Capacitación MIGR - R Procesos Coordinadores SGC

MIGR:
Gestión Integral del Riesgo y pautas

metodológicas para la administración de
riesgos de procesos
Vicerrectoría General - Coordinación
SIGA
18/01/2023
Contenido
1. Generalidades MIGR particulares para la Gestión de riesgos de
1. Objetivo y Alcance procesos
1. Establecimiento del Contexto
2. Definiciones
2. Evaluación del riesgo - Identificación del
3. Beneficios Riesgo
4. Marco Legal 3. Evaluación del riesgo - Análisis del riesgo
5. Estrategia de implementación 4. Evaluación del riesgo - Valoración del riesgo
2. Gestión Integral del riesgo - MIGR 5. Tratamiento del riesgo
6. Seguimiento y revisión
1. Conceptualización: Ciclo y etapas para la
gestión integral del riesgo 7. Comunicación y consulta
8. Registro e informe
2. Política Integral de gestión del riesgo
3. Tipologías de riesgos contenidas en el 6. Cambio estrategia acompañamiento
4. Roles y Responsabilidades
SGC a los procesos en GR
5. Pautas metodológicas (etapas) generales y
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
1.1 MIGR - Objetivo y
Alcance
• Integrar y orientar la gestión del • Institucional: todas las tipologías
riesgo institucional a través del de riesgos presentes en los
diseño, implementación, evaluación procesos, estrategias, proyectos y
y mejora de un marco de políticas, sistemas de gestión.
responsabilidades, tipologías de
riesgos y pautas metodológicas • Todos los funcionarios y
generales y particulares que dependencias de la UNAL con
permitan identificar, analizar, responsabilidades frente a la
valorar, tratar, comunicar, gestión del riesgo.
monitorear e informar los riesgos a
los que se expone la UNAL con base
al apetito, la tolerancia y la capacidad
definidas
Objetivo Alcance
1.2 MIGR - Definiciones
• Efecto de la incertidumbre sobre los objetivos, Con frecuencia el riesgo se expresa en
Riesgo términos de sus causas, su probabilidad de ocurrencia y sus consecuencias
• Medida que mantiene y/o modifica un riesgo.

Control • Medida que permite reducir o mitigar un riesgo
• Marco utilizado para asistir a la organización en integrar la gestión del riesgo en todas sus
MIGR actividades, funciones, procesos y sistemas de gestión siendo clave el apoyo de la alta
dirección
Política Integral • Declaración de la dirección y las intenciones generales de una organización con respecto a
GR la gestión del riesgo.
• Todos aquellos eventos o factores internos y externos que solos o en combinación con
Causa otros, pueden producir la materialización de un riesgo
Impacto • Resultado de las causas que afectan a los objetivos.

(consecuencia) • Efectos que puede ocasionar a la organización la materialización del riesgo
1.2 MIGR - Definiciones
Probabilidad • Posibilidad de que algo suceda
• Nivel de afectación obtenido al operar o ubicar en el mapa de calor la probabilidad y el

Nivel de riesgo impacto de un riesgo. Se obtiene antes y después del uso de controles (riesgo inherente
y residual).
• Elemento que permite visualizar de forma gráfica la ubicación y distribución de los riesgos
Mapa de calor inherentes y residuales según su nivel de aceptabilidad (bajo, moderado, alto, extremo)
• nivel de riesgo que la entidad puede aceptar en relación con sus objetivos, el marco legal
Apetito de riesgo y las disposiciones de la alta dirección
Capacidad de • máximo valor del nivel de riesgo que una entidad puede soportar y a partir del cual se
riesgo considera por la alta dirección que no sería posible el logro de los objetivos de la entidad
Tolerancia de • valor de la máxima desviación admisible del nivel de riesgo con respecto al valor del
riesgo apetito de riesgo determinado por la entidad
1.3 MIGR - Beneficios
Fomenta la Protección y creación de valor institucional
Contribuye al cumplimiento de los objetivos y estrategias
Reducción y mitigación de eventos no deseados (riesgos)
Integra la Gestión del riesgo con la toma de decisiones desde la Alta Dirección
Facilita el diseño e implementación de un enfoque estructurado para la GR
Aporta información de valor para los procesos, estrategias, proyectos y SG
Mejorar la resiliencia y la capacidad de anticipar y responder ante el cambio
Fomentar el autoconocimiento y el pensamiento basado en riesgos
1.4 MIGR - Marco Legal
Normativa transversal
Normativa Emitida por Origen
Ley 87 de 1993 Gobierno Nacional – Congreso de Colombia Externa Existen otras
regulaciones adicionales
Ley 489 de 1998 Gobierno Nacional – Congreso de Colombia Externa aplicables propias de
Ley 1474 de 2011 Gobierno Nacional – Congreso de Colombia Externa cada tipología de riesgos
contenida en el MIGR,
Decreto 1083 de 2015 Presidencia de la Republica - DAFP Externa ejemplos:
- Normativa BPUN
Decreto 648 de 2017 Presidencia de la Republica – DAFP Externa
para proyectos de
Decreto 1499 de 2017 Presidencia de la Republica Externa inversión
- Decreto 780 de 2019
Resolución 316 de 2018 Rectoría Interna
del Ministerio de
Ley 2195 de 2022 Gobierno Nacional – Congreso de Colombia Trabajo para
RPAMEC
Resolución 605 de 2022 Rectoría Interna
1.5 MIGR - Estrategia de implementación 2023-2024
Fase 1
Etapa 1 Retroalimentación e
implementación en
riesgos de Sistemas
de Gestión y otros.
Prueba piloto: Retroalimentación e
Riesgos del proceso implementación en
“Mejoramiento de la riesgos estratégicos
gestión y de proyectos
Informe
consolidado
Próxima a finalizar
(Mayo 2023) Conformació
n del ETIR
Implementación
en los riesgos de Etapa 2
Por Iniciar
procesos
(Junio 2023)
ETIR: Equipo Técnico Integral de Riesgos
2.1 MIGR - Conceptualización: Ciclo y etapas GR
Contexto
Ciclo Gestión Diseño
integral del Identificación
riesgo
Análisis
Política Pautas
Integral Metodológicas
Valoración
Mejora Implementación
Roles y
Resposabilidad Tipologías
CNIR
Tratamiento
Etapas Comunicación
Gestión del y seguimiento
riesgo
Registro e
Verificación informe
2.2 MIGR - Política Integral de Gestión del Riesgo
Direccionar la GR institucional a través de
lineamientos y pautas metodológicas que
permitan a los encargados implementar un
proceso para administrar sus tipologías de
riesgos
Objetivos
Fortalecer y direccionar la gestión de riesgos de
procesos por medio de estrategias de
monitoreo y acompañamiento.
Contribuir con la cultura de transparencia, la

