Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 1 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. TABLA DE CONTENIDO POLÍTICA ADMINISTRACIÓN DE RIESGOS ............................................................................. 3 OBJETIVO ......................................................................................................................................... 4 ALCANCE .......................................................................................................................................... 4 CRITERIOS DE APLICACIÓN ....................................................................................................... 4 TÉRMINOS Y DEFINICIONES ...................................................................................................... 5 METODOLOGÍA ............................................................................................................................... 7 IDENTIFICACIÓN DEL RIESGO ................................................................................................... 9 DESCRIPCIÓN DE RIESGO ...................................................................................................... 9 ESTRUCTURA PARA LA GESTIÓN DEL RIESGO ................................................................. 10 METODOLOGÍA PARA UTILIZAR .......................................................................................... 10 ETAPA DE LA ADMINISTRACIÓN DE RIESGOS ............................................................... 10 LINEAMIENTOS PARA EL ANÁLISIS DE RIESGO FISCAL .................................................. 10 DESCRIPCIÓN DEL RIESGO FISCAL .................................................................................. 11 ANÁLISIS DE RIESGO INHERENTE ......................................................................................... 12 VALORACIÓN DEL RIESGOS ................................................................................................ 12 PROBABILIDAD ......................................................................................................................... 12 IMPACTO..................................................................................................................................... 13 MAPA DE CALOR ...................................................................................................................... 13 VALORACIÓN DE CONTROLES ............................................................................................ 14 ESTRUCTURA PARA LA REDACCIÓN DEL CONTROL ....................................................... 15 VALORACION DE LOS CONTROLES ....................................................................................... 16 EVALUACION DEL RIESGO (NIVEL DEL RIESGO RESIDUAL) .......................................... 17 http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 2 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. NIVEL DE RIESGO RESIDUAL ............................................................................................... 17 TRATAMIENTO GESTIÓN DE RIESGO ................................................................................ 18 TRATAMIENTO DE CORRUPCIÓN ........................................................................................... 18 VALORACIÓN DE RIESGOS DE CORRUPCIÓN ................................................................ 18 PLAN DE ACCIÓN ......................................................................................................................... 21 MATERIALIZACIÓN DEL RIESGO ............................................................................................. 22 HERRAMIENTAS PARA LA GESTIÓN DEL RIESGO ............................................................. 23 INDICADORES DE GESTIÓN ................................................................................................. 23 MONITOREO Y REVISIÓN .......................................................................................................... 25 ROLES Y RESPONSABILIDADES ......................................................................................... 25 EVALUACION DE LA EFICACIA DE LOS CONTROLES ....................................................... 26 LINEAMIENTOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN ................................ 28 http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 3 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. POLÍTICA ADMINISTRACIÓN DE RIESGOS La Universidad Surcolombiana, comprometida con la calidad de la educación superior, cuenta con un Sistema para la Administración de Riesgos que contribuye a reducir la ocurrencia de los mismos en pro del cumplimiento de sus objetivos Institucionales, contando con la participación de los diferentes estamentos para la identificación de sus riesgos, su causa inmediata y causa raíz, la evaluación del riesgo inherente y residual, la definición y valoración de sus controles; buscando como finalidad aplicar el tratamiento aceptar para aquellos riesgos residuales valorados en zona baja y reducir (mitigar) para los demás