Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
1.1 MIGR - Objetivo y
Alcance
• Integrar y orientar la gestión del • Institucional: todas las tipologías
riesgo institucional a través del de riesgos presentes en los
diseño, implementación, evaluación procesos, estrategias, proyectos y
y mejora de un marco de políticas, sistemas de gestión.
responsabilidades, tipologías de
riesgos y pautas metodológicas • Todos los funcionarios y
generales y particulares que dependencias de la UNAL con
permitan identificar, analizar, responsabilidades frente a la
valorar, tratar, comunicar, gestión del riesgo.
monitorear e informar los riesgos a
los que se expone la UNAL con base
al apetito, la tolerancia y la capacidad
definidas
Objetivo Alcance
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
1.2 MIGR - Definiciones
• Efecto de la incertidumbre sobre los objetivos, Con frecuencia el riesgo se expresa en
Riesgo términos de sus causas, su probabilidad de ocurrencia y sus consecuencias
• Marco utilizado para asistir a la organización en integrar la gestión del riesgo en todas sus
MIGR actividades, funciones, procesos y sistemas de gestión siendo clave el apoyo de la alta
dirección
Política Integral • Declaración de la dirección y las intenciones generales de una organización con respecto a
GR la gestión del riesgo.
• Todos aquellos eventos o factores internos y externos que solos o en combinación con
Causa otros, pueden producir la materialización de un riesgo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
1.2 MIGR - Definiciones
Probabilidad • Posibilidad de que algo suceda
• Elemento que permite visualizar de forma gráfica la ubicación y distribución de los riesgos
Mapa de calor inherentes y residuales según su nivel de aceptabilidad (bajo, moderado, alto, extremo)
• nivel de riesgo que la entidad puede aceptar en relación con sus objetivos, el marco legal
Apetito de riesgo y las disposiciones de la alta dirección
Capacidad de • máximo valor del nivel de riesgo que una entidad puede soportar y a partir del cual se
riesgo considera por la alta dirección que no sería posible el logro de los objetivos de la entidad
Tolerancia de • valor de la máxima desviación admisible del nivel de riesgo con respecto al valor del
riesgo apetito de riesgo determinado por la entidad
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
1.3 MIGR - Beneficios
Integra la Gestión del riesgo con la toma de decisiones desde la Alta Dirección
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
1.4 MIGR - Marco Legal
Normativa transversal
Normativa Emitida por Origen
Ley 87 de 1993 Gobierno Nacional – Congreso de Colombia Externa Existen otras
regulaciones adicionales
Ley 489 de 1998 Gobierno Nacional – Congreso de Colombia Externa aplicables propias de
Ley 1474 de 2011 Gobierno Nacional – Congreso de Colombia Externa cada tipología de riesgos
contenida en el MIGR,
Decreto 1083 de 2015 Presidencia de la Republica - DAFP Externa ejemplos:
- Normativa BPUN
Decreto 648 de 2017 Presidencia de la Republica – DAFP Externa
para proyectos de
Decreto 1499 de 2017 Presidencia de la Republica Externa inversión
- Decreto 780 de 2019
Resolución 316 de 2018 Rectoría Interna
del Ministerio de
Ley 2195 de 2022 Gobierno Nacional – Congreso de Colombia Trabajo para
RPAMEC
Resolución 605 de 2022 Rectoría Interna
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
1.5 MIGR - Estrategia de implementación 2023-2024
Fase 1
Etapa 1 Retroalimentación e
implementación en
riesgos de Sistemas
de Gestión y otros.
Prueba piloto: Retroalimentación e
Riesgos del proceso implementación en
“Mejoramiento de la riesgos estratégicos
gestión y de proyectos
Informe
consolidado
Próxima a finalizar
(Mayo 2023) Conformació
n del ETIR
Implementación
en los riesgos de Etapa 2
Por Iniciar
procesos
(Junio 2023)
ETIR: Equipo Técnico Integral de Riesgos
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.1 MIGR - Conceptualización: Ciclo y etapas GR
Contexto
Ciclo Gestión Diseño
integral del Identificación
riesgo
Análisis
Política Pautas
Integral Metodológicas
Valoración
Mejora Implementación
Roles y
Resposabilidad Tipologías
CNIR
Tratamiento
Etapas Comunicación
Gestión del y seguimiento
riesgo
Registro e
Verificación informe
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.2 MIGR - Política Integral de Gestión del Riesgo
Direccionar la GR institucional a través de
lineamientos y pautas metodológicas que
permitan a los encargados implementar un
proceso para administrar sus tipologías de
riesgos
Objetivos
Fortalecer y direccionar la gestión de riesgos de
procesos por medio de estrategias de
monitoreo y acompañamiento.
