DIRECCIÓN DE PLANIFICACIÓN PLAN DE GESTIÓN DE...

Página: 1 de 23

DIRECCIÓN DE PLANIFICACIÓN

PLAN DE GESTIÓN DE RIESGOS ACADÉMICOS Y ADMINISTRATIVOS DE LA UNIVERSIDAD DE CUENCA

CÓDIGO: DIP-UC-001

Fecha:08/10/2012

Versión: Original

Elaborado por :

Coordinador Administrativo

Revisado por:

Directora de Planificación

Aprobado por:

Consejo Universitario

Tabla de Contenido

Introducción

1. Objetivos

2. Alcance del plan de manejo de los riesgos

2.1 Marco Legal para el análisis y administración de riesgos

2.2 Marco Conceptual para el análisis y administración de riesgos

3. Mecanismos para identificar, analizar, y tratar los riesgos

3.1 Contexto estratégico

3.2 Identificación de riesgos.- Norma 300-01

3.3 Análisis de riesgos:

3.4 Valoración de los riesgos.- Norma 300-03

3.5 Calificación del riesgo

3.6 Evaluación y valoración del riesgo residual

3.7 Respuesta al riesgo.- Norma 300-04

3.8 Plan de mitigación de riesgos:- Norma 300-02

3.9 Mapa de Riesgos

3.10 Compromisos para la administración de los riesgos institucionales

4. Monitoreo y evaluación del plan de manejo de los riesgos

5 Mantenimiento y sostenibilidad del proceso de administración del riesgo

6 Recursos

7 Glosario.- Conceptos básicos

8 Historia de las revisiones

9 Distribución

10 Bibliografía

Página: 2 de 23



CÓDIGO: DIP-UC-001

Introducción

Para la Universidad de Cuenca (UC) el contar con un plan de gestión de riesgos, más que una preocupación

coyuntural de cumplimiento con las instituciones de control, es, una estrategia para asegurar el logro de la

visión, misión y objetivos institucionales. En efecto, a partir de la definición de riesgo como “La

probabilidad de ocurrencia de un evento no deseado que podría perjudicar o afectar adversamente a la entidad o su

entorno.”, (Contraloria General del Estado, 2009) implica para la UC un rediseño de sus estilos de gestión

organizacional, de tal manera que las actividades académicas no se vean afectadas por no prever los riesgos

internos y externos que pueden suceder.

En la perspectiva de introducir la cultura del control interno, y específicamente de prever riesgos, la UC

ha iniciado un proceso de identificación de riesgos potenciales internos y externos, teniendo como soporte

técnico (i) la Norma de Control Interno 300, Identificación de Riesgos Norma 300-01; Análisis de Riesgos;

(ii) Plan de Mitigación de Riesgos, Norma 300-02; (iii) Valoración de Riesgos, Norma 300-03; y, (iv)

Respuesta al Riesgo, Norma 300-04.

Metodológicamente la identificación de riesgos se realizó considerando la actual estructura orgánica

funcional, la cultura administrativa, la complejidad de las operaciones, el enfoque de una administración

basada en procesos (a futuro) y la disponibilidad de recursos. El propósito que se busca con el Plan de

Gestión de Riesgos, es el crear una cultura de prevención en todas las dependencias de la UC que permita la

reducción de los riesgos.

Por delegación de la máxima autoridad, le corresponde a la Dirección de Planificación de la Universidad de

Cuenca (DIPUC), diseñar y aplicar métodos y procedimientos de control interno para identificar, evaluar y

valorar los eventos internos y externos que pueden afectar o impedir el normal desarrollo de los procesos

académicos administrativos, y en última instancia afectar al logro de los objetivos institucionales. Dicho

con otras palabras, a partir de la identificación, evaluación y valoración de riesgos, se trata de minimizarlos,

monitorearlos y mitigarlos para evitar la extensión y complejidad de sus efectos, en cuya gestión, el

principio de calidad está presente, y donde los conceptos de eficiencia, economía y eficacia son las claves

para el éxito.