riesgos, estableciendo plan de acción y responsables, acompañado de un seguimiento periódico que permita evaluar la eficacia de las acciones contribuyendo así con el mejoramiento continuo en la Institución, siguiendo como base la metodología indicada en la Guía para la administración de riesgos y el diseño de controles en entidades públicas determinada por el departamento de administrativo de la función pública. La administración de riesgo cuenta con un conjunto de elementos que se encargan de realizar el control, con necesidad de poder evaluar e influir en aquellos eventos, que se puedan presentar, ya sean de manera interna como externa, que intervienen de forma positiva o negativa con los objetivos institucionales; favoreciendo a que la entidad consolide y contribuya una cultura de autocontrol en el interior de esta. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 4 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. OBJETIVO La Universidad Surcolombiana dispone de una Política de Administración de Riesgosque establece las directrices para asegurar que los riesgos de gestión, fiscales y de corrupción. que puedan afectar al cumplimiento de los objetivos de los procesos sean identificados, analizados, valorados, evaluados y controlados de forma sistemática, con criterios uniformes y dentro de los niveles de riesgo establecidos. ALCANCE La política de administración del riesgo se ajusta completamente a todos los objetivos de cada proceso, siguiendo con la identificación, análisis, valoración, evaluación y plan de acción de los riesgos, y es extensible y aplicable a todos los procesos de la entidad. Incorpora los principios metodológicos de la guía para la administración del riesgo y el diseño de controles en entidades públicas V6. CRITERIOS DE APLICACIÓN Responsabilidad: Todos los funcionarios públicos son responsables de la correcta aplicación de la Gestión de Riesgos, mediante la identificación, análisis, evaluación de controles, seguimiento, comunicación y divulgación de los riesgos asociados a sus procesos, y de implementar los mecanismos de verificación. Aprendizaje permanente: La Alta Dirección se encargará de propiciar y promover un conocimiento sistemático y actualizado de las mejores prácticas en gestión de riesgos, desarrollando e implementando metodologías y herramientas más apropiadas que contribuyan a la mitigación de estos. Racionalidad económica: Propender por la eficiencia y la integralidad en la gestión de riesgos, lo cual supone evaluar el costo beneficio de las acciones que sean identificadas y aplicadas. Cultura de Gestión de Riesgo: La Alta Dirección promoverá y desarrollará la cultura de Gestión de Riesgos mediante estrategias que propendan por su prevención. Comunicación: Dar a conocer de manera continua la Administración de Riesgos a todas las partes involucradas. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 5 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. TÉRMINOS Y DEFINICIONES Riesgos: Efectos que se causan sobre los objetivos de las entidades, debido a eventos potenciales. Los eventos potenciales hacen referencia a la posibilidad de incurrir en pérdidas por deficiencia, fallas o inadecuaciones, en recursos humanos, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos. Riesgo Inherente: nivel de riesgo propio de la actividad. El resultado de combinar la probabilidad con el impacto nos permite determinar el nivel del riesgo inherente, dentro de unas escalas de severidad. Riesgo Residual: el resultado de aplicar la efectividad de los controles al riesgo inherente. Probabilidad: Se entiende la posibilidad de ocurrencia del riesgo. Estará asociada a la exposición al riesgo del proceso o actividad que se esté analizando. La probabilidad inherente será el número de veces que se pasa por el punto del riesgo en el periodo de un año. Nivel Del Riesgo: es el valor que se determina a partir de combinar la probabilidad de ocurrencia de un evento potencialmente dañino y la magnitud del impacto que este evento traería sobre la capacidad institucional de alcanzar los objetivos. Frecuencia: son las fuentes generadoras del riesgo. Control: medida que permite reducir o mitigar un riesgo. Acción: Hecho, acto u operación que implica actividad, movimiento o cambio y normalmente un agente que actúa voluntariamente, en oposición a quietud o acción no física. Impacto: Las consecuencias que puede ocasionar a la organización a la materialización del riesgo. Y está compuesta por Tres factores (Afectación Reputacional, Económica y Mixta). http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 6 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. Causa Inmediata: circunstancias bajo las cuales se presenta el riesgo, pero no constituye la causa principal o base para que se presente el riesgo. Causa Raíz: Causa principal o básica corresponde a la razón por las cuales se puede presentar el riesgo. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 7 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. METODOLOGÍA Ilustración 1. Metodología para la administración de riesgos de gestión Tomado de: Guía para la administración de riesgos y el diseño de controles en entidades públicas v6 http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 8 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. Ilustración 2 Metodología para la administración de riesgos de corrupción Tomado de: guía para la administración del riesgo y el diseño de controles en entidades públicas v6 http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 9 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. IDENTIFICACIÓN DEL RIESGO DESCRIPCIÓN DE RIESGO Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. Desglosando la estructura compuesta anteriormente para la descripción del riesgo tenemos. Impacto: Las consecuencias que puede ocasionar a la organización a la materialización del riesgo. Y está compuesta por Tres factores (Afectación Reputacional, Económica y Mixta). Causa Inmediata: circunstancias bajo las cuales se presenta el riesgo, pero no constituye la causa principal o base para que se presente el riesgo. Causa Raíz: Causa principal o básica corresponde a la razón por las cuales se puede presentar el riesgo. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDADSURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 10 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. ESTRUCTURA PARA LA GESTIÓN DEL RIESGO METODOLOGÍA PARA UTILIZAR Se empleará para los riesgos de gestión la metodología actualizada por parte del departamento administrativo de la función pública DAFP “guía para la administración del riesgo y el diseño de controles en entidades públicas” versión 6 y sustituya. ETAPA DE LA ADMINISTRACIÓN DE RIESGOS El manejo idóneo de los riegos favorece para el desarrollo y fortalecimiento de la institución, con el fin de asegurar dicho manejo, en la universidad surcolombiana, se adoptó la guía para la administración de riesgo y el diseño de controles en entidades públicas las siguientes etapas. LINEAMIENTOS PARA EL ANÁLISIS DE RIESGO FISCAL Definición de riesgo fiscal: Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. Efecto: es el daño que se generaría sobre los recursos públicos y/o los bienes y/o intereses patrimoniales de naturaleza pública, en caso de ocurrir el evento potencial. Evento Potencial: Hechos inciertos o incertidumbres, refiriéndonos a riesgo fiscal, se relaciona con una potencial acción u omisión que podría generar daño sobre los recursos públicos y/o los bienes y/o intereses patrimoniales de naturaleza pública. En esta guía, el evento potencial es equivalente a la causa raíz. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 11 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. DESCRIPCIÓN DEL RIESGO FISCAL Al momento de redactar un riesgo fiscal se deben tener en cuenta los siguientes aspectos: • Siempre iniciar con la oración: Posibilidad de, debido a que nos referimos a un evento potencial • Impacto: Corresponde al qué. Se refiere al efecto dañoso (potencial daño fiscal) sobre los recursos públicos y/o los bienes y/o intereses patrimoniales de naturaleza pública (área de impacto). • Circunstancia inmediata: Corresponde al cómo. Se refiere a aquella situación por la que se presenta el riesgo; pero no constituye la causa principal o básica -causa raíz- para que se presente el riesgo • Causa Raíz: Corresponde al por qué; que es el evento (acción u omisión) que de presentarse es causante, es decir, generador directo, causa eficiente o adecuada. Es la condición necesaria, de tal forma que, si ese hecho no se produce, el daño no se genera La estructura propuesta para la redacción de los riesgos fiscales es la siguiente: Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 12 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. ANÁLISIS DE RIESGO INHERENTE VALORACIÓN DEL RIESGOS La metodología para el tratamiento de riesgos es la establecida para lograr la mitigación o reducción de los distintos riesgos, donde también incluimos los riesgos fiscales y de corrupción. Al momento de evaluar las diferentes opciones en el tratamiento de riesgos, y partiendo de la política de administración de riesgos, los líderes de los procesos se encargarán de dar prioridad o importancia a los riesgos, lo cual también se tiene en cuenta los efectos que se pueden presentar sobre la entidad, la probabilidad e impacto que pueda generar el riesgo, en la evaluación de riesgo (Nivel del riesgo residual) estableciendo el tratamiento con la acción de reducir (mitigar) según el análisis del mismo. PROBABILIDAD Se entiende la posibilidad de ocurrencia del riesgo. Estará asociada a la exposición al riesgo del proceso o actividad que se esté analizando. La probabilidad inherente será el número de veces que se pasa por el punto de riesgo en el periodo de 1 año. Para conocer la determinación que se debe realizar por cada aspecto utilizamos la tabla de probabilidades (Ver Guía para la administración del riesgo y el diseño de controles en entidades públicas -Tabla 4 – Criterios para definir el nivel de probabilidad). Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 13 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. IMPACTO Las consecuencias que puede ocasionar a la organización la materialización del riesgo. Y se acoge a la siguiente tabla donde nos identifica los criterios para clasificar el impacto. (Ver Guía para la administración del riesgo y el diseño de controles en entidades públicas -Tabla 5 – Criterios para definir el nivel de impacto.) Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. MAPA DE CALOR Apartar del análisis de la probabilidad de ocurrencia del riesgo y de su impacto, tenemos que determinar cuál es la zona de riesgo inicial (RIESGO INHERENTE). Lo determinamos a través de cruzar la combinación de la probabilidad y el impacto. Y se verá definido en 4 zonas de severidad dispuestas en la matriz de calor como se podemos observar en la tabla siguiente. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 14 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. VALORACIÓN DE CONTROLES El control se define como la medida que permite reducir o mitigar un riesgo. Establecemos la valoración de los controles conforme a los lineamientos establecidos por la guía para la administración de riesgos y el diseño de controles en entidades públicas. • La identificación a los controles las debe realizara cada riesgo por medio de entrevistas con los líderes de los procesos. • Los responsables de controlar y monitorear los controles son los líderes de los procesos con el apoyo directo del equipo de trabajo. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 15 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. ESTRUCTURA PARA LA REDACCIÓN DEL CONTROL Responsable + Acción + Complemento Responsable de ejecutar el control: identifica el cargo del servidor que ejecuta el control, en caso de que sean controles automáticos se identificara en el sistema que realiza la actividad. Acción: se determina mediante verbos que indican la acción que deben realizar como parte del control. Complemento: corresponde a los detalles que permiten identificar claramente el objeto del control. (Ver. Guía para la administración del riesgo y el diseño de controles en entidades públicas. V6. 3.2.3) http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 16 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. VALORACION DE LOS CONTROLES Seguidamente se realiza el análisis de los atributos para el diseño de los controles, teniendo en cuenta las características principales relacionadas con los atributos de eficiencia e informativos. Descripción Peso Preventivo Va hacia las causas del riesgo, aseguran el resultado final esperado. 25% Detectivo Detectar que algo ocurre y devuelve el proceso a los controles preventivos, se puede generar reprocesos. 15% Correctivo Dado que permiten reducir el impacto de la materialización del riesgo, tienen un costo en su implementación. 10% Automático Son actividades de procesamiento o validación de información que se ejecutan por un sistema y/o aplicativo de manera automática sin la intervención de personas para su realización. 25% Manual Controles que son ejecutados por una persona, tiene implícito el error humano. 15% Documentado Controles que están documentados en el proceso, ya sea en manuales, procedimientos, flujograma o cualquier otro documento propio del proceso. - Sin documentar Identifica a los controles que pese a que se ejecutan en el proceso no se encuentran documentados en ningún documento propio del proceso - Continua El control se aplica siempre que se realiza la actividad que conlleva el riesgo. - Aleatoria El control se aplica aleatoriamente a la actividad que conlleva el riesgo. - Con registro El control deja un registro permite evidencia la ejecución del control. - Sin registro El control no deja registro de la ejecución del control. - Frecuencia Evidencia Atributos informativos Características TABLA DE ATRIBUTOS PARA EL DISEÑO DEL CONTROL Tipo Implementación Atributos de eficiencia Documentación Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 17 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. EVALUACION DEL RIESGO (NIVEL DEL RIESGO RESIDUAL) Considerando que por medio de los controles que se dará movimiento a la matriz de calor, se identifica en la siguiente imagen cual es el movimiento que se aplicara cuando los controles sean aplicados, ejerciendo un desplazamiento sobre los ejes de probabilidad o impacto de acuerdo con el tipo de control establecido. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. NIVEL DE RIESGO RESIDUAL La efectividad de aplicar los controles al riesgo inherente nos da como resultado el riesgo residual. Para a aplicación de los controles se debe tener en cuenta que los estos mitigan el riesgo de forma acumulativa, esto quiere decir que una vez se aplica el valor de uno de los controles, el siguiente control se aplicara con el valor resultante luego de la aplicación del primer control. (Ver. Guía para la administración del riesgo y el diseño de controles en entidades públicas. V6. 