PROCESO: EVALUACIÓN Y CONTROL DE LA GESTIÓN PROCEDIMIENTO RELACIONADO: ADMINISTRACIÓN DEL RIESGO

Transcripción

1 Página 1 de 10 1) Descripción del Procedimiento 1.1) Unidad Responsable: OCONT Definir los criterios y estrategias a seguir para la implantación y desarrollo del componente de Administración del Riesgo, identificados a nivel de proceso en 1.2) Objetivo: lo referente al contexto estratégico, identificación, análisis, valoración de Riesgos en la UNAD. El procedimiento inicia con la identificación de las directrices organizacionales y la planeación de los instrumentos de medición y evaluación para la Administración de Riesgos y finaliza con el monitoreo y seguimiento de los Riesgos. 1.3) Alcance: Aplica para todos los procesos incorporados en el Sistema Integrado de Gestión -SIG-, a los líderes de procedimiento y a los directores de los Centros en las Zonas, en las actividades concernientes a la identificación, seguimiento y control de los riesgos. 2) Definiciones 2.1) Concepto 2.2) Definición Riesgo - Es La posibilidad de que ocurra un acontecimiento que tenga impacto en el alcance de los objetivos. El riesgo se mide en términos de impacto y probabilidad. (Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI DAFP Bogotá D. C. Mayo de 2014). - Es Toda posibilidad de ocurrencia de aquella situación que pueda afectar el desarrollo normal de las funciones de la entidad y el logro de sus objetivos. (NTCGP Numeral 3.50). - Es el Efecto de la Incertidumbre sobre los objetivos. Un efecto es una desviación negativa de aquello que se espera. Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad y metas ambientales) y se pueden aplicar en diferentes niveles (estratégico, en toda la organización, en proyectos, productos y procesos). Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad. Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento

2 Página 2 de 10 (incluyendo los cambios en las circunstancias) y en la probabilidad de que suceda.. A menudo el riesgo está caracterizado por la referencia a los eventos potenciales y las consecuencias o una combinación de ellos. (NTC ISO Numeral 2.1). Administración del Riesgo. Mapa de Riesgos Aplicación Sistema de mapas de riesgo versión 2.0. Componente Administración del Riesgo (La Administración del Riesgo está definida en el componente Administración de Riesgos previstas en el Módulo de Control de Planeación y Gestión de conformidad con lo previsto en el MECI 2014): Conjunto de elementos que le permiten a la entidad identificar, evaluar y gestionar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales. (Manual Técnico del Modelo Estándar de Control Interno para el Estado Colombiano MECI DAFP Bogotá D. C. Mayo de 2014) Este componente reconoce la presencia de la incertidumbre en todas las actividades de la Entidad Pública al tiempo que la habilita para identificar y administrar dicha incertidumbre, lo cual facilita a la organización para emprender las acciones necesarias que le permitan el manejo de los eventos que puedan afectar el logro de los objetivos institucionales. El componente de Administración de Riesgos comprende los elementos de Contexto Estratégico, Identificación de Riesgos, Análisis de Riesgos, Valoración de Riesgos y Políticas de Administración de Riesgos. El mapa de riesgos es una representación final de la probabilidad e impacto de uno o más riesgos frente a un proceso, proyecto o programa (Guía para la Administración del Riesgo DAFP Septiembre de ª Edición - Administración de Riesgos Corporativos. Técnicas de Aplicación Pricewaterhouse Coopers, Colombia Pág. 53.). Herramienta metodológica que permite hacer un inventario de los riesgos identificados en los procesos del Sistema Integrado de Gestión - SIG- de forma sistemática mediante la definición, descripción, clasificación y valoración de cada uno de éstos y las posibles consecuencias, para efecto del manejo y Administración del Riesgo. Instrumento tecnológico a través del cual se registran los mapas de riesgos por procesos teniendo en cuenta así mismo los contextos geográficos en donde la UNAD hace presencia (Unidades en la Sede Nacional y los Centros), se realiza seguimiento a los controles existentes

