Por el cual se adopta la Política de Administración del Riesgo.
El Consejo Superior de la Universidad del Cauca, en uso de las atribuciones que le confiere el Estatuto General Universitario aprobado por el Acuerdo 0105 del 1993, Artículo 13 numeral 1º y,
CONSIDERANDO
El Decreto Único Reglamentario del Sector de Función Pública 1083 del 2015, contempla en su Artículo 2.2.21.5.4 el establecimiento y la aplicación de las políticas de gestión del riesgo para el fortalecimiento del sistema de control interno, como un proceso interactivo y permanente entre la administración y las oficinas de control interno para identificar, evaluar y agenciar los eventos que puedan constituir una amenaza a los objetivos institucionales.
El artículo 2.2.22.3.1 de la normativa que integra los sistemas de gestión, adoptó la versión actualizada del Modelo Integrado de Planeación y Gestión-MIPG, marco de referencia para dirigir, planear, ejecutar, hacer seguimiento, evaluar y controlar la gestión pública hacia el cumplimiento de los planes de desarrollo, y la resolución de necesidades y problemáticas de la ciudadanía, y fortaleció el componente de Evaluación del Riesgo a través de la Dimensión 7 de Control Interno y del sistema de Líneas de Defensa que operan con el Modelo Estándar de Control Interno-MECI, para a brindar soporte y potenciar la herramienta gerencial hacia la efectividad en el manejo y seguimiento de los riesgos de gestión, corrupción y seguridad digital.
La Universidad del Cauca acoge la nueva metodología que prescribe la formulación e implementación de la Política y sus lineamientos generales bajo las orientaciones del MIPG y la Guía gubernamental basada en la NTC ISO31000, por lo que, considerada y aprobada en sesión del 1 de abril del 2019 por el Comité Coordinador MECI-Calidad, se adoptará formalmente la Política de Administración del Riesgo.
Con lo anterior,
ACUERDA
ARTÍCULO PRIMERO. POLÍTICA DE ADMINISTRACIÓN DEL RIESGO: Adóptese la Política de Administración del Riesgo de la Universidad del Cauca, bajo los siguientes parámetros y criterios:
POLÍTICA DE ADMINISTRACIÓN DEL RIESGO
1. OBJETIVO: La Universidad del Cauca como Institución de Educación Superior, en conexión con su estrategia institucional alineada con la paz territorial, orienta la gestión del riesgo bajo un enfoque sistémico de operación y controles preventivos, que brindan una seguridad razonable a los procesos frente a la incertidumbre que afecta el logro de los objetivos estratégicos y la calidad del servicio misional, a través de una metodología que identifica, valora, controla y monitorea los eventos potencialmente adversos, en garantía del fortalecimiento de los procesos, la transparencia en la gestión y la toma oportuna de decisiones.
2. ALCANCE: Dada su transversalidad, la Administración del Riesgo abarca los procesos estratégicos, misionales, de apoyo y de evaluación.
3. RESPONSABILIDADES: Son responsables de la Gestión del Riesgo:
Autoridad responsable |
Función |
|
1 |
Rector |
Aprobar la política de Administración del Riesgo. |
2 |
Comité Coordinador MECI-CALIDAD |
Proponer la Política de Administración del Riesgo. |
3 |
Coordinador de la Gestión de Seguridad Digital |
Asesorar y acompañar a los procesos en la implementación de la Gestión del Riesgo de Seguridad Digital. |
4 |
Procesos Universitarios |
Identificar, valorar, tratar y monitorear los riesgos. |
5 |
Oficina de Planeación y Desarrollo Institucional - OPDI |
Coordinar técnicamente la aplicación de la metodología de Administración del Riesgo. |
6 |
Oficina de Control Interno - OCI |
Asesorar en la metodología de la administración del riesgo. |
3.1. Responsabilidad y Líneas de Defensa: El Modelo Integrado de Planeación y Gestión – MIPG plantea como estrategia de gestión del riesgo y control, la asignación de responsabilidades a los procesos, a través del sistema de líneas de defensa para el cumplimiento de roles específicos y la coordinación eficaz y eficiente de los controles. La distribución en la Universidad del Cauca es la siguiente:
Proceso responsable |
Líneas de defensa |
Gestión del riesgo |
Roles |
Gestión de la Dirección Universitaria |
Estratégica |
Identificar, valorar, tratar y monitorear los Riesgos. |
Liderar la gestión del riesgo y establecer su política. |
Gestión de la Planeación y Desarrollo Institucional |
Primera y Segunda |
Coordinar y monitorear la gestión del riesgo. |
|
Gestión de la Calidad |
Monitorear los riesgos Identificados |
||
Gestión Académica |
Primera |
||
Gestión de la Investigación, Innovación e Interacción social. |
|||
Gestión de Cultura y Bienestar. |
|||
Gestión Administrativa y Financiera. |
|||
Gestión del Control y Mejoramiento Continuo |
Tercera |
Evaluar la gestión del riesgo y asesorar en la metodología |
4. DIFUSIÓN DE LA POLÍTICA DE ADMINISTRACIÓN DEL RIESGO: La Política de Administración del Riesgo se difundirá a todos los procesos y subprocesos universitarios, a través de los canales de comunicación e información institucional, y en actividades de capacitación, inducción y reinducción, lideradas por la Oficina de Planeación y de Desarrollo Institucional y la División de Gestión del Talento Humano.
