Procesos sustantivos.

- Son aquellos que realizan las actividades esenciales para proveer los servicios y productos
institución. Los procesos sustantivos se enfocan a cumplir la misión de la institución.
Procesos adjetivos. - Son aquellos que proporcionan productos o servicios a los procesos gobernantes y sustantivos.
Cabe indicar que, de acuerdo con lo citado anteriormente, los procesos adjetivos soportan o facilitan las operacione
mientras que los procesos sustantivos, por relacionarse directamente con la misión de cada institución, son e
competencias asignadas en la Constitución y en la Ley que promulgó su creación.
Objetivo: Son los resultados deseados, que se esperan alcanzar con la ejecución de las actividades que integran
Estrategia: Serie de acciones planificadas, encaminadas a un fin u objetivo determinado
Meta: Es el fín especifico o resultado que se espera en un tiempo especifico.
Riesgo: el evento adverso e incierto (externo o interno) que derivado de la combinación de su probabilidad de ocurrenc
obstaculizar o impedir el logro de los objetivos y metas institucionales.

Seguridad razonable: el escenario en el que la posibilidad de materialización del riesgo disminuye, y la posibili
incrementa.
Administración de riesgos: el proceso sistemático que deben realizar las instituciones para evaluar y dar seguimi
riesgos a que están expuestas en el desarrollo de sus actividades, mediante el análisis de los distintos factores qu
finalidad de definir las estrategias y acciones que permitan controlarlos y asegurar el logro de los objetivos y metas de

Factor de riesgo: la circunstancia o situación interna y/o externa que aumenta la probabilidad de que un riesgo se mate

Impacto o efecto: las consecuencias negativas que se generarían en la Institución, en el supuesto de materializarse e

Proceso: Es una secuencia de pasos o actividades que se llevan a cabo para lograr un fin determinado
Nivel de decisión del riesgo. Se identificará el nivel de exposición que tiene el riesgo en caso de su materialización, de
Estratégico: Afecta negativamente el cumplimiento de la misión, visión, objetivos y metas institucionales.
Directivo: Impacta negativamente en la operación de los procesos, programas y proyectos de la institución,
Operativo: Repercute en la eficacia de las acciones y tareas realizadas por los responsables de su ejecución.

Clasificación de los riesgos. Se realizará en congruencia con la descripción del riesgo que se determine, de acuerdo
clasificándolos en los siguientes tipos de riesgo:
Sustantivo,
Administrativo;
Legal;
Financiero;
Presupuestal;
De servicios;
De seguridad;
De obra pública;
De recursos humanos;
De imagen;
De tic ´s;
De salud;
De corrupción y
Otros.

Identificación de factores de riesgo. Se describirán las causas o situaciones que puedan contribuir a la materializació
para tal efecto la siguiente clasificación:
De recursos humanos;
De imagen;
De tic ´s;
De salud;
De corrupción y
Otros.

Identificación de factores de riesgo. Se describirán las causas o situaciones que puedan contribuir a la materializació
para tal efecto la siguiente clasificación:
Humano: Se relacionan con las personas (internas o externas), que participan directa o indirectamente en los pr
actividades o tareas.
Financiero Presupuestal: Se refieren a los recursos financieros y presupuestales necesarios para el logro de metas y
Técnico-Administrativo: Se vinculan con la estructura orgánica funcional, políticas, sistemas no informáticos, pr
información, que intervienen en la consecución de las metas y objetivos.
TIC ´s: Se relacionan con los sistemas de información y comunicación automatizados;
Material: Se refieren a la Infraestructura y recursos materiales necesarios para el logro de las metas y objetivos.
Normativo: Se vinculan con las leyes, reglamentos, normas y disposiciones que rigen la actuación de la organización
y objetivos.
Entorno: Se refieren a las condiciones externas a la organización, que pueden incidir en el logro de las metas y objetivo

Tipo de factor de riesgo: Se identificará el tipo de factor conforme a lo siguiente:

Interno: Se encuentra relacionado con las causas o situaciones originadas en el ámbito de actuación de la organización
Externo: Se refiere a las causas o situaciones fuera del ámbito de competencia de la organización.