cultura de gestión de riesgos y el reporte de
eventos materializados al interior de la UNAL
7 Categorías de
Principios y disposiciones
2.3 MIGR - Tipologías de riesgos
Tipo de riesgo Sistemas / Instancias responsable
Estratégicos DNPE, VRG, VRA, VRI, Secretaría General, Rectoría, CSU, GNFA, Vicerrectorías y Direcciones de
sedes de presencia Nacional, líderes de los procesos estratégicos
Proyectos DNPE, VRI, DNE, DNIL, directores, supervisores e interventores de los proyectos. Comités y otros.
Seguridad de la DNED, Sistema de Gestión de Seguridad de la Información, dueños o propietarios de los activos de
información (SI) información y de procesamiento de información.
Fraude, LA y FT GNFA y otros (Por definir y validar)
Procesos (Operativos Líder SGC Nivel Nacional, SGC (Coordinaciones del SGC en sede), Líderes y funcionarios de los
corrupción y PAMEC) procesos, UNISALUD
Seguridad y salud en Sistema de Gestión y Seguridad y Salud en el Trabajo
el trabajo (SST)
Ambientales Sistema de Gestión Ambiental, Comité Técnico Nacional de Gestión Ambiental, Jefes de Oficinas
de Gestión Ambiental, y/o responsables de gestión ambiental de las sedes, y líderes de los
procesos.
2.3 MIGR - Tipologías de riesgos
Matriz relacional
entre las tipologías
de riesgos contenidas
en el MIGR
2.4 MIGR - Roles y Responsabilidades Modelo 3LD
Línea estratégica 3LD - Evaluación independiente a la GR
Funciones propias de evaluación
ONCI - Evaluación de la efectividad del

SCI con un enfoque basado en riesgos
Revisar, aprobar la Política integral de
CNCSCI - Definir el MIGR y control y
gestión del riesgo y tomar decisiones frente independiente a los procesos, estrategias,
a los resultados de su seguimiento proyectos y sistemas de gestión realizadas a
supervisar su cumplimiento
semestral través de:

- Auditorías
- Seguimiento independiente
Analizar y tomar acciones frente a los - Acompañamiento independiente
riesgos residuales significativos que hayan
sido escalados por la 2LD Dar recomendaciones a los procesos,
estrategias, proyectos y sistemas de gestión
para evitar incumplimientos y/o gestionar
Analizar y tomar acciones frente a la gestión riesgos significativos posibles o
de riesgos materializados de alto impacto a materializados
nivel de procesos, estrategias, proyectos o
de envergadura institucional que hayan sido
escalados por la 2LD
2LD - Autoevaluación, acompañamiento y seguimiento a la GR
Tipología de Responsables Responsabilidades
riesgo
Institucional - Comité o grupo Nacional Integral de Riesgos Servir de ente asesor especializado en gestión integral del riesgo al
Transversal CNCSCI
Institucional - Coordinación SIGA Nivel Nacional Generar lineamientos, asesoría y seguimiento transversal a la
Transversal gestión integral del riesgo realizada por los principales responsables
de las tipologías del MIGR y la 1ra línea de defensa.
Procesos Acompañamiento, seguimiento y definición de lineamientos,
Líder SIGA Nivel Nacional, Coordinadores del SGC
en sede o QHSV herramientas y documentos particulares para la gestión de las
tipologías de riesgos del MIGR ejecutadas por la 1LD:
Estratégicos Comité Nacional de Planeación Estratégica. DNPE.
- Elaborar / impartir Lineamientos, herramientas, capacitación,
Oficinas de planeación y Estadística en las Sedes
orientación y alertas
Proyectos DNPE. VRI. Supervisores e interventores. Otros- Establecer mecanismos particulares para el seguimiento y
autoevaluación de la GR
Ambientales Comité Técnico Nacional de Gestión Ambiental. - Brindar asesoría y acompañamiento a los integrantes de la 1LD
Coordinación Nacional de Gestión Ambiental - Coordinar y consolidar los resultados del seguimiento de la GR
ejecutado por la 1LD, reportando los resultados al SIGA
SI Por definir
- Apoyar la gestión de riesgos residuales significativos posibles o
SST Por definir materializados identificados por la 1LD.
Fraude, LA y FT Por definir
1LD - Autocontrol y Gestión de riesgos
Tipología de Responsables Responsabilidades

riesgo
Procesos Líderes e integrantes de los procesos en nivel nacional, sedes,
facultades, centros e institutos.
Estratégicos DNPE. VRG. VRA. VRI. Secretaria General. Rectoría. CSU. GNFA.
Vicerrectorías de sede y Direcciones de sedes de presencia Nacional, Desarrollo e implementación de la
líderes de procesos estratégicos. gestión de riesgos y controles en los
procesos, estrategias, proyectos o
Proyectos Directores de proyectos y su equipo de trabajo. sistemas de gestión:
Coordinadores funcionales. - Establecer Contexto
- Identificar y analizar los riesgos
Ambientales Jefes de Oficina y Responsables de Gestión Ambiental en las sedes. - Evaluación y tratamiento de riesgos
Líderes de procesos - Diseño y ejecución de mecanismos
de control
SI Por definir - Ejecución del seguimiento de riesgos
- Gestión de riesgos materializados
SST Por definir - Prevenir, detectar y mitigar los
riesgos
Fraude, LA y FT Por definir
2.5 Metodología Generalidades y particularidades
Etapas del proceso

de gestión del riesgo
aplicable a todas las
tipologías de riesgos
del MIGR UNAL
2.5 MIGR - Metodología GR procesos
ETAPA 1 - Establecimiento del
contexto
La 2LD de cada Tipo riesgo debe
facilitar e instruir en el uso de
herramientas y métodos para
Establecer el Contexto, dando
asesoría y acompañamiento a la
1LD en su levantamiento.
Se debe llevar un registro vigencia

tras vigencia de los factores
internos y externos.
ETAPA 2 - Evaluación del Riesgo - Identificación del riesgo
Esta etapa parte de los
resultados obtenidos en el
“Establecimiento del
1.Identificación y priorización de riesgos partiendo
Contexto”
del establecimiento del contexto
Para facilitar la
2. Redacción de riesgos operativos y de cualquier identificación de riesgos, el
tipología (Impacto, Causa Inmediata, Causa Raiz) MIGR contiene ejemplo de
causas e impactos que
pueden ocasionar / afectar a
3. Redacción de riesgos de corrupción los procesos, proyectos,
estrategias y sistemas de
gestión
4. Tips para la correcta redacción de riesgos
2.5 MIGR - Metodología GR procesos - Identificación del
riesgo
ETAPA 2 - Identificación y priorización de riesgos partiendo del
Contexto
Criterios
1. Cuáles tienen mayor impacto y repercusión en el cumplimiento de los objetivos.
2. Cuáles tienen impacto en el cumplimiento de la misión y/o visión de la UNAL. Para facilitar la
3. Cuales ya se han materializado. identificación de riesgos, el
4. Cuáles tienen mayor afectación en la conformidad o prestación de los productos, servicios,
entregables, y otros.
MIGR contiene ejemplo de
causas e impactos que
5. Cuáles tienen mayor impacto en el cumplimiento de las metas e indicadores establecidos.
pueden ocasionar / afectar a
6. Cuáles han desencadenado un hallazgo recurrente a partir de una evaluación interna o externa
los procesos, proyectos,
7. Cuáles son de Gobierno del proceso, estrategia, proyecto o sistema de gestión, donde recae la
autoridad y responsabilidad para su gestión. estrategias y sistemas de
gestión
8. Cuáles tienen mayor complejidad según su alcance y naturaleza en relación con el éxito de la
UNAL.
9. Cuáles tienen mayor rapidez de afectación y propagación.
10. Cuáles tienen mayor persistencia, es decir, el tiempo durante el que el riesgo impacta la
UNAL.
11. Cuáles tienen mayor repercusión en la capacidad de recuperación de la UNAL para retornar a
los niveles de tolerancia definidos o a la normalidad en la operación.
riesgo
ETAPA 2 - Redacción de riesgos operativos aplicable a cualquier
tipología
Impacto Causa Inmediata Causa Raiz