El Plan de Gestión de Riesgos (PGR), que se presenta bajo la estructura de un enfoque por procesos, es el

producto de un trabajo colectivo de docentes, investigadores, directores departamentales, jefes de unidades,

personal administrativo de la Universidad de Cuenca, quienes además tienen responsabilidad en la fase de

Página: 3 de 23



CÓDIGO: DIP-UC-001

implementación y actualización del mapa de riesgos y en el PGR de sus respectivas dependencias;

acotando que tanto la actualización del mapa de riesgos y el PGR deberá ser realizado dentro de los

primeros 60 días de cada año.

1. Objetivos

1.1 Objetivos Generales

i) Incrementar el sistema de control interno institucional que responda a crear una cultura de la

administración del riesgo, formulando el marco conceptual y legal sobre el cual se soporta el análisis y el

proceso de administración de riesgos académicos y administrativos a los que se encuentra expuesta la

Universidad de Cuenca.

ii) Disminuir las posibilidades de ocurrencia de riesgos a través de la implementación de un sistema de

gestión de riesgos.

1.2 Objetivos específicos

i) Establecer los mecanismos que permitan identificar, analizar, y tratar los eventos que pudieran afectar

adversamente la ejecución de los procesos y el logro de los objetivos institucionales, de manera que permita,

estructurar un diagnóstico de la situación inicial.

ii) Elaborar un mapa de riesgos de los factores externos e internos que permitan la formulación de un plan

de mitigación que contenga la asignación de responsabilidades, descripción de procesos de evaluación de

riesgos, detalle de indicadores, estrategias de manejo y definición de reportes, documentos y

comunicaciones.

iii) Realizar un estudio sobre la probabilidad de ocurrencia de riesgos significativos que se han decidido

evaluar.

iv) Establecer los criterios que permitan la valoración de riesgos a partir de dos perspectivas, la

probabilidad de ocurrencia y el impacto o efecto que pueda causar.

v) Proponer un rango de respuestas de las cuales se considerará una respuesta potencial para cada riesgo

significativo, debiendo considerarse la probabilidad del riesgo residual por causa de las limitaciones propias

de cada actividad, a fin de ser analizadas.

2. Alcance del plan de gestión de riesgos

La necesidad de diseñar e implementar un PGR; como una guía institucional está asociada con los impactos

o las consecuencias que los riesgos puedan generar en el normal desarrollo de los procesos académicos y

administrativos de la UC y por ende en el cumplimiento de la misión, visión y objetivos institucionales, por

Página: 4 de 23



CÓDIGO: DIP-UC-001

lo que las acciones y decisiones planteadas para el logro de los objetivos deben ser de carácter de ejecución

obligatorio.

2.1 Marco Legal para el análisis y la administración de riesgos

2.1.1 Constitución Política del Ecuador

La evaluación de riesgos administrativos es un componente del control interno, el mismo que se encuentra

contemplado en la Constitución de la República y que es competencia de la Contraloría General del Estado

respaldado por el artículo 212 que dice entre otras cosas lo siguiente. “Serán funciones de la Contraloría

General del Estado además de las que determine la ley: 1. Dirigir el sistema de control administrativo que

se compone de auditoria interna, auditoria externa y del control interno de las entidades del sector público

y de la entidades privadas que dispongan de recursos públicos.”

Desde un enfoque de actividades que agregan valor a los procesos de la Universidad de Cuenca, la

evaluación de riesgos académicos constituye una herramienta de gestión que promueve el mejoramiento de

la calidad de la educación superior, alineándose con la Constitución de la República en su artículo 27

referente a la educación en donde se requiere entre otras cosas, que la educación debe ser de calidad. De

igual forma la valoración de riesgos académicos, se alinea con el Art. 350 de la Constitución de la

República del Ecuador que señala que el Sistema de Educación Superior tiene como finalidad la formación

académica y profesional con visión científica y humanista; la investigación científica y tecnológica; la

innovación, promoción, desarrollo y difusión de los saberes y las culturas; la construcción de soluciones

para los problemas del país, en relación con los objetivos del régimen de desarrollo.