Identificación de los posibles efectos de los riesgos. Se describirán las consecuencias que incidirán en el cumplim
institucionales, en caso de materializarse el riesgo identificado;
Valoración del grado de impacto antes de la evaluación de controles (valoración inicial). La determinará con un v
efectos, de acuerdo a la siguiente escala de valor.
Escala de valor Impacto Descripción
5 Catastrofico Influye directamente en el cumplimiento de la misión, visión,metas y objetivos de la institu
pérdida patrimonial, incumplimientos nrmativos, problemas operativos o impacto ambiental y deterioro de
funcionr totalmente o por un periodo importante de tiempo, afectando los programas,, proyectos, proceso
institución.
4 Grave Dañaría significativamente el patrimonio, incumplimientos normativos, problemas opera
ambiental y deterioro de la imagen o logro de las metas y objetivos institucionales. Además se requiere
tiempo para investigar y corregir los daños
3 Moderado Causaría, ya sea una pérdida importante en el patrimonio o deterioro significativo en la image
2 Bajo Causa un daño en el patrimonio o imgane institucional, que se puede corregir en el corto tie
cumplimiento de las metas institucionales.
1 Menor Riesgo que puede ocasionar pequeños o nulos efectos en la institución

Valoración de la probabilidad de ocurrencia antes de la evaluación de controles (valoración inicial). La asignaci

del 1 al 10, en función de los factores de riesgo, considerando las siguientes escalas de valor:

Escala de Probabilidad
valor de ocurrencia Descrpción

5 Recurrente Probabilidad de ocurrencia muy alta

del 1 al 10, en función de los factores de riesgo, considerando las siguientes escalas de valor:

Escala de Probabilidad
valor de ocurrencia Descrpción

5 Recurrente Probabilidad de ocurrencia muy alta

Se tiene plena seguridad de que el riesgo se materialice, La actividad que conlleva el riesgo ejecuta como
por año.
4 Muy probable Probabilidad de ocurrencia alta
La actividad que conlleva el riesgo ejecuta como máximo de 500 veces a 5000 veces por año. Proba
ocurrencia media.
La actividad que conlleva el riesgo ejecuta como máximo de 4 veces a 500 veces por año.
2 Inusual Probabilidad de ocurrencia baja.
La actividad que conlleva el riesgo ejecuta como máximo de 3 veces a 24 veces por año.

1 Rara Probabilidad de ocurrencia muy baja.

La actividad que conlleva el riesgo ejecuta como máximo 2 veces por año.

La valoración del grado de impacto y de la probabilidad de ocurrencia deberá realizarse antes de la evaluación de
se determinará sin considerar los controles existentes para administrar los riesgos, a fin de visualizar la máxima vu
expuesta la Institución de no responder ante ellos adecuadamente

IV. EVALUACIÓN DE CONTROLES

Se realizará conforme a lo siguiente:
a) Comprobar la existencia o no de controles para cada uno de los factores de riesgo y, en su caso, para sus efect
b) Describir los controles existentes para administrar los factores de riesgo y, en su caso, para sus efectos.
c) Determinar el tipo de control: preventivo, correctivo y/o detectivo.
d) Identificar en los controles lo siguiente:

1. Deficiencia: Cuando no reúna alguna de las siguientes condiciones:

· Está documentado: Que se encuentra descrito.
· Está formalizado: Se encuentra autorizado por servidor público facultado.
· Se aplica: Se ejecuta consistentemente el control, y
· Es efectivo. Cuando se incide en el factor de riesgo, para disminuir la probabilidad de ocurrencia.

2. Suficiencia: Cuando se cumplen todos los requisitos anteriores y se cuenta con el número adecuado de contro
e) Determinar si el riesgo está controlado suficientemente, cuando todos sus factores cuentan con controles suficientes.

VPRI: Valoración de Probailidad de Riesgo Inicial

.
VPRF: Valoración de Probailidad de Riesgos Final
VI. MAPA DE RIESGOS.