7 Categorías de
Principios y disposiciones
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.3 MIGR - Tipologías de riesgos
Tipo de riesgo Sistemas / Instancias responsable
Estratégicos DNPE, VRG, VRA, VRI, Secretaría General, Rectoría, CSU, GNFA, Vicerrectorías y Direcciones de
sedes de presencia Nacional, líderes de los procesos estratégicos
Proyectos DNPE, VRI, DNE, DNIL, directores, supervisores e interventores de los proyectos. Comités y otros.
Seguridad de la DNED, Sistema de Gestión de Seguridad de la Información, dueños o propietarios de los activos de
información (SI) información y de procesamiento de información.
Fraude, LA y FT GNFA y otros (Por definir y validar)
Procesos (Operativos Líder SGC Nivel Nacional, SGC (Coordinaciones del SGC en sede), Líderes y funcionarios de los
corrupción y PAMEC) procesos, UNISALUD
Seguridad y salud en Sistema de Gestión y Seguridad y Salud en el Trabajo
el trabajo (SST)
Ambientales Sistema de Gestión Ambiental, Comité Técnico Nacional de Gestión Ambiental, Jefes de Oficinas
de Gestión Ambiental, y/o responsables de gestión ambiental de las sedes, y líderes de los
procesos.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.3 MIGR - Tipologías de riesgos
Matriz relacional
entre las tipologías
de riesgos contenidas
en el MIGR
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.4 MIGR - Roles y Responsabilidades Modelo 3LD
gestión del riesgo y tomar decisiones frente independiente a los procesos, estrategias,
a los resultados de su seguimiento proyectos y sistemas de gestión realizadas a
supervisar su cumplimiento
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.4 MIGR - Roles y Responsabilidades Modelo 3LD
2LD - Autoevaluación, acompañamiento y seguimiento a la GR
Tipología de Responsables Responsabilidades
riesgo
Institucional - Comité o grupo Nacional Integral de Riesgos Servir de ente asesor especializado en gestión integral del riesgo al
Transversal CNCSCI
Institucional - Coordinación SIGA Nivel Nacional Generar lineamientos, asesoría y seguimiento transversal a la
Transversal gestión integral del riesgo realizada por los principales responsables
de las tipologías del MIGR y la 1ra línea de defensa.
Procesos Acompañamiento, seguimiento y definición de lineamientos,
Líder SIGA Nivel Nacional, Coordinadores del SGC
en sede o QHSV herramientas y documentos particulares para la gestión de las
tipologías de riesgos del MIGR ejecutadas por la 1LD:
Estratégicos Comité Nacional de Planeación Estratégica. DNPE.
- Elaborar / impartir Lineamientos, herramientas, capacitación,
Oficinas de planeación y Estadística en las Sedes
orientación y alertas
Proyectos DNPE. VRI. Supervisores e interventores. Otros- Establecer mecanismos particulares para el seguimiento y
autoevaluación de la GR
Ambientales Comité Técnico Nacional de Gestión Ambiental. - Brindar asesoría y acompañamiento a los integrantes de la 1LD
Coordinación Nacional de Gestión Ambiental - Coordinar y consolidar los resultados del seguimiento de la GR
ejecutado por la 1LD, reportando los resultados al SIGA
SI Por definir
- Apoyar la gestión de riesgos residuales significativos posibles o
SST Por definir materializados identificados por la 1LD.
Fraude, LA y FT Por definir
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.4 MIGR - Roles y Responsabilidades Modelo 3LD
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 Metodología Generalidades y particularidades
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 1 - Establecimiento del
contexto
La 2LD de cada Tipo riesgo debe
facilitar e instruir en el uso de
herramientas y métodos para
Establecer el Contexto, dando
asesoría y acompañamiento a la
1LD en su levantamiento.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 2 - Evaluación del Riesgo - Identificación del riesgo
Esta etapa parte de los
resultados obtenidos en el
“Establecimiento del
1.Identificación y priorización de riesgos partiendo
Contexto”