• Hace referencia a lo que • hace alusión a cómo podría llegar a darse • Conocida como causa principal o básica, hace
podría pasar si se el riesgo por una causa inminente, es mención del por qué más importante y no tan
materializa el riesgo, es decir a los factores, circunstancias o evidente o superficial por el cual podría llegar
decir a las consecuencias situaciones más inmediatas o evidentes a presentarse el riesgo, es decir, corresponde
que puede ocasionar a la sobre las cuales se presenta el riesgo, sin a las razones, circunstancias o situaciones por
UNAL la materialización constituir la causa principal o base para las cuales se puede presentar el riesgo, siendo
del riesgo que se presente el riesgo. el punto de partida para la definición de
controles.
riesgo
ETAPA 2 - Redacción de riesgos operativos - Ejemplos
Proceso Frase inicial Impacto (¿Qué?) Causa inmediata (¿Cómo?) Causa raíz (¿Por qué?)
redacción
Gestión Posibilidad Afectación económica Por multa y sanción del ente regulador Debido a adquisición de bienes y servicios
administrativa de de fuera de los requerimientos normativos
bienes y servicios
Mejoramiento de la Posible Pérdida de la certificación Por retrasos o la inejecución de las Provocados por limitaciones y alta rotación
gestión institucional del Sistema de actividades de los planes de acción en el personal que apoya los procedimientos
Gestión de Calidad derivados de la auditoría de certificación y actividades del SGC
Gestión Tecnológica Posibilidad Afectación a la integridad y Por ingreso a las aplicaciones y Generados por vulnerabilidades y debilidades
de disponibilidad de la modificaciones de datos no autorizadas en en el control de acceso y gestión de permisos
información académica y los sistemas de información institucionales de los usuarios
financiera
Servicios generales Posibles Pérdidas económicas Por daños o deterioro en los bienes Debido a carencia de recursos monetarios, de
y de apoyo (muebles) y otros equipos de oficina personal y de tiempo para los
administrativo mantenimientos preventivos, detectivos y
correctivos requeridos
Direccionamiento Posibles Afectaciones a la imagen y a Ocasionada por proyectos de inversión Debido a falta de capacitación, apropiación e
estratégico la gestión institucional desarticulados de los objetivos, ejes interiorización de parte los directores de
institucional estratégicos, misión y visión institucionales proyectos y sus equipos de trabajo
riesgo ETAPA 2 - Redacción de riesgos de corrupción
Adicional a los 4 elementos anteriores, se debe

definir con claridad y sin ambigüedades el impacto,
la causa raíz y la causa inmediata.
riesgo
ETAPA 2 - Redacción de riesgos de corrupción - Ejemplos
Proceso Acción u Uso del poder Desviación de la Gestión de lo Beneficio privado
omisión Público
Gestión administrativa Posibilidad de Cualquier dádiva o A nombre propio o de terceros Con el fin de celebrar un
de bienes y servicios recibir o solicitar beneficio contrato
Divulgación de la Selección de Que emitan concepto Sin el cumplimiento de los En beneficio de un
producción académica evaluadores favorable a una obra lineamientos establecidos por funcionario o tercero.
académicos el proceso
Servicios Generales y Recibir Dadiva A nombre propio o de terceros Para favorecer a un
de apoyo proveedor de servicios
Administrativo generales
Gestión de la Apropiación y/o de los recursos Para los proyectos de En pro de un beneficio
investigación y utilización financieros asignados investigación de forma indebida particular.
creación artística o intencional
Mejoramiento de la Manipulación De la información del Para presentar resultados que La gestión de un sistema o de
gestión sistema de gestión favorezcan o desfavorezcan un proceso particular
riesgo
ETAPA 2 - Tips para la correcta identificación de riesgos
No describir como riesgos • Errores en la liquidación de la nómina por fallas en los procedimientos existentes.
omisiones, desviaciones o • Retrasos en la prestación del servicio por no contar con digiturno para la atención.
negaciones (ausencia) de • Ausencia de controles de acceso y perfiles (permisos) de usuarios que garanticen la
controles confidencialidad e integridad de la información que reposa en los SIA.
• Inadecuado funcionamiento de la plataforma estratégica donde se realiza el

seguimiento a la planeación.
No describir causas como • Debilidades en la integración y articulación de los procedimientos y dependencias
riesgos académico - administrativos relacionados con los trámites y servicios de formación
brindados a los estudiantes.
• Pérdida de expedientes, registros e información en general en medios físicos o

No existen riesgos digitales.
transversales, si causas • Ausencia o limitaciones de personal de planta u contratista, alta rotación de
transversales personal contratista
“No confundir los riesgos con problemas y en lo posible no redactarlos como una no conformidad o incumplimiento
ETAPA 3 - Evaluación del Riesgo - Análisis del riesgo
Esta etapa parte del listado de
riesgos priorizados y
redactados en la etapa de
1. Estimación de la Probabilidad e impacto “identificación del riesgo”
inherentes
En esta etapa se construye la
primera parte del “Perfil de
2. Cálculo del riesgo inherente riesgos”
3. Ubicación en el Mapa de calor
4. Conceptos de apetito, tolerancia y capacidad

del riesgo
2.5 MIGR - Metodología GR procesos - Análisis del riesgo
ETAPA 3 - Estimación de la probabilidad inherente
Vl Nivel Frecuencia actividad Frecuencia Descripción (Factibilidad)

