• Documentos Públicos


Acuerdos

Junio 19 / 2019

Acuerdo Superior 029 de 2019 (Por el cual se adopta la Política de Administración del Riesgo)

Número del documento: AS 029
Emitido por: Consejo Superior
Dirigido a: Comunidad universitaria, Ciudadanía en general



Por el cual se adopta la Política de Administración del Riesgo.
 
El Consejo Superior de la Universidad del Cauca, en uso de las atribuciones que le confiere el Estatuto General Universitario aprobado por el Acuerdo 0105 del 1993, Artículo 13 numeral 1º y,
 

CONSIDERANDO

 
El Decreto Único Reglamentario del Sector de Función Pública 1083 del 2015, contempla en su Artículo 2.2.21.5.4 el establecimiento y la aplicación de las políticas de gestión del riesgo para el fortalecimiento del sistema de control interno, como un proceso interactivo y permanente entre la administración y las oficinas de control interno para identificar, evaluar y agenciar los eventos que puedan constituir una amenaza a los objetivos institucionales.
 
El artículo 2.2.22.3.1 de la normativa que integra los sistemas de gestión, adoptó la versión actualizada del  Modelo Integrado de Planeación y Gestión-MIPG, marco de referencia para dirigir, planear, ejecutar, hacer seguimiento, evaluar y controlar la gestión pública hacia el cumplimiento de los planes de desarrollo, y la resolución de necesidades y problemáticas de la ciudadanía, y fortaleció el componente de Evaluación del Riesgo a través de la Dimensión 7 de Control Interno y del sistema de Líneas de Defensa que operan con el Modelo Estándar de Control Interno-MECI, para a brindar soporte y potenciar la herramienta gerencial hacia la efectividad en el manejo y seguimiento de los riesgos de gestión, corrupción y seguridad digital.
 
La Universidad del Cauca acoge la nueva metodología que prescribe la formulación e implementación de la Política y sus lineamientos generales bajo las orientaciones del MIPG y la Guía gubernamental basada en la NTC ISO31000, por lo que, considerada y aprobada en sesión del 1 de abril del 2019 por el Comité Coordinador MECI-Calidad, se adoptará formalmente la Política de Administración del Riesgo.
 
Con lo anterior,
 

ACUERDA

 
ARTÍCULO PRIMERO. POLÍTICA DE ADMINISTRACIÓN DEL RIESGO: Adóptese la Política de Administración del Riesgo de la Universidad del Cauca, bajo los siguientes parámetros y criterios:
 

POLÍTICA DE ADMINISTRACIÓN DEL RIESGO

 

  1. 1. OBJETIVO: La Universidad del Cauca como Institución de Educación Superior, en conexión con su estrategia institucional alineada con la paz territorial, orienta la gestión del riesgo bajo un enfoque sistémico de operación y controles preventivos, que brindan una seguridad razonable a los procesos frente a la incertidumbre que afecta el logro de los objetivos estratégicos y la calidad del servicio misional, a través de una metodología que identifica, valora, controla y monitorea los eventos potencialmente adversos, en garantía del fortalecimiento de los procesos, la transparencia en la gestión y la toma oportuna de decisiones.

 

  1. 2. ALCANCE: Dada su transversalidad, la Administración del Riesgo abarca los procesos estratégicos, misionales, de apoyo y de evaluación.

 

  1. 3. RESPONSABILIDADES: Son responsables de la Gestión del Riesgo:

 

Autoridad responsable

Función

1

Rector

Aprobar la política de Administración del Riesgo.
Liderar el establecimiento de la Política de Administración del Riesgo.

2

Comité Coordinador MECI-CALIDAD

Proponer la Política de Administración del Riesgo.

3

Coordinador de la Gestión de Seguridad Digital

Asesorar y acompañar a los procesos en la implementación de la Gestión del Riesgo de Seguridad Digital.
Apoyar el seguimiento de los controles aplicados.
Informar a la Dirección sobre el comportamiento de los Riesgos de seguridad digital y su variación.

4

Procesos Universitarios

Identificar, valorar, tratar y monitorear los riesgos.

5

Oficina de Planeación y Desarrollo Institucional - OPDI

Coordinar técnicamente la aplicación de la metodología de Administración del Riesgo.
Coordinar técnicamente la formulación de los riesgos.
Consolidar y socializar el Mapa de Riesgos.
Difundir la Política de Administración del Riesgo.
Monitorear la implementación de la Política de Administración del Riesgo.
Monitorear el Mapa de Riesgos.

