Académique Documents
Professionnel Documents
Culture Documents
ADMINISTRACIÓN DE RIESGO
VERSIÓN: 2
PROCESO
PROCESO IDENTIFICACIÓN FECHA: Abril de 2015
MANUAL
GESTIÓN DE RIESGOS
Aviso Legal: La información contenida en este documento, será para el uso exclusivo de la Pontificia Universidad
Javeriana, quien será responsable por su custodia y conservación en razón de que contiene información de carácter
confidencial o privilegiada. Esta información no podrá ser reproducida total o parcialmente, salvo autorización
expresa de la Oficina de Organización y Métodos de la Pontificia Universidad Javeriana.
CODIGO: AR-P10-MS01
CONTENIDO
INTRODUCCIÓN.................................................................................................................................3
1. DEFINICIONES......................................................................................................................4
9. IMPLEMENTACIÓN ............................................................................................................ 12
INTRODUCCIÓN
La gestión de riesgos planteada en este manual, hace parte del Sistema de Control
Interno1 de la Universidad, y busca proveer los mecanismos para, de una forma
sistemática, adelantar la identificación, la valoración, el seguimiento y el control de
los riesgos. De esta manera la gestión de riesgos contribuye al mejoramiento
continuo de los procesos y a la generación de un ambiente adecuado de control.
1 LEY 87 DE 1993 (noviembre 29): Se entiende por control interno el sistema integrado por el esquema de
organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación
y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y
actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas
constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u
objetivos previstos.
REFERENCIAS NORMATIVAS
1. DEFINICIONES
Control: Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para
que la probabilidad de que el negocio / proceso logre sus metas y objetivos sea
mayor.
Riesgo: Hace referencia al evento que podría ocurrir, positivo o negativo, “que
tenga un impacto directo sobre el logro de los objetivos”. También se define como
un hecho, una acción u omisión que podría afectar la capacidad de una Entidad para
lograr sus objetivos de proceso, de negocio, o estrategias. Considera la ocurrencia
latente o potencial de acontecimientos negativos o inesperados así como la ausencia
o sub-aprovechamiento de oportunidades.
Riesgo residual: Riesgo resultante luego de evaluar los controles asociados a las
actividades buscando mitigar los riesgos.
Monitoreo y Revisión
2
COLOMBIA. NTC ISO 31.000. Pág. 17
Factores
Externo Interno
Tecnológicos: Interrupciones,
Organización: Estructuras organizacionales
producción, datos externos, tecnología
de las Vicerrectorías, autoridades colegiadas y
emergente, obsolescencia.
de gobierno con atribuciones y proceso de
toma de decisiones definido por los estatutos
de la Universidad.
5. RENDICIÓN DE CUENTAS5
Los gestores de los riesgos en la Vicerrectoría Administrativa son los líderes de los
procesos definidos en el mapa de procesos institucional, no obstante podrán hacer
partícipe a las instancias de la Universidad que consideren relevantes para la
evaluación de los riesgos, ya sea por su incidencia en la ejecución del proceso o por
considerarse un actor decisivo para los resultados del mismo.
En el Código de Buen Gobierno se definen en el capítulo IV las normas y
lineamientos que rigen la evaluación y rendición de cuentas, así como los procesos
de escalonamiento y reportes internos y/o externos en la Comunidad Universitaria
Javeriana.
El desarrollo, implementación y mantenimiento del marco de la gestión del riesgo
en la Vicerrectoría Administrativa le corresponderá a la instancia personal o de
gobierno designada por el Consejo Administrativo, cuyo monitoreo corresponderá
al Comité de Auditoría.
Instancia Responsabilidad(es)
Instancia Responsabilidad(es)
6
COLOMBIA. NTC ISO 31.000. Numeral 4.3.4 Pág. 14
Las unidades de la Vicerrectoría Administrativa deben revisar, por lo menos una vez
al año, el resultado de la efectividad de las acciones implementadas para gestionar
los riesgos con calificación extremos o altos, lo cual deriva en una nueva valoración
y ubicación en el mapa de riesgos consolidado.
