instructivo mapa de riesgo pÁgina dedocsigec. · 2019. 12. 6. · orientar acerca de la...
TRANSCRIPT
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05 EMISIÓN:
06/12/2019 PÁGINA 1 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio web
del Sistema de Control Documental del SIGEC que ésta es la versión vigente
ÍNDICE
1. OBJETIVO 2
2. DEFINICIONES 2
3. CONTENIDO. 5
3.1. REFERENTE NORMATIVO. 6
3.2. ANTES DE INICIAR CON LA METODOLOGÍA 7
3.3. PASOS METODOLOGÍA ADMINISTRACIÓN DE RIESGOS 7
3.3.1. Paso 1. Política de Administración de Riesgos. 7
3.3.2. Paso 2. Identificación de Riesgos. 7
3.3.3. Paso 3: Valoración de Riesgos 13
3.4. ACCIONES PARA LA ADMINISTRACIÓN DEL RIESGO 27
3.4.1. Tratamiento del Riesgo 27
3.4.2. Acciones 27
3.5. MONITOREO Y REVISIÓN 29
3.6. COMUNICACIÓN Y CONSULTA 29
4. REGISTROS 30
5. CONTROL DE CAMBIOS 30
6. ANEXOS. 31
Proyectado por Angélica Morales Morales Firma:
Cargo Gestor de Calidad Proceso de
Seguimiento y Control
Revisado y aprobado
para uso por Aura María Castro Ramos Firma:
Cargo Líder Proceso de Seguimiento y Control
Revisado y Aprobado
para publicación por Tatiana Martínez Simanca
Firma:
Cargo Coordinador del SIGEC
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 2 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
1. OBJETIVO
Orientar acerca de la metodología de Administración de riesgos adoptada por la Institución para todos
los procesos del Sistema Integral de Calidad (SIGEC) de la Universidad de Córdoba.
Facilitar a los procesos del SIGEC el diligenciamiento del formato FMAN-013 Mapa de Riesgo, el cual
contiene la Identificación, Análisis y evaluación de los controles de riesgos dando cumplimiento a la
política de administración de riesgos establecida por la Institución con el propósito de gestionar de
manera efectiva los riesgos que puedan afectar el logro de los objetivos.
2. DEFINICIONES
Aceptar el Riesgo. Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en
particular.
Administración de Riesgos. Conjunto de elementos de control que al interrelacionarse permiten a
la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan
afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan
identificar oportunidades para un mejor cumplimiento de sus funciones.
Análisis de Riesgo. Permite establecer la probabilidad de ocurrencia de los eventos positivos y/o
negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de determinar la
capacidad de la entidad pública para su aceptación y manejo.
Autoevaluación del Control. Elemento de control que basado en un conjunto de mecanismos de
verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los
procesos y de cada área organizacional responsable, permitiendo emprender las acciones de
mejoramiento del control requeridas.
Causa. Todos aquellos factores internos y externos que solos o en combinación con otros, pueden
producir la materialización de un riesgo.
Compartir el Riesgo. Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la
materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 3 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Consecuencia. El resultado de un evento expresado cualitativa o cuantitativamente, sea este una
pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el
proceso.
Control. Medida que modifica el riesgo (procesos, políticas, dispositivos, practicas u otras acciones).
Corrupción. Uso del poder para desviar la gestión de lo público hacia el beneficio privado.
Evaluación del Riesgo. Proceso utilizado para determinar las prioridades de la Administración del
riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.
Evento. Incidente o situación, que ocurre en un lugar determinado durante un periodo determinado.
Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie.
Frecuencia. Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces
que ha ocurrido un evento en un tiempo dado.
Gestión del Riesgo de Corrupción. Es el conjunto de actividades coordinadas para dirigir y
controlar una organización con respecto al riesgo de corrupción.
Identificación de Riesgo. Elemento de Control que posibilita conocer los eventos potenciales, estén
o no bajo el control de la entidad Pública, que ponen en riesgo el logro de su Misión, estableciendo
los agentes generadores, las causas y los efectos de su ocurrencia.
Impacto. Se entiende como las consecuencias que puede ocasionar a la organización la
materialización del riesgo.
Mapa de riesgos. Documento con la información resultante de la gestión del riesgo.
Monitorear. Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una
actividad con el fin de identificar posibles cambios.
Probabilidad. Grado en el cual es probable que ocurra un evento, que se debe medir a través de la
relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.
Proceso de Administración de Riesgo. Aplicación sistemática de políticas, procedimientos y
prácticas de administración a las diferentes etapas de la Administración.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 4 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Reducción del Riesgo. Aplicación de controles para reducir las probabilidades de ocurrencia de un
evento.
Riesgo. Posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos
institucionales o del proceso, pudiendo entorpecer el desarrollo de sus funciones. Se expresa en
términos de probabilidad y consecuencias.
Riesgo de Corrupción. Posibilidad de que por acción u omisión, se use el poder para poder desviar
la gestión de lo público hacia un beneficio privado.
Riesgo Inherente. Es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección
para modificar su probabilidad o impacto.
Riesgo Residual. Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.
Sistema de Administración de Riesgo. Conjunto de elementos del direccionamiento estratégico
de una entidad concerniente a la Administración de Riesgo.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 5 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
PASO
PASO
PASO
3. CONTENIDO.
METODOLOGIA PARA LA ADMINISTRACIÓN DEL RIESGO
POLÍTICA DE
ADMINISTRACIÓN
DE RIESGOS
3.1 Análisis de
riesgos
3.2 Evaluación de Riesgos
3.4 Seguimiento
3.3 Monitoreo y Revisión
IDENTIFICACIÓN
DE RIESGOS
VALORACIÓN DE RIESGOS
2.1 Análisis del Contexto Estratégico
Lineamientos de la
Política
ANTES DE INICIAR CON LA
METODOLOGÍA
COMUNICACIÓN Y
CONSULTA (ASPECTO TRANSVERSAL)
2.2 Identificación de
Riesgos
METODOLOGIA
PARA LA ADMINISTRACIÓN
DE RIESGOS
1
3
2
Conocimiento de la
Entidad
Misión Visión Objetivos estratégicos Planeación Institucional Caracterización de los procesos Objetivos de los procesos
Contexto Interno Contexto Externo Tipología de Riesgos
Causas y Consecuencias
Análisis de probabilidad Análisis de Impacto (Riesgo Inherente)
Valoración de los controles Nivel de riesgo (Riesgo Residual)
Informes periódicos
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 6 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
3.1. REFERENTE NORMATIVO.
Ley 87 de 1993.
Por la cual se establecen normas para el ejercicio del control interno en las entidades y organismos
del Estado y se dictan otras disposiciones. (Modificada parcialmente por la Ley 1474 de 2011).
Artículo 2 OBJETIVOS DEL CONTROL INTERNO: literal a). Proteger los recursos de la organización,
buscando su adecuada administración ante posibles riesgos que los afectan. Literal f). Definir y aplicar
medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la
organización y que puedan afectar el logro de los objetivos.