Materialización
La probabilidad se
mide por:
1 Raro La actividad que conlleva al No se ha El evento puede ocurrir solo en
riesgo se ejecuta como presentado en los circunstancias excepcionales. 1. Frecuencia de
máximo 2 veces por año. últimos 5 años. Probabilidad muy baja. ejecución de la
2 Improbable La actividad que conlleva al Al menos 1 vez en El evento puede ocurrir en algún actividad que
riesgo se ejecuta de 3 a 24 los últimos 5 años. momento. Probabilidad baja. conlleva al riesgo.
veces por año. 2. Frecuencia de
3 Posible La actividad que conlleva al Al menos 1 vez en El evento podría ocurrir en algún materialización del
riesgo se ejecuta de 25 a los últimos 2 años. momento. Probabilidad media. evento en el pasado,
499 veces por año. 3. Factibilidad con
4 Probable La actividad que conlleva al Al menos 1 vez en El evento probablemente base al conocimiento
riesgo se ejecuta de 500 a el último año. ocurrirá en la mayoría de las y percepción del
5000 veces por año. circunstancias. Probabilidad alta.
evaluador
5 Casi seguro La actividad que conlleva al Más de 1 vez al Se espera que el evento ocurra
riesgo se ejecuta más de año. en la mayoría de las
5000 veces por año. circunstancias. Probabilidad muy
alta.
ETAPA 3 - Estimación del Impacto inherente en riesgos operativos
Vl Nivel Variables
Usuario Operación Imagen Sanciones Pérdidas
económicas
1 Insignifi- No se
ven No hay No se ve afectada No hay intervenciones de entes Pérdidas
cante afectados
los interrupción de las la imagen o de control. No se generan económicas
usuarios operaciones de la credibilidad de la sanciones económicas o mínimas El impacto en los
Universidad Universidad administrativas RO se obtiene
2 Menor Baja afectación a Interrupción de las Imagen o Comentarios adversos de los Pérdidas con base a la
los usuarios operaciones de la credibilidad entes de control, pero no hay económicas
Universidad por institucional intervención, reclamaciones o menores
variable con
algunas horas, afectada quejas implican investigaciones mayor nivel de
menor a (1) un día internamente internas disciplinarias afectación
5 Moderado Afectación a un Interrupción de las Imagen o Acciones por parte de los entes Pérdidas
grupo reducidos operaciones de la credibilidad de control que pueden incluir económicas
de usuarios Universidad por un institucional sanciones menores, moderadas
(1) día afectada reclamaciones o quejas que
localmente podrían implicar una denuncias
de largo alcance para la entidad
10 Mayor Afectación que Interrupción de las Imagen o Acciones por parte de los entes Pérdidas
repercute en operaciones de la credibilidad de la de control que incluyen económicas
una parte Universidad por Universidad sanciones medianas mayores
considerable de más de (2) dos días afectada en la
los usuarios región
ETAPA 3 - Estimación del Impacto inherente en riesgos de corrupción
N.° PREGUNTA: RESPUESTA

SI EL RIESGO DE CORRUPCIÓN SE MATERIALIZA PODRÍA… SI NO
1 ¿Afectar al grupo de funcionarios del proceso?
2
3
¿Afectar el cumplimiento de metas y objetivos de la dependencia?
¿Afectar el cumplimiento de misión de la entidad?
El impacto en los RC se
4 ¿Afectar el cumplimiento de la misión del sector al que pertenece la entidad obtiene al responder las
5 ¿Generar pérdida de confianza de la entidad, afectando su reputación?
6 ¿Generar pérdida de recursos económicos? siguientes preguntas, según
7 ¿Afectar la generación de los productos o la prestación de servicios?
8 ¿Dar lugar al detrimento de calidad de vida de la comunidad por la pérdida del bien,
el total de preguntas
servicios o recursos públicos? afirmativas se obtiene el
9 ¿Generar pérdida de información de la entidad?
10 ¿Generar intervención de los órganos de control, de la Fiscalía u otro ente? nivel de impacto.
11 ¿Dar lugar a procesos sancionatorios?
12 ¿Dar lugar a procesos disciplinarios?
13
14
¿Dar lugar a procesos fiscales?
¿Dar lugar a procesos penales?
Los niveles de impacto “1 -
15 ¿Generar pérdida de credibilidad del sector? Insignificante” y “ 2-
16 ¿Ocasionar lesiones físicas o pérdida de vidas humanas?
17 ¿Afectar la imagen regional? Menor” no aplican para los
18
19
¿Afectar la imagen nacional?
¿Generar daño ambiental?
RC
TOTAL RESPUESTAS AFIRMATIVAS(SI)
Responder afirmativamente de UNA a CINCO pregunta(s) genera un impacto moderado.
Responder afirmativamente de SEIS a ONCE preguntas genera un impacto mayor.
Responder afirmativamente de DOCE a DIECINUEVE preguntas genera un impacto catastrófico.
Si la respuesta a la pregunta 16 es afirmativa, el impacto es catastrófico.
ETAPA 3 - Calculo del riesgo inherente (nivel de riesgo y nivel de
aceptabilidad)
Rango Nivel de Descripción Opción de tratamiento (después de obtener el nivel de
riesgo residual)
aceptabilidad
El Nivel (valor) de riesgo
inherente se puede obtener: Entre 1 Bajo En este nivel se pueden Asumir (Aceptar)
y4 asumir los riesgos. Riesgos
aceptables.
1. Multiplicando los Entre 5 Moderado Riesgos tolerables, límite
Asumir (Aceptar)
valores de las variables y 10 de la capacidad de riesgos
Reducir
definida por la UNAL Transferir
probabilidad e impacto.
Entre Alto Riesgos importantes por Opción de tratamiento
2. Ubicando y cruzando en 11 y 30 fuera de la capacidad de - Reducir
el Mapa de Calor los riesgos definida por la - Transferir
valores de las variables UNAL Otras acciones obligatorias
- Definir los KRI's
probabilidad e impacto - Reportar a la instancia correspondiente.
Entre Extremo Riesgos inaceptables por Opción de tratamiento
El riesgo inherente da un 31 y fuera de la capacidad de - Reducir (mitigar) con nuevos controles,
valor entre 100 riesgos definida por la planes de acción o actividades.
UNAL. - Transferir
0 -100 para RO Otras acciones obligatorias
5-100 para RC - Definir los KRI's
- Reportar a la instancia correspondiente.
ETAPA 3 - Calculo del riesgo inherente - Mapa de Calor RO - RC
Mapa de calor riesgos de

corrupción
Mapa de calor riesgos operativos
ETAPA 3 - Conceptos de apetito, tolerancia y capacidad del riesgo
ETAPA 4 - Evaluación del Riesgo - Valoración del riesgo
Esta etapa parte del listado
de riesgos priorizados y
redactados con su respectiva
1. Identificación de controles - Atributos
probabilidad, impacto y
informativos riesgo inherente obtenidos
en la etapa de “Análisis del
2. Evaluación de los controles - atributos de riesgo”.
eficiencia y eficacia
En esta etapa se construye la
segunda parte del “Perfil de
3. Cálculo del riesgo residual riesgos” y se procede con
comprensión.
4. Análisis e interpretación del perfil de riesgo
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo ETAPA 4 - Identificación de controles - tipos
• Recaen sobre las causas atacando la
probabilidad de ocurrencia del
riesgo, previniendo así su
materialización. Controles
preventivos y detectivos
Controles de probabilidad
• Recaen en la consecuencia generada