Adicionalmente y como resultado de la gestión que adelanten los dueños de los
procesos con el apoyo de la unidad delegada por el (la) Vicerrector(a)
Administrativo(a), deberán rendir informes periódicos al Vicerrector(a)
Administrativo(a), quien a su vez presentará un informe consolidado al Comité de
Auditoría Interna dando cuenta del resultado de la gestión y la efectividad de las
acciones entorno al cumplimiento de la política y el perfil de riesgo adoptado por la
Universidad.
La información que se consolide como resultado de la gestión de riesgos deberá ser
divulgada a las partes interesadas de acuerdo con el plan de comunicaciones,
previa determinación de qué se comunica, cómo se comunica y con qué periodicidad
por parte de la Vicerrectoría Administrativa.
Ante eventuales situaciones de crisis o contingencia la unidad delegada por el
Vicerrector(a) Administrativo(a) podrá sugerir acciones de contingencia para buscar
el menor impacto en la Universidad, garantizando en todo caso que la
documentación del evento se incluya o actualice en la matriz de riesgos respectivo.
Los eventos de riesgo que se materialicen deberán ser reportados y debidamente
documentados y tendrán que emprender las acciones tendientes a prevenir su
futura ocurrencia y a disminuir su impacto.
La comunicación con los grupos de interés se realizará de conformidad con los
reglamentos, las directrices, los procedimientos y demás documentos
institucionales, de forma que los datos e información general suministrada guarde
estrecha relación con los procesos.
9. IMPLEMENTACIÓN8
7
COLOMBIA. NTC ISO 31.000. Numeral 4.3.7 Pág. 15
8 COLOMBIA. NTC ISO 31.000. Numeral 4.4.2 Pág. 16
Evento Evento
Descripción
(Nivel 1) (Nivel 2)
Actos intencionales que buscan
1.1 Actividades no autorizadas
1. Fraude interno apropiarse indebidamente de
1.2 Hurto y Fraude
recursos de la Universidad.
Actos realizados por clientes o
terceros que buscan apropiarse 2.1 Hurto y Fraude
2. Fraude externo indebidamente de activos o de 2.2 Vulnerabilidad de los
información confidencial de la sistemas
Universidad.
Evento Evento
Descripción
(Nivel 1) (Nivel 2)
4.5 Fallas en la asesoría a los
clientes
Pérdidas ocasionadas por daños
5. Daños a activos o perjuicios a los activos fijos de
5.1 Desastres y otros eventos
físicos la institución tanto por personas
internas o externas.
Interrupciones voluntarias o
involuntarias de los servicios
6. Fallas tecnológicos e informáticos que
6.1 Fallas en los sistemas
tecnológicas afecten el funcionamiento
académico y administrativo de
la Universidad.
7.1 Fallas en el diseño,
ejecución y mantenimiento
de los procesos
7.2 Inoportunidad o inexactitud
en la generación de
información y reportes
Pérdidas ocasionadas por
7. Ejecución y 7.3 Ausencia de documentación
omisiones voluntarias o
administración o documentación
involuntarias en la ejecución de
de procesos incompleta de los clientes
los procesos.
7.4 Inadecuada administración
de las cuentas de clientes
7.5 Fallas de contrapartes
comerciales
7.6 Fallas de proveedores o
outsourcing
Posibilidad de pérdida o daño que puede sufrir la Universidad de
ser utilizada directamente o a través de sus operaciones como
8. Lavado de instrumento para el lavado de activos y/o canalización de recursos
activos hacia la realización de actividades terroristas, o cuando se
pretenda el ocultamiento de activos provenientes de dichas
actividades.
Pérdida en que se incurre por desprestigio, mala imagen,
publicidad negativa, cierta o no, respecto de la institución, que
9. Reputacional
cause pérdida de clientes, disminución de ingresos o procesos
judiciales.
