Sistema Integrado de Gestión

	PROCEDIMIENTO PARA LA ADMINISTRACIÓN DEL RIESGO EN LA UNIVERSIDAD DE CALDAS
Código: P-MM-907	Versión: 3	Emisión: 2024-07-28

PROCESO

MEDICIóN, ANáLISIS Y MEJORA

OBJETIVO

Realizar una administración eficiente y eficaz del riesgo institucional mediante la identificación, clasificación, valoración y determinación de los controles acorde con los lineamientos establecidos por el Departamento Administrativo de la Función Pública, el modelo integrado de planeación y gestión, las directrices internas de la política de administración de riesgos y la normativa vigente.

ALCANCE

El procedimiento inicia con el establecimiento de la política de administración del riesgo, pasando por la identificación de los riesgos de gestión, de corrupción, fiscales y de seguridad de la información por parte de los líderes de procesos y/o responsables delegados, de acuerdo con la metodología del DAFP, siguiendo con la valoración de los riesgos donde se establece la probabilidad y el impacto que determinan la zona de riesgo inherente, hasta el seguimiento realizado por la Oficina de Control Interno para verificar el cumplimiento de los controles establecidos por parte de los procesos.

RESPONSABLES

COMITE INSTITUCIONAL DE GESTIÓN Y DESEMPEÑO	Aprobar la política de administración del riesgo, analizar las posibles circunstancias que puedan originar nuevos riesgos o modificar los existentes y analizar los informes presentados por la Oficina de Planeación y por la Oficina de Control interno sobre la gestión del riesgo institucional y proponer mejoras de tipo estratégico en pro de mitigar la materialización de los riesgos.
LIDERES DE PROCESO Y/O RESPONSABLES DEL PROCESO	Realizar la identificación, clasificación, valoración de los riesgos de cada proceso a cargo y definir los controles para reducir o mitigarlos. De igual forma, realizar monitoreo constante al mapa de riesgos, con el fin de verificar el cumplimiento de los controles y/o la necesidad de plantear nuevos.
OFICINA ASESORA DE PLANEACIÓN Y SISTEMAS - SISTEMA INTEGRADO DE GESTIÓN	Llevar a cabo los procesos de actualización de los mapas de riesgos con relación a los cambios en los lineamientos generados por el Departamento Administrativo de la Función Pública, la Secretaría de Transparencia o la normatividad que los rige. Acompañar y asesorar en todo momento a los procesos en la construcción y seguimiento del mapa de riesgos institucional en cuanto a la tipología que corresponda. Realizar semestralmente monitoreo a los riesgos institucionales, con base en el comportamiento del periodo y determinar las mejoras en cuanto a la efectividad de los controles.
OFICINA ASESORA DE CONTROL INTERNO:	Realizar anualmente seguimiento y evaluación a la gestión del riesgo en la institución y presentar el informe con la evaluación al Comité Institucional de Coordinación de Control Interno y al Rector en la Revisión por la dirección.

DEFINICIONES Y TÉRMINOS

RIESGO:	Efecto que se causa sobre los objetivos de las entidades, debido a eventos potenciales.
RIESGO DE SEGURIDAD DE LA INFORMACIÓN:	Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.
RIESGO DE CORRUPCIÓN:	Posibilidad de que por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado
CAUSA INMEDIATA:	Circunstancias bajo las cuales se presenta el riesgo, pero no constituyen la causa principal o base para que se presente el riesgo
CAUSA RAIZ:	Causa principal o básica, corresponde a las razones por la cuales se puede presentar el riesgo.
PROBABILIDAD:	Se entiende la posibilidad de ocurrencia del riesgo. Estará asociada a la exposición al riesgo del proceso o actividad que se esté analizando. La probabilidad inherente será el número de veces que se pasa por el punto de riesgo en el periodo de 1 año.
IMPACTO:	Las consecuencias que puede ocasionar a la organización la materialización del riesgo.
RIESGO INHERENTE:	Nivel de riesgo propio de la actividad. El resultado de combinar la probabilidad con el impacto, nos permite determinar el nivel del riesgo inherente, dentro de unas escalas de severidad
RIESGO RESIDUAL:	El resultado de aplicar la efectividad de los controles al riesgo inherente.
CONTROL:	Medida que permite reducir o mitigar un riesgo.
TRATAMIENTO:	Decisión que se toma frente a un determinado nivel de riesgo, dicha decisión puede ser aceptar, reducir o evitar.
PLAN DE TRATAMIENTO:	Para efectos del mapa de riesgos, cuando se define la opción de reducir, se requerirá la definición de un plan de acción que especifique: i) responsable, ii) fecha de implementación, y iii) fecha de seguimiento.
RIESGO FISCAL:	Es el efecto dañoso sobre los recursos públicos y/o los bienes y/o intereses patrimoniales de naturaleza pública, a causa de un evento potencial.