3.2.3) http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 18 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. TRATAMIENTO GESTIÓN DE RIESGO Tratamiento Descripción Aceptar Después de realizar un análisis y considerar los niveles de riesgo se determina asumir el mismo conociendo los efectos de su posible materialización. Evitar Después de realizar un análisis y considerar que el nivel de riesgo es demasiado alto, se determina No asumir la actividad que genera este riesgo. Reducir (Transferir) Después de realizar un análisis y considerar que la mejor estrategia es tercerizar el proceso o trasladar el riesgo a través de seguros o pólizas. La responsabilidad económica recae sobre el tercero, pero no se transfiere la responsabilidad sobre el tema reputacional. Reducir (Mitigar) Después de realizar un análisis y considerar los niveles de riesgo implementan acciones que mitiguen el nivel de riesgo. No necesariamente es un control adicional. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. TRATAMIENTO DE CORRUPCIÓN Es la posibilidad de que, por acción u omisión, se usa el poder para desviar la gestión de lo público hacia un beneficio privado. “Esto implica que las prácticas corruptas son realizadas por actores públicos y/o privados con poder e incidencia en la toma de decisiones y la administración de los bienes públicos” (Conpes N º 167 de 2013). El riesgo debe estar descrito de manera clara y precisa. Su redacción no debe dar lugar a ambigüedades o confusiones con la cusa generadora de los mismos. VALORACIÓN DE RIESGOS DE CORRUPCIÓN Se idéntica la posibilidad de ocurrencia del riesgo, con el fin de determinar la frecuencia o factibilidad de que suceda el riesgos, esto implica que se analiza el numero de eventos durante un periodo determinado, donde se han materializado o se cuentan con un historial de situaciones o algún tipo de evento relacionado con el riesgo, asimismo también implicaanalizar la presencia de los factores tanto internos como externos que puede suministrar el riesgo, en este caso de un hecho que no se ha presentado, pero que existe la posibilidad de que pueda ocurrir. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 19 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. Se establencen unos criterios para poder clasificar el impacto en los riesgos de corrupcion. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 20 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. Los criterios para analizar el impacto se realizan teniendo en cuenta solamente tres niveles en los cuales encontramos Moderado, Mayor y Catastrófico, debido a que estos riesgos siempre tienen un impacto significativo, por tal razón no se aplican los niveles de impacto insignificante y menor, con los que sí cuentan los demás riesgos. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 21 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. PLAN DE ACCIÓN Para efecto de establecer el plan de acción, es fundamental tener en cuenta que al momento de identificar el tratamiento Reducir (Mitigar), se debe definir un plan, en el cual se tienen que establecer: Acción, soporte de la acción, periodicidad, responsable, fecha inicial, fecha final, seguimiento, fecha de seguimiento y eficacia de las acciones. Acción: Las acciones en un plan son responsables de guiar paso a paso la ejecución precisa necesaria para alcanzar los objetivos establecidos. En esencia, actúan como una hoja de ruta que dirige el proceso, controlando los riesgos presentes. Al redactar las acciones, es fundamental comenzar cada una con un verbo”. Está versión mantiene la claridad en la descripción de las acciones y su importancia dentro del plan, mientras que también enfatiza la necesidad de comenzar cada acción con un verbo, lo que aporta una dirección clara y concisa. Soporte de la acción: consiste en un conjunto de recursos necesarios para poder respaldar y ejecutar eficazmente las acciones planeadas Periodicidad: es el intervalo de tiempo el cual se adopta para establecer los seguimientos parciales de las acciones. Responsable: Hace referencia a los responsables del proceso que se encargan de realizar el seguimiento de las acciones y de determinar los soportes de la acción con la finalidad de para realizar los seguimientos pertinentes. Fecha inicial: Esta fecha marca el comienzo de la etapa cuando comienza a realizar los seguimientos del plan de acción. Fecha final: Esta fecha marca el final de la etapa cuando comienza a realizar los seguimientos del plan de acción. Seguimiento: Es la herramienta donde se establecen y redactan los seguimientos parciales del plan de acción. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 22 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. Fecha de seguimiento: Es la fecha del ultimo seguimiento parcial del plan de acción Eficacia de las acciones: una vez implementadas las acciones establecidas en el Plan Acción se evalúa la eficacia de las mismas según la capacidad en que logró los resultados esperados durante el tiempo establecido. MATERIALIZACIÓN DEL RIESGO Al identificar la materialización del riesgo se diligencia el formato EV-CAL-FO-01 REPORTE DE ACCIÓN CORRECTIVA, MEJORA U OPORTUNIDAD DE MEJORA, de acuerdo con el desarrollo y cumplimiento de los tiempos establecidos, según avance reportado por el líder del proceso correspondiente. El líder del proceso establece el plan de acción, el cual es enviado al asesor del SGC el cual procede a verificar el cumplimiento de estas, registrándolo en el espacio destinado para este fin en el formato EVCAL-FO-01 REPORTE DE ACCIÓN CORRECTIVA, MEJORA U OPORTUNIDAD DE MEJORA. Una vez concluido el seguimiento y verificada la eficacia de las acciones, se concluye si estas fueron: implementadas y eficaces, implementadas y no eficaces o no implementadas se procede con su cierre luego de la firma del líder del proceso y del coordinador de calidad. Nota: cuando se trata de una acción correctiva cerrada como no implementada o implementada y no eficaz, se deberá nuevamente documentar replanteando el plan de acción. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 23 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. HERRAMIENTAS PARA LA GESTIÓN DEL RIESGO Un evento es un riesgo materializado, se pueden considerar incidentes que generan o podrían generar pérdidas a la entidad, se debe contar con una base histórica de eventos que permita revisar si el riesgo fue identificado y qué sucedió con los controles. En caso de que el riesgo no se hubiese identificado, se debe incluir y dar el tratamiento correspondiente de acuerdo con la metodología. Fuente: tomada de la guía para la administración de riesgo y el diseño de controles en entidades públicas V6. • PQRSDC (Peticiones, Quejas, Reclamos, Sugerencias y Denuncias) • Oficina Jurídica • Buzón de Sugerencias Este mecanismo nos permite identificar la información para poder determinar y conocer los eventos que se presentan en la institución, ya que en los buzones de sugerencia físicos se recolecta la información mensualmente y se almacena la información en un formulario de Google, también se pueden presentar por medio virtual (QR) donde esta información va directamente al formulariogoogle. En un segundo momento se determinan las recurrencias presentadas durante el mes y se toman acciones para mitigar y mejorar el nivel de satisfacción del cliente. INDICADORES DE GESTIÓN En cuanto a la medición de indicadores de gestión se determinan los indicadores de eficacia, eficiencia y efectividad, a los cuales se les hace el seguimiento según su frecuencia de medición y se reportan los respectivos seguimientos cuantitativos y cualitativos, y se diligencia en el formato EV-CAL-FO-04 FICHA TECNICA DE INDICADORES http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 24 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. • Todos los indicadores de gestión deben ser pertinentes, lo cual significa que las mediciones que se van a realizar tienen que ser oportunas y útiles con la finalidad de permitirle al proceso conocer los aspectos tanto positivos como negativos para así poder tomar decisiones respecto a estas mediciones. • Todo indicador de gestión debe fijar sus respectivas características en cuanto la unidad de medición y formula de cálculo para así obtener la elección adecuada para la herramienta de medida. • Todo indicador de gestión debe generar oportunidad respecto a los resultados de medición, con información relevante para que el proceso pueda determinar las acciones necesarias para corregir o prevenir. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 25 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. MONITOREO Y REVISIÓN ROLES Y RESPONSABILIDADES Los roles y responsabilidades para la Administración del Riesgo por procesos, está establecida de la siguiente manera: Líneas de defensa Responsable Responsabilidades frente a los controles • Identificar, diseñar e implementar los controles adecuados para reducir los riesgos asociados a los programas, proyectos, planes y procesos de la Universidad, en conformidad con las políticas institucionales y estrategias para el desarrollo de las funciones sustantivas. • Realizar seguimiento permanente a los controles, con el fin de establecer e identificar posibles actos de corrupción e implementar acciones, derivadas de las deficiencias de los mismos. • Realizar seguimiento y análisis periódico a la efectividad de los controles implementados. • Reportar los resultados del seguimiento a los controles y acciones a la oficina de Control Interno y Sistema de Gestión Calidad. • Identificar y comunicar los cambios que puedan afectar el desarrollo y la eficacia de los controles implementados. • Generar alertas cuando se identifiquen posibles actos de corrupción. • Realizar ejercicios de autocontrol de los programas, proyectos, planes y procesos de la institución con el fin de establecer la eficacia y efectividad de los controles implementados. • Retroalimentar a la Oficina de Control Interno mediante las Actas de los Subcomités de Autocontrol y al Sistema de Gestión Calidad a través de la Matriz de Riesgos, los cambios y ajustes en los controles y acciones. • Acompañar, orientar y diseñar herramientas dirigida a Vicerrectores, Decanos, Directores, Secretario General y Jefes de oficina para facilitar la identificación, diseño e implementación de controles y acciones que permitan reducir los riesgos. • Asesorar y evaluar el diseño de los controles y acciones. • Verificar y evaluar, a través de seguimientos, o