Ley 489 de 1998.
Estatuto Básico de Organización y Funcionamiento de la Administración pública
Capítulo VI. Sistema Nacional de Control Interno.
Decreto 2145 de 1999
Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y
Organismos de la Administración Pública del Orden Nacional y territorial y se dictan otras
disposiciones. (Modificado parcialmente por el Decreto 2593 del 2000).(y por el Art. 8º. de la ley 1474
de 2011).
Directiva presidencial 09 de 1999.
Lineamientos para la implementación de la política de lucha contra la corrupción.
Decreto 1537 de 2001.
Por el cual se reglamenta parcialmente la Ley 87 de 1993 en cuanto a elementos técnicos y
administrativos que fortalezcan el sistema de control interno de las entidades y organismos del Estado.
En el Artículo 4º establece la Administración de Riesgos como parte integral del fortalecimiento de los
sistemas (…) y en su Artículo 3º establece el rol que deben desempeñar las oficinas de control interno
(…) que se enmarca en cinco tópicos (…) valoración de riesgos.
Decreto 1599 de 2005.
Por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano y se presenta
el anexo técnico del MECI 1000:2005. 1.3 Componentes de administración del riesgo.
Ley 1474 de 2011.
Estatuto Anticorrupción. Artículo 73. “Plan Anticorrupción y de Atención al Ciudadano” que deben
elaborar anualmente todas las entidades, incluyendo el mapa de riesgos de corrupción, las medidas
concretas para mitigar esos riesgos, las estrategias antitrámites y los mecanismos para mejorar la
atención al ciudadano.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 7 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Decreto 943 de 2014 MECI.
Por el cual se actualiza el Modelo Estándar de Control Interno (MECI).
Decreto 1499 de 2017
Por medio del cual se modifica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector
Función Pública, en lo relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley
1753 de 2015 y en el ARTÍCULO 2.2.23.2. Actualización del Modelo Estándar de Control Interno. La
actualización del Modelo Estándar de Control Interno para el Estado Colombiano – MECI, se efectuará
a través del Manual Operativo del Modelo Integrado de Planeación y Gestión – MIPG, el cual será de
obligatorio cumplimiento y aplicación para las entidades y organismos a que hace referencia el artículo
5 de la Ley 87 de 1993.
3.2. ANTES DE INICIAR CON LA METODOLOGÍA
Es preciso analizar el contexto general de la Universidad para establecer su complejidad, procesos,
planeación institucional, entre otros aspectos, lo anterior para conocer y entender la entidad y su
entorno, lo que determinará el análisis de riesgos y la aplicación de la metodología en general.
Para la formulación y operacionalización de la política de Administración del riesgo es fundamental
tener claridad de la misión, Visión, Objetivos estratégicos y del Proceso, Valores y tener una visión
sistemática de la gestión del proceso identificando las características distintivas de cada proceso y su
interacción con los demás procesos, así como la normatividad aplicable. Por ende, el diseño se
establece a partir de la identificación de los factores internos o externos de la entidad, que puede
generar riesgos que afecten el cumplimiento de sus objetivos. Este contexto estratégico es la base
para la etapa identificación de los riesgos.
3.3. PASOS METODOLOGÍA ADMINISTRACIÓN DE RIESGOS
3.3.1. Paso 1. Política de Administración de Riesgos.
La Universidad de Córdoba tiene definida la política de administración de riesgos institucional la cual
se encuentra disponible en el aplicativo documental de la Institución y precisa los lineamientos para
el tratamiento, manejo y seguimiento a los riesgos identificados.
3.3.2. Paso 2. Identificación de Riesgos.
3.3.2.1. Análisis del Contexto Estratégico
El análisis se realiza a partir del conocimiento de situaciones del entorno de la entidad, tanto de
carácter social, económico, cultural, de orden público, político, legal y/o cambios tecnológicos, entre
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 8 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
otros; se alimenta también con el análisis de la situación actual de la entidad, basado en los resultados
de los componentes de ambiente de control, estructura organizacional, modelo de operación,
cumplimiento de los planes y programas, sistemas de información, procesos y procedimientos y los
recursos económicos, entre otros.
Con la realización de esta etapa se busca que la entidad obtenga los siguientes resultados:
Identificar los factores externos que pueden ocasionar la presencia de riesgos, con base en el
análisis de la información externa y los planes y programas de la entidad.
Identificar los factores internos que pueden ocasionar la presencia de riesgo con base en el análisis
de los componentes del Ambiente de Control (Acuerdos, compromisos o protocolos éticos,
Desarrollo del talento humano, Estilos de Dirección), Direccionamiento Estratégico y demás
estudios que sobre la cultura organizacional y el clima laboral se hayan adelantado en la entidad.
Aportar información que facilite y enriquezca las demás etapas de la Administración del Riesgo.
Para ello la Institución tiene definido el formato FPIN-027 ANALISIS DEL CONTEXTO en el que se
realiza el ejercicio por procesos, y se convierte en insumo fundamental para la identificación de los
riesgos del proceso.
Cada proceso debe analizar los objetivos estratégicos y los objetivos del proceso e identificar los
posibles riesgos que afectan su cumplimiento y que puedan ocasionar su éxito o fracaso. Es necesario
revisar que los objetivos se encuentren alineados con la Misión y la Visión Institucional, así como,
analizar su adecuada formulación, pero además, se debe asegurar que los objetivos de proceso
contribuyan a los objetivos estratégicos.
A partir de este contexto se identifica el riesgo, el cual estará asociado a aquellos eventos o situaciones
que pueden entorpecer el normal desarrollo de los objetivos del proceso o los estratégicos.
El proceso de identificación del riesgo debe ser permanente e interactivo, basado en el resultado del
análisis del Contexto Estratégico y debe partir de la claridad de los objetivos estratégicos de la entidad
para la obtención de resultados.
Es importante centrarse en los riesgos más significativos para la entidad relacionados con el desarrollo
de los procesos y los objetivos institucionales.
El riesgo debe estar descrito de manera clara y precisa. Su redacción no debe dar lugar a
ambigüedades o confusiones con la causa generadora de los mismos.
Se sugiere evitar iniciar con palabras negativas como: “No…”, “Que no…”, o con palabras que denoten
un factor de riesgo (causa) tales como: “ausencia de”, “falta de”, “poco(a)”, “escaso(a)”,
“insuficiente”, “deficiente”, “debilidades en…”
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 9 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Con el fin de facilitar la identificación de riesgos de corrupción y evitar que se presenten confusiones
entre un riesgo de gestión y uno de corrupción, se sugiere la utilización de la matriz de definición de
riesgo de corrupción, que incorpora cada uno de los componentes de su definición.
Matriz de definición de riesgo de corrupción Descripción del
riesgo Acción y Omisión Uso del poder
Desviar la gestión de lo público
Beneficio Privado
Si en la descripción del riesgo, las casillas son contestadas todas afirmativamente, se trata de un
riesgo de corrupción.
