Manual de Procedimientos de Gestión de Riesgos

MACROPROCESO CODIGO: AR-P10-MS01
ADMINISTRACIÓN DE RIESGO
VERSIÓN: 2
PROCESO
PROCESO IDENTIFICACIÓN FECHA: Abril de 2015
MANUAL
GESTIÓN DE RIESGOS
REVISADO POR APROBADO POR
Vicerrectoría Administrativa Consejo Administrativo
Aviso Legal: La información contenida en este documento, será para el uso exclusivo de la Pontificia Universidad
Javeriana, quien será responsable por su custodia y conservación en razón de que contiene información de carácter
confidencial o privilegiada. Esta información no podrá ser reproducida total o parcialmente, salvo autorización
expresa de la Oficina de Organización y Métodos de la Pontificia Universidad Javeriana.
CODIGO: AR-P10-MS01
MANUAL GESTIÓN DE RIESGOS VERSIÓN: 2
FECHA: Abril de 2015
CONTENIDO
INTRODUCCIÓN.................................................................................................................................3
1. DEFINICIONES......................................................................................................................4
2. PROCESO DE LA GESTIÓN DEL RIESGO .........................................................................6
2.1. ESTABLECIMIENTO DEL CONTEXTO ................................................................................7
2.2. VALORACIÓN DE LOS RIESGOS ........................................................................................7
2.3. TRATAMIENTO DEL RIESGO ..............................................................................................7
2.4. MONITOREO Y REVISIÓN ...................................................................................................7
2.5. COMUNICACIÓN Y CONSULTA ..........................................................................................7
3. POLÍTICA DE GESTIÓN DEL RIESGO DE LA VICERRECTORÍA ADMINISTRATIVA .......7
4. MARCO ESTRATÉGICO DE LA GESTIÓN DE RIESGOS...................................................8
5. RENDICIÓN DE CUENTAS ...................................................................................................9
6. RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS ................................................. 10
7. INTEGRACIÓN DE LOS PROCESOS ............................................................................... 11
8. COMUNICACIÓN INTERNA Y PRESENTACIÓN DE INFORMACIÓN ............................. 12
9. IMPLEMENTACIÓN ............................................................................................................ 12
10. EVENTOS DE RIESGO ...................................................................................................... 13
11. CRITERIOS (5.3.5) ............................................................................................................. 15
12. VALORACIÓN DEL RIESGO ............................................................................................. 21
12.1. IDENTIFICACIÓN DEL RIESGO. ....................................................................................... 21
12.2. ANÁLISIS DE RIESGO ....................................................................................................... 22
12.3. EVALUACIÓN DEL RIESGO .............................................................................................. 23
13. TRATAMIENTO DEL RIESGO ........................................................................................... 23
14. MONITOREO Y REVISIÓN ................................................................................................ 23
15. REGISTRO DEL PROCESO PARA LA GESTIÓN DE RIESGO ....................................... 24
16. CAPACITACIÓN ................................................................................................................. 24
Oficina de Organización y Métodos Página 2 de 25

CODIGO: AR-P10-MS01
INTRODUCCIÓN
El control interno en la Universidad se entiende como “… el proceso … diseñado para

proveer una seguridad razonable de que se alcanzarán los siguientes objetivos:
Eficacia y eficiencia en las operaciones; confiabilidad de la información financiera;
cumplimiento de las leyes y demás normas aplicables a la entidad.” (Acuerdo No.
411Bis del 22 de marzo de 2006. Creación del Comité de Auditoría. Considerando
3). Los elementos del control interno son en consecuencia, el ambiente de control,
los sistemas de identificación y evaluación de riesgos, los procedimientos de control,
los sistemas de información y comunicación y las acciones de supervisión (Acuerdo
No. 411Bis del 22 de marzo de 2006. Creación del Comité de Auditoría.
Considerando 4).
La gestión de riesgos planteada en este manual, hace parte del Sistema de Control
Interno1 de la Universidad, y busca proveer los mecanismos para, de una forma
sistemática, adelantar la identificación, la valoración, el seguimiento y el control de
los riesgos. De esta manera la gestión de riesgos contribuye al mejoramiento
continuo de los procesos y a la generación de un ambiente adecuado de control.
El presente manual recoge los procedimientos para la gestión de riesgos asociados

a las actividades desarrolladas por la Vicerrectoría Administrativa.
1 LEY 87 DE 1993 (noviembre 29): Se entiende por control interno el sistema integrado por el esquema de
organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación
y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y
actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas
constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u
objetivos previstos.

CODIGO: AR-P10-MS01
ALCANCE DEL SISTEMA DE GESTIÓN DEL RIESGO
La gestión de riesgos comprende desde su identificación hasta el seguimiento y el

control de ellos y de las acciones orientadas a prevenir su ocurrencia o mitigar los
efectos de dicha ocurrencia en las actividades de tipo administrativo que se surten
en la Vicerrectoría Administrativa.
OBJETIVOS DEL SISTEMA DE GESTIÓN DEL RIESGO
- Reducir la probabilidad de incurrir en pérdidas por deficiencias o fallas, en los

factores tanto internos como externos contemplados para el análisis del
riesgo.
- Propiciar el cumplimiento de los objetivos institucionales mediante la gestión

proactiva de los dueños de procesos en la identificación y tratamiento de los
riesgos.
- Asignar y usar eficazmente los recursos para el tratamiento de los riesgos,

definiendo la estructura de gobierno de la administración de riesgo, políticas,
procedimientos, metodologías, roles y responsabilidades.
REFERENCIAS NORMATIVAS
• Norma Técnica Colombiana ISO 31000:2009. Gestión del Riesgo. Principios y

Directrices.
1. DEFINICIONES
Actividad: Es un conjunto de tareas con un fin específico.
Cadena de Valor: Es un modelo teórico que permite describir el desarrollo de las

actividades de una organización empresarial generando valor al cliente final, -
descrito y popularizado por Michael Porter. Se identifican también como la
integración de tres categorías de procesos (Macroprocesos, Procesos y
Subprocesos), diferenciados generalmente por su relevancia dentro de las tareas
de la compañía (“Core” y Soporte).