por la eventual materialización del
riesgo, atacando y mitigando los
efectos generados. Controles
correctivos y detectivos
Se debe garantizar en la medida de lo posible en
cada riesgo, la existencia de un control para cada
Controles de impacto
causa (raíz e inmediata) e impacto
riesgo
ETAPA 4 - Identificación de controles - características elementales
• El control debe ser aplicado en el momento adecuado respecto al evento que se espera
Oportunidad controlar.
Economía (Costo - • El costo del control no debe superar el beneficio derivado de su aplicación. Su representación en
beneficio) tiempo y dinero debe justificarse con las ventajas reales de los resultados que se obtengan.
• Los controles deben corresponder con actividades importantes dentro del proceso y no con
Significancia cuestiones sin trascendencia.
 El control debe ejecutarse con facilidad sin crear confusiones. Si un control resulta
Operatividad incomprensible para el usuario, a la larga este será ignorado.
 El control debe guardar estrecha relación con los riesgos asociados a través de su objetivo, es
Funcionalidad decir se debe tener claridad en cuanto a qué se busca con la aplicación de dicho control.
• Se debe estimar si es posible que el control se ejecute con las condiciones tecnológicas,
Viabilidad técnica conocimientos y herramientas disponibles.
Apego jurídico • El control debe estar sujeto a la legislación que rige a la Institución y subordinado al principio de
(Opcional) legalidad.
riesgo
ETAPA 4 - Identificación de controles - Atributos informativos
Atributo Descripción Ejemplo
Código Identificador único que permite diferenciar el control de un CTI.013
riesgo de cualquier otro control.
Nombre Nombre asignado al control, se sugiere en su redacción que este Creación de copias de seguridad para los Sistemas de información
tenga implícita una acción acompañada de un sustantivo.
Responsable Persona, dependencia, procesos, sistema, tecnología o área Funcionario de seguridad de la DNED
encargada de su implementación.
Objetivo Establece para qué se realiza la actividad del control. Mantener respaldos de la información que reposa en los aplicativos en un
(¿Qué hace?) servidor /data center alterno para su uso en caso de emergencia –
perdida de información.
Descripción Procedimiento o paso a paso llevado a cabo para cumplir con la 1. Por medio del sistema de información, se crea y descargaa la copia de
(¿Cómo lo actividad /objetivo del control. seguridad. 2. La copia de seguridad generada es probada en el ambiente
hace?) de pruebas del sistema, 3. La copia de seguridad es almacenada en el
servidor "Copias de seguridad SI".
Frecuencia de Periodicidad con la que se ejecuta el control, esta puede ser: Mensual
ejecución - Permanente, diaria o constante.
- Periódica: Semanal, quincenal, mensual, bimestral, trimestral,
semestral, anual, …,
- Ocasional o por evento.
riesgo
ETAPA 4 - Identificación de controles - Atributos informativos
Atributo Descripción Ejemplo
Fecha de Fecha en la que se está realizando la identificación, 01/02/2023
evaluación seguimiento del control, valoración de su eficiencia o
eficacia.
Variable que Establece si combate la variable "Probabilidad" o Impacto
reduce "Impacto".
Causa / Causa(s) o impacto definido para el riesgo en la etapa de Pérdida de información.

impacto que identificación que se espera combatir con el control.
combate
Documentado Establece si el control cuenta con documentación Si, Guía de implementación en el Sistema SoftExpert Código.
controlada o no relacionada sobre su descripción y/o uso, o U.GU.11.005.013. Incluido en la Política de Copias de seguridad
si se encuentra definido en alguna normatividad aplicable. emitida por la DNED.
Tipo de Define cuál es el soporte de la ejecución del control que Copia de seguridad en archivo comprimido almacenada en un servidor
evidencia permita validar en algún momento la eficacia de su en la nube.
implementación.
Desviaciones Hace alusión al curso a seguir ante las observaciones Si en la actividad de crear y descargar la copia de seguridad ocurre un
del control encontradas durante la implementación del control. incidente, reintente el proceso, en caso de persistir el error
comuníquese con el área encargada a través de la mesa de ayuda.
riesgo
ETAPA 4 - Evaluación de los controles - Atributos de eficiencia
(Diseño)
Atributo Descripción Peso Ejemplo
Control accionado antes o al inicio de que se realice la actividad originadora

Preventivo 25%
del riesgo.
Naturaleza del
control (25%) Control accionado durante la ejecución de la actividad detectando el riesgo, Correctivo
Detectivo 20%
(Momento en el permitiendo corregir o evitar sus deficiencias, pero generan reprocesos. (15%)
que actúa)
Control que actúa al finalizar la actividad o después que se materializa el
Correctivo 15%
riesgo, algunos suelen tener costos implícitos.
Controles embebidos en la infraestructura tecnológica o sistemas de

Automático información que se ejecutan sin intervención humana, suelen ser 10%
actividades de procesamiento o validación de información.
Nivel de
Controles que no son automáticos, pero si involucran el uso de TIC Automático
automatización Semiautomático 7%
(Tecnologías de la información y Comunicaciones) y talento humano. (10%)
(10%)
Controles que no involucran el uso de tecnologías de información, son

Manual 5%
ejecutados por personas y tienen implícitos el error humano.
riesgo
(Diseño)
Abrituto Descripción Peso Ejemplo
Control aplicado a todos los eventos que pueden desencadenar la causa sin
Total importar sus características. Son usados a discreción de una persona, 25%
procedimiento, normatividad o tecnología específica.
Control aplicado a una parte considerable de los eventos que pueden
Cobertura (25%) Parcial desencadenar la causa, limitado a sus características. Son usados a discreción de 15% Parcial (15%)
una persona, procedimiento, normatividad o tecnología específica.
Controles que se aplica a una pequeña porción o a ninguno de los eventos que
Nula 0%
pueden desencadenar la causa.
El control se realiza con la misma periodicidad que se ejecuta que actividad que
Optimo 15%
conlleva al riesgo.
Nivel de
Periodicidad El control se realiza la mayoría de las veces que se ejecuta la actividad que conlleva
Bueno 10% Bueno (10%)
de ejecución a riesgo.
(15%)
El control se ejecuta con una escasa periodicidad con relación a la ejecución de la
Malo 5%
actividad que conlleva al riesgo.
riesgo
Abrituto (Diseño)
Descripción Peso Ejemplo
Definido, documentado, El control se encuentra con información documentada, hace parte del quehacer
del proceso, estrategia, proyecto y/o sistema de gestión, es conocido y aplicado
por las personas involucradas, y se realiza seguimiento para la toma de 25%
implementado socializado y
seguimiento decisiones.
Definido,
Madurez El control se encuentra con información documentada, hace parte del quehacer documentado,
Definido, documentado,
del control del proceso, estrategia, proyecto y/o sistema de gestión, y es conocido y 20% implementado
implementado y socializado aplicado por las personas involucradas.
(25%) y socializado
Definido, documentado, El control cuenta con información documentada y hace parte del quehacer del (20%)
implementado proceso, estrategia, proyecto y/o sistema de gestión. 15%
Definido y documentado El control cuenta con información documentada 10%
Definido El control se encuentra operando de manera informal 5%
El porcentaje máximo de
eficiencia del control es
100%, se obtiene al
sumar el peso de cada
atributo.
riesgo
ETAPA 4 - Evaluación de los controles - Atributos de eficacia
Atributo (implementación)
Descripción Peso Ejemplo
Se cumplió completamente o en alta proporción el objetivo definido para el