2.1.2 Acuerdo 039-CG de 16 de noviembre del 2009 de la Contraloría General del Estado

Ecuatoriano.

Mediante el cual se expide las “Normas de Control Interno para las entidades, organismos del sector

público y personas jurídicas de derecho privado que dispongan de recursos públicos”. Dentro de las normas

existen los siguientes componentes: (i) ambiente de control, (ii) evaluación de riesgos, (iii) actividades de

control, (iv) sistemas de información y comunicación; y, (v) el seguimiento.

En la norma 300 de la Evaluación de Riesgos se estipula que: “La máxima autoridad establecerá los

mecanismos necesarios para identificar, analizar y tratar los riesgos a los que está expuesta la organización

de manera que no interfieran en el logro de los objetivos”.

Página: 5 de 23



CÓDIGO: DIP-UC-001

2.1.3 Ley Orgánica de Educación Superior (LOES).

Esta Ley regula el sistema de educación superior en el país, a los organismos e instituciones que lo

integran, determina derechos, deberes y obligaciones de las personas naturales y jurídicas, y establece las

respectivas sanciones por incumplimiento de las disposiciones contenidas en la Constitución y en la

presente Ley.

Esta Ley tiene como objeto definir sus principios, garantizar el derecho a la educación superior de calidad

que propenda a la excelencia, al acceso universal, permanencia, movilidad y egreso sin discriminación

alguna.

La evaluación de riesgos aplicada a la Universidad de Cuenca como institución del sistema de educación

superior colabora para el cumplimiento de una de sus funciones como es brindar niveles óptimos de calidad

en la formación y en la investigación.

2.1.4 Acuerdo 047 - CG – 2011.- Contraloría General del Estado: Guía metodológica para la

auditoría de gestión

La guía metodológica para la práctica de la auditoría de gestión tiene por objeto ayudar a los auditores a

desarrollar su trabajo en el campo, para lo cual, el documento incluye el marco normativo vigente, los

fundamentos teóricos y prácticos existentes, relacionados con las fases del proceso de auditoría:

Planificación, Ejecución y Resultados. La guía metodológica para la auditoría de gestión regirá para las

unidades de auditoría de la Contraloría General del Estado y para las unidades de auditoría interna de las

entidades y organismos del sector público, sujetas al Control del Organismo Técnico de Control.

2.1.5 Código orgánico de planificación y finanzas

Este Código tiene por objeto organizar, normar y vincular el Sistema Nacional Descentralizado de

Planificación Participativa con el Sistema Nacional de Finanzas Públicas, y regular su funcionamiento en

los diferentes niveles del sector público, en el marco del régimen de desarrollo, del régimen del buen vivir,

de las garantías y los derechos constitucionales.

Las disposiciones del presente Código regulan el ejercicio de las competencias de planificación y el ejercicio

de la política pública en todos los niveles de gobierno, el plan nacional de desarrollo, los planes de

desarrollo y de ordenamiento territorial de los gobiernos autónomos descentralizados, la programación

presupuestaria cuatrianual del Sector Público, el Presupuesto General del Estado, los demás presupuestos

de las entidades públicas; y, todos los recursos públicos y demás instrumentos aplicables a la Planificación y

las Finanzas Públicas.

Página: 6 de 23



CÓDIGO: DIP-UC-001

La Universidad de Cuenca al ser una entidad que recibe y transfiere recursos públicos se somete a las

normas que las regulan, y a los principios y procedimientos de transparencia, rendición de cuentas y control

publico, dentro de este último se enmarca las normas de control interno que incluyen al componente

evaluación de riesgos.