Los riesgos se ubicarán por cuadrantes en la Matriz de Administración de Riesgos y se graficarán en el Mapa de R
valoración final del impacto en el eje horizontal y la probabilidad de ocurrencia en el eje vertical. La representación
deberá contener los cuadrantes siguientes:

Cuadrante I. Riesgos Críticos. (de atención inmediata).- Los riesgos de este nivel son clasificados como relevantes y de alta
que amenazan el logro de las metas y objetivos Institucionales y por lo tanto pueden ser significativos por su grado de impact
ocurrencia. Éstos deben ser reducidos o eliminados con un adecuado balanceo de controles preventivos y detectivos, enfatiza
Cuadrante II. Riesgos Graves (de atención periódica).- Los riesgos que se ubican en este rango que es de valor de 8 a 15 so
que estos riesgos disminuyan su probabilidad y sean administrados adecuadamente, los sistemas de control interno correspo
sobre la base de intervalos regulares de tiempo
Cuadrante III. Riesgos Tolerables (de seguimiento)
Los riesgos se encuentran en un rango de valor de 4 a 6 , la evaluación la tenemos como menos significativa, pero tienen un a
sistemas de control interno que enfrentan este tipo de riesgos deben ser revisados, para asegurarse de que están siendo adm
Cuadrante I. Riesgos Críticos. (de atención inmediata).- Los riesgos de este nivel son clasificados como relevantes y de alta
que amenazan el logro de las metas y objetivos Institucionales y por lo tanto pueden ser significativos por su grado de impact
ocurrencia. Éstos deben ser reducidos o eliminados con un adecuado balanceo de controles preventivos y detectivos, enfatiza
Cuadrante II. Riesgos Graves (de atención periódica).- Los riesgos que se ubican en este rango que es de valor de 8 a 15 so
que estos riesgos disminuyan su probabilidad y sean administrados adecuadamente, los sistemas de control interno correspo
sobre la base de intervalos regulares de tiempo
Cuadrante III. Riesgos Tolerables (de seguimiento)
Los riesgos se encuentran en un rango de valor de 4 a 6 , la evaluación la tenemos como menos significativa, pero tienen un a
sistemas de control interno que enfrentan este tipo de riesgos deben ser revisados, para asegurarse de que están siendo adm
su importancia no ha cambiado debido a modificaciones en las condiciones internas o externas de la dependencia o entidad
Cuadrante IV. Riesgos Aceptables (controlados)
Los riesgos que se encuentran en un valor de 1 a 3, son poco probables y de bajo impacto. Ellos requieren de un seguimiento
están en un rango aceptable.

VII. DEFINICIÓN DE ESTRATEGIAS Y ACCIONES DE CONTROL PARA RESPONDER A LOS RIESGOS

Se realizará considerando lo siguiente:

