Confidential

PROCEDIMIENTO PARA LA EVALUACIÓN A LA GESTIÓN DEL RIESGO

Código: P-CS-862
Versión: 1
Emisión: 2020-05-11

PROCESO CONTROL Y SEGUIMIENTO

OBJETIVO
Proveer una evaluación objetiva a todos los procesos de la institución a través del análisis cuantitativos y cualitativos de los valores de riesgos estimados y la efectividad en los controles, buscando asegurar que los riesgos institucionales estén siendo administrados apropiadamente.

ALCANCE
Este procedimiento aplica a todos los procesos de la Universidad de Caldas, desde la capacitación al equipo de trabajo para la identificación, análisis y el control de los riesgos hasta el seguimiento y evaluación de las acciones implementadas para mitigarlos, compartirlos o eliminarlos.

RESPONSABLES

 

ASESOR CONTROL INTERNO DE GESTIÓN  
COMITÉ INSTITUCIONAL DE CONTROL INTERNO  

 


DEFINICIONES Y TÉRMINOS

 

RIESGO DE GESTIÓN: Posibilidad de que suceda algún evento que tendrá un impacto sobre el cumplimiento de los objetivos. Se expresa en términos de probabilidad y consecuencias.
RIESGO DE CORRUPCIÓN:  Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado
RIESGO DE SEGURIDAD DIGITAL:  Combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, así como afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.
RIESGO INHERENTE:  Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto.
RIESGO RESIDUAL:   Nivel de riesgo que permanece luego de tomar sus correspondientes medidas de tratamiento.
PROBABILIDAD:  Se entiende como la posibilidad de ocurrencia del riesgo. Esta puede ser medida con criterios de frecuencia o factibilidad.
IMPACTO:  Se entiende como las consecuencias que puede ocasionar a la organización la materialización del riesgo.
GESTIÓN DEL RIESGO:  Proceso efectuado por la alta dirección de la entidad y por todo el personal para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos.
CAUSA:  Todos aquellos factores internos y externos que solos o en combinación con otros, pueden producir la materialización de un riesgo.
CONSECUENCIA:  Los efectos o situaciones resultantes de la materialización del riesgo que impactan en el proceso, la entidad, sus grupos de valor y demás partes interesadas.
MAPA DE RIESGOS:  Documento con la información resultante de la gestión del riesgo.
PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL CIUDADANO Plan que contempla la estrategia de lucha contra la corrupción que debe ser implementada por todas las entidades del orden nacional, departamental y municipal.
ACTIVO:  En el contexto de seguridad digital son elementos tales como aplicaciones de la organización, servicios web, redes, hardware, información física o digital, recurso humano, entre otros, que utiliza la organización para funcionar en el entorno digital.
CONFIDENCIALIDAD:  Propiedad de la información que la hace no disponible, es decir, divulgada a individuos, entidades o procesos no autorizados.
CONTROL: Medida que modifica el riesgo (procesos, políticas, dispositivos, prácticas u otras acciones).
VULNERABILIDAD: Es una debilidad, atributo, causa o falta de control que permitiría la explotación por parte de una o más amenazas contra los activos.
AMENAZAS:  Situación potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.
INTEGRIDAD:  Propiedad de exactitud y completitud.
DISPONIBILIDAD:  Propiedad de ser accesible y utilizable a demanda por una entidad.
TOLERANCIA AL RIESGO:    Son los niveles aceptables de desviación relativa a la consecución de objetivos. Pueden medirse y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Para el riesgo de corrupción la tolerancia es inaceptable.
APETITO AL RIESGO:  Magnitud y tipo de riesgo que una organización está dispuesta a buscar o retener.
RIESGOS ESTRATÉGICOS:  Posibilidad de ocurrencia de eventos que afecten los objetivos estratégicos de la organización pública y por tanto impactan toda la entidad.
RIESGOS GERENCIALES:  Posibilidad de ocurrencia de eventos que afecten los procesos gerenciales y/o la alta dirección.
RIESGOS OPERATIVOS:  Posibilidad de ocurrencia de eventos que afecten los procesos misionales de la entidad.
RIESGOS FINANCIEROS:  Posibilidad de ocurrencia de eventos que afecten los estados financieros y todas aquellas áreas involucradas con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de cuentas, costos, etc.
RIESGOS TECNOLÓGICOS:  Posibilidad de ocurrencia de eventos que afecten la totalidad o parte de la infraestructura tecnológica (hardware, software, redes, etc.) de una entidad.
RIESGOS DE CUMPLIMIENTO:  Posibilidad de ocurrencia de eventos que afecten la situación jurídica o contractual de la organización debido a su incumplimiento o desacato a la normatividad legal y las obligaciones contractuales.
RIESGO DE IMAGEN O REPUTACIONAL: Posibilidad de ocurrencia de un evento que afecte la imagen, buen nombre o reputación de una organización ante sus clientes y partes interesadas.
RIESGOS DE CORRUPCIÓN:  Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado.
RIESGOS DE SEGURIDAD DIGITAL:  Posibilidad de combinación de amenazas y vulnerabilidades en el entorno digital. Puede debilitar el logro de objetivos económicos y sociales, afectar la soberanía nacional, la integridad territorial, el orden constitucional y los intereses nacionales. Incluye aspectos relacionados con el ambiente físico, digital y las personas.
OTRAS TIPOLOGÍAS DE RIESGOS: Riesgos informáticos, crediticio, ambiental, de mercado, de liquidez, satisfacción del cliente, riesgo seguridad física, seguridad alimentaria, peligro para humanos.