2.1.6 Normas técnicas y estándares internacionales

2.1.6.1 AS/NZS 4360:1999 Estándar Australiano-Administración de Riesgos

Este estándar provee una guía genérica para el establecimiento e implementación del proceso de

administración de riesgos incluyendo el establecimiento del contexto y la identificación, análisis,

evaluación, tratamiento, comunicación y el monitoreo en curso de los riesgos.

2.1.6.2 Norma Técnica Colombiana- ICONTEC: NTC-5254:2004 - Gestión del Riesgo

Esta norma ofrece requisitos generales para el establecimiento e implementación del proceso de gestión del

riesgo, que involucra la determinación del contexto y la identificación, análisis, evaluación, tratamiento,

comunicación y monitoreo regular de los riesgos.

2.1.6.3 Norma ISO 31000 versión 2009 - Gestión de Riesgos - Principios y Guías

Esta norma internacional proporciona principios y directrices de carácter genérico sobre la gestión de

riesgos. Esta norma internacional puede ser utilizada por cualquier institución pública, privada o empresa

de la comunidad, en grupo o individuales. Por lo tanto, no es específica de cualquier industria o sector, y

puede ser aplicada en toda la vida de una organización, para una amplia gama de las actividades, incluidas

las estrategias y las decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y los

activos; y puede ser aplicada para cualquier tipo de riesgo, cualquiera que sea su naturaleza, si el hecho es

positivo o tiene consecuencias negativas.

2.2 Marco Conceptual para el análisis y la administración de riesgos

La misión de la Universidad de Cuenca, es formar profesionales y científicos comprometidos con el

mejoramiento de la calidad de vida, en el contexto de la interculturalidad y en armonía con la naturaleza,

por lo tanto, se ve avocada a cumplir con la satisfacción de las necesidades de los usuarios del servicio de

educación superior, de los resultados de investigación, satisfacer las necesidades de la sociedad y cumplir

con las normas o regulaciones emitidas por el Estado Ecuatoriano, para lo cual, le corresponde realizar la

planificación institucional, la implementación, organización y dirección, el seguimiento y evaluación de

Página: 7 de 23



CÓDIGO: DIP-UC-001

estrategias de gestión, la ejecución de los recursos y la administración de riesgos académicos y

administrativos, lo que en conjunto exige legitimidad, eficacia en el servicio e involucramiento de la

comunidad universitaria.

Por otro lado, la Universidad de Cuenca debe considerar la creciente complejidad de la realidad académica

institucional actual que conlleva dinámicas de cambios complejos y urgentes, puesto que muchas veces

simultáneamente aparecen conceptos que requieren apropiación de conocimientos y tecnologías, por lo que

la globalización exige acciones concretas y precisas de servicios que deben ser aplicadas de manera urgente.

2.2.1 Riesgos a los que está expuesta la Universidad de Cuenca

La Universidad de Cuenca está expuesta a riesgos de origen externo e interno; los riesgos de origen

externo, son elementos potenciales cuyas fuentes son determinadas por variables o factores que están fuera,

de su control denominados del entorno y que potencialmente atentan contra su naturaleza académica y

administrativa. Son riesgos de carácter externo, los factores económicos, políticos, tecnológicos, sociales y

ambientales.

Los riesgos de origen interno provienen de factores que se encuentran dentro de la institución, los cuales

fueron identificados en el seno de las diferentes dependencias universitarias, en base de las funciones y

actividades que ejecutan y estructurados conforme al modelo de gestión por procesos (procesos

estratégicos, procesos agregadores de valor y procesos de soporte). Son riesgos de carácter interno los

factores de la infraestructura, el personal, la tecnología y los procesos, adicionalmente existen riesgos que

se enmarcan dentro de los anteriores pero son enfocados desde puntos de vista de control interno y gestión

por procesos entre los que tenemos programas o actividades complejas, manejo de dinero en efectivo, alta rotación

y crecimiento de personal, establecimiento de nuevos servicios, sistemas de información rediseñados, crecimientos

rápidos, nueva tecnología, entre otros.