POLÍTICAS Y CONDICIONES DE OPERACIÓN

La gestión del riesgo en la institución analiza las estrategias, la formulación de objetivos y la implementación de esos objetivos en la toma de decisiones cotidiana, con el fin de identificar de manera constante factores y puntos de riesgos de una manera efectiva, los cuales de manera preventiva permiten la protección de los recursos, alcanzar mejores resultados y mejorar la prestación de servicios a sus usuarios, aspectos fundamentales frente a la generación de valor público, eje fundamental en el quehacer de todas las organizaciones públicas.

A lo largo del documento se explica de manera suscinta la metodologia propuesta por el Departamento Administrativo de la Gestión Pública para la administración del riesgo en las entidades públicas, la cual es desarrollada en la Universidad de Caldas por los 17 procesos que componen el Sistema Integrado de Gestión. A su vez se definió la politica de administración del riesgo, la cual fue elaborada por la Oficina Asesora de Planeación y Sistemas y aprobada por el Comité Institucional Coordinador de Control Interno en el marco del Modelo Integrado de Planeación y Gestión y su segunda versión incorpora a los Comités de gestión y desempeño aprobados por el Acuerdo 16 de 2022, los cuales

Líneas de defensa:

1. Línea estratégica: Define el marco general para la gestión del riesgo y el control y supervisa su cumplimiento, está a cargo de la Alta dirección (Comité Institucional de Gestión y Desempeño y el Comité Coordinador de Control Interno.

2. Primera línea de defensa: Desarrolla e implementa procesos de control y gestión de riesgos a través de su identificación, análisis, valoración, monitoreo y acciones de mejora. (Líderes y responsables de los procesos).

3. Segunda línea de defensa: El Jefe de planeación o quien haga sus veces debe periódicamente hacer un seguimiento a todos los riesgos, permitiendo que se generen recomendaciones y posibles ajustes a los mapas de riesgos, de manera tal que las instancias de 1ª línea pueden establecer mejoras a los riesgos y controles, así mismo garantizar su aplicación efectiva, lo que implica que se deben incorporar ejercicios de asesoría y acompañamiento a los líderes de los procesos y sus equipos para la mejora de este tema.

4. Tercera línea de defensa: Corresponde a la Oficina de Control Interno, quien a través de sus procesos de seguimiento y evaluación especialmente a través de la auditoría interna deben establecer la efectividad de los controles para evitar la materialización de riesgos. De igual forma, en el marco de su Plan Anual de Auditoría puede proponer esquemas de asesoría y acompañamiento a la entidad, actividades que puede coordinar con la Oficina de Planeación o quien haga sus veces.

A continuación, se presentan las tablas con las que se realiza la clasificación y valoración de los riesgos y controles, de acuerdo con la Guía de Administración del Riesgo del DAFP en su versión 6, con el fin de apoyar la construcción de los mapas de riesgos descrito en el flujograma del procedimiento.

CLASIFICACIÓN DE LOS RIESGOS:

PROBABILIDAD:

IMPACTO:

MATRIZ DE CALOR: La matriz de calor es el resultado de la combinación de la probabilidad por el impacto y da como resultado la zona de riesgo, la cual puede ser baja, moderada, alta o extrema.

CONTROLES: Una vez se definen los controles, se les atribuye los atributos que se definen a continuación:

Las estrategias y lineamientos para combatir los riesgos de gestión y corrupción, se encuentran en la política de administración del riesgo.

