Vicerrectoría Administrativa Equipo de Gestión de Riesgos Abril de 2012
Todas las intervenciones son válidas e importantes. Daremos buen manejo al uso de la palabra. Respetaremos las opiniones de nuestros compañeros así no las compartamos. Nuestra actitud será siempre propositiva y proactiva.
Qué es? Es el proceso que comprende el establecimiento y aplicación de las políticas, procedimientos, metodología e instrumentos que permiten brindar una seguridad razonable para controlar y responder a los acontecimientos potenciales, que puedan afectar los objetivos y resultados institucionales Alcance: el Sistema Integral de Gestión y Organismos Evaluadores de la Conformidad que sean usuarios del sistema. Riesgos
La Universidad Tecnológica de Pereira promueve y fortalece la cultura de autocontrol y prevención de riesgos que viabilice el desarrollo de su misión institucional, a través de: El cuidado y uso eficiente de los recursos. El Cumplimiento de normas El Mejoramiento de los procesos El Cumplimiento de los objetivos institucionales y alcance de los resultados que impacten a la sociedad
La administración de riesgos es el conjunto de acciones que se deben seguir para autocontrolar los riesgos en la Universidad. La metodología establecida contempla 4 etapas: Identificación de los riesgos Análisis de los riesgos Valoración de los riesgos Manejo de riesgos
Paso 1. Establezca el contexto de su proceso en la Universidad y en el entorno de acuerdo a los siguientes factores generadores de riesgo: EXTERNOS: No se encuentran bajo la gobernabilidad de la Universidad INTERNOS: La Universidad puede ejercer gobernabilidad sobre ellos
Económicos Mercado, flujo de dinero y servicios nacionales. Socioculturales Orden Público Legal y normativo Tecnológico Ambientales Medio en que se desarrollan las personas y funciona la institución. Alteraciones de las normas y principios de convivencia que son de cumplimiento incondicional y que rigen a la Universidad. Leyes, políticas públicas y normas que rigen y pueden afectar el funcionamiento de la institución Medios tecnológicos que se requieren para el funcionamiento de la institución, proporcionados por fuentes externas. Componentes físicos externos que actúan directamente o indirectamente sobre los seres vivos.
Talento Humano Actitudes, comportamientos, formación, educación, habilidades y experiencia de los funcionarios Sistemas de Información Conjunto de software y hardware en los cuales se procesan datos que generan información. Recursos Financieros Procedimientos reglamentación Infraestructura Comunicación Salud Ocupacional Recursos monetarios propios, asignados y disponibles, que permiten el funcionamiento del proceso. Descripción específica de tareas y actividades realizadas en el proceso. Las políticas, los acuerdos y resoluciones internas Edificios, espacios de trabajo y servicios asociados como el transporte Componentes que orientan la difusión de políticas y la información generada al interior de la Universidad Medios y condiciones para preservar y proteger la integridad de los funcionario en el trabajo
Paso 2. Defina el riesgo de acuerdo a los conceptos siguientes: Riesgo: Posibilidad de que ocurra un acontecimiento que impacte el alcance de los objetivos y resultados de la Institución Descripción: se refiere a las características generales o las formas en que se observa o manifiesta el riesgo identificado. Causas: Es lo que origina el riesgo de acuerdo a los factores internos y externos identificados. Son el punto de partida para el planteamiento de acciones preventivas. Consecuencias: corresponde a los efectos ocasionados por el riesgo.