5. TIPOLOGÍA DE RIESGOS: La Universidad del Cauca determina la tipología de los riegos de acuerdo a los procesos que involucran y los clasifica de la siguiente manera:
Tipo de Riesgo |
Relacionados con: |
---|---|
Estratégicos |
El cumplimiento de la misión, visión, objetivos y políticas. |
Estilo de Dirección |
La toma de decisiones gerenciales y la gestión de la dirección. |
Operativos |
La operación de los procesos y sus relaciones. |
Financieros |
La administración de bienes y todas aquellos procesos involucrados con el proceso financiero como presupuesto, tesorería, contabilidad, cartera, central de cuentas, costos, etc. |
Tecnológicos |
La infraestructura y capacidad tecnológica. |
Cumplimiento |
Acatamiento de normas, principios, valores y la calidad del servicio, así como procesos contractuales y litigios judiciales. |
Imagen |
El buen nombre y la confianza en la institución. |
Corrupción |
El interés público y los principios de la función pública. |
Seguridad Digital |
Integridad, confidencialidady disponibilidadde la información. |
Ambientales |
El medio ambiente, los recursos naturales no renovables. |
Académicos |
La calidad del servicio misional. |
6. IMPACTO Y PROBABILIDAD: Para medir el impacto y probabilidad se definen las siguientes escalas:
Nivel |
Impacto |
Probabilidad |
1 |
Insignificante |
Rara vez |
2 |
Menor |
Improbable |
3 |
Moderado |
Posible |
4 |
Mayor |
Probable |
5 |
Catastrófico |
Casi Seguro |
6.1 Escala de Impacto Riesgos de Corrupción: La escala de impacto en los riesgos de corrupción, se maneja desde el nivel 3 en adelante, dado que son inaceptables.
6.2 Valoración del Riesgo: Para efectos de la valoración del riesgo, se relacionará la probabilidad de ocurrencia en términos de frecuencia y factibilidad, y el impacto a los objetivos misionales y de los procesos, determinado en la siguiente escala:
Nivel de Riesgo |
Puntaje |
Bajo |
1-3 |
Medio |
4-9 |
Alto |
10-24 |
Extremo |
25-100 |
7. TRATAMIENTO AL RIESGO: Para efectos de los niveles de tolerancia, de acuerdo con el impacto que su materialización generaría a los procesos, se considerará la siguiente escala:
Nivel de Riesgo |
Nivel de Tolerancia |
Bajo |
Aceptable |
Medio |
Moderado |
Alto |
Importante |
Extremo |
Inaceptable |
7.1 Tratamiento: Conforme a su nivel de tolerancia el tratamiento se efectuará de la siguiente manera:
Nivel de tolerancia |
Acciones |
Descripción |
---|---|---|
Aceptable |
Se acepta el riesgo |
No se toma ninguna acción; sin embargo puede aplicarse un control como alternativa, analizando su relación costo beneficio. |
Moderado |
Se evita el riesgo. |
Como alternativa excepcional, se abandonan los procedimientos generadores del riesgo, analizando la relación costo beneficio. |
Aceptable, Moderado, Importante e Inaceptable. |
Se reduce el riesgo |
Se adoptan nuevos controles o revalúan los existentes. |
Importante Inaceptable |
Se comparte el riesgo |
Transfiere el riesgo a terceros a través de contratos. |
7.2 Tratamiento Riesgos de Corrupción: Siempre serán inaceptables losriesgos de corrupción, por lo que la Universidad impulsará estrategias y acciones para evitarlos, reducirlos y/o compartirlos.