DESCRIPCIÓN DE ACTIVIDADES
No.	Actividad	Responsable	Descripción
1	Inicio
2	Analizar los cambios en el contexto institucional y posibles fuentes generadoras de riesgos.	Comité Institucional de Gestión y Desempeño.	Analizar los cambios en el direccionamiento estratégico y en el contexto institucional, con el fin de identificar posibles situaciones generadoras de riesgos o que signifiquen modificaciones a los existentes y de esta forma generar alertas a la primera línea de defensa para su incorporación en la política de administración del riesgo y mapa de riesgos institucional. Tiempo: En las sesiones del Comité. Registro(Actas del Comité de Gestión y Desempeño)
3	Actualizar política de administración del riesgo	Oficina Asesora de Planeación y Sistemas - SIG	La Oficina Asesora de Planeación y Sistemas actualiza la política de administración del riesgo, definiendo los lineamientos precisos para el tratamiento, manejo y seguimiento a los riesgos institucionales, teniendo en cuenta lo establecido en la guía metodológica del DAFP. Tiempo: Cada que se actualice la metodología por parte del DAFP o cada que cambien las condiciones internas y externas de los procesos que generen posibles riesgos. Registro(Política de administración del riesgo)
4	Aprobar política de administración del riesgo	Comité Coordinador de Control interno.	La política de administración del riesgo, previamente elaborada y actualizada por la Oficina Asesora de Planeación - SIG, es presentada ante el Comité Coordinador de Control Interno para su aprobación. Tiempo: En sesiones del comité. Registro(Política de administración del riesgo)
5	Identificar riesgos en cada uno de los procesos.	Líder del proceso, responsables delegados y Coordinador del SIG.	La identificación de los riesgos institucionales se realiza con base en el contexto estratégico de la institución, la caracterización de cada proceso que contempla su objetivo y alcance y, también, el análisis frente a los factores internos y externos que pueden generar riesgos que afecten el cumplimiento de los objetivos. Como resultado del análisis, se establece la causa inmediata, la causa raíz y el impacto (económico y/o reputacional). La sumatoria de las 3 variables permite la descripción del riesgo. Todo lo anterior se documenta en el mapa de riesgos institucional. Tiempo: Cada que se actualice la metodología por parte del DAFP o cada que cambien las condiciones internas y externas de los procesos que generen posibles riesgos. Registro(Mapa de riesgos institucional )
6	Clasificar riesgos	Líder del proceso, responsables delegados y Coordinador del SIG.	Una vez se cuenta con el riesgo descrito, se procede a su clasificación de acuerdo a las categorías propuestas por la metodología, todo esto con el fin de agrupar los riesgos identificados. (Ver clasificación de riesgos en políticas y condiciones de operación). Tiempo: Cada que se realice la identificación de riesgos. Registro(Mapa de riesgos institucional )
7	Determinar la probabilidad de ocurrencia del riesgo.	Líder del proceso o responsables delegados y Coordinador del SIG.	La probabilidad de ocurrencia del riesgo INHERENTE está asociada a la exposición al riesgo del proceso o actividad que se esté analizando. De este modo, la probabilidad inherente será calculada definiendo la frecuencia de la actividad, es decir, el número de veces en el que se pasa por el punto de riesgo en el periodo de 1 año (Ver tabla de probabilidad en políticas y condiciones de operación). Tiempo: Cada que se realicé la actualización del mapa de riesgos. Registro(Mapa de riesgos institucional )
8	Determinar el impacto	Líder del proceso o responsables delegados y Coordinador del SIG.	El impacto de la materialización de los riesgos puede ser económico o reputacional. El económico está determinado por la afectación en salarios mínimos que podría tener la materialización del riesgo y la reputacional está expresado en la afectación de la imagen a nivel interno o externo. (Ver tabla de criterios para definir el impacto en políticas y condiciones de operación). Tiempo: Cada que se realice la identificación de riesgos. Registro(Mapa de riesgos institucional )
9	Definir los controles para reducir o mitigar los riesgos identificados.	Líder del proceso o responsables delegados y Coordinador del SIG.	Los controles se definen como las acciones o medidas que toma el proceso para reducir o mitigar la posibilidad de ocurrencia del riesgo. Cada control debe contar con un responsable, una acción, el tiempo en el que se va a ejecutar y la evidencia documental del control. Para el caso de los riesgos de corrupción, se definen los controles de acuerdo a lo establecido en la Guia metodologica del DAFP en su versión 4. Tiempo: Cuando se define la zona de riesgo inherente. Registro(Mapa de riesgos institucional )
10	Valorar los controles definidos y determinar riesgo residual.	Líder del proceso o responsables delegados y Coordinador del SIG.	Una vez definido los controles, se clasifican de acuerdo a los atributos establecidos por la metodología, con el fin de determinar su efectividad en reducir o mitigar los riesgos. (Ver tabla de valoración de controles en políticas y condiciones de operación). De acuerdo a lo anterior, se obtiene una nueva probabilidad y/o impacto que finalmente determinan la zona de riesgo RESIDUAL. Tiempo: Cada que se realice la identificación de riesgos. Registro(Mapa de riesgos institucional )
11	Definir estrategia para combatir el riesgo	Líder del proceso o responsables delegados y Coordinador del SIG.	Una vez se obtienen los riesgos residuales de los procesos, se definen las estrategias para combatir los riesgos las cuales pueden ser aceptar, reducir, compartir o evitar. Según la política de administración del riesgo, en la Universidad de Caldas se aceptan o se reducen los riesgos, no se comparten ni se evitan. Los riesgos clasificados en alto o extremo, se elige la opción reducir, ante la cual, según la metodología establecida, se debe plantear un plan de tratamiento con un responsable y fechas de implementación y de seguimiento. Por el contrario para los riesgos residuales bajos o moderados, se acepta el riesgo. Tiempo: Cada que se realice la identificación de riesgos. Registro(Mapa de riesgos institucional )
12	Verificar el cumplimiento de los controles establecidos y actualizar o definir nuevos riesgos.	Líder del proceso o responsables delegados, Coordinador SIG	Periódicamente, los lideres de proceso con sus equipos de trabajo verifican el cumplimiento de los controles establecidos, con el fin de determinar si se requiere cambiar o actualizar la información en el mapa de riesgos institucional. De igual manera, cada que se identifiquen puntos de riesgo en las actividades cotidianas de los procesos, debe realizarse todo el proceso anteriormente descrito, de tal forma que se pueda gestionar y dar tratamiento a la posibilidad de ocurrencia de eventos adversos. Tiempo: Permanente. Registro(Mapa de riesgos institucional )
13	Realizar monitoreo a los riesgos identificados	Oficina Asesora de Planeación - Sistema Integrado de Gestión	De acuerdo con el comportamiento de los riesgos en el periodo, El equipo del SIG realiza monitoreo a los riesgos establecidos por cada uno de los procesos, evaluando la vigencia del mismo y la efectividad de los controles existentes, con el fin de proponer nuevos controles si es requerido o modificar los existentes, actualizar los movimientos en el mapa de calor y verificar el cumplimiento de los planes de tratamiento. Tiempo: Semestral Registro(Informe monitoreo mapa de riesgos institucional)
14	Realizar seguimiento al mapa de riesgos institucional.	Oficina Asesora de Control Interno	La evaluación a la gestión del riesgo se realiza de conformidad con lo establecido en el P-CS-862-PROCEDIMIENTO PARA LA EVALUACIÓN A LA GESTIÓN DEL RIESGO. Tiempo: Anual. Registro(Informe evaluación a la gestión de los riesgos institucionales)
15	Realizar seguimiento a la gestión de los riesgos institucionales.	Comité Institucional de Gestión y Desempeño	Desde la Oficina Asesora de Planeación-SIG y la Oficina de Control Interno se elaboran diferentes informes sobre la implementación de cada una de las etapas de la gestión del riesgo, con el fin de ser presentados y evaluados el Comité MIDI y de esta manera, garantizar la articulación entre las líneas de defensa y la adecuada gestión y administración del riesgo en la institución. Tiempo: De acuerdo a la programación de las sesiones de los comités. Registro(Actas de Comités MIDI)
16	Fin