del establecimiento del contexto
Para facilitar la
2. Redacción de riesgos operativos y de cualquier identificación de riesgos, el
tipología (Impacto, Causa Inmediata, Causa Raiz) MIGR contiene ejemplo de
causas e impactos que
pueden ocasionar / afectar a
3. Redacción de riesgos de corrupción los procesos, proyectos,
estrategias y sistemas de
gestión
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Identificación del
riesgo
ETAPA 2 - Identificación y priorización de riesgos partiendo del
Contexto
Criterios
1. Cuáles tienen mayor impacto y repercusión en el cumplimiento de los objetivos.
2. Cuáles tienen impacto en el cumplimiento de la misión y/o visión de la UNAL. Para facilitar la
3. Cuales ya se han materializado. identificación de riesgos, el
4. Cuáles tienen mayor afectación en la conformidad o prestación de los productos, servicios,
entregables, y otros.
MIGR contiene ejemplo de
causas e impactos que
5. Cuáles tienen mayor impacto en el cumplimiento de las metas e indicadores establecidos.
pueden ocasionar / afectar a
6. Cuáles han desencadenado un hallazgo recurrente a partir de una evaluación interna o externa
los procesos, proyectos,
7. Cuáles son de Gobierno del proceso, estrategia, proyecto o sistema de gestión, donde recae la
autoridad y responsabilidad para su gestión. estrategias y sistemas de
gestión
8. Cuáles tienen mayor complejidad según su alcance y naturaleza en relación con el éxito de la
UNAL.
9. Cuáles tienen mayor rapidez de afectación y propagación.
10. Cuáles tienen mayor persistencia, es decir, el tiempo durante el que el riesgo impacta la
UNAL.
11. Cuáles tienen mayor repercusión en la capacidad de recuperación de la UNAL para retornar a
los niveles de tolerancia definidos o a la normalidad en la operación.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Identificación del
riesgo
ETAPA 2 - Redacción de riesgos operativos aplicable a cualquier
tipología
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Identificación del
riesgo
ETAPA 2 - Redacción de riesgos operativos - Ejemplos
Proceso Frase inicial Impacto (¿Qué?) Causa inmediata (¿Cómo?) Causa raíz (¿Por qué?)
redacción
Gestión Posibilidad Afectación económica Por multa y sanción del ente regulador Debido a adquisición de bienes y servicios
administrativa de de fuera de los requerimientos normativos
bienes y servicios
Mejoramiento de la Posible Pérdida de la certificación Por retrasos o la inejecución de las Provocados por limitaciones y alta rotación
gestión institucional del Sistema de actividades de los planes de acción en el personal que apoya los procedimientos
Gestión de Calidad derivados de la auditoría de certificación y actividades del SGC
Gestión Tecnológica Posibilidad Afectación a la integridad y Por ingreso a las aplicaciones y Generados por vulnerabilidades y debilidades
de disponibilidad de la modificaciones de datos no autorizadas en en el control de acceso y gestión de permisos
información académica y los sistemas de información institucionales de los usuarios
financiera
Servicios generales Posibles Pérdidas económicas Por daños o deterioro en los bienes Debido a carencia de recursos monetarios, de
y de apoyo (muebles) y otros equipos de oficina personal y de tiempo para los
administrativo mantenimientos preventivos, detectivos y
correctivos requeridos
Direccionamiento Posibles Afectaciones a la imagen y a Ocasionada por proyectos de inversión Debido a falta de capacitación, apropiación e
estratégico la gestión institucional desarticulados de los objetivos, ejes interiorización de parte los directores de
institucional estratégicos, misión y visión institucionales proyectos y sus equipos de trabajo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Identificación del
riesgo ETAPA 2 - Redacción de riesgos de corrupción
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Identificación del
riesgo
ETAPA 2 - Redacción de riesgos de corrupción - Ejemplos
Proceso Acción u Uso del poder Desviación de la Gestión de lo Beneficio privado
omisión Público
Gestión administrativa Posibilidad de Cualquier dádiva o A nombre propio o de terceros Con el fin de celebrar un
de bienes y servicios recibir o solicitar beneficio contrato
Divulgación de la Selección de Que emitan concepto Sin el cumplimiento de los En beneficio de un
producción académica evaluadores favorable a una obra lineamientos establecidos por funcionario o tercero.
académicos el proceso
Servicios Generales y Recibir Dadiva A nombre propio o de terceros Para favorecer a un
de apoyo proveedor de servicios
Administrativo generales
Gestión de la Apropiación y/o de los recursos Para los proyectos de En pro de un beneficio
investigación y utilización financieros asignados investigación de forma indebida particular.