de auditorías internas la eficacia y efectividad de los controles, planes de contingencia y acciones vinculadas a riesgos claves de la entidad. • Asegurar que los controles de la primera (1 ª) línea de defensa sean apropiados y funcionen correctamente. • Asesorar de forma articulada con la Oficina Asesora de Planeación y Oficina de Aseguramiento de la Calidad, sobre la identificación y diseño de controles a la primera línea (1 ª) y segunda (2ª) línea de defensa. • Proporcionar información sobre la efectividad del Sistema de Control Interno y de los controles de la primera (1ª) y segunda (2ª) línea de defensa. • Recomendar a los Vicerrectores, Decanos, Directores, Secretario General y Jefes de oficina, sobre controles que permitan reducir los riesgos. • Realizar seguimiento al tratamiento de actos de corrupción identificados en las depedendencias académico administrativas de la institución y comunicar los resultados a la Alta Dirección y Comunidad en general. • Desarrollar mínimo dos (2) autoevaluaciones en cada vigencia del Sistema de Control Interno, con el fin de establecer el nivel de cumplimiento de los componentes del Modelo Estandar de Control Interno - MECI. • Verificar y evaluar, a través de seguimientos, o de auditorías internas la eficacia y efectividad de los controles, planes de contingencia y actividades de monitoreo vinculadas a riesgos claves de la entidad. • Promover los principios del Modelo Estandar de Control Interno - MECI de Autocontrol, Autogestión y Autorregulación de los procesos de la institución con el fin de contribuir a la efectividad de los controles implementados. • Seguimiento a la implementación de los controles establecidos en la institución. • Verificar que los controles de la primera (1ª), segunda (2ª) y tercera (3ª) línea de defensa sean apropiados y funcionen correctamente. 1ra Línea de Defensa Vicerrectores Decanos Directores Secretario General Jefes de oficina 4ta Línea de Defensa Entes de Control externo 3ra Línea de Defensa Jefe Oficina de Control Interno 2da Línea de Defensa Jefe Oficina Asesora de Planeación Jefe Oficina Aseguramiento de la Calidad http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 26 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. EVALUACION DE LA EFICACIA DE LOS CONTROLES Con el fin de medir la eficacia de los controles, la Oficina de Control Interno de la Universidad Surcolombiana realiza la revisión operacional de los controles mediante la evaluación independiente o auditoría establecida en el procedimiento EV-CON-PR- 01 AUDITORÍAS INTERNAS. Por ende, para realizar la evaluación de la eficacia de los controles mediante las auditorías Internas, se estableció un formato de valoración cuantitativa y cualitativa denominado EV-CON-FO-12 EVALUACIÓN Y MEDICIÓN DE LA EFICACIA DE LOS CONTROLES, el cual será tenido en cuenta por los profesionales encargados de llevar a cabo el ejercicio de auditorías internas. Con este formato se determinará que el control esté funcionando correctamente y esté cumpliendo con el objetivo de mitigar la materialización del riesgo, estableciendo el porcentaje (%) de eficacia del control. Ahorabien, se debe tener en cuenta los factores para evaluar la eficacia de cada tipo de riesgo dándole una calificación a cada control, que determine un valor numérico y este le dé un peso porcentual entre cero por ciento (0%) y el cien por ciento (100%). Para la valoración de los controles la Oficina de Control Interno establece los siguientes criterios: CODIGO CARACTERISTICA TIPOLOGIA DESCRIPCIÓN PUNTOS MDR Materialización del riesgo No se ha materializado el riesgo durante la ejecución del control. No se identifican registros de materialización del riesgo propio del Proceso en Auditorias de la OCI y otros Sistemas de Control Externo. 50 Si se ha materializado el riesgo durante la ejecución del control. Se identifican registros de materialización del riesgo propio del Proceso en Auditorias de la OCI y otros Sistemas de Control Externo. 0 CDC Contribución del control en la disminución del riesgo Alta Ataca las causas generadoras del riesgo 50 Media Mitiga los efectos del riesgo 30 Baja No ataca las causas ni mitiga los efectos del riesgo 10 MÁXIMA CALIFICACIÓN DEL CONTROL (EFICACIA 100%) 100 Tabla 1. Elaboración propia de la Oficina de Control Interno http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 27 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. Donde: • MDR: Materialización del riesgo • CDC: Contribución del control Luego de tener las calificaciones en cada variable, se puede evidenciar en la tabla 1, que la suma de las variables máximas arroja un total de 100 puntos que equivalen a una eficacia del 100%. En virtud de esto, se establece una fórmula que será aplicada para cada control evaluado con el formato EV-CON-FO-12 EVALUACIÓN Y MEDICIÓN DE LA EFICACIA DE LOS CONTROLES, donde se obtendrá el resultado porcentual de la eficacia. % DE EFICACIA DEL CONTROL= (MDR+CDC) / (∑ (Máximo valor por categoría)) x 100 Después de que se obtiene la calificación porcentual del control, el resultado final del nivel de eficacia del control se establece mediante