REGISTROS DEL DOCUMENTO
Nombre del Registro	Resp. Almacena.	Cod.Registro SIG	Serie Archivo
Actas de Comités MIDI	OFICINA DE PLANEACION	-	-
Actas del Comité de Gestión y Desempeño	OFICINA DE PLANEACION	-	-
Informe evaluación a la gestión de los riesgos institucionales	CONTROL INTERNO	-	-
Informe monitoreo mapa de riesgos institucional	OFICINA DE PLANEACION	-	-
Mapa de riesgos institucional	OFICINA DE PLANEACION	-	-
Política de administración del riesgo	OFICINA DE PLANEACION	-	-

ELABORÓ	REVISÓ	APROBÓ
PROFESIONAL ESPECIALIZADO - OFICINA ASESORA DE PLANEACIÓN Y SISTEMAS	JEFE DE OFICINA - OFICINA ASESORA DE PLANEACIÓN Y SISTEMAS	JEFE DE OFICINA - OFICINA ASESORA DE PLANEACIÓN Y SISTEMAS

HISTORIAL DE CAMBIOS
VERSIÓN	ORIGEN DE LOS CAMBIOS	FECHA
3	Se actualiza el procedimiento de acuerdo con lo establecido en la metodología del DAFP versión 6, la cual incluye el capitulo de los riesgos fiscales y su aplicabilidad.	2024-07-28
2	De acuerdo al plan de mejoramiento del sistema de control interno, se realiza actualización al procedimiento para dar claridad sobre las responsabilidades y controles requeridos para implementar las líneas de defensa, entre otros.	2022-09-27
1	Versión inicial	2021-11-22

DOCUMENTO CONTROLADO: Si usted copia o imprime este documento, el Sistema Integrado de Gestión de la Universidad de Caldas lo considerará No Controlado y no se hace responsable por su consulta o uso.
Si desea consultar la versión actualizada y controlada de este documento, consulte siempre la página web http://www.ucaldas.edu.co/, en el enlace SIG

PROCEDIMIENTO PARA LA ADMINISTRACIÓN DEL RIESGO EN LA UNIVERSIDAD DE CALDAS