CODIGO: AR-P10-MS01
Causa: Hace referencia al detonante de un evento ya sea de forma aislada o

conjunta. También es conocida como falla o insuficiencia.
Consecuencia: Hace referencia a cuál sería el impacto de un evento (favorable o

adverso).
Control: Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para
que la probabilidad de que el negocio / proceso logre sus metas y objetivos sea
mayor.
Factor de riesgo: Se entiende por factores de riesgo, las fuentes generadoras de

eventos en las que se originan las pérdidas por riesgo operativo. Son factores de
riesgo el recurso humano, los procesos, la tecnología, la infraestructura y los
acontecimientos externos.
Gestión de riesgo: Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo.
Gestionar el riesgo: Identificación, análisis y evaluación de los riesgos para

determinar a través del tratamiento del riesgo (mitigarlo, eliminarlo, trasferirlo o
aceptarlo) si este puede modificarse para cumplir con los criterios.
Impacto: Corresponde a la evaluación del efecto y la consecuencia producida al

materializarse un riesgo para la compañía.
Probabilidad: Es la variable que mide la posibilidad de que un riesgo se

materialice.
Proceso: Grupo de actividades relacionadas de manera lógica que, cuando se

llevan a cabo, utilizan los recursos de la entidad para lograr resultados definitivos
o transformar elementos de entrada, a través de una serie de actividades, en un
producto o servicio.
Riesgo: Hace referencia al evento que podría ocurrir, positivo o negativo, “que
tenga un impacto directo sobre el logro de los objetivos”. También se define como
un hecho, una acción u omisión que podría afectar la capacidad de una Entidad para
lograr sus objetivos de proceso, de negocio, o estrategias. Considera la ocurrencia
latente o potencial de acontecimientos negativos o inesperados así como la ausencia
o sub-aprovechamiento de oportunidades.

CODIGO: AR-P10-MS01
Riesgo inherente: Riesgo asociado con la actividad económica o proceso,

independientemente de los sistemas de control interno que allí se estén aplicando.
Riesgo residual: Riesgo resultante luego de evaluar los controles asociados a las
actividades buscando mitigar los riesgos.
2. PROCESO DE LA GESTIÓN DEL RIESGO
El modelo de gestión de riesgos adoptado por la Vicerrectoría Administrativa de la

Pontificia Universidad Javeriana se fundamenta en lo dispuesto por la Norma
Técnica Colombiana NTC ISO 31000:2009, la cual sugiere una gestión de riesgo
basada en el establecimiento del contexto del riesgo, la valoración y tratamiento,
seguido por el monitoreo y comunicación hacia las partes interesadas2, como se
muestra a continuación:
Establecimiento del contexto
Valoración de los riesgos

Comunicación y consulta
Monitoreo y Revisión
Identificación de los riesgos
Análisis de los riesgos
Evaluación de los riesgos
Tratamiento del riesgo
Fuente: Norma NTC-ISO 31000
2
COLOMBIA. NTC ISO 31.000. Pág. 17

CODIGO: AR-P10-MS01
2.1. Establecimiento del contexto

En esta etapa del proceso se articulan objetivos, políticas, lineamientos internos y
externos que se deben tener en cuenta para gestionar el riesgo y se establece el
alcance, criterios y relación de los procesos con la gestión de riesgos de forma
particular.
2.2. Valoración de los riesgos

Esta etapa del proceso contempla la identificación cualitativa de los eventos que
potencialmente pueden afectar el cumplimiento de los objetivos, su análisis e
interpretación en términos cuantitativos.
2.3. Tratamiento del riesgo

Las actividades de esta etapa incluyen la toma de decisiones sobre los riesgos
identificados, ya sea mediante la definición de planes de acción y su
implementación, como la adopción de diferentes estrategias que minimicen la
exposición o el efecto.
2.4. Monitoreo y revisión

Las actividades de seguimiento a los riesgos, consideran la revisión periódica de los
riesgos identificados y su transformación.
2.5. Comunicación y consulta

Actividades se divulgación y reporte sobre los resultados de la gestión de riesgo.
3. POLÍTICA DE GESTIÓN DEL RIESGO DE LA VICERRECTORÍA

ADMINISTRATIVA3
La Vicerrectoría Administrativa de la Pontificia Universidad Javeriana, en su rol de

planear, organizar y controlar las actividades administrativas en el nivel general de
la Universidad, se compromete a gestionar los riesgos asociados a sus procesos,
diseñando y definiendo medidas que tienen como propósito el evitar, prevenir,
mitigar, compartir o transferir aquellos que tengan una mayor probabilidad de
ocurrencia y que por lo tanto puedan tener un impacto de consideración en el
cumplimiento de sus objetivos estratégicos. Para ello, implementará un sistema de
controles y hará un seguimiento periódico al mismo para evaluar su efectividad, y
3 COLOMBIA. NTC ISO 31.000. Numeral 4.2, 4.32. Pág. 12-13