Alto 35%
control durante su implementación.
Cumplimiento
Se cumplió medianamente o en una media proporción el objetivo definido
del objetivo Medio 20% Alto (35%)
para el control durante su implementación.
(35%)
Se cumplió nulamente, escasamente o en una baja proporción el objetivo
Bajo o nulo 0%
definido para el control durante su implementación.
Se observa que el control es de fácil aplicación y se encuentra apropiado en el
Simple 15%
proceso, estrategia, proyecto, sistema de gestión u objeto evaluado.
Complejidad
NO Se observa que el control es de fácil aplicación y que se encuentra Simple (15%)
(15%)
Complejo apropiado en el proceso, estrategia, proyecto, sistema de gestión u objeto 5%
evaluado.
El control es ejecutado con la frecuencia y por el responsable definido en los
Pertinente 20% No
Pertinencia de atributos informativos.
pertinente
ejecución (20%) El control NO es ejecutado con la frecuencia y/o por el responsable definido
No pertinente 0% (0%)
en los atributos informativos.
riesgo
ETAPA 4 - Evaluación de los controles - Atributos de eficacia
(implementación)
Atributo Descripción Peso Ejemplo
Evidencia Se cuenta con soportes suficientes y pertinentes para garantizar la correcta

Evidencia de la 30% Evidencia
suficiente implementación y trazabilidad del control.
ejecución del suficiente
control (30%) Evidencia NO se cuenta con soportes suficientes y pertinentes para garantizar la (30%)
0%
insuficiente correcta implementación y trazabilidad del control.
El porcentaje máximo de eficiencia del

control es 100%, se obtiene al sumar el
peso de cada atributo.
La eficacia no genera disminución en los

niveles de probabilidad e impacto, pero se
encarga de validar que el diseño
(eficiencia) garantice esta disminución.
riesgo
ETAPA 4 - Evaluación de los controles - Efectividad del control
El porcentaje de efectividad de los controles se obtiene operando los porcentajes de eficiencia y

eficacia según la siguiente formula:
𝑬𝒇𝒆𝒄𝒕𝒊𝒗𝒊𝒅𝒂𝒅 𝒅𝒆𝒍 𝒄𝒐𝒏𝒕𝒓𝒐𝒍=% 𝑬𝒇𝒊𝒄𝒊𝒆𝒏𝒄𝒊𝒂 ( 𝟎 ,𝟑𝟓 ) +% 𝑬𝒇𝒊𝒄𝒂𝒄𝒊𝒂 ( 𝟎,𝟔𝟓 )
La efectividad permite obtener una valoración del éxito de un control a través de su eficiencia y
eficacia en relación estrella y directa con un riesgo en particular.
El porcentaje máximo de efectividad de un control es 100%
riesgo
ETAPA 4 - Cálculo del riesgo residual (nivel de riesgo y nivel de
aceptabilidad )
Después de obtener la eficiencia del control, se
procede a obtener el riesgo residual, para ello se parte
de los niveles de probabilidad e impacto residuales,
donde se toma de cada control su variable a reducir y
el numero de niveles que disminuye, luego se empieza
a disminuir de forma acumulativa los niveles de
probabilidad e impacto hasta terminar con el último
control , los valores de probabilidad e impacto
resultantes se operan para obtener el riesgo residual,
el cual debe ubicarse en el mapa de calor .
Los riesgos residuales “Altos” y “Extremos” deben

ser priorizados
El nivel de aceptabilidad se obtienen con base a la
tabla de niveles de aceptabilidad de la etapa 3 -
análisis del riesgo.
riesgo
ETAPA 4 - análisis e interpretación del perfil de
riesgos
El perfil de riesgo, compuesto

por el nivel de riesgo-
aceptabilidad inherente y
residual permite comparar e
interpretar uno o varios riesgos
en uno o varios periodos de
tiempo de uno o varios procesos.
Puede entenderse como las

fotografías de la valoración de
los riesgos tanto inherentes
como residuales de la UNAL
que se van modificando a través
del tiempo.
Perfil de riesgo para múltiples riesgos en un periodo de

tiempo
riesgo
ETAPA 4 - análisis e interpretación del perfil de
riesgos
Perfil de
riesgo
para
múltiples
riesgos en
dos
periodos
de tiempo
ETAPA 5 - Tratamiento del riesgo
Esta etapa parte del listado

1. Opción de tratamiento para los riesgos de riesgos con su riesgo
inherente, riesgo residuales y
controles.
2. Planes de acción para riesgos residuales El centro de atención de esta

significativos y riesgos materializados etapa son los riesgos
residuales significativos, con
el fin de conducirlo a la
capacidad definida por la
3. Indicadores clave de riesgo KRI’s para UNAL
riesgos residuales significativos
2.5 MIGR - Metodología GR procesos - Tratamiento del
riesgo ETAPA 5 - Opciones de tratamiento para los riesgos
Rango Nivel de Descripción Opción de tratamiento (después de obtener el nivel de
riesgo residual)
aceptabilidad
La opción de tratamiento de un riesgo
se determina a partir de su nivel de Entre 1 Bajo En este nivel se pueden Asumir (Aceptar)
riesgo residual. y4 asumir los riesgos. Riesgos
aceptables.
Entre 5 Moderado Riesgos tolerables, límite
Asumir (Aceptar)
Los riesgos bajos y moderando se y 10 de la capacidad de riesgos
Reducir
encuentran dentro de la Capacidad de definida por la UNAL Transferir
riesgo definida por la UNAL y no Entre Alto Riesgos importantes por Opción de tratamiento
requieren PA 11 y 30 fuera de la capacidad de - Reducir
riesgos definida por la - Transferir
UNAL Otras acciones obligatorias
Los riesgos altos y extremos por fuera - Definir los KRI's
de la capacidad de riesgo requieren PA - Reportar a la instancia correspondiente.
Entre Extremo Riesgos inaceptables por Opción de tratamiento
31 y fuera de la capacidad de - Reducir (mitigar) con nuevos controles,
Los riesgos materializados de 100 riesgos definida por la planes de acción o actividades.
cualquier nivel de aceptabilidad UNAL. - Transferir
requieren PA Otras acciones obligatorias
- Definir los KRI's
- Reportar a la instancia correspondiente.
riesgo ETAPA 5 - Opciones de tratamiento para los riesgos
Opción Descripción
Asumir Implica aceptar el riesgo y las consecuencias que conlleve en caso de que llegue a materializarse. Generalmente
(Aceptar) esta opción se toma cuando la probabilidad y el impacto no son altos y no se arriesga la estabilidad de la
institución, o bien cuando el tratamiento es demasiado costoso y no representa un mayor beneficio.
Esta opción también aplica para aquellos riesgos que, a pesar de haber implementado mecanismos de mitigación,
no es posible reducir su nivel de riesgo residual al nivel de tolerancia (Bajo o moderado) definido por la UNAL, Ello
acarrea un monitoreo más frecuente y exigente.
Reducir Busca reducir la probabilidad de ocurrencia del riesgo o el impacto de su materialización incluyendo más controles
o diseñando y ejecutando planes de acción.
Transferir Trasladar a un tercero ajeno al proceso, estrategia, proyecto o sistema de gestión la administración del riesgo. Lo
(Compartir) más usual es recurrir a la tercerización o la adquisición de pólizas o seguros.
Evitar Usada cuando no se va a proceder con la actividad que tiene la posibilidad de generar el riesgo, al evitar el riesgo
se puede:
- Decidir no ejecutar la actividad que conlleva al riesgo
- Eliminar la actividad que conlleva al riesgo
- Sustituir la actividad que desencadena el riesgo por otra menos riesgosa
Esta opción de tratamiento puede implicar el diseño y ejecución de planes de acción.
riesgo ETAPA 5 - Planes de acción
Tipo de Descripción
Los riesgos materializados plan
y los riesgos residuales Diseñar Conjunto de actividades planificadas y ejecutadas para obtener como resultado un
altos y extremos (con nuevo nuevo control de probabilidad o impacto para el riesgo asociado. Utilizados para los
control riesgos residuales con opción de tratamiento Reducir.
opción de tratamiento
asumir) requieren Plan de Mejorar Conjunto de actividades planificadas y ejecutadas para obtener como resultado la
control mejora / optimización de un control de probabilidad o impacto para el riesgo
Acción asociado. Utilizados para los riesgos residuales con opción de tratamiento Reducir.
El plan de acción debe Gestionar Actividades planificadas y ejecutadas para combatir, reducir o eliminar la(s) causa(s)
contener: causas asociadas al riesgo. Utilizados para los riesgos residuales con opción de tratamiento
- Actividades Reducir o Evitar.
- Responsables Gestionar Actividades planificadas y ejecutadas para:
- Fechas de ejecución riesgos - Disminuir los impactos de un evento materializado, o
- Resultados esperados materializad -
Volver a las condiciones normales luego de la materialización del riesgo (Conocido
os
- Ser priorizados según como plan de contingencia o plan de recuperación de desastres), o
- Implementar mecanismos para evitar la repetición de un riesgo materializado.
su relación B/C
riesgo ETAPA 5 - Indicadores clave de riesgo KRI’s
Atributo Descripción
Se deben Nombre Nombre asignado al indicador, debe ser conciso y orientado a medir la Causa (Raíz y/o
formular y inmediata) o el impacto.
obtener Descripción o Descripción del indicador relacionada con su uso u obtención. También hace alusión a la
fórmula (Opc) fórmula para la medición del indicador.
periódicamente
para los riesgos Frecuencia de Establece cada cuanto se debe obtener el indicador y verificar su estado.
residuales altos y medición
extremos. Estados de Indican los rangos - niveles de alerta del indicador con base a tres estados:
alerta - Bueno (Sin alerta): el indicador está en un rango tal que no implica una señal de alerta.
Generan alertas - Regular (en alerta): el indicador está en un rango tal que requiere una revisión para
definir si se deben emprender acciones para su seguimiento especial, disminución o
que permiten retorno a los valores "Sin alerta"
detectar el estado - Malo (Alerta crítica): El indicador está en un rango tal que requiere de manera
actual del riesgo prioritaria emprender acciones obligatorias para su disminución o retorno a la
normalidad (Sin alerta)
(bueno,
moderado, malo)
Resultado del Es el valor de la medición del indicador, se obtiene con base a la frecuencia de medición
indicador establecida y la fórmula (opcional) para su obtención.
riesgoETAPA 5 - Indicadores clave de riesgo KRI’s - Ejemplo
ETAPA 76 - Seguimiento y revisión
Actualización del contexto