3 Página 3 de 10 y su adecuación, y así mismo al cumplimiento de las acciones de mitigación de riesgos las cuales se constituyen en el las actividades efectivas del control de controles. 3) Condiciones Generales 3.1) De conformidad con lo previsto en el Decreto 1537 de 2001 que establece ARTICULO 4. ADMINISTRACION DE S (incorporado en el Decreto 1083 de 2015 artículo Administración de riesgos.): Como parte integral del fortalecimiento de los sistemas de control interno en las entidades públicas las autoridades correspondientes establecerán y aplicarán políticas de administración del riesgo. Para tal efecto, la identificación y análisis del riesgo debe ser un proceso permanente e interactivo entre la administración y las oficinas de control interno o quien haga sus veces, evaluando los aspectos tanto internos como externos que pueden llegar a representar amenaza para la consecución de los objetivos organizaciones, con miras a establecer acciones efectivas, representadas en actividades de control, acordadas entre los responsables de las áreas o procesos y las oficinas de control interno e integradas de manera inherente a los procedimientos.. 3.2) En la NTC-ISO 9001 versión 2015, Anexo A.4 se establece.aunque el apartado 6.1 especifica que la organización debe planificar acciones para abordar los riesgos, no hay ningún requisito en cuanto a métodos formales para la gestión del riesgo, ni un proceso documentado de la gestión del riesgo. Las organizaciones pueden decidir si desarrollar o no una metodología de la gestión del riesgo más amplia de lo requiere esta norma internacional, por ejemplo mediante la aplicación de otra orientación u otras normas. No todos los procesos de un sistema de gestión de la calidad representan el mismo nivel de riesgo en términos de la capacidad de la organización para cumplir sus objetivos y los efectos de la incertidumbre no son los mismos para todas las organizaciones. Bajo los requisitos del apartado 6.1 de la NTC-ISO 9001 versión 2015 la organización es responsable de la planificación del pensamiento basado en riesgos y de las acciones que toma para abordar los riesgos, incluyendo si conserva o no información documentada como evidencia de su determinación de riesgos. 3.3 En la Universidad Nacional Abierta y a Distancia-UNAD-, actualmente se administran tres (3) tipos de Riesgos: a) Riesgos Operativos, correspondientes a las normas NTCGP:1000:2009 e ISO 9001:2008(por procesos); Riesgos Ambientales, correspondientes a la norma ISO 14001:2015; Riesgos de Seguridad y Salud en el Trabajo, correspondientes a la norma OHSAS 18001: 2007 En cuanto a la Administración y gestión de los Riesgos de las normas ISO 14001:2015 y OHSAS 18001:2007 se manejarán metodologías y matrices específicas para cada uno de los componentes de Gestión Ambiental y de Salud y Seguridad en el Trabajo; dada la especialidad de las variables a tratar en la gestión de riesgos en dichos componentes y normas. Por lo tanto en el Sistema de Mapas de Riesgos- Aplicación 2.0 solo se manejarán los riesgos operativos de los procesos del Componente del Sistema Gestión de la Calidad.

4 Página 4 de De conformidad con lo previsto en la NTC-ISO 14001:2015 para el componente de Gestión Ambiental se determinarán riesgos, conforme a las siguientes fuentes: a) Comprensión de la organización y de su contexto (análisis interno y externo de la organización) b) Comprensión de las necesidades y expectativas de las partes interesadas c) Aspectos ambientales d) Requisitos legales y otros requisitos. Con el fin de darle una connotación e importancia al componente Ambiental, se incluyen los aspectos Ambientales significativos dentro de la administración del riesgo entre los cuales se pueden destacar a manera de ejemplo: Manejo de Residuos peligrosos, manejo de residuos convencionales, generación de vertimientos no domésticos, consumo de energía, consumo de papel y generación de emisiones, entre otros De conformidad con lo previsto en la NTC-OHSAS 18001:2007.Para el componente de Salud y Seguridad en el Trabajo se determinarán riesgos, conforme a las siguientes fuentes: a) actividades rutinarias y no rutinarias b) Actividades de todas las personas que tienen acceso al sitio de trabajo (incluso contratistas y visitantes) c) Comportamiento y aptitudes y otros factores humanos d) los peligros identificados que se originan fuera del lugar de trabajo con capacidad de afectar la salud y la seguridad de las personas e)los peligros generados por la vecindad del lugar de trabajo f) Infraestructura, equipo y materiales en el lugar de trabajo ya sean suministrados por la organización o por otros. g) Cambios realizados o propuestos en la organización, sus actividades o los materiales h) Modificaciones al sistema de gestión de SySO incluidos los cambios temporales y sus impactos sobre las operaciones, procesos y actividades i) Cualquier obligación legal aplicable relacionada con la valoración del riesgo y la implementación de los controles necesarios. j) el diseño de áreas de trabajo, procesos, instalaciones, maquinarias/equipos, procedimientos de operación y organización del trabajo, incluida su adaptación a las aptitudes humanas Los Líderes nacionales de los componentes de Gestión Ambiental y Salud y Seguridad en el trabajo realizarán el control y monitoreo de los Riesgos de los mismos, con la infraestructura prevista para el efecto. 3.4 Para la operación de la Aplicación del Sistema de Mapa de Riesgos Versión 2.0 de la Universidad Nacional Abierta y a Distancia -UNAD- al inicio de cada vigencia, la Oficina de Control interno expide los lineamientos generales para adelantar el registro, actualización y seguimiento a los Mapas de Riesgos operativos en la nueva vigencia. 3.5 Es importante precisar que para crear, eliminar, fusionar y modificar los riesgos que actualmente se encuentran vinculados a la Aplicación Sistema de Mapas de Riesgos Versión 2.0, es necesario solicitar aprobación a la Oficina de Control Interno, esta solicitud debe estar debidamente justificada. 3.6 Para el registro de la información tanto para la actualización de los riesgos por parte de las unidades y centros como por parte de los responsables del registro y actualización de la información correspondiente a los distintos procesos, cadenas de valor y procedimientos asociados, en el marco de la Aplicación Sistema de Mapas de Riesgo Versión 2.0, deberá consultarse el Instructivo de Administración del Riesgo (I-3-9-1), el cual se encuentra en el Listado Maestro de Documentos del SIG.