Ejemplos de Riesgos de Corrupción:
Direccionamiento Estratégico (Alta Dirección).
Concentración de autoridad o exceso de poder. Extralimitación de funciones. Ausencia de canales de comunicación. Amiguismo y clientelismo.
Financiero (Está relacionado con áreas de Planeación y Presupuesto).
Inclusión de gastos no autorizados. Inversiones de dineros públicos en entidades de dudosa solidez financiera, a cambio de
beneficios indebidos para servidores públicos encargados de su administración.
Inexistencia de registros auxiliares que permitan identificar y controlar los rubros de inversión.
Archivos contables con vacíos de información. Afectar rubros que no corresponden con el objeto del gasto en beneficio propio o a cambio
de una retribución económica. De contratación (Como proceso o los procedimientos ligados a éste).
Estudios previos o de factibilidad superficiales. Estudios previos o de factibilidad manipulados por personal interesado en el futuro proceso
de contratación. (Estableciendo necesidades inexistentes o aspectos que benefician a una firma en particular).
Pliegos de condiciones hechos a la medida de una firma en particular. Disposiciones establecidas en los pliegos de condiciones que permiten a los participantes
direccionar los procesos hacia un grupo en particular, como la media geométrica.
Restricción de la participación a través de visitas obligatorias innecesarias, establecidas en el pliego de condiciones.
Adendas que cambian condiciones generales del proceso para favorecer a grupos determinados.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 10 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Urgencia manifiesta inexistente. Designar supervisores o interventoras que no cuentan con conocimientos suficientes para
desempeñar la función. Concentrar las labores de supervisión de múltiples contratos en poco personal. Contratar con compañías de papel, las cuales son especialmente creadas para participar
procesos específicos, que no cuentan con experiencia, pero si con músculo financiero.
De información y documentación. Concentración de información de determinadas actividades o procesos en una persona. Sistemas de información susceptibles de manipulación o adulteración.
Ocultar a la ciudadanía la información considerada pública. Deficiencias en el manejo documental y de archivo.
De investigación y sanción.
Fallos amañados. Dilatación de los procesos con el propósito de obtener el vencimiento de términos o la
prescripción del mismo.
Desconocimiento de la ley, mediante interpretaciones subjetivas de las normas vigentes para evitar o postergar su aplicación.
Exceder las facultades legales en los fallos. Soborno (Cohecho).
De actividades regulatorias.
Decisiones ajustadas a intereses particulares. Tráfico de influencias, (amiguismo, persona influyente). Soborno (Cohecho).
De trámites y/o servicios internos y externos.
Cobro por realización del trámite, (Concusión). Tráfico de influencias, (amiguismo, persona influyente). Falta de información sobre el estado del proceso del trámite al interior de la entidad.
De reconocimiento de un derecho, como la expedición de licencias y/o permisos.
Cobrar por el trámite, (Concusión). Imposibilitar el otorgamiento de una licencia o permiso. Ofrecer beneficios económicos para acelerar la expedición de una licencia o para su
obtención sin el cumplimiento de todos los requisitos legales.
Tráfico de influencias, (amiguismo, persona influyente).
En este paso se tipificaran los riesgos de acuerdo a su naturaleza para ello se clasifican de la siguiente
manera:
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 11 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Riesgo Estratégico: Posibilidad de ocurrencia de eventos que afecten los objetivos
estratégicos de la Institución.
Riesgo Contractual: posibilidad de ocurrencia de eventos que puedan afectar el normal
desarrollo de las etapas contractuales.
Riesgo Operativo: riesgo proveniente del funcionamiento y operatividad de los procesos,
estructura de la entidad y articulación entre procesos.
Riesgo Financiero: posibilidad de ocurrencia de eventos que afecten el manejo de los
recursos, la ejecución presupuestal, los estados financieros, los pagos, manejo de excedentes
de tesorería y manejo de bienes de la Institución.
Riesgo Tecnológico o de Seguridad Digital: Posibilidad de ocurrencia de eventos que
afecten la totalidad o parte de la infraestructura tecnológica (hardware, software, redes, etc).
Riesgo de Cumplimiento: Posibilidad de ocurrencia de eventos que afecten la situación
jurídica o contractual de la Institución debido a incumplimientos o desacatos a la normatividad
legal y las obligaciones contractuales.
Riesgo de Imagen: Posibilidad de ocurrencia de un evento que afecte la imagen, buen
nombre o reputación de la Institución ante las partes interesadas.
Riesgo de Corrupción: Posibilidad de que por acción u omisión se use el poder para desviar
la gestión de lo público hacia un beneficio privado.
Riesgo Ambiental: Posibilidad de que por forma natural o por acción humana se produzca daño
en el medio ambiente.
Ejemplo N° 1. Para diligenciar la hoja 2.1 contexto estratégico te presentamos el siguiente ejemplo
del proceso Seguimiento y Control:
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 12 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
CONTEXTO ESTRATÉGICO
Misión de la Universidad de Córdoba
La Universidad de Córdoba es una institución pública de educación superior que forma integralmente personas capaces de interactuar en un mundo globalizado, desde el campo de las ciencias básicas, asociadas a la producción agroindustrial, las ingenierías, las ciencias sociales, humanas, la educación y la salud; genera conocimiento en ciencia, tecnología, arte y cultura y contribuye al desarrollo humano y a la sostenibilidad ambiental de la región y del país.
Visión de la Universidad de Córdoba
Ser reconocida como una de las mejores instituciones públicas de educación superior del país por la calidad de sus procesos académicos y de gestión institucional, orientada al mejoramiento de la calidad de vida de la región, mediante la ejecución y aplicación de proyectos de investigación y extensión en cooperación con el sector productivo.
Proceso SEGUIMIENTO Y
CONTROL Objetivo del Proceso
Asegurar, por medio de evaluaciones, seguimientos y acompañamientos, el
cumplimiento oportuno y eficiente de la normatividad vigente en la Institución
Fecha de Análisis
Número Lista de Eventos que pueden afectar el logro del objetivo del Proceso
Riesgos Clasificación
1 Incumplimiento del programa de Auditoria Estratégico
2 Omisión en los informes de control interno de hallazgos fiscales, misionales o
ambientales detectados. De Corrupción
3.3.2.2. Identificación de Riesgos
En esta etapa se deben establecer las fuentes o factores de riesgo, los eventos o riesgos, sus
causas y sus consecuencias. Para el análisis se pueden involucrar datos históricos, análisis teóricos,
opiniones informadas y expertas y las necesidades de las partes involucradas.
Pregúntese si el riesgo de gestión identificado está relacionado directamente con las características
del objetivo. Si la respuesta es “no”, este puede ser la causa o la consecuencia.
Causas: Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes
generadores se entienden como todos los sujetos u objetos que tienen la capacidad de originar un
riesgo.
Consecuencias: Constituye los efectos de la ocurrencia del riesgo sobre los objetivos de la entidad;
generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias
importantes tales como daños físicos y fallecimiento, sanciones, pérdidas económicas, de información,
de bienes, de imagen, de credibilidad y de confianza, interrupción del servicio y daño ambiental.