a) Las estrategias constituirán las políticas de respuesta para administrar los riesgos, basados en la valoración fina
probabilidad de ocurrencia del riesgo, lo que permitirá determinar las acciones de control a implementarpor cada fa
imprescindible realizar un análisis del beneficio ante el costo en la mitigación de los riesgos para establecer las sig
1. Evitar el riesgo.- Se refiere a eliminar el factor o factores que pueden provocar la materialización del riesgo,con
del proceso tiene alto riesgo, el segmento completo recibe cambios sustanciales por mejora, rediseño o eliminació
suficientes y acciones emprendidas.
2. Reducir el riesgo.- Implica establecer acciones dirigidas a disminuir la probabilidad de ocurrencia (acciones de
(acciones de contingencia), tales como la optimización de los procedimientos y la implementación o mejora de con
3. Asumir el riesgo.- Se aplica cuando el riesgo se encuentra en el Cuadrante III, Riesgos Controlados de bajapro
grado de impacto y puede aceptarse sin necesidad de tomar otras medidas de controldiferentes a las que se po se
opción para abatirlo y sólo pueden establecerse acciones decontingencia.
4. Transferir el riesgo.- Consiste en trasladar el riesgo a un área institucional o un externo a través de la contrata
el cual deberá tener la experiencia y especialización necesaria para asumir el riesgo, así como sus impactos o pér
materialización. .
5. Compartir el riesgo.- Se refiere a distribuir parcialmente el riesgo y las posibles consecuencias, a efecto deseg
diferentes unidades administrativas de la institución, las cuales se responsabilizarán de la parte del riesgo que les
competencia.
Para los riesgos de corrupción que hayan identificado las instituciones, éstas deberán contemplar solamente las e
el riesgo, toda vez que los riesgos de corrupción son inaceptables e intolerables, en tanto que lesionan la imagen,
transparencia de las Instituciones.
De los riesgos de corrupción.
En la identificación de riesgos de corrupción se podrá aplicar la metodología general de administración riesgos, tom
las etapas que se enlistan los siguientes aspectos:
COMUNICACIÓN Y CONSULTA.
Para la identificación de los riesgos de corrupción, las instituciones deberán considerar los procesos financieros,pr
contratación, de información y documentación, investigación y sanción, así como los trámites y servicios internos y
CONTEXTO.
Para el caso de los riesgos de corrupción, las causas se establecerán a partir de la identificación de las DEBILIDA
AMENAZAS (factores externos) que pueden influir en los procesos y procedimientos que generan una mayor vuln
corrupción.
EVALUACIÓN DE RIESGOS RESPECTO A CONTROLES.
Tratándose de los riesgos de corrupción no se tendrán en cuenta la clasificación y los tipos de riesgos establecida
el inciso g) de la etapa de Evaluación de Riesgos, debido a que serán de impacto grave, ya que la materialización
inaceptable e intolerable, en tanto que lesionan la imagen, confianza, credibilidad y transparencia de la nstitución,a
públicos y el cumplimiento de las funciones de administración.
Algunas de las herramientas técnicas que se podrán utilizar de manera complementaria en la identificación de los
"Guía de Autoevaluación a la Integridad en el Sector Público" e "Integridad y Prevención de la Corrupción en eL Se
Implementación", las cuales fueron emitidas por la Auditoría Superior de la Federación y se pueden localizar en su

Tolerancia al riesgo.
La Administración deberá definir la tolerancia a los riesgos identificados para los objetivos estratégicos definidos p
tolerancia al riesgo se debe considerar como el nivel aceptable de diferencia entre el cumplimiento cabal del objeti
su grado real de cumplimiento. Una vez definidos los niveles de tolerancia, los responsablesde cada riesgo deben
de los niveles de tolerancia, mediante indicadores que para tal efecto establezcan, reportando en todo momento a
Coordinador de Control Interno, en caso que se exceda el riesgo el nivel de tolerancia establecido.
No operará en ningún caso, la definición de niveles de tolerancia para los riesgos de corrupción y de actos contrar
"Guía de Autoevaluación a la Integridad en el Sector Público" e "Integridad y Prevención de la Corrupción en eL Se
Implementación", las cuales fueron emitidas por la Auditoría Superior de la Federación y se pueden localizar en su

Tolerancia al riesgo.
La Administración deberá definir la tolerancia a los riesgos identificados para los objetivos estratégicos definidos p
tolerancia al riesgo se debe considerar como el nivel aceptable de diferencia entre el cumplimiento cabal del objeti
su grado real de cumplimiento. Una vez definidos los niveles de tolerancia, los responsablesde cada riesgo deben
de los niveles de tolerancia, mediante indicadores que para tal efecto establezcan, reportando en todo momento a
Coordinador de Control Interno, en caso que se exceda el riesgo el nivel de tolerancia establecido.
No operará en ningún caso, la definición de niveles de tolerancia para los riesgos de corrupción y de actos contrar
para los que impliquen incumplimiento de cualquier disposición legal, reglamentaria o administrativa relacionada c
causen la suspensión o deficiencia de dicho servicio, por parte de las áreas Administrativas que integran la instituc
eer los servicios y productos que ofrece a sus clientes una

gobernantes y sustantivos.
an o facilitan las operaciones internas de las instituciones,
de cada institución, son específicos y responden a las

tividades que integran

su probabilidad de ocurrencia y el posible impacto pudiera

sgo disminuye, y la posibilidad de lograr los objetivos se

para evaluar y dar seguimiento al comportamiento de los

e los distintos factores que pueden provocarlos, con la
de los objetivos y metas de una manera razonable.

ad de que un riesgo se materialice.

upuesto de materializarse el riesgo.

determinado
aso de su materialización, de acuerdo a lo siguiente:
nstitucionales.
de la institución,
es de su ejecución.