8. SEGUIMIENTO A LOS RIESGOS: La Oficina de Control Interno hará un seguimiento a la administración del riesgo, de la siguiente manera:
Cuatrimestral, frente a la formulación del riesgo, el cumplimiento y la efectividad de los controles.
Eventual, en la ejecución de las auditorías planteadas en el Programa de Auditoría, frente a cada proceso evaluado.
ARTÍCULO SEGUNDO. METODOLOGÍA: Para la operatividad de la política declarada mediante esta Resolución, la Universidad desarrollará una metodología propia y herramientas de apoyo adaptada a sus necesidades y particularidades, para facilitar a los procesos la gestión de los riesgos en sus diversas etapas.
ARTÍCULO TERCERO. DEFINICIONES: Paraefectos de la aplicación de la Política se tendrán en cuenta las siguientes nociones:
1. Activo de seguridad digital: Son aplicaciones, servicios web, redes, hardware, información física o digital y recurso humano que operan en el entorno digital.
2. Administración del Riesgo: Actividades coordinadas para gestionar el riesgo.
3. Amenaza: Hecho natural o humano que puede afectar negativamente a la Institución.
4. Apetito al riesgo: Magnitud del riesgo que la Universidad está dispuesta a aceptar, asumir o evitar.
5. Causa: Factores internos y externos que contribuyen a materializar un riesgo.
6. Consecuencia: Resultado de la materialización del riesgo.
7. Control: Medidas para gestionar los riesgos.
8. Evento: Hecho que puede generar un riesgo.
9. Impacto: Magnitud en que afecta la materialización de un riesgo.
10. Mapa de riesgos: Representación consolidada de los riesgos.
11. Probabilidad: Posibilidad de ocurrencia del riesgo.
12. Riesgo: Efecto de la incertidumbre sobre los objetivos.
13. Riesgo de Corrupción: Posibilidad de ocurrencia de un evento adverso, por acción u omisión, que afecte el cumplimiento de los objetivos institucionales, y genere una desviación de lo público en beneficio personal o particular.
14. Riesgo inherente: Es el que se presenta sin controles.
15. Riesgo residual: Es el que permanece después de la aplicación de los controles.
16. Tolerancia al riesgo: Niveles aceptables de desviación relativa a la consecución de objetivos. Pueden medirse y a menudo resulta mejor, con las mismas unidades que los objetivos correspondientes. Para el riesgo de corrupción la tolerancia es inaceptable.
17. Vulnerabilidad: Representa la debilidad de un activo o de un control que puede ser explotada por una o más amenazas.
ARTÍCULO CUARTO. DIFUSIÓN: Difundir la política a los grupos de valor, y facilitar la interiorización con los estamentos universitarios para su debida implementación.
ARTÍCULO QUINTO. VIGENCIA: el presente acuerdo rige desde la fecha de promulgación y deroga las disposiciones que le sean contrarias.
PUBLÍQUESE, COMUNÍQUESE Y CÚMPLASE
Se expide en Popayán, a los diecinueve (19) días de junio del 2019.
ANA MILENA GUALDRÓN DÍAZ |
LAURA ISMENIA CASTELLANOS VIVAS |
Enlaces:
[1] https://portalantiguo.unicauca.edu.co/versionP/printmail/23118
[2] https://portalantiguo.unicauca.edu.co/versionP/print/23118
[3] https://portalantiguo.unicauca.edu.co/versionP/documentos?categoria=91
[4] https://portalantiguo.unicauca.edu.co/versionP/documentos?tags[]=
[5] https://portalantiguo.unicauca.edu.co/versionP/javascript: history.back()