5 vigente en Página 5 de 10 4) Descripción del Procedimiento Nº 4.1) Actividad 4.2) Insumos necesarios para la actividad 4.3) Descripción detallada de la actividad 4.4) Registros de Ejecución y de Resultados de la Actividad 4.5) Encargado de la Actividad (responsables) INICIO 1 Identificar directrices organizacionales. 2 Identificar, implementar las acciones de mitigación. Política Institucional / Normatividad vigente Acuerdos de Estatuto General / Estatuto organizacional y demás normatividad. Plan de Desarrollo / Planes Operativos por vigencia. MECI Modelo MECI y Metodología de Administración de Riesgos, Identificar dentro de la aplicación de mapa de riesgos la cadena de valor organizacional (proceso(s) misional(es)) o el proceso (estratégico, de evaluación, de apoyo), teniendo en cuenta la Misión y Visión organizacionales, las funciones y líneas de acción de la unidad (Sede JCM) o centro (en las zonas de la UNAD), los planes y lineamientos de la Alta Dirección y verificación de la documentación y normatividad aplicable y emitir anualmente los lineamientos de administración de la respectiva vigencia mediante circular informativa a todos los responsables y colaboradores de mapas de riesgos desde la OCONT. Definir los riesgos de cada cadena de valor o proceso, teniendo en cuenta sus procedimientos asociados en cada sitio geográfico en el que se encuentre la UNAD y documentarlos en la Aplicación de Registros de Ejecución: Aplicación Sistema de Mapas de Riesgo. Resultados de la Actividad: Definición de la normatividad a aplicar y lineamientos a aplicar en la vigencia. Registros de Ejecución: Aplicación Sistema de Mapas de Riesgo. Jefe Oficina de Control Interno. Líderes de procedimiento, líderes o jefes de unidades, directores de centro o de Nodo.

6 vigente en Página 6 de 10 Lineamientos para cada vigencia. Sistemas de Mapas de Riesgos Versión 2.0 con base en el enfoque organizacional y metodología de identificación, análisis y valoración de los riesgos. Determinar vulnerabilidades, analizar y evaluar los riesgos, registrando las probabilidades e impactos Identificar y evaluar las opciones de tratamiento de los riesgos. Identificar los controles efectivos para el tratamiento de los riesgos y definir los demás campos de la aplicación tales como el nivel de valoración del riesgo (para cada riesgo debe seleccionarse inicialmente el nivel que coincida con su nivel de evaluación de riesgo), formulación de la acción preventiva de mitigación pertinente del riesgo, etc. Para el registro de la información deberá consultarse el Instructivo de Administración del Riesgo (I-3-9-1). Instructivo de Administración del Riesgo (I-3-9-1). Resultados de la Actividad: Riesgos documentados en la Aplicación de Sistema de Mapas de Riesgos Versión Registrar la información del sistema de mapas de riesgos en la Aplicación respectiva. Mantener actualizada la información de la Aplicación de Sistema de Mapas de Riesgos. Riesgos documentados en la Aplicación de Sistema de Líderes de procedimiento, líderes o jefes de unidades, directores de centro o de Nodo.