El seguimiento debe:
- Ser dirigido por la 2LD de cada Reporte y seguimiento de riesgos residuales significativos
Ac
tipología posibles o materializados tivi
- Ser ejecutado por la 1LD da
- Ejecutar las acciones con la Evaluación de controles des
siguiente periodicidad
Seguimiento a planes de acción
Nivel de Periodicidad de
aceptabilidad seguimiento
Actualización de riesgos vigentes
Bajo Anual
Moderado Anual
Gestión de nuevos riesgos y riesgos emergentes
Alto Semestral
Extremo Cuatrimestral Análisis del perfil de riesgos
Indicadores y estadísticas
ETAPA 6 - Reporte y Gestión de riesgos significativos y materializados
Reportar y evaluar el impacto del

Reporte y seguimiento riesgos residuales RM
significativos
Elaborar el Plan para la gestión RM
Reporte del riesgo residual de alto impacto
significativo
Ejecutar el plan
Seguimiento periódico
Seguimiento del plan
Escalamiento Escalamiento y asesoría del RM
Reporte y seguimiento riesgos materializados de alto

impacto
ETAPA 7 - Comunicación y consulta
El objetivo de esta etapa es el intercambio de información y la comprensión de la

gestión por los Grupos de interés, lo que conllevará a la toma de decisiones sobre la
base de una información confiable y consistente.
La comunicación busca promover la toma de conciencia y la comprensión del riesgo;

la consulta implica obtener retroalimentación e información para apoyar la toma de
decisiones frente a la gestión integral y particular del riesgo. Esta etapa es permanente
y se debe desarrollar de manera participativa en todas y cada una de las etapas del
proceso para la gestión del riesgo
Para el desarrollo de esta etapa se pueden utilizar diferentes estrategias y

herramientas, como lo son: el diseño y ejecución de planes de comunicación, la
comunicación por medios oficiales y electrónicos, reuniones virtuales o presenciales,
espacios de trabajo colaborativo, entre otros
ETAPA 8 - Registro e informe
Tipo Informe Instancia(s) que elabora
Informe institucional de Gestión integral del riesgo
Institucional - General Coordinación SIGA Nivel Nacional
(Insumo: informes de cada tipología de riesgos del MIGR UNAL)
Institucional – General Informe de seguimiento a la Política Integral de Gestión del Riesgo Coordinación SIGA Nivel Nacional
Informe de Gestión de riesgos de corrupción Coordinadores del SGC Nivel Nacional y Sedes
Proceso
Informe de Gestión de riesgos operativos-PAMEC Coordinadores del SGC Nivel Nacional y Sedes
Estratégico Informe de gestión de riesgos estratégicos DNPE, Oficinas de Planeación y estadística de sede
Informe de Gestión de riesgos de proyectos de inversión DNPE, Oficinas de Planeación y estadística de sede
Informe de Gestión de riesgos de proyectos de extensión DNEIPI (Por validar y aprobar)
Proyecto Informe de Gestión de riesgos de proyectos de investigación DNIL (Por validar y aprobar)
Informe de Gestión de riesgos de proyectos de regalías VRI, DNPE (Por validar y aprobar)
Informe consolidado de gestión de riesgos de proyectos (Insumo: informes
Por definir
de cada tipo de proyectos)
Ambiental Por definir Por definir
Seguridad información Por definir Por definir
Seguridad y salud trabajo Por definir Por definir
Fraude, LA y FT Por definir Por definir
6. Cambio estrategia acompañamiento SGC a los procesos en
GR Estrategia 2022: Coordinaciones SGC apoyando Estrategia 2023: Coordinaciones SGC apoyando
todos los procesos en el nivel sede VS 3-6 procesos en todos sus niveles de aplicación
Múltiples acompañamiento a un proceso

desde diferentes sedes (1 a N) Una Coordinación SGC sede - NN para
apoyar y acompañar a un proceso (1 a 1)
Operación
Operación
Múltiples esfuerzos de las Coordinaciones
SGC para apoyar a un proceso ( N a 1)
Necesidades de conocimiento y apropiación
Necesidad de conocimiento y apropiación de limitados procesos en las Coord SGC
de todos los procesos en las Coord SGC
Calidad información en
Calidad información en
Disminución en la confiabilidad e integridad Aumento en la confiabilidad e integridad en
de la información de la GR la información de la GR
Retrasos en la entrega de información de Mayor oportunidad en la entrega de

parte de los procesos información de parte de los procesos
Escasa gobernabilidad y control sobre la Mayor gobernabilidad y control sobre la

la GR
la GR
información de la GR en las Coord SGC sede información de la GR en las Coord SGC sede
6. Cambio estrategia acompañamiento SGC a los procesos en
GR
PROCESO - MEJORAMIENTO DE LA
GESTIÓN
Monitoreo y
actualización de
Prueba piloto del
los riesgos
Marco Integral de
operativos y de
Gestión del Riesgo
corrupción Circular
VRG 04 -2022
Conversión  Matriz DOFA