e se determine, de acuerdo a la naturaleza de la Institución,

contribuir a la materialización de un riesgo, considerándose

contribuir a la materialización de un riesgo, considerándose

o indirectamente en los programas, proyectos, procesos,

os para el logro de metas y objetivos.

stemas no informáticos, procedimientos, comunicación e

as metas y objetivos.
ctuación de la organización en la consecución de las metas

logro de las metas y objetivos.

actuación de la organización;
ización.

s que incidirán en el cumplimiento de las metas y objetivos

cial). La determinará con un valor del 1 al 10 en función de los

etas y objetivos de la institución y puede implicar

ambiental y deterioro de la imagen, dejando además sin
ramas,, proyectos, procesos o servicios sustantivos de la

ormativos, problemas operativos o de impacto

más se requiere de una cantidad importante de

oro significativo en la imagen institucional.

puede corregir en el corto tiempo y no afecta el

oración inicial). La asignación se determinará con un valor

or:
or:

a el riesgo ejecuta como máximo de 5000 veces

eces por año. Probable Probabilidad de

or año.

s por año.

antes de la evaluación de controles(evaluación inicial),

de visualizar la máxima vulnerabilidad a que está

en su caso, para sus efectos.

o, para sus efectos.

ocurrencia.

úmero adecuado de controles por cada factor de riesgo.

on controles suficientes.

graficarán en el Mapa de Riesgos, en función de la

vertical. La representación gráfica del Mapa de Riesgos

dos como relevantes y de alta prioridad. Son riesgos críticos

ativos por su grado de impacto y alta probabilidad de
ventivos y detectivos, enfatizando los primeros.
o que es de valor de 8 a 15 son significativos, para asegurar
s de control interno correspondientes, deberán ser evaluados

significativa, pero tienen un alto grado de impacto. Los

arse de que están siendo administrados correctamente y que
dos como relevantes y de alta prioridad. Son riesgos críticos
ativos por su grado de impacto y alta probabilidad de
ventivos y detectivos, enfatizando los primeros.
o que es de valor de 8 a 15 son significativos, para asegurar
s de control interno correspondientes, deberán ser evaluados

significativa, pero tienen un alto grado de impacto. Los

arse de que están siendo administrados correctamente y que
de la dependencia o entidad

requieren de un seguimiento y control interno mínimo, y

R A LOS RIESGOS

asados en la valoración final del impacto y de la

ol a implementarpor cada factor de riesgo. Es
gos para establecer las siguientes estrategias:
aterialización del riesgo,considerando que sí una parte
ejora, rediseño o eliminación, resultado de controles

de ocurrencia (acciones de prevención) y el impacto

mentación o mejora de controles.
gos Controlados de bajaprobabilidad de ocurrencia y
ferentes a las que se po seen, o cuando no se tiene

erno a través de la contratación de servicios tercerizados,

sí como sus impactos o pérdidas derivadas de su

secuencias, a efecto desegmentarlo y canalizarlo a

la parte del riesgo que les corresponda en su ámbito de

ontemplar solamente las estrategias de evitar y reducir

to que lesionan la imagen, la credibilidad y la

administración riesgos, tomando en consideración para

los procesos financieros,presupuestales, de

mites y servicios internos y externos.

ntificación de las DEBILIDADES(factores internos) y las

e generan una mayor vulnerabilidad frente a riesgos de

pos de riesgos establecidas en

e, ya que la materialización de este tipo de riesgos es
sparencia de la nstitución,afectando los recursos

a en la identificación de los riesgos de corrupción son la

n de la Corrupción en eL Sector Público. Guía Básica de
y se pueden localizar en su portal de internet.

os estratégicos definidos por la Institución. En donde la

mplimiento cabal del objetivo estratégico, respecto de
ablesde cada riesgo deben supervisar el comportamiento
rtando en todo momento al Titular de la Institución y
establecido.
rrupción y de actos contrarios a la integridad, así como
n de la Corrupción en eL Sector Público. Guía Básica de
y se pueden localizar en su portal de internet.