Evento Evento
Descripción
(Nivel 1) (Nivel 2)
Probabilidad de ocurrencia de daños o perjuicios como
consecuencia de: i) imposibilidad para ejercer los derechos
radicados en cabeza de la Universidad, o exigir el
cumplimiento de obligaciones en cabeza de terceros, por
ausencia del cumplimiento de los requisitos legales; ii)
actuaciones de funcionarios de la Universidad sin facultad
10. Legal estatutaria, reglamentaria o legal para vincular a la
Universidad; iii) incumplimiento de leyes, pronunciamientos
judiciales y administrativos, hechos, negocios y/o actos
jurídicos, y de normas internas; iv) aplicación errada de la
ley o errores en la interpretación de la misma; v) falta de
aplicación oportuna de los cambios normativos; vi) falta de
respuesta a requerimientos de las autoridades.
Los criterios adoptados por la Universidad para gestión de riesgos están clasificados
de la siguiente forma:
Alta Superior
Frecuente Alto
Nivel Probable Significativo
Ocasional Bajo
Inferior Insignificante
Financiero
Estratégicos
Categoría N/A Cumplimiento
Reputacionales
Operacionales
Alta probabilidad de ocurrencia 5.1 Se espera la ocurrencia del evento en más del 20% de los casos.
Alta
Ocurre permanentemente 5.2 Ocurre con cierta periodicidad (Una vez por mes)
Significativa probabilidad de
4.1 El evento ocurrirá entre el 15% y el 19.9% de los casos.
ocurrencia
Frecuente
Ocurre muchas veces 4.2 Se presenta con alguna frecuencia. (Una vez cada trimestre)
Mediana probabilidad de
3.1 El evento puede ocurrir entre el 10% y el 14.9% de los casos
ocurrencia
Probable
Ocurre varias veces 3.2 Se ha presentado por lo menos en una ocasión cada año.
Baja probabilidad de ocurrencia 2.1 El evento puede ocurrir entre el 3% y el 9.9% de los casos
Ocasional
Poco frecuente 2.2 Ha ocurrido solo en una oportunidad en la historia de la Universidad.
Financiero
Impacto Cifras en millones de Estratégicos Cumplimiento Reputacionales Operacionales
pesos
Financiero
Impacto Cifras en millones de Estratégicos Cumplimiento Reputacionales Operacionales
pesos
Financiero
Impacto Cifras en millones de Estratégicos Cumplimiento Reputacionales Operacionales
pesos
d. La lista de los riesgos debe ser exhaustiva de forma que se contemplen eventos
que podrían crear, aumentar, prevenir, degradar acelerar o retrasar el logro de
los objetivos.
h. Identificar las causas y los escenarios posibles que muestren que las
consecuencias se podrían presentar.
10
COLOMBIA. NTC ISO 31.000. Numeral 5.4.2 Pág. 21
Los riesgos son valorados sobre una base inherente (riesgo inherente) y residual
(riesgo residual), bajo las perspectivas de probabilidad (posibilidad de que ocurra
un evento) e impacto (su efecto debido a su ocurrencia), valiéndose para ello de
información interna y externa, cualitativa o cuantitativa, que se recaude o de la que
se disponga para ello.
Estos dos elementos determinan la severidad con la cual estos riesgos pueden
impactar a la Universidad, la cual es clasificada en los siguientes grados y
determinan la respuesta al riesgo:
˗ Riesgo bajo.
˗ Riesgo moderado.
˗ Riesgo alto.
˗ Riesgo extremo.
Mapa Residual para identificar los riesgos clasificados como extremos y altos que
deben ser gestionados mediante planes de acción concretos.
Entre las opciones de tratamiento de los riesgos que defina el dueño del proceso en
conjunto con la unidad delegada por el Vicerrector(a) Administrativo(a) podrán
considerarse: evitar el riesgo decidiendo omitir o no iniciar la actividad que lo
origina, tomar o incrementar el riesgo para lograr beneficios de una oportunidad o
retirar la fuente de riesgo, entre otras. No obstante, dicho tratamiento deberá ser
acompañado de un plan de acción especifico, seguido por una verificación de la
efectividad de este y una nueva valoración del riesgo que fundamente la decisión
que se adopte en el proceso sujeto de análisis.
La gestión de riesgos debe hacer parte de los informes de gestión de los directivos
responsables de las actividades administrativas. En particular, los directores de la
Vicerrectoría Administrativa deberán incluir el reporte de la gestión de los riesgos
asociados a los procesos a su cargo en el informe de gestión anual.
16. CAPACITACIÓN