Ejemplo N° 2. Para diligenciar la hoja 2.2 Identificación de Riesgos te presentamos el siguiente
ejemplo del proceso Seguimiento y Control:
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 13 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
IDENTIFICACIÓN DE RIESGOS
Nombre del Proceso Seguimiento y
Control Objetivo
Asegurar, por medio de evaluaciones, seguimientos y acompañamientos, el
cumplimiento oportuno y eficiente de la
normatividad vigente en la Institución.
Causas
¿Por qué puede suceder? Riesgos Consecuencias Potenciales
¿Qué puede suceder si se materializa?
No contar con los auditores necesarios para el desarrollo
de la auditoria. Incumplimiento del
programa de Auditoria
Aumento de hallazgos detectados por parte de los
entes de control.
Falta de seguimiento al
programa de Auditoria No hay mejoras en el SIGEC.
Bajo desempeño del proceso de Seguimiento y Control.
3.3.3. Paso 3: Valoración de Riesgos
3.3.3.1. Análisis de Riesgos.
Se busca establecer la probabilidad de ocurrencia del riesgo y sus consecuencias o impacto, con el fin
de estimar la zona de riesgo inicial (RIESGO INHERENTE).
Permite establecer la probabilidad de ocurrencia de los Eventos (riesgos) y el impacto de sus
consecuencias (efectos), calificándolos y evaluándolos a fin de determinar la capacidad de la entidad
pública para su aceptación y manejo.
Se han establecido dos aspectos en el análisis de los riesgos identificados: Probabilidad que es la
posibilidad de ocurrencia del riesgo y puede ser medida con criterios de Frecuencias, si se ha
materializado (por ejemplo: Número de veces en un tiempo determinado), o Factibilidad, teniendo en
cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no
se haya materializado. Impacto se entiende las consecuencias que puede ocasionar a la organización
la materialización del riesgo.
Analizamos el riesgo a través de la estimación de la probabilidad de su ocurrencia y el nivel de impacto
o consecuencias que puede causar la materialización del riesgo.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 14 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Determinación de la probabilidad. Se debe utilizar la siguiente tabla:
Determinación de la Probabilidad
Calificación Descriptor Descripción Frecuencia
1 Raro El evento puede ocurrir solo en circunstancias excepcionales.
No se ha presentado en los últimos 5 años.
2 Improbable El evento puede ocurrir en algún momento
Al menos de 1 vez en los últimos 5 años.
3 Posible El evento podría ocurrir en algún momento
Al menos de 1 vez en los últimos 2 años.
4 Probable El evento probablemente ocurrirá en la mayoría de las circunstancias
Al menos de 1 vez en el último año.
5 Casi certeza Se espera que el evento ocurra en la mayoría de las circunstancias
Más de 1 vez al año.
Determinación del impacto. Los impactos se pueden clasificar como:
Calificación de los Impactos
Nivel Descriptor Descripción
1 Insignificantes Si el hecho llegara a presentarse, tendría consecuencias
o efectos mínimos sobre la entidad.
2 Menor Si el hecho llegara a presentarse, tendría bajo impacto o
efecto sobre la entidad.
3 Moderado Si el hecho llegara a presentarse, tendría medianas
consecuencias o efectos sobre la entidad.
4 Mayor Si el hecho llegara a presentarse, tendría altas
consecuencias o efectos sobre la entidad
5 Catastrófico Si el hecho llegara a presentarse, tendría desastrosas
consecuencias o efectos sobre la entidad.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 15 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Criterios para calificar el impacto
Nivel Impacto (consecuencias)
Ca
tastr
ófi
co
*Interrupción de las operaciones de la Institución por más de cinco (5) días.
*Intervención por parte de un ente de control u otro ente regulador.
*Perdida de Información Crítica para la Institución que no se puede recuperar.
*Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal.
* Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.
Ma
yo
r
*Interrupción de las operaciones de la Institución por más de dos (2) días.
*Perdida de información crítica que puede ser recuperada de forma parcial o incompleta.
* Sanción por parte del ente de control u otro ente regulador.
*Incumplimiento en las metas y objetivos institucionales afectando el cumplimiento en las metas de gobierno.
*Imagen institucional afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a
los usuarios o ciudadanos.
Mo
de
rad
o
*Interrupción de las operaciones de la Institución por un (1) día.
* Reclamaciones o quejas de usuarios que podrían implicar una denuncia ante los entes reguladores o una
demanda de largo alcance para la Institución.
* Inoportunidad en la información ocasionando retrasos en la atención a usuarios.
* Reproceso de actividades y aumento de carga operativa.
* Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los
usuarios o ciudadanos.
* Investigaciones penales, fiscales o disciplinarias.
Me
no
r
* Interrupción de las operaciones de la Institución por algunas horas.
* Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias.
* Imagen institucional afectada localmente por retrasos en la presentación del servicio a los usuarios o
ciudadanos.
Insig
nif
ican
te
* No hay Interrupción de las operaciones de la Institución.
* No se genera sanciones económicas o administrativas.
* No se afecta la imagen institucional de forma significativa.
Para los riesgos de corrupción, el análisis de impacto se realizará teniendo en cuenta solamente los
niveles moderado (3), mayor (4) y catastrófico (5) dado que estos riesgos siempre serán significativos;
en este orden de ideas, no aplican los niveles de impacto insignificante y menor, que sí aplican para
los demás riesgos.
Mecanismo para determinar la asignación del puntaje en el impacto para riesgos de
corrupción
El impacto se mide según el efecto que puede causar el hecho al cumplimiento de los fines de la
Institución. Para facilitar la asignación del puntaje es aconsejable diligenciar el siguiente formato:
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 16 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Formato para determinar el Impacto
Pregunta Si el riesgo de corrupción se materializa podría...
Respuesta
Si No 1 ¿Afectar al grupo de funcionarios del proceso? 2 ¿Afectar el cumplimiento de metas y objetivos de la dependencia? 3 ¿Afectar el cumplimiento de la misión de la Entidad? 4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la Entidad? 5 ¿Generar pérdida de confianza de la Entidad, afectando su reputación? 6 ¿Generar pérdida de recursos económicos? 7 ¿Afectar la generación de los productos o la prestación de servicios? 8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien o servicios o los recursos públicos?
9 ¿Generar pérdida de información de la Entidad? 10 ¿Generar intervención de los órganos de control, de la Fiscalía, u otro ente? 11 ¿Dar lugar a procesos sancionatorios? 12 ¿Dar lugar a procesos disciplinarios? 13 ¿Dar lugar a procesos fiscales? 14 ¿Dar lugar a procesos penales? 15 ¿Generar pérdida de credibilidad del sector? 16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas? 17 ¿Afectar la imagen regional? 18 ¿Afectar la imagen nacional? 19 ¿Generar daño ambiental?