creación artística o intencional
Mejoramiento de la Manipulación De la información del Para presentar resultados que La gestión de un sistema o de
gestión sistema de gestión favorezcan o desfavorezcan un proceso particular
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Identificación del
riesgo
ETAPA 2 - Tips para la correcta identificación de riesgos
No describir como riesgos • Errores en la liquidación de la nómina por fallas en los procedimientos existentes.
omisiones, desviaciones o • Retrasos en la prestación del servicio por no contar con digiturno para la atención.
negaciones (ausencia) de • Ausencia de controles de acceso y perfiles (permisos) de usuarios que garanticen la
controles confidencialidad e integridad de la información que reposa en los SIA.
“No confundir los riesgos con problemas y en lo posible no redactarlos como una no conformidad o incumplimiento
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 3 - Evaluación del Riesgo - Análisis del riesgo
Esta etapa parte del listado de
riesgos priorizados y
redactados en la etapa de
1. Estimación de la Probabilidad e impacto “identificación del riesgo”
inherentes
En esta etapa se construye la
primera parte del “Perfil de
2. Cálculo del riesgo inherente riesgos”
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Análisis del riesgo
ETAPA 3 - Estimación de la probabilidad inherente
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Análisis del riesgo
ETAPA 3 - Estimación del Impacto inherente en riesgos operativos
Vl Nivel Variables
Usuario Operación Imagen Sanciones Pérdidas
económicas
1 Insignifi- No se
ven No hay No se ve afectada No hay intervenciones de entes Pérdidas
cante afectados
los interrupción de las la imagen o de control. No se generan económicas
usuarios operaciones de la credibilidad de la sanciones económicas o mínimas El impacto en los
Universidad Universidad administrativas RO se obtiene
2 Menor Baja afectación a Interrupción de las Imagen o Comentarios adversos de los Pérdidas con base a la
los usuarios operaciones de la credibilidad entes de control, pero no hay económicas
Universidad por institucional intervención, reclamaciones o menores
variable con
algunas horas, afectada quejas implican investigaciones mayor nivel de
menor a (1) un día internamente internas disciplinarias afectación
5 Moderado Afectación a un Interrupción de las Imagen o Acciones por parte de los entes Pérdidas
grupo reducidos operaciones de la credibilidad de control que pueden incluir económicas
de usuarios Universidad por un institucional sanciones menores, moderadas
(1) día afectada reclamaciones o quejas que
localmente podrían implicar una denuncias
de largo alcance para la entidad
10 Mayor Afectación que Interrupción de las Imagen o Acciones por parte de los entes Pérdidas
repercute en operaciones de la credibilidad de la de control que incluyen económicas
una parte Universidad por Universidad sanciones medianas mayores
considerable de más de (2) dos días afectada en la
los usuarios región
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Análisis del riesgo
ETAPA 3 - Estimación del Impacto inherente en riesgos de corrupción
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Análisis del riesgo
ETAPA 3 - Calculo del riesgo inherente (nivel de riesgo y nivel de
aceptabilidad)
Rango Nivel de Descripción Opción de tratamiento (después de obtener el nivel de
riesgo residual)
aceptabilidad
El Nivel (valor) de riesgo
inherente se puede obtener: Entre 1 Bajo En este nivel se pueden Asumir (Aceptar)
y4 asumir los riesgos. Riesgos
aceptables.
1. Multiplicando los Entre 5 Moderado Riesgos tolerables, límite
Asumir (Aceptar)
valores de las variables y 10 de la capacidad de riesgos
Reducir
definida por la UNAL Transferir
probabilidad e impacto.
Entre Alto Riesgos importantes por Opción de tratamiento
2. Ubicando y cruzando en 11 y 30 fuera de la capacidad de - Reducir
el Mapa de Calor los riesgos definida por la - Transferir
valores de las variables UNAL Otras acciones obligatorias
- Definir los KRI's
probabilidad e impacto - Reportar a la instancia correspondiente.
Entre Extremo Riesgos inaceptables por Opción de tratamiento
El riesgo inherente da un 31 y fuera de la capacidad de - Reducir (mitigar) con nuevos controles,
valor entre 100 riesgos definida por la planes de acción o actividades.