la siguiente tabla: NIVEL DE EFICACIA DEL CONTROL RANGO DE EFICIENCIA DESCRIPCIÓN ALTA Mayor a 80% El control presenta un funcionamiento óptimo. MEDIA Entre 80% y 61% El control presenta un buen funcionamiento susceptible de ser mejorado. BAJA Entre 60% y 0% El control presenta deficiencias en su funcionamiento, requiere acciones de mejora. Tabla. Rangos de eficacia del control Finalmente, conociendo la evaluación de la eficacia del control con el apoyo de la Oficina de Gestión de la Calidad, los procesos internos tomaran la decisión de aplicar acciones con la finalidad de mejorar o cambiar el control en caso de tener un nivel de eficacia media o baja. SEGUIMIENTO A LA MATERIALIZACION DE UN RIESGO En el ejercicio de Auditorías Internas realizado por la Oficina de Control Interno de la Universidad Surcolombiana es de tener en cuenta que cuando se evidencia la materialización de un riesgo, incumplimiento de procedimientos, fallos en http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 28 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. controles, entre otras inconformidades, se define en el resultado de auditoria como un hallazgo. Por esta razón, la Oficina de Control Interno está en la obligación de suscribir un plan de mejoramiento mediante el formato denominado EV-CON-FO- 08 PLAN DE MEJORAMIENTO donde se realiza el respectivo seguimiento en los tiempos establecidos conforme lo contempla la Resolución 106 de 2020. LINEAMIENTOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN La seguridad de la información es una prioridad fundamental para la Universidad Surcolombiana. Reconocemos los riesgos asociados con la gestión inadecuada de la información confidencial y estamos comprometidos a salvaguardar la integridad, confidencialidad y disponibilidad de nuestros activos de información. Nos comprometemos a implementar medidas y controles adecuados para mitigar los riesgos de seguridad de la información, incluyendo, pero no limitándose a, la protección contra el acceso no autorizado, la pérdida de datos, el robo de información y las amenazas cibernéticas. Nuestra política de seguridad de la información se basa en estándares reconocidos y en las mejores prácticas de la industria, y promovemos una cultura de seguridad que involucra a todos los miembros de nuestra organización en la protección y prevención de riesgos." La gestión de riesgos de seguridad de la información en la Universidad Surcolombiana se basa en los principios y directrices establecidos en la norma ISO/IEC 27005 y las directrices de la DAFP para tal fin. Nuestro enfoque sistemático y estructurado garantiza una identificación, evaluación y tratamiento adecuados de los riesgos de seguridad de la información. El proceso de gestión de riesgos se divide en los siguientes pasos: Contexto Organizacional: Comprendemos nuestro contexto organizacional, incluidos los activos de información, las partes interesadas y los objetivos comerciales relacionados con la seguridad de la información. Establecimiento del Alcance: Definimos el alcance de la gestión de riesgos, identificando los sistemas, procesos y activos de información pertinentes que serán evaluados. Identificación de Activos de Información: Identificamos y clasificamos nuestros activos de información, determinando su valor, importancia y sensibilidad. http://www.usco.edu.co/ UNIVERSIDAD SURCOLOMBIANA GESTIÓN DE LA CALIDAD POLÍTICA DE ADMINISTRACIÓN DE RIESGOS CÓDIGO EV-CAL-DA-04 VERSIÓN 3 VIGENCIA 2023 Página 29 de 29 Vigilada Mineducación La versión vigente y controlada de este documento, solo podrá ser consultada a través del sitio web Institucional www.usco.edu.co, link Sistema Gestión de Calidad. La copia o impresión diferente a la publicada, será considerada como documento no controlado y su uso indebido no es de responsabilidad de la Universidad Surcolombiana. Identificación de Amenazas y Vulnerabilidades: Identificamos y evaluamos las amenazas potenciales y las vulnerabilidades que podrían explotar dichas amenazas para afectar la seguridad de la información. Análisis de Riesgos: Evaluamos el nivel de riesgo asociado con las amenazas y vulnerabilidades identificadas, considerando la probabilidad de ocurrencia y el impacto potencial en nuestros activos de información. Evaluar Riesgos: Priorizamos los riesgos identificados según su gravedad y establecemos umbrales de riesgo aceptables para guiar las decisiones de tratamiento. Tratamiento de Riesgos: Desarrollamos y aplicamos estrategias de tratamiento de riesgos que pueden incluir la mitigación, transferencia, aceptación o evitación de los riesgos identificados. Monitoreo y Revisión: Implementamos un sistema de monitoreo y revisión continua para evaluar la efectividad de las medidas de tratamiento de riesgos y adaptarlas según sea necesario. Nuestra organización se compromete a mantener una cultura de seguridad de la información,promoviendo la conciencia y la participación de todos los miembros del equipo en el proceso de gestión de riesgos de seguridad de la información." NIDIA GUZMÁN DURAN Rector Proyectó: Mayra Bermeo Coordinadora SGC http://www.usco.edu.co/
Compartir