Total preguntas afirmativas: _________ Total preguntas negativas: _________
Clasificación del Riesgo: Moderado_________ Mayor __________ Catastrófico __________
Respuestas:
Si se responde afirmativamente uno a cinco preguntas genera un impacto Moderado (3).
Si se responde afirmativamente de seis a once preguntas se califica el impacto Mayor (4).
Si se responde afirmativamente de doce a diecinueve preguntas genera un impacto
Catastrófico (5).
Una vez se determina la probabilidad y el impacto el formato FMAM-013 Mapa de riesgos en la hoja
3.1 Análisis de Riesgo compara los resultados determinando la zona de riesgo inicial (Riesgo
Inherente) de acuerdo a la siguiente matriz.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 17 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
MATRIZ DE CALIFICACIÓN, EVALUACIÓN Y RESPUESTA A LOS RIESGOS
PROBABILIDAD IMPACTO
Insignificante
(1)
Menor
(2) Moderado (3)
Mayor
(4)
Catastrófico
(5)
Raro
(1)
Zona de Riesgo
Baja
(Asumir el Riesgo)
Zona de Riesgo
Baja
(Asumir el Riesgo)
Zona de Riesgo
Moderada
(Asumir y/o Reducir
el Riesgo)
Zona de Riesgo
Alta
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Alta
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Improbable
(2)
Zona de Riesgo
Baja
(Asumir el Riesgo)
Zona de Riesgo
Baja
(Asumir el Riesgo)
Zona de Riesgo
Moderada
(Asumir y/o Reducir
el Riesgo)
Zona de Riesgo
Alta
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Extrema
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Posible
(3)
Zona de Riesgo
Baja
(Asumir el Riesgo)
Zona de Riesgo
Moderada (Asumir
y/o Reducir el
Riesgo)
Zona de Riesgo
Alta
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Extrema
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Extrema
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Probable
(4)
Zona de Riesgo
Moderado
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Alta
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Alta
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Extrema
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Extrema
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Casi Seguro
(5)
Zona de Riesgo
Alta
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Alta
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Extrema
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Extrema
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Zona de Riesgo
Extrema
(Reducir, Evitar,
Compartir o
Transferir el Riesgo)
Ejemplo N° 3. Para diligenciar la hoja 3.1 Análisis de Riesgos te presentamos el siguiente ejemplo del
proceso Seguimiento y Control:
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 18 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Análisis del Riesgo
Proceso Seguimiento y Control
Riesgo Calificación Riesgo Inherente Probabilidad Impacto
Incumplimiento del
programa de Auditoria 3 Posible 2 Menor Zona de Riesgo Moderada
(Asumir y/o Reducir el Riesgo)
3.3.3.2 Evaluación de Riesgos.
Una vez establecido el riesgo inherente y las causas que pueden dar origen a la materialización del
riesgo se procede con la definición de actividades de control para cada causa identificada. Es
importante considerar que los controles estén bien diseñados, es decir, que efectivamente estos
mitigan las causas que hacen que el riesgo se materialice.
Po lo anterior en este punto se evaluará si los controles están bien diseñados para mitigar el riesgo y
si estos se ejecutan como fueron diseñados.
Para la definición de actividades de control, tener en cuenta que las causas se deben trabajar de
manera separada (no se deben combinar en una misma columna o renglón). Un control puede ser
tan eficiente que ayude a mitigar varias causas, en estos casos se repite el control, asociado de
manera independiente a la causa específica.
Antes de valorar los controles es necesario conocer cómo se diseña un control.
DISEÑO DEL CONTROL: Al momento de definir si un control o los controles mitigan de manera
adecuada el riesgo se deben considerar, desde la redacción del mismo, las siguientes variables:
Debe tener definido el responsable de llevar a cabo la actividad
de control.
Debe tener una periodicidad definida para su ejecución.
Debe indicar cuál es el propósito del control.
Debe indicar qué pasa con las observaciones o desviaciones
resultantes de ejecutar el control.
Debe establecer el cómo se realiza la actividad de control.
Responsable
Periodicidad
Propósito
Cómo se realiza
Qué pasa con las Desviaciones
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 19 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Responsable: Persona asignada para ejecutar el control. Debe tener la autoridad, competencias y
conocimientos para ejecutar el control dentro del proceso y sus responsabilidades deben ser
adecuadamente segregadas o redistribuidas entre diferentes individuos, para reducir así el riesgo de
error o de actuaciones irregulares o fraudulentas.
Cuando un control se hace de manera manual (ejecutado por personas) es importante establecer el
cargo responsable de su realización, Cuando el control lo hace un sistema o una aplicación de manera
automática a través de un sistema programado, es importante establecer como responsable de
ejecutar el control al sistema o aplicación.
Se debe evitar asignar áreas de manera general o nombres de personas ya que el control debe estar
asignado a un cargo específico.
Ejemplo: *El profesional de contratación.
* El auxiliar de cartera. * El coordinador de operaciones.
* La coordinadora de nómina.
* El sistema SAP. * El aplicativo de nómina.
* El aplicativo de contratación. * El aplicativo de activos fijos.
Periodicidad: El control debe tener una periodicidad específica para su realización (diario, mensual,
trimestral, anual, etc.) y su ejecución debe ser consistente y oportuna para la mitigación del riesgo.
Por lo que en la periodicidad se debe evaluar si este previene o se detecta de manera oportuna el
riesgo.
Hay controles que no tienen una periodicidad específica como, por ejemplo, los controles que se
ejecutan en el proceso de contratación de proveedores solo se ejecutan cuando se contratan
proveedores. La periodicidad debe quedar redactada de tal forma que indique: que cada vez que se
desarrolla la actividad se ejecuta el control.
Ejemplo: * El profesional de contratación: cada vez que se va a realizar un contrato con un proveedor de
servicios.
* El auxiliar de cartera: mensualmente.
* El coordinador de operaciones: diariamente.
* La coordinadora de nómina: quincenalmente.
Debe dejar evidencia de la ejecución del control. Evidencia
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 20 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Propósito: El control debe tener un propósito que indique para qué se realiza, y que ese propósito
conlleve a prevenir las causas que generan el riesgo (verificar, validar, conciliar, comparar, revisar,
cotejar) o detectar la materialización del riesgo, con el objetivo de llevar acabo los ajustes y correctivos
en el diseño del control o en su ejecución. El solo hecho de establecer un procedimiento o contar con
una política por sí sola, no va a prevenir o detectar la materialización del riesgo o una de sus causas.
Siguiendo las variables a considerar en la evaluación del diseño de control revisadas, veamos algunos
ejemplos de cómo se deben redactar los controles, incluyendo el propósito del control, es decir, lo
que este busca.
Es importante que pensemos primero en tener controles preventivos antes que detectivos.
Ejemplo: * Cada vez que se va a efectuar un contrato el profesional de contratación verifica que la
información suministrada por el proveedor corresponda con los requisitos establecidos de
contratación.
* El auxiliar de cartera mensualmente verifica que los valores recaudados en ‘Banco’ correspondan
con los saldos adeudados por los clientes.