CODIGO: AR-P10-MS01
para garantizar que su gestión esté enmarcada en un proceso de mejoramiento

continuo.
Es de considerar que algunos riesgos son propios de la gestión de los procesos e

inherente a sus actividades, por lo cual quedan fuera del control de la Vicerrectoría
Administrativa, y por lo tanto puede que no sea posible eliminarlos o evitarlos
completamente.
El Consejo Administrativo es responsable de su aprobación y el (la) Vicerrector(a)

Administrativo(a) de su seguimiento y revisión al menos una vez al año, sin
perjuicio de considerar actualizaciones cada vez que se estime necesario.
La política de riesgos será desarrollada e implementada en la Vicerrectoría
Administrativa a través de la gestión de las unidades que la componen y dentro del
ámbito de su competencia. Las unidades informarán con la periodicidad que el (la)
Vicerrector(a) Administrativo(a) determine, su evolución, elevando propuestas que
contribuyan a una mejor gestión de los mismos. Para el desarrollo de las actividades
se dispondrá de los recursos que consideren necesarios.
La gestión de riesgos se enmarca para el tratamiento de conflictos de interés en lo
dispuesto por el Código de Buen Gobierno de la Universidad y en contexto
contractual por lo definido en el Manual de Contratación y la Matriz de
Atribuciones asociada con este.
La política de gestión de riesgos se incluye en el Manual de Gestión de Riesgos (AR-
P10-MS01) el cual se encuentra publicado en la página web de la Universidad.
4. MARCO ESTRATÉGICO DE LA GESTIÓN DE RIESGOS4
El marco estratégico de la gestión de riesgos que se define para la Vicerrectoría

Administrativa está orientado a establecer las condiciones internas y del entorno
que pueden generar eventos que afecten el cumplimiento de la misión y objetivos
de las actividades administrativas.
4 COLOMBIA. NTC ISO 31.000. Numeral 4.3. Pág. 12

CODIGO: AR-P10-MS01
A continuación se describen algunos de los factores tanto internos como externos

que pueden llegar a considerarse en el análisis del riesgo:
Factores
Externo Interno
Sociales: Demografía, responsabilidad Recurso humano: Comunidad Educativa

social, acciones insurgentes, crisis de Javeriana, conformada por estudiantes,
valores, desempleo. profesores, personal administrativo,
egresados.
Cultura: Pluralismo ideológico y el

Económicos: Disponibilidad de capital,
ecumenismo religioso que caracteriza la
liquidez, competencia, financiación y
comunidad educativa javeriana.
cambios en la solvencia de los
prestatarios, valor de mercado de una
cartera de activos, movimientos
desfavorables de los tipos de interés.
Procesos: Capacidad, diseño, ejecución,

Medio Ambientales: Agentes
proveedores, entradas, actividades, salidas,
contaminantes físicos, químicos,
conocimiento, relaciones contractuales
biológicos por causas naturales o
derivado de actividades humanas.
Políticos: Cambios y decisiones políticas Tecnología y sistemas de información:

de los gobiernos, políticas fiscales, Integridad de datos, disponibilidad de datos y
políticas monetarias, conflicto armado, sistemas.
intereses de grupos empresariales locales
o nacionales.
Tecnológicos: Interrupciones,
Organización: Estructuras organizacionales
producción, datos externos, tecnología
de las Vicerrectorías, autoridades colegiadas y
emergente, obsolescencia.
de gobierno con atribuciones y proceso de
toma de decisiones definido por los estatutos
de la Universidad.
5. RENDICIÓN DE CUENTAS5
5 COLOMBIA. NTC ISO 31.000. Numeral 4.3.3 Pág. 13

CODIGO: AR-P10-MS01
Los gestores de los riesgos en la Vicerrectoría Administrativa son los líderes de los
procesos definidos en el mapa de procesos institucional, no obstante podrán hacer
partícipe a las instancias de la Universidad que consideren relevantes para la
evaluación de los riesgos, ya sea por su incidencia en la ejecución del proceso o por
considerarse un actor decisivo para los resultados del mismo.
En el Código de Buen Gobierno se definen en el capítulo IV las normas y
lineamientos que rigen la evaluación y rendición de cuentas, así como los procesos
de escalonamiento y reportes internos y/o externos en la Comunidad Universitaria
Javeriana.
El desarrollo, implementación y mantenimiento del marco de la gestión del riesgo
en la Vicerrectoría Administrativa le corresponderá a la instancia personal o de
gobierno designada por el Consejo Administrativo, cuyo monitoreo corresponderá
al Comité de Auditoría.
6. RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS
Instancia Responsabilidad(es)
Revisar y aprobar la Política de Riesgos que aplica a la

Consejo
Vicerrectoría Administrativa, así como el Manual de Gestión de
Administrativo
Riesgos.
˗ Revisar, conceptuar y emitir aprobación para la presentación de

la política, lineamientos o normas que apliquen a la gestión de
riesgos.
˗ Realizar seguimiento a los avances y resultados de la gestión de
riesgos en la Vicerrectoría, tomar las acciones necesarias e
informar los resultados al Consejo Administrativo u otras
Vicerrector(a) instancias que considere pertinente.
Administrativo(a) ˗ Designar la unidad o persona responsable de dirigir, coordinar y
controlar la aplicación de las metodologías inherentes a la
administración y gestión de los riesgos.
˗ Asegurar los recursos para que se brinde a las unidades de la
Vicerrectoría Administrativa el acompañamiento y asesoría
necesarias para la identificación, análisis y evaluación de los
riesgos.
˗ Adoptar y ejecutar las directrices generales relacionadas con la
Dueños de procesos gestión de riesgos en las actividades administrativas.

