todos los funcionarios 1 Grupo de funcionarios

Impacto financiero. Establecido en salarios mínimos mensuales legales vigentes. Se refiere a la pérdida de dineros o bienes públicos, es decir, al detrimento del patrimonio público.

Impacto Financiero Nivel Concepto 5 Más de 2000 4 1501 - 2000 3 1001-1500 2 501-1000 1 0-500

Impacto Legal. El impacto legal se relaciona con las consecuencias legales para una entidad, determinadas por los riesgos relacionados con el incumplimiento en su función administrativa, ejecución presupuestal y normatividad aplicable.

Impacto Legal Nivel Concepto 5 Intervención – Sanción 4 Investigación Fiscal 3 Investigación Disciplinarias 2 Demandas 1 Multas

Impacto Operativo. Aplica en la mayoría de las entidades para los procesos clasificados como de apoyo, ya que sus riesgos pueden afectar el normal desarrollo de otros procesos dentro de la misma.

Impacto Operativo.

Nivel Concepto

5 Paro Total del Proceso 4 Intermitencia en el Servicio 3 Cambios en la interacción de los _procesos 2 Cambios en Procedimientos 1 Ajustes a una actividad concreta

3.4.2 Evaluación del Riesgo.

Permite comparar los resultados de la probabilidad y del impacto del Riesgo, los cuales se relaciona en la siguiente matriz:

MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS PROBABILIDAD

IMPACTO Insignificante

(1) Menor (2) Moderado (3) Mayor (4) Catastrófico (5)

Raro (1) Zona de Riesgo Baja (Asumir el Riesgo) Zona de Riesgo Baja (Asumir el Riesgo) Zona de Riesgo Moderada (Asumir y/o Reducir el Riesgo) Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo) Improbable (2) Zona de Riesgo Baja (Asumir el Riesgo) Zona de Riesgo Baja (Asumir el Riesgo) Zona de Riesgo Moderada (Asumir y/o Reducir el Riesgo) Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo) Posible (3) Zona de Riesgo Baja (Asumir el Riesgo) Zona de Riesgo Moderada (Asumir y/o Reducir el Riesgo) Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo) Probable (4) Zona de Riesgo Moderado (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo) Casi Certeza (5) Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Alta (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo) Zona de Riesgo Extrema (Reducir, Evitar, Compartir o Transferir el Riesgo) Controles:

 Si el riesgo se ubica en la Zona de Riesgo Baja (Color Verde), el riesgo se encuentra en un nivel que se puede aceptar sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

 Si el riesgo se ubica en la Zona de Riesgo extrema (Color Rojo), es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario, se deben implementar controles de prevención para evitar la probabilidad del riesgo y de protección para disminuir el Impacto o compartir o transferir el riesgo si es posibles a través de pólizas de seguros u otras opciones que estén disponibles.

 Si el riesgo se sitúa en cualquier de las otras zonas Moderada o Alta (Color Amarillo y Naranjado Respectivamente), se deben tomar medidas para llevar en lo posible los riesgos a la zona moderada o baja.

 Siempre que el riesgo sea calificado con Impacto catastrófico, la Entidad debe diseñar planes de contingencia, para protegerse en caso de su ocurrencia.

Ejemplo Nº 3.

Realizar el Análisis de un Riesgo del proceso de Seguimiento y Control.

Análisis del Riesgo

Proceso Seguimiento y Control

Riesgo Calificación _{Probabilidad Impacto} Evaluación

Las Auditorías no contribuyan a la mejora de los Procesos.

4 Probable 3 Moderado

Zona de Riesgo Alta

(Reducir, Evitar, Compartir o Transferir el Riesgo) Exista poca Cultura

de Control en la

Institución 4 Probable 4 Mayor

Zona de Riesgo Extrema

(Reducir, Evitar, Compartir o Transferir el Riesgo)

3.5 Valoración de Riesgo.

La valoración del riesgo es el producto de confrontar los resultados de la evaluación del riesgo con los controles identificados, con el objetivo de establecer prioridades para su manejo y fijación de políticas. Para adelantar esta etapa es necesario tener claridad sobre los puntos de control existentes en los diferentes procesos, los cuales permiten obtener información para efectos de tomas decisiones. Para realizar la valoración de los controles existentes es necesario recordar que estos de clasifican en:

 Preventivos. Aquellos que actúan para eliminar las causas del riesgo, para prevenir su ocurrencia o materialización.

 Correctivos. Aquellos que permiten el restablecimiento de la actividad después de ser detectado un evento no deseable; también permiten la modificación de las acciones que propiciaron su ocurrencia.

Los controles acordes a su tipo, Correctivos o Preventivos, debe tener en cuenta la viabilidad y costo de los mismos. Para los riesgos que no tengan controles, el proceso deberá establecer los que considere necesario.