* Cada vez que se va a realizar un pago el sistema SAP valida que el proveedor al cual se le va a
girar el pago no esté reportado en listas restrictivas o de lavado de activos y financiación del
terrorismo.
Cómo se realiza: El control debe indicar el cómo se realiza, de tal forma que se pueda evaluar si la
fuente u origen de la información que sirve para ejecutar el control, es confiable para la mitigación
del riesgo. Cuando estemos evaluando el control debemos preguntarnos si la fuente de información
utilizada es confiable. Ej.: para verificar los requisitos que debe cumplir un proveedor en el momento
de ser contratado es mejor utilizar una lista de chequeo que hacerlo de memoria, dado que se nos
puede quedar algún requisito por fuera.
Ejemplo: * Cada vez que se va a realizar un contrato el profesional de contratación verifica que la
información suministrada por el proveedor corresponda con los requisitos establecidos de
contratación a través de una lista de chequeo donde están los requisitos de información y la
revisión con la información física suministrada por el proveedor.
* El auxiliar de cartera verifica mensualmente que los valores recaudados en Banco
correspondan con los saldos adeudados por los clientes, este toma dicha información
directamente del portal bancario e identifica las cuentas por cobrar, es decir, pendientes de
pago y que fueron canceladas según los extractos bancarios revisados.
Qué pasa con las Desviaciones: El control debe indicar qué pasa con las observaciones o
desviaciones como resultado de ejecutar el control. Al momento de evaluar si un control está bien
diseñado para mitigar el riesgo, si como resultado de un control preventivo se observan diferencias o
aspectos que no se cumplen, la actividad no debería continuarse hasta que se subsane la situación o
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 21 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
si es un control que detecta una posible materialización de un riesgo, deberían gestionarse de manera
oportuna los correctivos o aclaraciones a las diferencias presentadas u observaciones.
Ejemplo: * Cada vez que se va a realizar un contrato el profesional de contratación, verifica a través de
una lista de chequeo que la información suministrada por el proveedor corresponda con los
requisitos establecidos de contratación. En caso de encontrar información faltante, requiere al
proveedor a través de correo el suministro de la información y poder continuar con el proceso
de contratación.
* El auxiliar de cartera mensualmente verifica que los valores recaudados en ‘Banco’
correspondan con los saldos adeudados por los clientes, este toma dicha información
directamente del portal bancario e identifica las cuentas por cobrar, es decir, pendientes de
pago, y que fueron canceladas según los extractos bancarios revisados. En caso de observar
cuentas de cobro que a la fecha no se ha recibido el pago, liste las cuentas pendientes de pago,
realice llamadas a los clientes y solicite la fecha para el pago de las mismas.
Evidencia: El control debe dejar evidencia de su ejecución. Esta evidencia ayuda a que se pueda
revisar la misma información por parte de un tercero y llegue a la misma conclusión de quien ejecutó
el control y se pueda evaluar que el control realmente fue ejecutado de acuerdo con los parámetros
establecidos y descritos anteriormente: 1. Fue realizado por el responsable que se definió. 2. Se realizó
de acuerdo a la periodicidad definida. 3. Se cumplió con el propósito del control. 4. Se dejó la fuente
de información que sirvió de base para su ejecución. 5. Hay explicación a las observaciones o
desviaciones resultantes de ejecutar el control.
Ejemplo: Cada vez que se va a realizar un contrato, el profesional de contratación verifica a través de
una lista de chequeo que la información suministrada por el proveedor corresponda con los
requisitos establecidos de contratación. En caso de encontrar información faltante, solicita al
proveedor por correo la información y poder continuar con el proceso de contratación.
Evidencia: la lista de chequeo diligenciada, la información de la carpeta del cliente y los correos
a que hubo lugar en donde solicitó la información faltante (en los casos que aplique).
EVALUACIÓN DEL DISEÑO DEL CONTROL: Para la adecuada mitigación de los riesgos no basta con
que un control esté bien diseñado, el control debe ejecutarse por parte de los responsables tal como
se diseñó. Porque un control que no se ejecute, o un control que se ejecute y esté mal diseñado, no
va a contribuir a la mitigación del riesgo.
Análisis y evaluación del diseño del control de acuerdo con las seis (6) variables establecidas:
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 22 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
CRITERIO DE EVALUACIÓN
ASPECTO A EVALUAR EN LA EJECUCIÓN DEL CONTROL OPCIONES DE RESPUESTA
1. Responsable
¿Existe un responsable asignado a la ejecución del control? Asignado No asignado
¿El responsable tiene la autoridad y adecuada segregación de
funciones en la ejecución del control? Adecuado Inadecuado
2. Periodicidad ¿La oportunidad en que se ejecuta el control ayuda a prevenir la mitigación del riesgo o a
detectar la materialización del riesgo de manera oportuna?
Oportuna inoportuna
3. Propósito
¿Las actividades que se desarrollan en el
control realmente buscan por si sola prevenir o detectar las causas que pueden dar origen
al riesgo, Ej.: verificar, validar, cotejar, comparar, revisar, etc.?
Prevenir o detectar
No es un control
4. Cómo se
realiza la actividad de
control
¿La fuente de información que se utiliza en el desarrollo del control es información confiable que permita
mitigar el riesgo?
Confiable No confiable
5. Qué pasa con
las
observaciones o desviaciones
¿Las observaciones, desviaciones o diferencias identificadas
como resultados de la ejecución del control son investigadas y resueltas de manera
oportuna?
Se investigan y resuelven
oportunamente
No se
investigan
y resuelven oportunamente.
6. Evidencia de la
ejecución del control
¿Se deja evidencia o rastro de la ejecución del
control que permita a cualquier tercero con la evidencia llegar a la misma conclusión?
Completa Incompleta / no
existe
Peso de cada variable en el diseño del control para la mitigación del riesgo:
CRITERIO DE EVALUACIÓN
OPCIÓN DE RESPUESTA AL CRITERIO DE EVALUACIÓN
PESO EN LA EVALUACIÓN DEL
DISEÑO DEL CONTROL
1.1 Asignación del
responsable
Asignado 15
No Asignado 0
1.2 Segregación y autoridad del
responsable
Adecuado 15
Inadecuado 0
2. Periodicidad Oportuna 15
Inoportuna 0
3. Propósito
Prevenir 15
Detectar 10
No es un control 0
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 23 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
CRITERIO DE EVALUACIÓN
OPCIÓN DE RESPUESTA AL CRITERIO DE EVALUACIÓN
PESO EN LA EVALUACIÓN DEL
DISEÑO DEL CONTROL
4. Cómo se realiza
la actividad de control
Confiable 15
No Confiable 0
5. Qué pasa con las
observaciones o
desviaciones
Se investigan y resuelven
oportunamente 15
No se investigan y resuelven
oportunamente 0
6. Evidencia de la
ejecución del control
Completa 10
Incompleta 5
No existe 0
El resultado de cada variable de diseño, a excepción de la evidencia, va a afectar la calificación del
diseño del control, ya que deben cumplirse todas las variables para que un control se evalúe como
bien diseñado.