CODIGO: AR-P10-MS01
Instancia Responsabilidad(es)
˗ Participar en la identificación de riesgos, su análisis y evaluación.

˗ Planear, realizar seguimiento a la implementación y adopción de
las acciones propuestas para mitigar los riesgos identificados.
˗ Reportar a la Vicerrectoría Administrativa los avances y
resultados de los planes de acción y las nuevas mediciones de
riesgos que le apliquen.
˗ Las definidas en el Acuerdo 430 por Consejo Directivo de la
Comité de Auditoría Pontificia Universidad Javeriana dado en Bogotá D.C., el 2 de
agosto del 2006.
Conocer los avances y los resultados de la gestión de riesgos para
Auditoría Interna orientar la labor de la auditoría interna, sin que esto comprometa
su independencia.
7. INTEGRACIÓN DE LOS PROCESOS6
En la gestión por procesos adoptada por la Universidad Javeriana se contempla en

el grupo de procesos estratégicos del mapa de procesos, el Macroproceso
Administración y Control de Riesgos (AR) donde se incluyen los relacionados con la
identificación, evaluación, control y monitoreo de los riesgos, desde los cuales se
definen, estructuran, documentan y actualizan los documentos propios de la gestión
de riesgos, incluidos manuales, guías, matrices u otras herramientas que se
empleen como apoyo a la gestión.
Desde dicho macroproceso se da paso a los procesos de tipo estratégico, misional
y de apoyo con lineamientos, directrices y metodologías para su adecuada gestión.
Para ello, se parte del desarrollo de la caracterización del proceso como instrumento
para su correspondiente contextualización con lo cual se identificarán los factores
más relevantes asociados a éste, para posteriormente elaborar la matriz de riesgos
como apoyo a su identificación, análisis y evaluación.
El plan de gestión de riesgos se encuentra alineado con la planeación universitaria
en cumplimiento de sus objetivos estratégicos.
6
COLOMBIA. NTC ISO 31.000. Numeral 4.3.4 Pág. 14

CODIGO: AR-P10-MS01
8. COMUNICACIÓN INTERNA Y PRESENTACIÓN DE

INFORMACIÓN7
Las unidades de la Vicerrectoría Administrativa deben revisar, por lo menos una vez
al año, el resultado de la efectividad de las acciones implementadas para gestionar
los riesgos con calificación extremos o altos, lo cual deriva en una nueva valoración
y ubicación en el mapa de riesgos consolidado.
Adicionalmente y como resultado de la gestión que adelanten los dueños de los
procesos con el apoyo de la unidad delegada por el (la) Vicerrector(a)
Administrativo(a), deberán rendir informes periódicos al Vicerrector(a)
Administrativo(a), quien a su vez presentará un informe consolidado al Comité de
Auditoría Interna dando cuenta del resultado de la gestión y la efectividad de las
acciones entorno al cumplimiento de la política y el perfil de riesgo adoptado por la
Universidad.
La información que se consolide como resultado de la gestión de riesgos deberá ser
divulgada a las partes interesadas de acuerdo con el plan de comunicaciones,
previa determinación de qué se comunica, cómo se comunica y con qué periodicidad
por parte de la Vicerrectoría Administrativa.
Ante eventuales situaciones de crisis o contingencia la unidad delegada por el
Vicerrector(a) Administrativo(a) podrá sugerir acciones de contingencia para buscar
el menor impacto en la Universidad, garantizando en todo caso que la
documentación del evento se incluya o actualice en la matriz de riesgos respectivo.
Los eventos de riesgo que se materialicen deberán ser reportados y debidamente
documentados y tendrán que emprender las acciones tendientes a prevenir su
futura ocurrencia y a disminuir su impacto.
La comunicación con los grupos de interés se realizará de conformidad con los
reglamentos, las directrices, los procedimientos y demás documentos
institucionales, de forma que los datos e información general suministrada guarde
estrecha relación con los procesos.
9. IMPLEMENTACIÓN8
7

CODIGO: AR-P10-MS01
Las disposiciones enunciadas en este manual serán aplicadas en la Vicerrectoría

Administrativa a través de actividades de capacitación y sensibilización que
propicien el cambio de las unidades internas hacia la gestión de riesgo como
instrumento apalancador del logro de los objetivos institucionales.
10. EVENTOS DE RIESGO
Un evento de riesgo es una situación que ocurre en un lugar particular en un

momento determinado y que puede llevar a su materialización. Son eventos de
riesgo aquellos que tienen un impacto significativo en el logro de los objetivos
institucionales, provocando pérdidas económicas o reputacionales, entre otras; en
tal sentido los eventos de riesgo podrán tipificarse de la siguiente forma:
Evento Evento
Descripción
(Nivel 1) (Nivel 2)
Actos intencionales que buscan
1.1 Actividades no autorizadas
1. Fraude interno apropiarse indebidamente de
1.2 Hurto y Fraude
recursos de la Universidad.
Actos realizados por clientes o
terceros que buscan apropiarse 2.1 Hurto y Fraude
2. Fraude externo indebidamente de activos o de 2.2 Vulnerabilidad de los
información confidencial de la sistemas
Universidad.
Actos incompatibles con la