UNAL. - Transferir
0 -100 para RO Otras acciones obligatorias
5-100 para RC - Definir los KRI's
- Reportar a la instancia correspondiente.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Análisis del riesgo
ETAPA 3 - Calculo del riesgo inherente - Mapa de Calor RO - RC
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Análisis del riesgo
ETAPA 3 - Conceptos de apetito, tolerancia y capacidad del riesgo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 4 - Evaluación del Riesgo - Valoración del riesgo
Esta etapa parte del listado
de riesgos priorizados y
redactados con su respectiva
1. Identificación de controles - Atributos
probabilidad, impacto y
informativos riesgo inherente obtenidos
en la etapa de “Análisis del
2. Evaluación de los controles - atributos de riesgo”.
eficiencia y eficacia
En esta etapa se construye la
segunda parte del “Perfil de
3. Cálculo del riesgo residual riesgos” y se procede con
comprensión.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo ETAPA 4 - Identificación de controles - tipos
• Recaen sobre las causas atacando la
probabilidad de ocurrencia del
riesgo, previniendo así su
materialización. Controles
preventivos y detectivos
Controles de probabilidad
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Identificación de controles - características elementales
• El control debe ser aplicado en el momento adecuado respecto al evento que se espera
Oportunidad controlar.
Economía (Costo - • El costo del control no debe superar el beneficio derivado de su aplicación. Su representación en
beneficio) tiempo y dinero debe justificarse con las ventajas reales de los resultados que se obtengan.
• Los controles deben corresponder con actividades importantes dentro del proceso y no con
Significancia cuestiones sin trascendencia.
El control debe ejecutarse con facilidad sin crear confusiones. Si un control resulta
Operatividad incomprensible para el usuario, a la larga este será ignorado.
El control debe guardar estrecha relación con los riesgos asociados a través de su objetivo, es
Funcionalidad decir se debe tener claridad en cuanto a qué se busca con la aplicación de dicho control.
• Se debe estimar si es posible que el control se ejecute con las condiciones tecnológicas,
Viabilidad técnica conocimientos y herramientas disponibles.
Apego jurídico • El control debe estar sujeto a la legislación que rige a la Institución y subordinado al principio de
(Opcional) legalidad.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Identificación de controles - Atributos informativos
Atributo Descripción Ejemplo
Código Identificador único que permite diferenciar el control de un CTI.013
riesgo de cualquier otro control.
Nombre Nombre asignado al control, se sugiere en su redacción que este Creación de copias de seguridad para los Sistemas de información
tenga implícita una acción acompañada de un sustantivo.
Responsable Persona, dependencia, procesos, sistema, tecnología o área Funcionario de seguridad de la DNED
encargada de su implementación.
Objetivo Establece para qué se realiza la actividad del control. Mantener respaldos de la información que reposa en los aplicativos en un
(¿Qué hace?) servidor /data center alterno para su uso en caso de emergencia –
perdida de información.
Descripción Procedimiento o paso a paso llevado a cabo para cumplir con la 1. Por medio del sistema de información, se crea y descargaa la copia de
(¿Cómo lo actividad /objetivo del control. seguridad. 2. La copia de seguridad generada es probada en el ambiente
hace?) de pruebas del sistema, 3. La copia de seguridad es almacenada en el
servidor "Copias de seguridad SI".
Frecuencia de Periodicidad con la que se ejecuta el control, esta puede ser: Mensual
ejecución - Permanente, diaria o constante.
- Periódica: Semanal, quincenal, mensual, bimestral, trimestral,
semestral, anual, …,
- Ocasional o por evento.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Identificación de controles - Atributos informativos
Atributo Descripción Ejemplo
Fecha de Fecha en la que se está realizando la identificación, 01/02/2023
evaluación seguimiento del control, valoración de su eficiencia o
eficacia.
Variable que Establece si combate la variable "Probabilidad" o Impacto
reduce "Impacto".
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Evaluación de los controles - Atributos de eficiencia
(Diseño)
Atributo Descripción Peso Ejemplo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Evaluación de los controles - Atributos de eficiencia
(Diseño)
Abrituto Descripción Peso Ejemplo
Control aplicado a todos los eventos que pueden desencadenar la causa sin
Total importar sus características. Son usados a discreción de una persona, 25%
procedimiento, normatividad o tecnología específica.
Control aplicado a una parte considerable de los eventos que pueden
Cobertura (25%) Parcial desencadenar la causa, limitado a sus características. Son usados a discreción de 15% Parcial (15%)
una persona, procedimiento, normatividad o tecnología específica.
Controles que se aplica a una pequeña porción o a ninguno de los eventos que
Nula 0%
pueden desencadenar la causa.