6

Oficina de Control Interno - OCI

Asesorar en la metodología de la administración del riesgo.
Realizar seguimiento a la formulación del riesgo y al cumplimiento y efectividad de los controles.
Recomendar mejoras a la política de administración del riesgo.

 

3.1.      Responsabilidad y Líneas de Defensa: El Modelo Integrado de Planeación y Gestión – MIPG plantea como estrategia de gestión del riesgo y control, la asignación de responsabilidades a los procesos, a través del sistema de líneas de defensa para el cumplimiento de roles específicos y la coordinación eficaz y eficiente de los controles. La distribución en la Universidad del Cauca es la siguiente:
 

Proceso responsable

Líneas de defensa

Gestión del riesgo

Roles

Gestión de la Dirección Universitaria

Estratégica

Identificar, valorar, tratar y monitorear los Riesgos.

Liderar la gestión del riesgo y establecer su política.

Gestión de la Planeación y Desarrollo Institucional

Primera y Segunda

Coordinar y monitorear la gestión del riesgo.

Gestión de la Calidad

Monitorear los riesgos Identificados

Gestión Académica

Primera

Gestión de la Investigación, Innovación e Interacción social.

Gestión de Cultura y Bienestar.

Gestión Administrativa y Financiera.

Gestión del Control y Mejoramiento Continuo

Tercera

Evaluar la gestión del riesgo y asesorar en la metodología

 

  1. 4. DIFUSIÓN DE LA POLÍTICA DE ADMINISTRACIÓN DEL RIESGOLa Política de Administración del Riesgo se difundirá a todos los procesos y subprocesos universitarios, a través de los canales de comunicación e información institucional, y en actividades de capacitación, inducción y reinducción, lideradas por la Oficina de Planeación y de Desarrollo Institucional y la División de Gestión del Talento Humano.

 

  1. 5. TIPOLOGÍA DE RIESGOS: La Universidad del Cauca determina la tipología de los riegos de acuerdo a los procesos que involucran y los clasifica de la siguiente manera:

 

Tipo de Riesgo

Relacionados con:

Estratégicos

El cumplimiento de la misión, visión, objetivos y políticas.

Estilo de Dirección

La toma de decisiones gerenciales y la gestión de la dirección.

Operativos

La operación de los procesos y sus relaciones.

Financieros

La administración de bienes y todas aquellos procesos involucrados con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de cuentas, costos, etc.

Tecnológicos

La infraestructura y capacidad tecnológica.

Cumplimiento

Acatamiento de normas, principios, valores y la calidad del servicio, así como procesos contractuales y litigios judiciales.

Imagen

El buen nombre y la confianza en la institución.

Corrupción

El interés público y los principios de la función pública.

Seguridad Digital

Integridad, confidencialidady disponibilidadde la información.

Ambientales

El medio ambiente, los recursos naturales no renovables.

Académicos

La calidad del servicio misional.

 

  1. 6. IMPACTO Y PROBABILIDAD: Para medir el impacto y probabilidad se definen las siguientes escalas:

 

Nivel

Impacto

Probabilidad

1

Insignificante

Rara vez

2

Menor

Improbable

3

Moderado

Posible

4

Mayor

Probable

5

Catastrófico

Casi Seguro

 

6.1       Escala de Impacto Riesgos de Corrupción: La escala de impacto en los riesgos de corrupción, se maneja desde el nivel 3 en adelante, dado que son inaceptables.
 
6.2       Valoración del Riesgo: Para efectos de la valoración del riesgo, se relacionará la probabilidad de ocurrencia en términos de frecuencia y factibilidad, y el impacto a los objetivos misionales y de los procesos, determinado en la siguiente escala:
 

Nivel de Riesgo

Puntaje

Bajo

1-3

Medio

4-9

Alto

10-24

Extremo

25-100

 

  1. 7. TRATAMIENTO AL RIESGO: Para efectos de los niveles de tolerancia, de acuerdo con el impacto que su materialización generaría a los procesos, se considerará la siguiente escala:

 

Nivel de Riesgo

Nivel de Tolerancia

Bajo

Aceptable

Medio

Moderado

Alto

Importante

Extremo

Inaceptable

 

7.1       Tratamiento: Conforme a su nivel de tolerancia el tratamiento se efectuará de la siguiente manera:
 

Nivel de tolerancia

Acciones

Descripción

Aceptable

Se acepta el riesgo

No se toma ninguna acción; sin embargo puede aplicarse un control como alternativa, analizando su relación costo beneficio.