El riesgo se mide de acuerdo al impacto y la probabilidad y se debe ubicar en la Matriz de Priorización inicial Probabilidad: Frecuencia que podría presentar el riesgo. Alta Media Baja La matriz de priorización inicial no tiene en cuenta los controles asociados a la prevención o mitigación del riesgo Impacto: Forma en la cual el riesgo afecta los resultados del proceso. Alto Medio Bajo
Cada proceso debe individualizar la escala de calificación del riesgo basado en información objetiva y/o datos históricos. Probabilidad Ejemplo 1 Ejemplo 2 Alta Más de tres veces al semestre Un vez por semana Media Dos o Tres veces al semestre Una vez al mes Baja Una vez al semestre Una vez al trimestre Impacto Ejemplo 1 Ejemplo 2 Alto Superior a 20 SMMLV Afecta a más de 3 personas e instalaciones Medio Entre 10 a 20 SMMLV Afecta menos de 3 personas e instalaciones Bajo Menos de 10 SMMLV No afecta personas, pero si las instalaciones
Frente a cada riesgo se debe preguntar: Existen controles? Los controles existentes son efectivos? Los controles existentes están documentados? Los controles son aplicados? Movimiento en la matriz de priorización después de la evaluación de controles CONTROL NUEVA POSICIÓN EN LA MATRIZ Control: Es toda acción que tiende a prevenir o mitigar los riesgos. Tipos: Dirección Detectivo Preventivo Correctivos 0. No Existe I. No efectivo II. Efectivo y No documentado III. Efectivo y documentado IV. Efectivo, documentado y aplicado SE MANTIENE BAJA UN NIVEL (Probabilidad, impacto o ambos)
Matriz priorización inicial Evaluación del control CONTROL 0. No Existe I. No efectivo II. Efectivo y No documentado III. Efectivo y documentado IV. Efectivo, documentado y aplicado NUEVA POSICIÓN EN LA MATRIZ SE MANTIENE BAJA UN NIVEL (Probabilidad, impacto o ambos) Matriz de Priorización Nivel de Riesgo Posición en la matriz de priorización definitiva A33 A32 A23 Posición en la matriz de priorización definitiva B22 B31 B21 Posición en la matriz de priorización definitiva B13 B12 Posición en la matriz de priorización definitiva C11 El nivel de riesgo estará determinado por la posición del riesgo en la matriz de priorización definitiva
Opciones de tratamiento del Riesgo Evitar: Implementar acciones direccionadas a prevenir la materialización del riesgo Reducir: Implementar acciones orientadas a disminuir la probabilidad y el impacto del riesgo Transferir: Implementar acciones que permitan traspasar las pérdidas a una entidad externa. Compartir: Implementar acciones que permitan la cooperación entre los procesos. Asumir: Aceptar el riesgo
Las acciones preventivas a implementar deberán tener en cuenta: La relación costo beneficio. Recursos asignados y disponibles. En caso de tomar acciones que conlleve al tratamiento de "Compartir" se deberá concertar previamente con el proceso o entidad involucrada. Para una acción que conlleve el tratamiento "Transferir" se deberá concertar previamente con la entidad involucrada y contar con las autorizaciones administrativas pertinentes.
Nivel 1 Nivel 2 Nivel 3 Nivel 4 Tratamiento: Evitar, reducir, transferir, Compartir Tratamiento: Reducir, transferir, Compartir Tratamiento: Reducir, Compartir Tratamiento: Asumir Implementar : Implementar: 1. Acciones preventivas (implementar controles que prevengan la materialización del riesgo y a mitigar el impacto) 2. Plan de contingencia frente a estos riesgos. 1. Acciones preventivas que conlleven a documentar los controles existentes y a establecer nuevos que prevengan la materialización y mitiguen el impacto del riesgo 2. Si lo considera pertinente el plan de contingencia Implementar : 1. Acciones preventivas que conlleven a prevenir su ocurrencia Implementar : 1. Seguimientos con el fin de verificar su impacto, probabilidad y la efectividad de los controles. Recuerde implementar un indicador que le permita monitorear el comportamiento del riesgo, evaluando la efectividad de los controles y las acciones preventivas implementadas.
Θ Activo: cualquier cosa que tiene valor para la organización. Θ seguridad de la información: preservación de la confidencialidad, la integridad y la disponibilidad de la información. Θ SGSI: parte del sistema de gestión global, basada en un enfoque hacia los riesgos de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información.
La preservación de las propiedades de la información: Θ Confidencialidad: propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Θ Disponibilidad: propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. Θ Integridad: propiedad de salvaguardar la exactitud y estado completo de los activos.
un componente que integra Sistema de Gestión de la Calidad Gestión De Riesgos Sistema de Control Interno
Gracias
TALLER