os estratégicos definidos por la Institución. En donde la

mplimiento cabal del objetivo estratégico, respecto de
ablesde cada riesgo deben supervisar el comportamiento
rtando en todo momento al Titular de la Institución y
establecido.
rrupción y de actos contrarios a la integridad, así como
administrativa relacionada con el servicio público, o que
ivas que integran la institución.
 UNIVERSIDAD AUTÓNOMA DE TLAXCALA
MATRIZ DE RIESGOS

Unidad Académica o Administrativa

Nombre:

I. VALORACIÓN DE RIESGOS
Clasificación del
Tipo de corrupcion
Riesgo
Nivel de decision
Area No. De riesgo Nombre del Proceso Actividad Tipo de proceso Descripción del Riesgo (control) del
riesgo
Selección identificada

Notificar y promover Notificar en tiempo y La CICA depende

CICA 1 las Convocatorias forma a los CA de los
requisitos de
Adjetivo
totalmente de la
operatividad de
Operativo Otros.
que envía PRODEP PRODEP PRODEP
LA Fecha: Noviembre 2021

I. VALORACIÓN DE RIESGOS

Alineación o Estrategias, Objetivos, metas institucionales FACTOR DE RIESGO Valoración del riesgo

Posibles efectos (consecuencias) del

Riesgo
No. De Clasificación p probailidad
Selección Descripción Descripción Tipo I Impacto
Factor (Factores del riesgo) ocurrencia

PRODEP no tiene fechas

Estrategia Entorno exactas para emitir Externo
convocatorias
 II. EVALUACIÓN DE CONTROLES

Valoración del riesgo

Clase de
Verificación y/o controles actuales Tipo de control Frecuencia Responsable del control
control
Cuadrante VPRI
 A
p
r
o
p
i
a
c
i
ó
n

i
n
N DE CONTROLES . ESTRATEGIAS Y ACCIONES d
e
Valoración del riesgo
b
iC
d
o
Documentación del an
D Detección Estrategia Estatus
control
p probailidad f
I Impacto Cuadrante VPRF d
ocurrencia l
ei
c
at
c
o
ts
5 1 tolerable Asumir el riesgo Requiere análisis i
vd
o
e
sP
ri
en
t
e
n
r
sé
is
ó
n

d
e

b
e
n
e
f
i
c
i
o
s
T
r
á
f
i
c
o

d
e

i
n
f
l
u
e
n
c
i
a
s
 Mapa de Riesgo

Recurrente 5 5 Err:522 Err:522

PROBABILIDAD

Muy probable 4 4 Err:522 Err:522

Poco probable 3 3 Err:522 Err:522

Inusual 2 2 Err:522 Err:522

Rara 1 1 Err:522 Err:522

1 2 3
Menor Bajo Moderado
IMPACTO
o
Nivel de Riesgo
Riesgo Crítico Crítico
Err:522 Err:522
Riesgo Grave Grave
Err:522 Err:522

riesgo Tolerable Tolerable

Err:522 Err:522

Riesgo Aceptable Aceptable

Err:522 Err:522

Err:522 Err:522
4 5
Grave Catastrófico
 Mapa de Riesgo

Recurrente 5
PROBABILIDAD

Muy probable 4

Poco probable 3

Inusual 2

Rara 1
1 2 3
Menor Bajo Moderado
IMPACTO
o
Nivel de Riesgo
Riesgo Crítico Crítico

Riesgo Grave Grave

riesgo Tolerable Tolerable

Riesgo Aceptable Aceptable

4 5
Grave Catastrófico
 PROGRAMA DE TRABAJO DE ADMINIST

Unidad Académico/Administrativa

Unidad Académico/Administrativa No. Riesgo Responsable No. De plan de Acción

Secretario
Técnico y Jefe
Sy TI R2 de 1
departamento

Director de
Facultad y
FILOSOFÍA Y LETRAS R5 Responsable de
2
Titulación
A DE TRABAJO DE ADMINISTRACIÓN DE RIESGOS (PTAR)

Descripción de la (s) Accion (es) Fecha de

inicio Fecha de Término Medios de verificación

Solicitar la infraestructura para el Oficio de solicitud.

29-11-21 01-04-22 Presupuesto
respaldo de la información Cronograma

Oficio de solicitud.
Implementar cursos de titulación,
01-02-22 01-05-22 Presupuesto
para egresados
Cronograma