El control se realiza con la misma periodicidad que se ejecuta que actividad que
Optimo 15%
conlleva al riesgo.
Nivel de
Periodicidad El control se realiza la mayoría de las veces que se ejecuta la actividad que conlleva
Bueno 10% Bueno (10%)
de ejecución a riesgo.
(15%)
El control se ejecuta con una escasa periodicidad con relación a la ejecución de la
Malo 5%
actividad que conlleva al riesgo.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Evaluación de los controles - Atributos de eficiencia
Abrituto (Diseño)
Descripción Peso Ejemplo
Definido, documentado, El control se encuentra con información documentada, hace parte del quehacer
del proceso, estrategia, proyecto y/o sistema de gestión, es conocido y aplicado
por las personas involucradas, y se realiza seguimiento para la toma de 25%
implementado socializado y
seguimiento decisiones.
Definido,
Madurez El control se encuentra con información documentada, hace parte del quehacer documentado,
Definido, documentado,
del control del proceso, estrategia, proyecto y/o sistema de gestión, y es conocido y 20% implementado
implementado y socializado aplicado por las personas involucradas.
(25%) y socializado
Definido, documentado, El control cuenta con información documentada y hace parte del quehacer del (20%)
implementado proceso, estrategia, proyecto y/o sistema de gestión. 15%
Definido y documentado El control cuenta con información documentada 10%
Definido El control se encuentra operando de manera informal 5%
El porcentaje máximo de
eficiencia del control es
100%, se obtiene al
sumar el peso de cada
atributo.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Evaluación de los controles - Atributos de eficacia
Atributo (implementación)
Descripción Peso Ejemplo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Evaluación de los controles - Atributos de eficacia
(implementación)
Atributo Descripción Peso Ejemplo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Evaluación de los controles - Efectividad del control
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - Cálculo del riesgo residual (nivel de riesgo y nivel de
aceptabilidad )
Después de obtener la eficiencia del control, se
procede a obtener el riesgo residual, para ello se parte
de los niveles de probabilidad e impacto residuales,
donde se toma de cada control su variable a reducir y
el numero de niveles que disminuye, luego se empieza
a disminuir de forma acumulativa los niveles de
probabilidad e impacto hasta terminar con el último
control , los valores de probabilidad e impacto
resultantes se operan para obtener el riesgo residual,
el cual debe ubicarse en el mapa de calor .
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Valoración del
riesgo
ETAPA 4 - análisis e interpretación del perfil de
riesgos
Perfil de
riesgo
para
múltiples
riesgos en
dos
periodos
de tiempo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 5 - Tratamiento del riesgo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Tratamiento del
riesgo ETAPA 5 - Opciones de tratamiento para los riesgos
Rango Nivel de Descripción Opción de tratamiento (después de obtener el nivel de
riesgo residual)
aceptabilidad
La opción de tratamiento de un riesgo
se determina a partir de su nivel de Entre 1 Bajo En este nivel se pueden Asumir (Aceptar)
riesgo residual. y4 asumir los riesgos. Riesgos
aceptables.
Entre 5 Moderado Riesgos tolerables, límite
Asumir (Aceptar)
Los riesgos bajos y moderando se y 10 de la capacidad de riesgos
Reducir
encuentran dentro de la Capacidad de definida por la UNAL Transferir
riesgo definida por la UNAL y no Entre Alto Riesgos importantes por Opción de tratamiento
requieren PA 11 y 30 fuera de la capacidad de - Reducir
riesgos definida por la - Transferir
UNAL Otras acciones obligatorias
Los riesgos altos y extremos por fuera - Definir los KRI's
de la capacidad de riesgo requieren PA - Reportar a la instancia correspondiente.
Entre Extremo Riesgos inaceptables por Opción de tratamiento
31 y fuera de la capacidad de - Reducir (mitigar) con nuevos controles,
Los riesgos materializados de 100 riesgos definida por la planes de acción o actividades.
cualquier nivel de aceptabilidad UNAL. - Transferir
requieren PA Otras acciones obligatorias
- Definir los KRI's
- Reportar a la instancia correspondiente.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Tratamiento del
riesgo ETAPA 5 - Opciones de tratamiento para los riesgos
Opción Descripción
Asumir Implica aceptar el riesgo y las consecuencias que conlleve en caso de que llegue a materializarse. Generalmente
(Aceptar) esta opción se toma cuando la probabilidad y el impacto no son altos y no se arriesga la estabilidad de la
institución, o bien cuando el tratamiento es demasiado costoso y no representa un mayor beneficio.