3.1 Fallas en las relaciones
legislación laboral, con la
laborales
3. Relaciones reglamentación interna
3.2 Fallas en la seguridad del
laborales formulada sobre este aspecto y
entorno laboral
en general con la normatividad
3.3 Discriminación
vigente sobre la materia.
4.1 Administración indebida de

activos y revelación de
Omisiones voluntarias o
información del cliente
involuntarias de las obligaciones
4.2 Prácticas inapropiadas de
con los clientes de la
4. Clientes negocios o de mercado
Universidad que impidan
4.3 Fallas en los productos
constituir una obligación
4.4 Fallas en la selección y
profesional frente a estos.
gerenciamiento de los
clientes

CODIGO: AR-P10-MS01
Evento Evento
Descripción
(Nivel 1) (Nivel 2)
4.5 Fallas en la asesoría a los
clientes
Pérdidas ocasionadas por daños
5. Daños a activos o perjuicios a los activos fijos de
5.1 Desastres y otros eventos
físicos la institución tanto por personas
internas o externas.
Interrupciones voluntarias o
involuntarias de los servicios
6. Fallas tecnológicos e informáticos que
6.1 Fallas en los sistemas
tecnológicas afecten el funcionamiento
académico y administrativo de
la Universidad.
7.1 Fallas en el diseño,
ejecución y mantenimiento
de los procesos
7.2 Inoportunidad o inexactitud
en la generación de
información y reportes
Pérdidas ocasionadas por
7. Ejecución y 7.3 Ausencia de documentación
omisiones voluntarias o
administración o documentación
involuntarias en la ejecución de
de procesos incompleta de los clientes
los procesos.
7.4 Inadecuada administración
de las cuentas de clientes
7.5 Fallas de contrapartes
comerciales
7.6 Fallas de proveedores o
outsourcing
Posibilidad de pérdida o daño que puede sufrir la Universidad de
ser utilizada directamente o a través de sus operaciones como
8. Lavado de instrumento para el lavado de activos y/o canalización de recursos
activos hacia la realización de actividades terroristas, o cuando se
pretenda el ocultamiento de activos provenientes de dichas
actividades.
Pérdida en que se incurre por desprestigio, mala imagen,
publicidad negativa, cierta o no, respecto de la institución, que
9. Reputacional
cause pérdida de clientes, disminución de ingresos o procesos
judiciales.

CODIGO: AR-P10-MS01
Evento Evento
Descripción
(Nivel 1) (Nivel 2)
Probabilidad de ocurrencia de daños o perjuicios como
consecuencia de: i) imposibilidad para ejercer los derechos
radicados en cabeza de la Universidad, o exigir el
cumplimiento de obligaciones en cabeza de terceros, por
ausencia del cumplimiento de los requisitos legales; ii)
actuaciones de funcionarios de la Universidad sin facultad
10. Legal estatutaria, reglamentaria o legal para vincular a la
Universidad; iii) incumplimiento de leyes, pronunciamientos
judiciales y administrativos, hechos, negocios y/o actos
jurídicos, y de normas internas; iv) aplicación errada de la
ley o errores en la interpretación de la misma; v) falta de
aplicación oportuna de los cambios normativos; vi) falta de
respuesta a requerimientos de las autoridades.
11. CRITERIOS9 (5.3.5)
Los criterios adoptados por la Universidad para gestión de riesgos están clasificados
de la siguiente forma:
Clasificación Probabilidad Impacto
Alta Superior
Frecuente Alto
Nivel Probable Significativo
Ocasional Bajo
Inferior Insignificante
Financiero
Estratégicos
Categoría N/A Cumplimiento
Reputacionales
Operacionales

CODIGO: AR-P10-MS01
Los criterios que se detallan en la Tabla que se presenta a continuación, deberán

ser revisados y actualizados por lo menos una vez al año y cuando se considere
necesario según los eventos o evaluaciones posteriores que sean necesarios.
Los criterios serán incluidos en el análisis de riesgos durante la definición de
probabilidad e impacto de cada riesgo de acuerdo con el soporte de calificación
registrada en la matriz (Ver Guía de Usuario Gestión de Riesgos AR-P10-G01).

CODIGO: AR-P10-MS01
Criterios según la probabilidad
NIVEL DESCRIPCIÓN CRITERIO
Alta probabilidad de ocurrencia 5.1 Se espera la ocurrencia del evento en más del 20% de los casos.
Alta
Ocurre permanentemente 5.2 Ocurre con cierta periodicidad (Una vez por mes)
Significativa probabilidad de
4.1 El evento ocurrirá entre el 15% y el 19.9% de los casos.
ocurrencia
Frecuente
Ocurre muchas veces 4.2 Se presenta con alguna frecuencia. (Una vez cada trimestre)
Mediana probabilidad de
3.1 El evento puede ocurrir entre el 10% y el 14.9% de los casos
ocurrencia
Probable
Ocurre varias veces 3.2 Se ha presentado por lo menos en una ocasión cada año.
Baja probabilidad de ocurrencia 2.1 El evento puede ocurrir entre el 3% y el 9.9% de los casos
Ocasional
Poco frecuente 2.2 Ha ocurrido solo en una oportunidad en la historia de la Universidad.
Improbable 1.1 El evento puede ocurrir en menos del 3% de los casos.

