Vicerrectoría Administrativa Equipo de Gestión de Riesgos

Abril de 2012

Todas las intervenciones son válidas e importantes.

Daremos buen manejo al uso de la palabra.

Respetaremos las opiniones de nuestros compañeros así no las compartamos.

Nuestra actitud será siempre propositiva y proactiva.

Qué es?

Es el proceso que comprende el establecimiento y aplicación de las políticas, procedimientos, metodología e instrumentos que permiten brindar una seguridad razonable para controlar y responder a los acontecimientos potenciales, que puedan afectar los objetivos y resultados institucionales

Alcance:

el Sistema Integral de Gestión y Organismos Evaluadores de la Conformidad que sean usuarios del sistema.

Riesgos

La Universidad Tecnológica de Pereira promueve y fortalece la cultura de autocontrol y prevención de riesgos que viabilice el desarrollo de su misión institucional, a través de:

• El cuidado y uso eficiente de los recursos.

• El Cumplimiento de normas

• El Mejoramiento de los procesos

• El Cumplimiento de los objetivos institucionales y alcance de los resultados que impacten a la sociedad

La administración de riesgos es el

conjunto de acciones que se deben

seguir para autocontrolar los riesgos

en la Universidad.

La metodología establecida

contempla 4 etapas:

Identificación de los riesgos

Análisis de los riesgos

Valoración de los riesgos

Manejo de riesgos

Paso 1.

Establezca el contexto de su proceso

en la Universidad y en el entorno de

acuerdo a los siguientes factores

generadores de riesgo:

EXTERNOS:

No se encuentran bajo la

gobernabilidad de la

Universidad

INTERNOS:

La Universidad puede

ejercer gobernabilidad

sobre ellos

Mercado, flujo de dinero y servicios nacionales.

Medio en que se desarrollan las personas y

funciona la institución.

Alteraciones de las normas y principios de convivencia

que son de cumplimiento incondicional y que rigen a la

Universidad.

Leyes, políticas públicas y normas que rigen y

pueden afectar el funcionamiento de la institución

Medios tecnológicos que se requieren para el

funcionamiento de la institución, proporcionados por

fuentes externas.

Componentes físicos externos que actúan

directamente o indirectamente sobre los seres vivos.

Económicos

Socioculturales

Orden Público

Legal y normativo

Tecnológico

Ambientales

Actitudes, comportamientos, formación, educación,

habilidades y experiencia de los funcionarios

Talento Humano

Conjunto de software y hardware en los cuales se

procesan datos que generan información.

Sistemas de Información

Recursos monetarios propios, asignados y disponibles,

que permiten el funcionamiento del proceso.

Recursos Financieros

Descripción específica de tareas y actividades

realizadas en el proceso. Las políticas, los acuerdos y

resoluciones internas

Procedimientos reglamentación

Edificios, espacios de trabajo y servicios asociados

como el transporte Infraestructura

Medios y condiciones para preservar y proteger la

integridad de los funcionario en el trabajo

Salud Ocupacional

Componentes que orientan la difusión de políticas y la

información generada al interior de la Universidad Comunicación

Riesgo: Posibilidad de que ocurra un acontecimiento que impacte el alcance de los objetivos y resultados de la Institución Descripción: se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado.

Paso 2.

Defina el riesgo de acuerdo a los

conceptos siguientes:

Causas: Es lo que origina el riesgo de acuerdo a los factores internos y externos identificados. Son el punto de partida para el planteamiento de acciones preventivas. Consecuencias: corresponde a los efectos ocasionados por el riesgo.

El riesgo se mide de acuerdo al impacto y la probabilidad y se debe ubicar en la Matriz de Priorización inicial

Probabilidad: Frecuencia que podría presentar el riesgo.

Alta Media Baja

Impacto: Forma en la cual el riesgo afecta los resultados del proceso.

Alto Medio Bajo

La matriz de priorización inicial no tiene en cuenta los controles asociados a

la prevención o mitigación del riesgo

Cada proceso debe individualizar la escala de calificación del riesgo basado en información objetiva y/o datos históricos.