Moderado

Se evita el riesgo.

Como alternativa excepcional, se abandonan los procedimientos generadores del riesgo, analizando la relación costo beneficio.

Aceptable, Moderado, Importante e Inaceptable.

Se reduce el riesgo

Se adoptan nuevos controles o revalúan los existentes.

Importante Inaceptable

Se comparte el riesgo

Transfiere el riesgo a terceros a través de contratos.

 

7.2       Tratamiento Riesgos de Corrupción: Siempre serán inaceptables losriesgos de corrupción, por lo que la Universidad impulsará estrategias y acciones para evitarlos, reducirlos y/o compartirlos.
 

  1. 8. SEGUIMIENTO A LOS RIESGOS: La Oficina de Control Interno hará un seguimiento a la administración del riesgo, de la siguiente manera:
     

  • Cuatrimestral, frente a la formulación del riesgo, el cumplimiento y la efectividad de los controles.

  • Eventual, en la ejecución de las auditorías planteadas en el Programa de Auditoría, frente a cada proceso evaluado.

 
ARTÍCULO SEGUNDO. METODOLOGÍA: Para la operatividad de la política declarada mediante esta Resolución, la Universidad desarrollará una metodología propia y herramientas de apoyo adaptada a sus necesidades y particularidades, para facilitar a los procesos  la gestión de los riesgos en sus diversas etapas.
 
ARTÍCULO TERCERO. DEFINICIONES: Paraefectos de la aplicación de la Política se tendrán en cuenta las siguientes nociones:
 

  1. 1. Activo de seguridad digital: Son aplicaciones, servicios web, redes, hardware, información física o digital y recurso humano que operan en el entorno digital.
     

  2. 2. Administración del Riesgo: Actividades coordinadas para gestionar el riesgo.
     

  3. 3. Amenaza: Hecho natural o humano que puede afectar negativamente a la Institución.
     

  4. 4. Apetito al riesgo: Magnitud del riesgo que la Universidad está dispuesta a aceptar, asumir o evitar.
     

  5. 5. Causa: Factores internos y externos que contribuyen a materializar un riesgo.
     

  6. 6. Consecuencia: Resultado de la materialización del riesgo.
     

  7. 7. Control: Medidas para gestionar los riesgos.
     

  8. 8. Evento: Hecho que puede generar un riesgo.
     

  9. 9. Impacto: Magnitud en que afecta la materialización de un riesgo.
     

  10. 10. Mapa de riesgos: Representación consolidada de los riesgos.
     

  11. 11. Probabilidad: Posibilidad de ocurrencia del riesgo.
     

  12. 12. Riesgo: Efecto de la incertidumbre sobre los objetivos.
     

  13. 13. Riesgo de Corrupción: Posibilidad de ocurrencia de un evento adverso, por acción u omisión, que afecte el cumplimiento de los objetivos institucionales, y genere una desviación de lo público en beneficio personal o particular.
     

  14. 14. Riesgo inherente: Es el que se presenta sin controles.
     

  15. 15. Riesgo residual: Es el que permanece después de la aplicación de los controles.
     

  16. 16. Tolerancia al riesgo: Niveles aceptables de desviación relativa a la consecución de objetivos. Pueden medirse y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Para el riesgo de corrupción la tolerancia es inaceptable.
     

  17. 17. Vulnerabilidad: Representa la debilidad de un activo o de un control que puede ser explotada por una o más amenazas.

 
ARTÍCULO CUARTO. DIFUSIÓN: Difundir la política a los grupos de valor, y facilitar la interiorización con los estamentos universitarios para su debida implementación.
 
ARTÍCULO QUINTO. VIGENCIA: el presente acuerdo rige desde la fecha de promulgación y deroga las disposiciones que le sean contrarias.
 

PUBLÍQUESE, COMUNÍQUESE Y CÚMPLASE

 
Se expide en Popayán, a los diecinueve (19) días de junio del 2019.
 

 

ANA MILENA GUALDRÓN DÍAZ
Presidente

LAURA ISMENIA CASTELLANOS VIVAS
Secretaria General

 

 

Publicado en: Acuerdos
Etiquetas:

Buscar documentos por:

Tipo de documento:
Emitidos desde:
hasta:
Emitido por:
Palabras clave (etiquetas):
Calle 5 Nº 4-70 - Teléfono +57 (2) 8209900 - Línea gratuita 018000 949020 - NIT 891500319-2 Popayán Colombia - Vigilada Mineducación