Inferior
Difícil que ocurra 1.2 Es improbable que el acontecimiento se materialice o nunca ha ocurrido.

CODIGO: AR-P10-MS01
Criterios según el impacto
Financiero
Impacto Cifras en millones de Estratégicos Cumplimiento Reputacionales Operacionales
pesos
5.4 Impacto que afecte la

imagen de la Universidad
negativamente en el sector, 5.6 Interrupción de las
relacionado con pérdida de operaciones de la
5.2 5.3 Incumplimiento
reconocimiento como una Universidad por más de
Incumplimiento de las normas o
Institución de Educación 5 días calendario.
5.1 Impacto que de las metas y lineamientos
Superior (IES) de alta
Superior afecte más de objetivos de la establecidos por
calidad.
1.000 Planeación entes externos que
Universitaria por generen un plan de 5.5 Impacto que exponga 5.7 Pérdida / Afectación
más de dos años acción a corto plazo. negativamente a la de vidas humanas.
Universidad en medios de 5.8 Daño causado en el
opinión pública a nivel medio ambiente es
nacional o internacional. irreversible.
4.4 Existen reclamaciones
4.2 4.3 Observaciones
por parte de los
Incumplimiento por incumplimiento 4.6 Interrupción de las
estudiantes, proveedores o
de las metas y de las normas o operaciones de la
4.1 Impacto que miembros de la comunidad
objetivos de la lineamientos Universidad por 4 días
Alto afecte entre 750 educativa universitaria que
Planeación establecidos por calendario.
y 999 afectan la continuidad de la
Universitaria entes externos que
relación.
hasta por dos generen un plan de
4.5 Impacto que exponga 4.7 Lesiones severas con
años acción a corto plazo.
negativamente a la incapacidad parcial.

CODIGO: AR-P10-MS01
Financiero
pesos
Universidad en medios de 4.8 Los daños

opinión pública a nivel ocasionados sobre el
local. medio ambiente son
graves y requiere
implementación de obras
de recuperación.
3.4 Existen reclamaciones
por parte de los
3.6 Interrupción de las
estudiantes, proveedores o
operaciones de la
miembros de la comunidad
Universidad entre 2 y 3
educativa universitaria,
3.2 días calendario.
3.3 Inoportunidad pero no se afecta la
Incumplimiento
de la información continuidad de la relación.
3.1 Impacto que de las metas y
ocasionando 3.7 Genera lesiones
Significativo afecte entre 500 objetivos de la
retrasos en las leves en los
y 749 Planeación
respuestas a entes 3.5 Impacto que exponga colaboradores.
Universitaria en
externos. negativamente a la 3.8 Los daños
menos de un año
Universidad en medios de ocasionados sobre el
opinión pública a nivel medio ambiente son
interinstitucional. leves y se concentran al
interior de la
Universidad.
2.2 2.3 Inoportunidad 2.6 Interrupción de las
2.1 Impacto que 2.4 Incremento entre el
Incumplimiento de la información operaciones de la
Bajo afecte entre 250 10% - 50% del número de
de algunos ocasionando Universidad entre 1 y 2
y 499 reclamos formulados por la
objetivos retrasos en las días calendario.

CODIGO: AR-P10-MS01
Financiero
pesos
establecidos en la respuestas a entes comunidad educativa

Planeación internos. universitaria.
Universitaria.
2.7 Genera lesiones

menores en los
2.5 Impacto que afecte las colaboradores.
relaciones entre la
comunidad educativa 2.8 Daño causado sobre
universitaria. el medio ambiente es
mínima e imperceptible y
se concentran al interior
de la Universidad.
1.6 Interrupción de las
1.3 Solicitud de 1.4 No hay pérdida en la
operaciones de la
aclaraciones por participación de la
1.2 Ajustes Universidad por menos
parte de órganos de Universidad en el mercado.
puntuales de de 1 día calendario.
1.1 Impacto que control u otras
planes operativos 1.7 No hay pérdida de
Insignificante afecte entre 0 y entidades por
relacionados con 1.5 No existe un impacto vida humana,
249 incumplimientos
la Planeación que afecte las relaciones incapacidades o
legales,
Universitaria. entre la comunidad accidentes de trabajo.
contractuales y/o
educativa universitaria. 1.8 No afecta el medio
medio ambiente.
ambiente.

CODIGO: AR-P10-MS01
12. VALORACIÓN DEL RIESGO
12.1. Identificación del riesgo10.
Para la identificación de los riesgos cada unidad deberá conformar el equipo

interdisciplinar que considere necesario para dar cuenta de los eventos de riesgo
que podrían tener un impacto en el objetivo del proceso que se analiza. En las
sesiones que se conformen podrán considerarse los siguientes aspectos:
a. La participación del líder del proceso, ejecutores, clientes o usuarios del
proceso, así como proveedores podrán aportar una visión global de los riesgos
y favorecer la identificación de causas y consecuencias.
b. La Vicerrectoría Administrativa ha adoptado la Matriz de Riesgos donde deberá

registrarse, actualizarse y aprobarse la información contenida en ella.
c. Como base para la identificación de los riesgos deberá elaborarse la

caracterización del proceso, de forma que pueda contextualizarse sobre el
objetivo, alcance, actividades, entradas, salidas y partes interesadas del
proceso sujeto de análisis.
d. La lista de los riesgos debe ser exhaustiva de forma que se contemplen eventos
que podrían crear, aumentar, prevenir, degradar acelerar o retrasar el logro de
los objetivos.
e. La identificación debe incluir los riesgos independiente de si su origen está o

no bajo control de las Unidades de la Universidad.
f. Definir las fuentes de riesgo, áreas de impacto, eventos, causas y consecuencias

potenciales.
g. Debe influir efectos o consecuencias particulares, incluyendo efectos en cascada

y acumulativos.
h. Identificar las causas y los escenarios posibles que muestren que las
consecuencias se podrían presentar.
10