 

 


POLÍTICAS Y CONDICIONES DE OPERACIÓN

 

El equipo de trabajo de la oficina de Control Interno de la Universidad de Caldas, debe tener la experticia para la evaluación, identificación, análisis y control de los riesgos, así como el seguimiento y evaluación de las acciones implementadas para su mitigación o eliminación.

 

El Artículo 2.2.21.5.4 del Decreto 1083 de 2015 determina que las entidades públicas establecerán y aplicarán políticas de administración del riesgo, como parte integral del fortalecimiento de los sistemas de control interno.

 

El Modelo Integrado de Planeación y Gestión-MIPG, adoptado a través del decreto 1499 de 2017 establece que esta es una tarea propia del equipo directivo y se debe hacer desde el ejercicio de “Direccionamiento estratégico y de planeación” en donde se deben emitir los lineamientos precisos para el tratamiento, manejo y seguimiento a los riesgos que afectan el logro de los objetivos institucionales.

 

También la guía de administración de los riesgos y el diseño de controles en entidades públicas Versión 4 del Departamento Administrativo de la Función Pública menciona que a través de este rol, las unidades u oficinas de control Interno, auditoría interna, o quien haga sus veces, deben proporcionar un aseguramiento objetivo a la Alta Dirección (línea estratégica) sobre el diseño y efectividad de las actividades de administración del riesgo en la entidad para ayudar a asegurar que los riesgos claves o estratégicos estén adecuadamente definidos, sean gestionados apropiadamente y que el sistema de control interno está siendo operado efectivamente.

 

Se señala que, en el desarrollo de este rol, las unidades deben brindar asesoría a los responsables y ejecutores de los procesos y proyectos (primera línea de defensa), respecto a metodologías y herramientas para la identificación, análisis y evaluación de riesgos, como complemento a la labor de acompañamiento que deben desarrollar las oficinas de planeación o comités de riesgos (segunda línea de defensa). Así mismo, en el marco de la evaluación independiente deberán señalar aquellos aspectos que consideren una amenaza para el cumplimiento de los objetivos de los procesos, y por ende, los objetivos y metas institucionales. Así mismo, debe pronunciarse sobre la pertinencia y efectividad de los controles.”

 

De igual manera la Universidad de Caldas, a través del Acuerdo 056 del 21 de noviembre de 2018, dispuso en el Artículo 10 los Roles de la Oficina Asesora de Control Interno de Gestión entre los cuales se encuentra el rol de Evaluación de la gestión del riesgo: La identificación y análisis de riesgos es un proceso permanente e interactivo entre la administración y la Oficina Asesora de Control Interno de Gestión, en la medida que se realiza asesoría y acompañamiento técnico a los líderes de procesos y subprocesos o actividades en las diferentes etapas de la gestión del riesgo, que van desde la fijación de la Política de Administración de Riesgo, hasta la evaluación de la efectividad de los controles implementados.