EJEMPLOS DE CONTROLES

CONTROLES DE GESTIÓN

Políticas claras aplicadas

Seguimiento al plan estratégico y operativo Indicadores de Gestión

Tableros de Control

Seguimiento a Cronogramas Evaluación del desempeño Informes de Gestión Monitoreo de Riesgos CONTROLES OPERATIVOS Conciliaciones Consecutivos Listas de Chequeo Registro controlado Segregación de funciones Niveles de Autorización Custodia Apropiada

Procedimientos formales aplicados Pólizas

Seguridad física

Contingencias y respaldo Personal capacitado Aseguramiento y Calidad

CONTROLES LEGALES Normas claras y aplicadas

Control de Términos Procedimiento para la Valoración del riesgo.

El procedimiento para la valoración del riesgo parte de la evaluación de los controles existentes, lo cual implica:

a. Describirlos (estableciendo si son preventivos o correctivos).

b. Revisarlos para determinar si los controles están documentados, si se están aplicando en la actualidad y si han sido efectivos para minimizar el riesgo.

c. Es importante que la valoración de los controles incluya un análisis de tipo cuantitativo, que permita saber con exactitud cuántas posiciones dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos es posible desplazarse, a fin de bajar el nivel de riesgo al que está expuesto el proceso analizado.

Como se Valoran los Riesgos.

A continuación se muestran dos cuadros orientadores para ponderar de manera objetiva los controles y poder determinar el desplazamiento dentro de la Matriz de Calificación, Evaluación y Respuesta a los Riesgos.

Parámetros Criterios _{Probabilidad Impacto} Tipo de Control Puntaje

Herramientas para ejercer el control

Posee una herramienta para ejercer el

control. 15

Existen manuales, instructivos o procedimientos para el manejo de la

herramienta 15

En el tiempo que lleva la herramienta

ha demostrado ser efectiva. 30 Seguimiento al

control

Están definidos los responsables de la ejecución del control y del

seguimiento. 15

La frecuencia de ejecución del control

y seguimiento es adecuada. 25

Rangos de Calificación de los

Controles

Dependiendo si el Control Afecta Probabilidad o Impacto Desplaza en la Matriz de Calificación,

Evaluación y Respuesta a los Riesgos

Cuadrantes a disminuir en la

Probabilidad Cuadrantes a Disminuir en el Impacto

Entre 0 -50 0 0

Entre 51-75 1 1

Entre 76-100 2 2

Ejemplo Nº 4.

Realizar Valoración de un Riesgo del proceso de Seguimiento y Control.

SI 1. Los Auditores Internos se

seleccionan en relación a su SI SI SI SI Impacto

SI

3. Seguimiento a los Planes de

Mejoramiento de las Auditoria SI SI SI SI Impacto

SI 4. Informar a los Lideres de

Procesos y a los Servidores SI SI SI SI Probabilidad

VALORACIÓN DEL RIESGO

Las Auditorías no contribuyan a la mejora

de los Procesos.

Zona de riesgo moderada - Asumir y/o

Reducir el Riesgo ¿La frecuencia y ejecución del control y seguimiento es adecuada? ¿Están definidos los

responsables de la ejecución del Control y

del seguimiento? ¿En el tiempo que lleva el

control ha demostrado ser efectivo? ¿El control está

documentado?

¿Qué controles existen? Riesgo Residual

¿Este Control reduce el Impacto o la probabilidad? ¿Existen controles para evitar el Riesgo? RIESGOS

3.6 Políticas de Administración de Riesgos.

Permite estructurar criterios orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior de la entidad pública.

Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la valoración de riesgos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo.

3.6.1 Opciones de Manejo.

 Evitar el riesgo, tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar. Un ejemplo de estos puede ser el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

 Reducir el riesgo, implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles.

 Compartir o transferir el riesgo, reduce su efecto a través del traspaso de las perdidas a otras organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido.

 Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso el líder del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

3.6.2 Acciones.

Es la aplicación concreta de las opciones de manejo del riesgo que entrarán a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.

Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros. La selección de las acciones más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica.

Responsable. Son las dependencias o áreas encargadas de adelantar las acciones propuestas.

Cronograma. Son las fechas establecidas para implementar las acciones por parte del grupo de trabajo. (Mensual, Bimensual, Semestral u otros).

Indicador. Se consignan los indicadores diseñados para evaluar el desarrollo de las acciones implementadas.

3.7 Monitoreo y Revisión.

Los riesgos son necesarios monitorearlo teniendo en cuenta que estos nunca dejan de representar una amenaza para la organización.

El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas

El monitoreo lo realizan los Lideres de los procesos. La Unidad de Control Interno realiza seguimiento al plan de manejo y/o Controles establecidos en el Mapa de riesgos, en intervalos planificados.

4. REGISTROS

N° Código Nombre Responsable Lugar de _Archivo Medio de _Archivo Tiempo de

Archivo Disposición

01 FMAM-₀₁₃ Mapa _Riesgo de

Gestores Documentales de cada proceso Procesos que lo Generan, pagina Web del SIGEC Físico y

electrónico 3 años Conservación

07 N.A Guía Administración de

del Riesgo N.A N.A Electrónico N.A N.A

5. CONTROL DE CAMBIOS

N.A

6. ANEXOS.