CODIGO: AR-P10-MS01
i. Considerar todas las causas y consecuencias significativas.
12.2. Análisis de riesgo11
Implica la consideración de las fuentes de riesgo y las consecuencias positivas y

negativas de cada uno de ellos.
Los riesgos son valorados sobre una base inherente (riesgo inherente) y residual
(riesgo residual), bajo las perspectivas de probabilidad (posibilidad de que ocurra
un evento) e impacto (su efecto debido a su ocurrencia), valiéndose para ello de
información interna y externa, cualitativa o cuantitativa, que se recaude o de la que
se disponga para ello.
La valoración de riesgos permite establecer su grado de severidad con el fin de

establecer prioridades y acciones tendientes a prevenir su ocurrencia o mitigar sus
efectos.
En la Guía Gestión de Riesgos (AR-P10-G01) se describen los criterios para

realizar el análisis de los riesgos identificados. En la matriz adoptada por la
Vicerrectoría Administrativa se determinará, de acuerdo con las valoraciones
establecidas en la anterior guía, la probabilidad e impacto de cada uno de los riesgos
identificados, de acuerdo con los criterios ya establecidos.
Estos dos elementos determinan la severidad con la cual estos riesgos pueden
impactar a la Universidad, la cual es clasificada en los siguientes grados y
determinan la respuesta al riesgo:
˗ Riesgo bajo.
˗ Riesgo moderado.
˗ Riesgo alto.
˗ Riesgo extremo.
Para la valoración de los riesgos se empleará el Mapa inherente donde se consolida

el resultado preliminar de los criterios de probabilidad de ocurrencia y de su
impacto, expresados de forma tal que permitan entregar una respuesta a los
riesgos. Así mismo y luego de realizar la evaluación de los controles se empleará el

CODIGO: AR-P10-MS01
Mapa Residual para identificar los riesgos clasificados como extremos y altos que
deben ser gestionados mediante planes de acción concretos.
12.3. Evaluación del riesgo12
La evaluación del riesgo que se muestra en la matriz de riesgo adoptada implica la

comparación del nivel del riesgo identificado y los criterios del riesgo establecidos
en el contexto estratégico mencionado en el numeral 11 CRITERIOS del presente
documento.
En la Guía Gestión de Riesgos (AR-P10-G01) se describen los pasos que deben

seguirse para realizar la evaluación de los riesgos en la herramienta adoptada por
la Vicerrectoría Administrativa.
13. TRATAMIENTO DEL RIESGO13
Como parte de la gestión de riesgos deberán generarse planes de continuidad de

las actividades en aquellos procesos en los cuales, la materialización del riesgo
pueda afectar de manera directa y grave el desarrollo del objeto social de la
Universidad.
Entre las opciones de tratamiento de los riesgos que defina el dueño del proceso en
conjunto con la unidad delegada por el Vicerrector(a) Administrativo(a) podrán
considerarse: evitar el riesgo decidiendo omitir o no iniciar la actividad que lo
origina, tomar o incrementar el riesgo para lograr beneficios de una oportunidad o
retirar la fuente de riesgo, entre otras. No obstante, dicho tratamiento deberá ser
acompañado de un plan de acción especifico, seguido por una verificación de la
efectividad de este y una nueva valoración del riesgo que fundamente la decisión
que se adopte en el proceso sujeto de análisis.
14. MONITOREO Y REVISIÓN14

13 COLOMBIA. NTC ISO 31.000. Numeral 5.5 Pág. 22
14 COLOMBIA. NTC ISO 31.000. Numeral 5.6 Pág. 24

CODIGO: AR-P10-MS01
El seguimiento de los riesgos, la evaluación de la efectividad del plan de acción

previsto para los riesgos identificados, las estrategias y, en general, la gestión de
riesgos, deberán ser revisados anualmente para identificar circunstancias externas
e internas que puedan alterar las prioridades de atención de los mismos, la
minimización de la exposición a los existentes, las lecciones aprendidas a partir de
los eventos, cambios, tendencias, éxitos y los fracasos.
La identificación y valoración de los riesgos deberán actualizarse por lo menos una

vez cada dos años.
El seguimiento a los planes de acción, de acuerdo con los cronogramas y medidas

de desempeño determinados de forma que permitan definir la efectividad de los
controles, es esencial en la gestión de riesgos.
La gestión de riesgos debe hacer parte de los informes de gestión de los directivos
responsables de las actividades administrativas. En particular, los directores de la
Vicerrectoría Administrativa deberán incluir el reporte de la gestión de los riesgos
asociados a los procesos a su cargo en el informe de gestión anual.
15. REGISTRO DEL PROCESO PARA LA GESTIÓN DE RIESGO
Los documentos, registros y actualizaciones de las herramientas que se deriven de

la gestión de riesgos, deberán considerar las Directrices para el Aseguramiento de
Calidad de las Actividades Administrativas de la Universidad15.
16. CAPACITACIÓN
15Pontificia Universidad Javeriana. Directrices para el aseguramiento de la Calidad de las

actividades administrativas de las Universidad. http://puj-
portal.javeriana.edu.co/portal/page/portal/vice_administrativa/Vice_administrativa/1vicead_d
ocs_pdfs/VAdmDirectricesSGC22032011.pdf

CODIGO: AR-P10-MS01
En las actividades de capacitación, de formación y de actualización a empleados de

la Vicerrectoría Administrativa se deben incluir elementos de gestión de riesgos,
considerando su participación en los procesos y el efecto en el resultado de los
mismos.
Le corresponde a la unidad delegada por el (la) Vicerrector(a) Administrativo(a) en
conjunto con la Dirección de Gestión Humana, generar acciones específicas de
capacitación así como el acompañamiento necesario a los responsables y
participantes en los diferentes procesos para adelantar las diferentes etapas de la
gestión de riesgos.