Probabilidad Ejemplo 1 Ejemplo 2

Alta Más de tres veces al semestre Un vez por semana

Media Dos o Tres veces al semestre Una vez al mes

Baja Una vez al semestre Una vez al trimestre

Impacto Ejemplo 1 Ejemplo 2

Alto Superior a 20 SMMLV Afecta a más de 3 personas e instalaciones

Medio Entre 10 a 20 SMMLV Afecta menos de 3 personas e instalaciones

Bajo Menos de 10 SMMLV No afecta personas, pero si las instalaciones

CONTROL NUEVA POSICIÓN EN LA

MATRIZ

0. No Existe

I. No efectivo

II. Efectivo y No

documentado

SE MANTIENE

III. Efectivo y

documentado

IV. Efectivo,

documentado y

aplicado

BAJA UN NIVEL

(Probabilidad,

impacto o ambos)

Frente a cada riesgo se debe preguntar:

Existen controles?

Los controles existentes son efectivos?

Los controles existentes están

documentados?

Los controles son aplicados?

Control: Es toda acción que tiende a

prevenir o mitigar los riesgos. Tipos:

Dirección

Detectivo

Preventivo

Correctivos

Movimiento en la matriz de priorización después de la evaluación de controles

CONTROL NUEVA POSICIÓN

EN LA MATRIZ

0. No Existe

I. No efectivo

II. Efectivo y No

documentado

SE MANTIENE

III. Efectivo y

documentado

IV. Efectivo, documentado

y aplicado

BAJA UN NIVEL

(Probabilidad, impacto o

ambos)

Matriz priorización

inicial

Evaluación del control

El nivel de riesgo estará determinado por la posición del riesgo en la matriz de

priorización definitiva

Posición en la matriz de priorización definitiva

A33 A32 A23

Posición en la matriz de priorización definitiva

B22 B31 B21

Posición en la matriz de priorización definitiva

B13 B12

Posición en la matriz de priorización definitiva

C11

Nivel de Riesgo

Matriz de Priorización

Opciones de tratamiento del Riesgo

Evitar: Implementar acciones

direccionadas a prevenir la

materialización del riesgo Reducir: Implementar acciones

orientadas a disminuir la probabilidad y

el impacto del riesgo Transferir: Implementar acciones que

permitan traspasar las pérdidas a una

entidad externa. Compartir: Implementar acciones que

permitan la cooperación entre los

procesos. Asumir: Aceptar el riesgo

La relación costo beneficio.

Recursos asignados y disponibles.

En caso de tomar acciones que conlleve al tratamiento de "Compartir" se deberá concertar previamente con el proceso o entidad involucrada.

Para una acción que conlleve el tratamiento "Transferir" se deberá concertar previamente con la entidad involucrada y contar con las autorizaciones administrativas pertinentes.

Las acciones preventivas a implementar deberán tener en cuenta:

Nivel 1

Tratamiento:

Evitar, reducir, transferir ,

Compartir

Implementar:

1. Acciones preventivas

(implementar controles

que prevengan la

materialización del

riesgo y a mitigar el

impacto)

2. Plan de contingencia

frente a estos riesgos.

Nivel 2

Tratamiento:

Reducir, transferir ,

Compartir

Implementar :

1. Acciones preventivas

que conlleven a

documentar los controles

existentes y a establecer

nuevos que prevengan la

materialización y mitiguen

el impacto del riesgo

2. Si lo considera

pertinente el plan de

contingencia

Nivel 3

Tratamiento:

Reducir, Compartir

Implementar :

1. Acciones

preventivas que

conlleven a

prevenir su

ocurrencia

Nivel 4

Tratamiento:

Asumir

Implementar :

1. Seguimientos con

el fin de verificar su

impacto,

probabilidad y la

efectividad de los

controles.

Recuerde implementar un indicador que le permita monitorear el comportamiento del riesgo, evaluando la efectividad de los controles

y las acciones preventivas implementadas.

Θ Activo: cualquier cosa que tiene valor para la

organización.

Θ seguridad de la información: preservación de

la confidencialidad, la integridad y la disponibilidad

de la información.

Θ SGSI: parte del sistema de gestión global, basada

en un enfoque hacia los riesgos de un negocio, cuyo

fin es establecer, implementar, operar, hacer

seguimiento, revisar, mantener y mejorar la

seguridad de la información.

La preservación de las propiedades de la información:

Θ Confidencialidad: propiedad que determina

que la información no esté disponible ni sea

revelada a individuos, entidades o procesos no

autorizados.

Θ Disponibilidad: propiedad de que la

información sea accesible y utilizable por solicitud

de una entidad autorizada.

Θ Integridad: propiedad de salvaguardar la

exactitud y estado completo de los activos.

…un componente que integra

Sistema de

Control Interno

Sistema de

Gestión de la

Calidad

Gestión De

Riesgos

Gracias

TALLER