7 vigente en Página 7 de 10 Mapas de Riesgos Versión Realizar seguimiento a los riesgos por proceso(s) teniendo en cuenta todos los procedimientos del Sistema Integrado de Gestión. 5. Revisar la documentación de riesgos y evaluar los avances del componente Administración del Riesgo. Riesgos documentados en la Aplicación de Sistema de Mapas de Riesgos Versión 2.0. Hacer seguimiento al Mapa de Riesgos de conformidad con lo previsto en el MECI Revisar tanto los Mapas de Riesgo como sus distintos seguimientos efectuados por los responsables y evaluar los avances de los distintos Mapas de Riesgo cuando a ello hubiere lugar. Si hay lugar a ajustes, se gestionan los correctivos necesarios que se deban implementar, los cuales deberán ser realizados por parte de los responsables de cada mapa de riesgos (unidades en Sede Nacional y en los centros de las zonas) y se devuelve al paso2 Determinar el avance del Componente de Administración del Riesgo (MECI) a través de la revisión en la Aplicación Sistema de Mapas de Riesgos. Registros de Ejecución: Aplicación Sistema de Mapas de Riesgo. Resultados de la Actividad: Revisión documentada en la aplicación. Revisión efectuada por la OCONT. Avance en el MECI. Líderes de procedimiento, líderes o jefes de unidades, directores de centro o de Nodo. Responsable asignado para revisar la información en la Oficina de Control Interno. FIN

8 Fase Este documento NO debe imprimirse (Directiva Presidencial 04 de 2012), asegúrese de consultar la versión Página 8 de 10 5) Diagrama de Flujo del Procedimiento Procedimiento de Administracion del Riesgo Jefe de Oficina de Control interno Lideres de Procedimiento, lideres o jefes de unidades, directores de Centro o de Nodo Funcionarios o servidores responsables de Mapas de Riesgos(Sede Nacional JCM o zonas (centros o nodo) Responsable asignado para revisar la informacion en la oficina de Control Interno INICIO Identificar directrices organizacionales Identificar, implementar, actualizar y hacer seguimiento a los riesgos por procesos teniendo en cuenta todos los procedimientos del Sistema Integrado de Gestion Revisar la documentacion de riesgos. Efectuar seguimiento en los casos que aplique a las Matrices de Riesgos Gestionar ante los responsables de mapas de riesgos los correctivos o ajustes, que la OCONT considere necesarios implementar (si hay lugar) si Hay lugar a ajustes? no Evaluar los avances del Componente Administracion del Riesgo FIN

9 Página 9 de 10 ) Normatividad 6.1) Tipo de Documento 6.2) No. y Fecha de Aprobación 6.3) Nombre Constitución Política de Colombia Artículo 1, 209, 269, 287, 298. Constitución Política de la República de Colombia. Ley Ley 87 de Por la cual se establecen normas para el ejercicio del Control Interno en las entidades y organismos del Estado y se dictan otras disposiciones. Decreto Decreto 1537 de 2001 artículo 4. (Incorporado en el Decreto 1083 de 2015 artículo Administración de riesgos). Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y administrativo que fortalezcan el Sistema de Control Interno de las entidades y organismos del Estado. Ley Ley 872 de Por la cual se crea el sistema de gestión de la calidad en la Rama Ejecutiva del Poder Público Decreto Decreto 4110 de Por el cual se reglamente la ley 872 del 2003 y se adopta la Norma Técnica de Calidad en la gestión pública. Decreto Decreto 1599 de Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano. Decreto 943 de mayo 21 de Por el cual se actualiza el Modelo Estándar de Control Interno (MECI). Ley Ley 1474 de Estatuto Anticorrupción. Acuerdo 0037 del 27 de julio de Por el cual se expide el nuevo Estatuto Organizacional de la UNAD. Acuerdo 0015 del 30 de marzo de Por el cual modifica el Acuerdo 001 del 29 de agosto de 2006, el Estatuto General de la UNAD. Manual Manual Técnico MECI 2014 Manual técnico del Modelo Estándar de Control Interno Para el Estado Colombiano MECI 2014 DAFP.

10 Página 10 de 10 7) Modificaciones/actualizaciones 7.1) Versión 7.2) Fecha 7.3) Descripción resumida de la modificación/actualización 0 05/06/2014 Primera versión emitida. 1 25/09/2015 Se actualizaron documentos de referencia 2 22/09/2017 Ajuste de condiciones generales, definiciones y actualización de la descripción de las actividades