Manual de Procedimientos de Gestión de Riesgos

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual de Procedimientos de Gestión de Riesgos

Transféré par

Droits d'auteur :

Formats disponibles

MACROPROCESO CODIGO: AR-P10-MS01

REVISADO POR APROBADO POR

Vicerrectoría Administrativa Consejo Administrativo

MANUAL GESTIÓN DE RIESGOS VERSIÓN: 2

FECHA: Abril de 2015

2. PROCESO DE LA GESTIÓN DEL RIESGO .........................................................................6

2.1. ESTABLECIMIENTO DEL CONTEXTO ................................................................................7

2.2. VALORACIÓN DE LOS RIESGOS ........................................................................................7

2.3. TRATAMIENTO DEL RIESGO ..............................................................................................7

2.4. MONITOREO Y REVISIÓN ...................................................................................................7

2.5. COMUNICACIÓN Y CONSULTA ..........................................................................................7

3. POLÍTICA DE GESTIÓN DEL RIESGO DE LA VICERRECTORÍA ADMINISTRATIVA .......7

4. MARCO ESTRATÉGICO DE LA GESTIÓN DE RIESGOS...................................................8

5. RENDICIÓN DE CUENTAS ...................................................................................................9

6. RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS ................................................. 10

7. INTEGRACIÓN DE LOS PROCESOS ............................................................................... 11

8. COMUNICACIÓN INTERNA Y PRESENTACIÓN DE INFORMACIÓN ............................. 12

10. EVENTOS DE RIESGO ...................................................................................................... 13

11. CRITERIOS (5.3.5) ............................................................................................................. 15

12. VALORACIÓN DEL RIESGO ............................................................................................. 21

12.1. IDENTIFICACIÓN DEL RIESGO. ....................................................................................... 21

12.2. ANÁLISIS DE RIESGO ....................................................................................................... 22

12.3. EVALUACIÓN DEL RIESGO .............................................................................................. 23

13. TRATAMIENTO DEL RIESGO ........................................................................................... 23

14. MONITOREO Y REVISIÓN ................................................................................................ 23

15. REGISTRO DEL PROCESO PARA LA GESTIÓN DE RIESGO ....................................... 24

16. CAPACITACIÓN ................................................................................................................. 24

Oficina de Organización y Métodos Página 2 de 25

MANUAL GESTIÓN DE RIESGOS VERSIÓN: 2

FECHA: Abril de 2015

El control interno en la Universidad se entiende como “… el proceso … diseñado para

El presente manual recoge los procedimientos para la gestión de riesgos asociados

Oficina de Organización y Métodos Página 3 de 25

MANUAL GESTIÓN DE RIESGOS VERSIÓN: 2

FECHA: Abril de 2015

ALCANCE DEL SISTEMA DE GESTIÓN DEL RIESGO

La gestión de riesgos comprende desde su identificación hasta el seguimiento y el

OBJETIVOS DEL SISTEMA DE GESTIÓN DEL RIESGO

- Reducir la probabilidad de incurrir en pérdidas por deficiencias o fallas, en los

- Propiciar el cumplimiento de los objetivos institucionales mediante la gestión

- Asignar y usar eficazmente los recursos para el tratamiento de los riesgos,

• Norma Técnica Colombiana ISO 31000:2009. Gestión del Riesgo. Principios y

Actividad: Es un conjunto de tareas con un fin específico.

Cadena de Valor: Es un modelo teórico que permite describir el desarrollo de las

Oficina de Organización y Métodos Página 4 de 25

MANUAL GESTIÓN DE RIESGOS VERSIÓN: 2

FECHA: Abril de 2015

Causa: Hace referencia al detonante de un evento ya sea de forma aislada o

Consecuencia: Hace referencia a cuál sería el impacto de un evento (favorable o

Factor de riesgo: Se entiende por factores de riesgo, las fuentes generadoras de

Gestión de riesgo: Actividades coordinadas para dirigir y controlar una

Gestionar el riesgo: Identificación, análisis y evaluación de los riesgos para

Impacto: Corresponde a la evaluación del efecto y la consecuencia producida al

Probabilidad: Es la variable que mide la posibilidad de que un riesgo se

Proceso: Grupo de actividades relacionadas de manera lógica que, cuando se

Oficina de Organización y Métodos Página 5 de 25

MANUAL GESTIÓN DE RIESGOS VERSIÓN: 2

FECHA: Abril de 2015

Riesgo inherente: Riesgo asociado con la actividad económica o proceso,

2. PROCESO DE LA GESTIÓN DEL RIESGO

El modelo de gestión de riesgos adoptado por la Vicerrectoría Administrativa de la

Establecimiento del contexto

Valoración de los riesgos