Esta opción también aplica para aquellos riesgos que, a pesar de haber implementado mecanismos de mitigación,
no es posible reducir su nivel de riesgo residual al nivel de tolerancia (Bajo o moderado) definido por la UNAL, Ello
acarrea un monitoreo más frecuente y exigente.
Reducir Busca reducir la probabilidad de ocurrencia del riesgo o el impacto de su materialización incluyendo más controles
o diseñando y ejecutando planes de acción.
Transferir Trasladar a un tercero ajeno al proceso, estrategia, proyecto o sistema de gestión la administración del riesgo. Lo
(Compartir) más usual es recurrir a la tercerización o la adquisición de pólizas o seguros.
Evitar Usada cuando no se va a proceder con la actividad que tiene la posibilidad de generar el riesgo, al evitar el riesgo
se puede:
- Decidir no ejecutar la actividad que conlleva al riesgo
- Eliminar la actividad que conlleva al riesgo
- Sustituir la actividad que desencadena el riesgo por otra menos riesgosa
Esta opción de tratamiento puede implicar el diseño y ejecución de planes de acción.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Tratamiento del
riesgo ETAPA 5 - Planes de acción
Tipo de Descripción
Los riesgos materializados plan
y los riesgos residuales Diseñar Conjunto de actividades planificadas y ejecutadas para obtener como resultado un
altos y extremos (con nuevo nuevo control de probabilidad o impacto para el riesgo asociado. Utilizados para los
control riesgos residuales con opción de tratamiento Reducir.
opción de tratamiento
asumir) requieren Plan de Mejorar Conjunto de actividades planificadas y ejecutadas para obtener como resultado la
control mejora / optimización de un control de probabilidad o impacto para el riesgo
Acción asociado. Utilizados para los riesgos residuales con opción de tratamiento Reducir.
El plan de acción debe Gestionar Actividades planificadas y ejecutadas para combatir, reducir o eliminar la(s) causa(s)
contener: causas asociadas al riesgo. Utilizados para los riesgos residuales con opción de tratamiento
- Actividades Reducir o Evitar.
- Responsables Gestionar Actividades planificadas y ejecutadas para:
- Fechas de ejecución riesgos - Disminuir los impactos de un evento materializado, o
- Resultados esperados materializad -
Volver a las condiciones normales luego de la materialización del riesgo (Conocido
os
- Ser priorizados según como plan de contingencia o plan de recuperación de desastres), o
- Implementar mecanismos para evitar la repetición de un riesgo materializado.
su relación B/C
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Tratamiento del
riesgo ETAPA 5 - Indicadores clave de riesgo KRI’s
Atributo Descripción
Se deben Nombre Nombre asignado al indicador, debe ser conciso y orientado a medir la Causa (Raíz y/o
formular y inmediata) o el impacto.
obtener Descripción o Descripción del indicador relacionada con su uso u obtención. También hace alusión a la
fórmula (Opc) fórmula para la medición del indicador.
periódicamente
para los riesgos Frecuencia de Establece cada cuanto se debe obtener el indicador y verificar su estado.
residuales altos y medición
extremos. Estados de Indican los rangos - niveles de alerta del indicador con base a tres estados:
alerta - Bueno (Sin alerta): el indicador está en un rango tal que no implica una señal de alerta.
Generan alertas - Regular (en alerta): el indicador está en un rango tal que requiere una revisión para
definir si se deben emprender acciones para su seguimiento especial, disminución o
que permiten retorno a los valores "Sin alerta"
detectar el estado - Malo (Alerta crítica): El indicador está en un rango tal que requiere de manera
actual del riesgo prioritaria emprender acciones obligatorias para su disminución o retorno a la
normalidad (Sin alerta)
(bueno,
moderado, malo)
Resultado del Es el valor de la medición del indicador, se obtiene con base a la frecuencia de medición
indicador establecida y la fórmula (opcional) para su obtención.