Productos
Productos
 Fichas escenario riesgo
 Formato Matriz de riesgos
 Formatos de eficiencia y eficacia de controles
de procesos MIGR
 Formato impacto RC
 Evidencias acciones monitoreo
Coordinaciones del SGC y equipo SIGA NN Gestor de riesgos SIGA Nivel Nacional
6. Actividades Acompañamiento SGC a los procesos 2023-2024
Coordinaciones SGC Lideres y funcionarios procesos Coordinación SIGA NN
Asesorar y acompañar en Trabajar articuladamente Asesorar a los integrantes

la identificación de la con la Coordinación SGC de las Coordinaciones SGC
Matriz de riesgos asignada en la GR - MR en la GR y formato MR
Convocar y promover los Consolidación y registro

Asesorar y acompañar en
espacios para la GR-MR en en SoftExpert de los
el seguimiento de la MR
todos sus niveles aplic resultados de la GR - MR
Reportar los resultados de Responder por los riesgos, Elaboración de informes

la gestión de la MR a la controles y planes de con los resultados de la
Coordinación SIGA NN acción de su MR GR - MR
GR: Gestión de riesgos MR: Matriz de riesgos
Coordinaciones SGC asignadas a cada proceso
• 03.001 DIG • 03.004 DIO • 03.002 DPA • 02.004 ARE • 01.001 DEI
• 03.001 DCultural • 05.007 GAAF • 06.005 G Extensión • 07.008 BU • 13.004 G Jurídica
• 04.003 GICA • 07.007 G Egresados • 08.007 GTH • 11.005 GD • 14.001 EI
• 10.004 GLab • 09.006 GRSB • 12.010 G Financiera • 12.007 GODF • 15.001 MG
• 17.001 GED • 12.001 GABS • 12.007 GODF Palmira • 16.007 SSS
• 11.002 GTec • 12.007 GODF Manizales • 12.008 SGAA • 16.008 SSP
• 12.007 GODF Bogotá Medellín • 12.008 SGAA Palmira
• 12.008 SGAA Bogotá • 12.008 SGAA Manizales
• 14.007 CD Medellín
SGC Bogotá SGC Medellín SGC Manizales SGC Palmira SIGA NN
• 12.007 GODF • 12.007 GODF Caribe • 12.007 GODF • 12.007 GODF Tumaco • 12.007 GODF La Paz
Amazonía • 12.008 SGAA Caribe Orinoquía • 12.008 SGAA • 12.008 SGAA La Paz
• 12.008 SGAA • 12.008 SGAA Tumaco
Amazonía Orinoquía
SGC Amazonía SGC Caribe SGC Orinoquía SGC Tumaco SGC La Paz
Gracias

Capacitación MIGR - R Procesos Coordinadores SGC

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capacitación MIGR - R Procesos Coordinadores SGC

Cargado por

Copyright:

Formatos disponibles

MIGR:

Gestión Integral del Riesgo y pautas

• Medida que mantiene y/o modifica un riesgo.

Impacto • Resultado de las causas que afectan a los objetivos.

• Nivel de afectación obtenido al operar o ubicar en el mapa de calor la probabilidad y el

Fomenta la Protección y creación de valor institucional

Contribuye al cumplimiento de los objetivos y estrategias

Reducción y mitigación de eventos no deseados (riesgos)

Facilita el diseño e implementación de un enfoque estructurado para la GR

Aporta información de valor para los procesos, estrategias, proyectos y SG

Mejorar la resiliencia y la capacidad de anticipar y responder ante el cambio

Fomentar el autoconocimiento y el pensamiento basado en riesgos

Contribuir con la cultura de transparencia, la

Línea estratégica 3LD - Evaluación independiente a la GR

Funciones propias de evaluación

ONCI - Evaluación de la efectividad del

semestral través de:

1LD - Autocontrol y Gestión de riesgos

Tipología de Responsables Responsabilidades

Etapas del proceso

Se debe llevar un registro vigencia

4. Tips para la correcta redacción de riesgos

Impacto Causa Inmediata Causa Raiz

Adicional a los 4 elementos anteriores, se debe

• Inadecuado funcionamiento de la plataforma estratégica donde se realiza el

• Pérdida de expedientes, registros e información en general en medios físicos o

3. Ubicación en el Mapa de calor

4. Conceptos de apetito, tolerancia y capacidad

Vl Nivel Frecuencia actividad Frecuencia Descripción (Factibilidad)

N.° PREGUNTA: RESPUESTA

Mapa de calor riesgos de

Mapa de calor riesgos operativos

4. Análisis e interpretación del perfil de riesgo

• Recaen en la consecuencia generada

Causa / Causa(s) o impacto definido para el riesgo en la etapa de Pérdida de información.

Control accionado antes o al inicio de que se realice la actividad originadora

Controles embebidos en la infraestructura tecnológica o sistemas de

Controles que no involucran el uso de tecnologías de información, son

Se cumplió completamente o en alta proporción el objetivo definido para el

Evidencia Se cuenta con soportes suficientes y pertinentes para garantizar la correcta

El porcentaje máximo de eficiencia del

La eficacia no genera disminución en los

El porcentaje de efectividad de los controles se obtiene operando los porcentajes de eficiencia y

El porcentaje máximo de efectividad de un control es 100%

Los riesgos residuales “Altos” y “Extremos” deben

El perfil de riesgo, compuesto

Puede entenderse como las

Perfil de riesgo para múltiples riesgos en un periodo de

Esta etapa parte del listado

2. Planes de acción para riesgos residuales El centro de atención de esta

Actualización del contexto

Reportar y evaluar el impacto del

Escalamiento Escalamiento y asesoría del RM

Reporte y seguimiento riesgos materializados de alto

El objetivo de esta etapa es el intercambio de información y la comprensión de la

La comunicación busca promover la toma de conciencia y la comprensión del riesgo;

Para el desarrollo de esta etapa se pueden utilizar diferentes estrategias y

Múltiples acompañamiento a un proceso

Retrasos en la entrega de información de Mayor oportunidad en la entrega de

Escasa gobernabilidad y control sobre la Mayor gobernabilidad y control sobre la

Conversión  Matriz DOFA

Coordinaciones SGC Lideres y funcionarios procesos Coordinación SIGA NN

Asesorar y acompañar en Trabajar articuladamente Asesorar a los integrantes