 

La evaluación a la gestión del riesgo se lleva a cabo, entre otros, sobre los siguientes aspectos: Procesos de administración del riesgo, tanto en su diseño como en el funcionamiento. § Administración de riesgos clasificados como “institucionales” (riesgos claves), incluyendo la efectividad de los controles. § Evaluaciones y reportes anteriores sobre la gestión del riesgo y el estado de los controles. § Solicitud expresa de la Alta Dirección frente al seguimiento de algún(os) riesgo(s) que impliquen algún tema de interés dentro de la gestión institucional. Fuente:  Función Pública, Dirección de Gestión y Desempeño, 2018

 


DESCRIPCIÓN DE ACTIVIDADES
No. Actividad Responsable Descripción
1 Inicio    
2 Elaborar la política de Administración del Riesgo Asesor de la Oficina de Control Interno de Gestión -Comité Institucional de Control Interno De conformidad con el ARTÍCULO 7: Funciones del Comité Institucional de Coordinación de Control Interno. Este se encarga de aprobar la política de Administración del riesgo elaborada por el Asesor de Control Interno de Gestión. Verifica que la política de administración del riesgo contenga el objetivo, alcance, niveles de aceptación del riesgo o tolerancia al riesgo, términos y definiciones, y definida la estructura para la gestión del riesgo.

Registro(Política aprobada o Acta del Comité Institucional de Control Interno)
3 Asesor primera y segunda línea de defensa en la gestión de riesgos Asesor de la Oficina de Control Interno de Gestión – Equipo de trabajo Observar que los riesgos identificados en los procesos se encuentren alienados con los objetivos del mismo y asesorar a la primera y segunda línea de defensa en técnicas para la adecuada identificación, valoración y controles.

Tiempo: Al momento de ser solicitada la asesoría a la oficina de Control Interno por las diferentes dependencias.

Registro(Listado de asistencia a la capacitación)
4 Evaluar Asesor de la Oficina de Control Interno de Gestión – Equipo de trabajo Evaluar la gestión de los riesgos y la eficiencia, efectividad e integridad de los controles, así como la presentación de recomendaciones de la gestión del riesgo en los diferentes procesos.

Tiempo: al finalizar los dos semestres de la vigencia

Registro(Informe evaluación a la gestión de los riesgos institucionales)
5 Presentar y publicar informe de evaluación Asesor de la Oficina de Control Interno de Gestión Este documento debe ser presentado al rector de la Universidad, Comité Institucional de Control Interno en cumplimiento con el Acuerdo 056 de 2018, Oficina Asesora de Planeación y Sistemas y colocarlo en la página web de la Institución.

Tiempo: al finalizar los dos semestres de la vigencia

Documento: Remisión del documento y/o acta del Comité Institucional Coordinador de Control Interno.
6 Fin    

REGISTROS DEL DOCUMENTO
Nombre del Registro Resp. Almacena. Cod.Registro SIG Serie Archivo
Informe evaluación a la gestión de los riesgos institucionales
CONTROL INTERNO
--
Listado de asistencia a la capacitación
CONTROL INTERNO
--
Política aprobada o Acta del Comité Institucional de Control Interno
CONTROL INTERNO
--

NORMATIVIDAD Y DOCUMENTOS DE REFERENCIA
 
Normatividad Externa
NormaAñoDescripciónEmitida PorObservacionesConsultar
DECRETO 1083 DE 20152015DECRETO ÚNICO REGLAMENTARIO DEL SECTOR DE FUNCIÓN PUBLICACONGRESO DE LA REPÚBLICA 
LEY 871993Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos del estado y se dictan otras disposicionesCONGRESO DE LA REPÚBLICA 
DECRETO 1499 DE 2017 2017Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015PRESIDENCIA DE LA REPÚBLICA 


ELABORÓ REVISÓ APROBÓ
PROFESIONAL ESPECIALIZADO - OFICINA ASESORA DE PLANEACIÓN Y SISTEMAS JEFE DE OFICINA - OFICINA ASESORA DE PLANEACIÓN Y SISTEMAS ASESOR - OFICINA ASESORA DE CONTROL INTERNO DE GESTIÓN


DOCUMENTO CONTROLADO: Si usted copia o imprime este documento, el Sistema Integrado de Gestión de la Universidad de Caldas lo considerará No Controlado y no se hace responsable por su consulta o uso.
Si desea consultar la versión actualizada y controlada de este documento, consulte siempre la página web http://www.ucaldas.edu.co/, en el enlace SIG