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos - Tratamiento del
riesgoETAPA 5 - Indicadores clave de riesgo KRI’s - Ejemplo
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 76 - Seguimiento y revisión
Indicadores y estadísticas
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 6 - Reporte y Gestión de riesgos significativos y materializados
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 7 - Comunicación y consulta
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
2.5 MIGR - Metodología GR procesos
ETAPA 8 - Registro e informe
Tipo Informe Instancia(s) que elabora
Informe institucional de Gestión integral del riesgo
Institucional - General Coordinación SIGA Nivel Nacional
(Insumo: informes de cada tipología de riesgos del MIGR UNAL)
Institucional – General Informe de seguimiento a la Política Integral de Gestión del Riesgo Coordinación SIGA Nivel Nacional
Informe de Gestión de riesgos de corrupción Coordinadores del SGC Nivel Nacional y Sedes
Proceso
Informe de Gestión de riesgos operativos-PAMEC Coordinadores del SGC Nivel Nacional y Sedes
Estratégico Informe de gestión de riesgos estratégicos DNPE, Oficinas de Planeación y estadística de sede
Informe de Gestión de riesgos de proyectos de inversión DNPE, Oficinas de Planeación y estadística de sede
Informe de Gestión de riesgos de proyectos de extensión DNEIPI (Por validar y aprobar)
Proyecto Informe de Gestión de riesgos de proyectos de investigación DNIL (Por validar y aprobar)
Informe de Gestión de riesgos de proyectos de regalías VRI, DNPE (Por validar y aprobar)
Informe consolidado de gestión de riesgos de proyectos (Insumo: informes
Por definir
de cada tipo de proyectos)
Ambiental Por definir Por definir
Seguridad información Por definir Por definir
Seguridad y salud trabajo Por definir Por definir
Fraude, LA y FT Por definir Por definir
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
6. Cambio estrategia acompañamiento SGC a los procesos en
GR Estrategia 2022: Coordinaciones SGC apoyando Estrategia 2023: Coordinaciones SGC apoyando
todos los procesos en el nivel sede VS 3-6 procesos en todos sus niveles de aplicación
Operación
Múltiples esfuerzos de las Coordinaciones
SGC para apoyar a un proceso ( N a 1)
Necesidades de conocimiento y apropiación
Necesidad de conocimiento y apropiación de limitados procesos en las Coord SGC
de todos los procesos en las Coord SGC
Calidad información en
Calidad información en
Disminución en la confiabilidad e integridad Aumento en la confiabilidad e integridad en
de la información de la GR la información de la GR
la GR
información de la GR en las Coord SGC sede información de la GR en las Coord SGC sede
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
6. Cambio estrategia acompañamiento SGC a los procesos en
GR
PROCESO - MEJORAMIENTO DE LA
GESTIÓN
Monitoreo y
actualización de
Prueba piloto del
los riesgos
Marco Integral de
operativos y de
Gestión del Riesgo
corrupción Circular
VRG 04 -2022
Productos
Fichas escenario riesgo
Formato Matriz de riesgos
Formatos de eficiencia y eficacia de controles
de procesos MIGR
Formato impacto RC
Evidencias acciones monitoreo
Coordinaciones del SGC y equipo SIGA NN Gestor de riesgos SIGA Nivel Nacional
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
6. Actividades Acompañamiento SGC a los procesos 2023-2024
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
Coordinaciones SGC asignadas a cada proceso
• 03.001 DIG • 03.004 DIO • 03.002 DPA • 02.004 ARE • 01.001 DEI
• 03.001 DCultural • 05.007 GAAF • 06.005 G Extensión • 07.008 BU • 13.004 G Jurídica
• 04.003 GICA • 07.007 G Egresados • 08.007 GTH • 11.005 GD • 14.001 EI
• 10.004 GLab • 09.006 GRSB • 12.010 G Financiera • 12.007 GODF • 15.001 MG
• 17.001 GED • 12.001 GABS • 12.007 GODF Palmira • 16.007 SSS
• 11.002 GTec • 12.007 GODF Manizales • 12.008 SGAA • 16.008 SSP
• 12.007 GODF Bogotá Medellín • 12.008 SGAA Palmira
• 12.008 SGAA Bogotá • 12.008 SGAA Manizales
• 14.007 CD Medellín
• 12.007 GODF • 12.007 GODF Caribe • 12.007 GODF • 12.007 GODF Tumaco • 12.007 GODF La Paz
Amazonía • 12.008 SGAA Caribe Orinoquía • 12.008 SGAA • 12.008 SGAA La Paz
• 12.008 SGAA • 12.008 SGAA Tumaco
Amazonía Orinoquía
SGC Amazonía SGC Caribe SGC Orinoquía SGC Tumaco SGC La Paz
Vicerrectoría General
Sistema Integrado de Gestión Académica, Administrativa y Ambiental SIGA
Gracias