RANGO DE CALIFICACIÓN DEL
DISEÑO
RESULTADO - PESO EN LA EVALUACIÓN DEL DISEÑO
DEL CONTROL
Fuerte Calificación entre 96 y 100
Moderado Calificación entre 86 y 95
Débil Calificación entre 0 y 85
EVALUACIÓN DE LA EJECUCIÓN DEL CONTROL: Aunque un control esté bien diseñado, este debe
ejecutarse de manera consistente, de tal forma que se pueda mitigar el riesgo, ahora evaluaremos la
ejecución del Control
RANGO DE LA
CALIFICACIÓN DE LA EJECUCIÓN DEL CONTROL
RESULTADO -PESO DE LA EJECUCIÓN DEL CONTROL-
Fuerte El control se ejecuta de manera consistente por parte
del responsable.
Moderado El control se ejecuta algunas veces por parte del
responsable.
Débil El control no se ejecuta por parte del responsable.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 24 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
SOLIDEZ DEL CONTROL
Dado que la calificación de riesgos inherentes y residuales se efectúa al riesgo y no a cada causa, hay
que consolidar el conjunto de los controles asociados a las causas, para evaluar si estos de manera
individual y en conjunto sí ayudan al tratamiento de los riesgos, considerando tanto el diseño,
ejecución individual y promedio de los controles.
En la evaluación del diseño y ejecución de los controles las dos variables son importantes y
significativas en el tratamiento de los riesgos y sus causas, por lo que siempre la calificación de la
solidez de cada control asumirá la calificación del diseño o ejecución con menor calificación entre
fuerte, moderado y débil, tal como se detalla en la siguiente tabla:
PESO DEL DISEÑO DE
CADA CONTROL
PESO DE LA EJECUCIÓN
DE CADA CONTROL
SOLIDEZ INDIVIDUAL DE CADA
CONTROL FUERTE = 100
MODERADO= 50 DÉBIL = 0
Fuerte:
calificación
entre 96 y 100
Fuerte (siempre se ejecuta) fuerte + fuerte = Fuerte
Moderado (algunas veces) fuerte + moderado = Moderado
Débil (no se ejecuta) fuerte + débil = Débil
Moderado: calificación
entre 86 y 95
Fuerte (siempre se ejecuta) moderado + fuerte = Moderado
Moderado (algunas veces) moderado + moderado = Moderado
Débil (no se ejecuta) moderado + débil = Débil
Débil:
calificación entre
0 y 85
Fuerte (siempre se ejecuta) débil + fuerte = Débil
Moderado (algunas veces) débil + moderado = Débil
Débil (no se ejecuta) débil + débil = Débil
Dado que un riesgo puede tener varias causas, a su vez varios controles y la calificación se realiza al
riesgo, es importante evaluar el conjunto de controles asociados al riesgo.
CALIFICACIÓN DE LA SOLIDEZ DEL CONJUNTO DE
CONTROLES
FUERTE El promedio de la solidez individual de cada control al sumarlos y ponderarlos es igual a 100.
MODERADO El promedio de la solidez individual de cada control al sumarlos y ponderarlos está entre 50 y 99.
DEBIL El promedio de la solidez individual de cada control
al sumarlos y ponderarlos es menor a 50.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 25 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
DESPLAZAMIENTO DEL RIESGO INHERENTE PARA CALCULAR EL RIESGO RESIDUAL
Dado que ningún riesgo con una medida de tratamiento se evita o elimina, el desplazamiento de un
riesgo inherente en su probabilidad o impacto para el cálculo del riesgo residual se realizará de
acuerdo con la siguiente tabla:
SOLIDEZ DEL CONJUNTO
DE CONTROLES
CONTROLES
AYUDAN A DISMINUIR LA
PROBABILIDAD
CONTROLES
AYUDAN A DISMINUIR EL
IMPACTO
# DE COLUMNAS
QUE SE DESPLAZA EN EL EJE DE
PROBABILIDAD
# DE COLUMNAS
QUE SE DESPLAZA EN EL EJE DE
IMPACTO
Fuerte directamente directamente 2 2
Fuerte directamente indirectamente 2 1
Fuerte directamente no disminuye 2 0
Fuerte no disminuye directamente 0 2
Moderado directamente directamente 1 1
Moderado directamente indirectamente 1 0
Moderado directamente no disminuye 1 0
Moderado no disminuye directamente 0 1
Si la solidez del conjunto de los controles es débil, este no disminuirá ningún cuadrante de impacto o
probabilidad asociado al riesgo.
Ejemplo N° 4. Para diligenciar la hoja 3.2 Evaluación de Riesgos del FMAM-013 te presentamos el
siguiente ejemplo del proceso seguimiento y Control
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 26 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 27 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
3.4. ACCIONES PARA LA ADMINISTRACIÓN DEL RIESGO
3.4.1. Tratamiento del Riesgo
Es la respuesta establecida para la mitigación de los diferentes riesgos.
Evitar el riesgo, cuando los escenarios de riesgo identificado se consideran demasiado
extremos, se puede tomar una decisión para evitar el riesgo, mediante la cancelación de una
actividad o conjunto de actividades, para no continuar con la actividad que origina el riesgo.
Un ejemplo de estos puede ser el control de calidad, manejo de los insumos, mantenimiento
preventivo de los equipos, desarrollo tecnológico, etc.
Reducir el riesgo, implica tomar medidas para disminuir la probabilidad (medidas de
prevención), o el impacto (medidas de protección), o ambos. Por medio de la implementación
de controles.
Compartir el riesgo, cuando no es posible reducir el riesgo a un nivel aceptable, o se carece
de conocimientos necesarios para gestionarlo, el riesgo puede ser compartido con otra parte
interesada que pueda gestionarlo con mayor eficacia. como en el caso de los contratos de
seguros.
Aceptar el riesgo, Si el nivel de riesgo cumple con los criterios de aceptación de riesgo, no
es necesario poner controles y el riesgo puedes ser aceptado. La aceptación del riesgo puede
ser una opción viable para los riesgos bajos, pero también pueden existir escenarios de riesgo
a los que no se les pueden aplicar controles y por ende, se acepta el riesgo.
3.4.2. Acciones
Es la aplicación concreta de las opciones de manejo del riesgo (tratamiento) que entrarán a prevenir
o a reducir el riesgo y harán parte del plan de manejo del riesgo.
Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben
ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares,
optimización de procesos y procedimientos y cambios físicos entre otros. La selección de las acciones
más conveniente debe considerar la viabilidad jurídica, técnica, institucional, financiera y económica.
De acuerdo a la política de administración de Riesgos establecida por la Universidad de Córdoba:
Si el riesgo se ubica en la Zona de Riesgo Baja, el riesgo se encuentra en un nivel que se puede
aceptar sin necesidad de tomar otras medidas de control diferentes a las que se poseen.
Si el riesgo se ubica en la Zona de Riesgo extrema, es aconsejable eliminar la actividad que genera
el riesgo en la medida que sea posible, de lo contrario, se deben implementar controles de
prevención para evitar la materialización del riesgo y detectivos para disminuir el Impacto, o
compartir o transferir el riesgo si es posibles a través de pólizas de seguros u otras opciones que
estén disponibles.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 28 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Si el riesgo se sitúa en cualquier de las otras zonas Moderada o Alta, se deben tomar medidas
para llevar en lo posible los riesgos a la zona moderada o baja.
Siempre que el riesgo sea calificado con Impacto catastrófico, la Entidad debe diseñar planes de
contingencia, para protegerse en caso de su ocurrencia.
Ningún riesgo de corrupción podrá ser aceptado y se deberán adoptar medidas para reducir, evitar
o compartir el riesgo y establecer acciones de control preventivas con el fin de reducir probabilidad
o el impacto del riesgo, o ambos.
En relación a lo anterior, se adelantaran las acciones para administrar el riesgo.
Responsable. Son las dependencias o áreas encargadas de adelantar las acciones propuestas.
Frecuencia. Son las fechas establecidas para implementar las acciones por parte del grupo de
trabajo. (Anual, Mensual, Bimensual, Semestral u otros).
Indicador. Se consignan los indicadores claves de riesgo que permiten monitorear el cumplimiento
e impacto de las actividades de control.
Ejemplo N° 5. Para diligenciar la hoja 3.2 Evaluación de Riesgos del FMAM-013 te presentamos el
siguiente ejemplo del proceso seguimiento y Control
POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO
RIESGOS CONTROLES OBSERVACIONES VALORACIÓN DEL
RIESGO
ACCIONES A DESARROLLAR PARA ADMINISTRAR EL
RIESGO FRECUENCIA
RESPONSABLE (De ejecutar la
acción y/o de hacerle
seguimiento)
INDICADOR (Criterio de
efectividad: Si se alcanza la meta de este indicador, Los
controles y acciones
planteadas han
sido efectivos)
Incumplimiento
del programa de Auditoria
Anualmente el líder del proceso verifica la idoneidad de auditores mediante el
diligenciamiento del formato FMAM- 003 programa de Auditoria, teniendo en
cuenta el acta de reunión donde se priorizaron las auditorias.
En caso de no contar con el personal idóneo para llevar a cabo la realización de la
auditoria lo solicitará por escrito a la alta dirección. Evidencia: FMAM-003
Programa de Auditoria, Acta de equipo de mejoramiento, solicitudes de auditores en
los casos que fue necesario.
El Riesgo se
encuentra en un nivel que se
puede aceptar sin
necesidad de tomar otras
medidas de control
Zona de Riesgo Baja
(Asumir el Riesgo)
Solicitar capacitación para los
auditores internos de la Institución.
Anual Líder proceso de
Seguimiento y Control
(Número de Auditorías
realizadas/número de Auditorias
programadas)*10
0
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 29 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
En el ejemplo para el cual el riesgo residual quedó en zona Baja, no es necesario establecer acciones
para administrar el riesgo como se detalla en la columna de observaciones, pero el proceso lo
consideró necesario teniendo en cuenta que la acción descrita los ayuda a controlar el riesgo.
3.5. MONITOREO Y REVISIÓN
Los riesgos son necesarios monitorearlo teniendo en cuenta que estos nunca dejan de representar
una amenaza para la organización.
El monitoreo es esencial para asegurar que las acciones se están llevando a cabo y evaluar la eficiencia
en su implementación adelantando revisiones sobre la marcha para evidenciar todas aquellas
situaciones o factores que pueden estar influyendo en la aplicación de las acciones preventivas.
El monitoreo y revisión de los controles y acciones a los riesgos lo realizan los Líderes de los procesos.
La Unidad de Control Interno realiza seguimiento al plan de manejo y/o Controles establecidos en el
Mapa de riesgos cada cuatro meses.
3.6. COMUNICACIÓN Y CONSULTA
Se constituye en un elemento transversal a todo el proceso al involucrar a todos los funcionarios para
el levantamiento de los mapas de riesgos.
Es la actividad que se refiere al conocimiento previo que deben tener quienes participan en la
administración del riesgo, con el fin de lograr que las decisiones en la materia se tomen con base en
información pertinente y actualizada. Estos deberían incluir aspectos como el riesgo identificado, sus
causas, sus consecuencias y las medidas que se toman para tratarlo. Esta comunicación es eficaz para
garantizar que los responsables de implementar las actividades relacionadas con la gestión del riesgo
entiendan las bases sobre las cuales se toman las decisiones.
Es preciso promover la participación de los funcionarios con mayor experticia, con el fin de que aporten
su conocimiento en la identificación, análisis y evaluación del riesgo.
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 30 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
4. REGISTROS
N° Código Nombre Responsable
Lugar
de
Archivo
Medio de
Archivo
Tiempo
de
Archivo
Disposición
01 FMAM-013 Mapa de
Riesgo
Gestores
Documentales
de cada
proceso
Procesos
que lo
Generan,
pagina
Web del
SIGEC
Físico y
electrónico 3 años Conservación
02 N.A
Guía de Administración del Riesgo y el
diseño de controles en entidades públicas
N.A N.A Electrónico N.A N.A
5. CONTROL DE CAMBIOS
Versión N° Descripción del Cambio Fecha
1
Se modificó la forma en que se valoran los riesgos, dándole mayor peso a la eficacia de los controles. Se dieron ejemplos de Riesgos de Corrupción y se agregó la definición de Riesgos de Corrupción.
17 de Septiembre 2012
2
Se redefinió la calificación del impacto de los riesgos de corrupción Se agregaron nuevas definiciones Se agregó un mecanismo para determinar la asignación del puntaje del impacto
28 de Febrero de 2013
3
Se definió el periodo de monitoreo, revisión y seguimiento por parte de los líderes de los procesos a los Mapas de Riesgos. Se estableció la elaboración de planes de mejoramientos cuando se materializa un riesgo
13 de Abril de 2016
UNIVERSIDAD DE CÓRDOBA
CÓDIGO: IMAN-001
VERSIÓN: 05
EMISIÓN: 06/12/2019 PÁGINA 31 DE 31
INSTRUCTIVO MAPA DE RIESGO
Una vez descargado o impreso este documento se considerará una copia no controlada, por favor asegúrese en el sitio
web del Sistema de Control Documental del SIGEC que ésta es la versión vigente
Versión N° Descripción del Cambio Fecha
4
Se ajustó la metodología de administración de Riesgos de acuerdo a la guía actualizada Guía para la administración del riesgo y el diseño de controles en entidades públicas, versión 4 emitida por el Departamento Administrativo de la Función Pública en octubre de 2018, la cual fortalecer la metodología para diseñar y aplicar controles que permitan asegurar el logro de los objetivos.
26/05/2017
6. ANEXOS.
N.A