3. Mecanismos para identificar, analizar y tratar riesgos

Las normas de control interno incluyen implícitamente mecanismos para la administración de los riesgos,

en donde el enfoque central es el control de los mismos, y específicamente se centran en anticiparse a la

ocurrencia del riesgo.

La implementación de los mecanismos de la administración del riesgo a nivel institucional, se inicia con un

diagnóstico donde se planifican las actividades de identificación, evaluación de los riesgos y diseño del mapa

de riesgos. Estas acciones se encuentran enmarcadas dentro de un subsistema de control estratégico y

pertenecen a la primera fase de la estructura del ciclo PHVA – (planeación)- de los mecanismos de

Página: 8 de 23



CÓDIGO: DIP-UC-001

administración del riesgo. [Ciclo de Deming para la mejora continua P=Planear, H=hacer, V=Verificar y

A=Actuar]

Los mecanismos para la administración de riesgos implementados a nivel institucional, son los siguientes:

Contexto estratégico

Identificación de riesgos

Análisis de riesgos

Calificación del riesgo

Valoración del riesgo

Valoración de riesgo residual

Mapa de riesgos

Estos elementos o acciones pertenecen a la segunda fase de la estructura del ciclo PHVA – (Hacer)- de los

procesos. [Los mecanismos son tomados de las directrices de la Norma Técnica Colombiana NTC 5254]

3.1 Contexto estratégico

La administración del riesgo exige a la Universidad de Cuenca realizar la evaluación de todos aquellos

eventos que puedan afectar negativamente el logro de sus objetivos institucionales, convirtiéndose así en

una herramienta eficaz de gestión, impulsada por la máxima autoridad y ejecutada por todos los integrantes

de la comunidad universitaria. Por lo que la evaluación de riesgos, constituye la base que facilita identificar

los riesgos bajo el escenario o entorno institucional, en donde se reconocen posibles eventos potenciales de

orden interno o externo que de ocurrir afectarían el logro exitoso de la misión y objetivos institucionales.

3.1.1 Norma 300.- Evaluación del Riesgo

“La máxima autoridad establecerá los mecanismos necesarios para identificar, analizar y tratar los riesgos

a los que está expuesta la organización para el logro de sus objetivos”. [Norma 300]

El riesgo es la probabilidad de ocurrencia de un evento no deseado que podría perjudicar o afectar

adversamente a la entidad o su entorno. La máxima autoridad, el nivel directivo y todo el personal de la

entidad serán responsables de efectuar el proceso de administración de riesgos, que implica la metodología,

estrategias, técnicas y procedimientos, a través de los cuales, las unidades administrativas identificarán,

analizarán y tratarán los potenciales eventos que pudieran afectar la ejecución de sus procesos y el logro de

sus objetivos.

Página: 9 de 23



CÓDIGO: DIP-UC-001

3.2 Identificación de riesgos.- Norma 300-01

“Los directivos de la entidad identificarán los riesgos que puedan afectar el logro de los objetivos

institucionales debido a factores internos o externos, así como emprenderán las medidas pertinentes para

afrontar exitosamente tales riesgos”. [Norma 300-01]

Como resultado del análisis del contexto estratégico, ejecución de los procesos, actividades realizadas para

cumplir con los objetivos y con la información validada por las dependencias, se establecen en primera

instancia, las causas o factores de riesgo y los posibles agentes generadores, definidos éstos, como

elementos que tienen la capacidad de originar un riesgo y que están bajo el control de la entidad.

3.2.1 Formato para Identificación de riesgos

Origen Factores

de Origen Factores

Relevantes Factores Proceso

Factores Responsables

Factores Misionales

Objetivo implicado

Factor Riesgo Causa-efecto

En este formato se definen los tipos de riesgos, clasificándolos por su factor de origen (internos y externos),

por su relación con factores externos (económicos, políticos, tecnológicos, sociales y ambientales), por su

relación con factores internos (infraestructura, personal, tecnología y los procesos), por su relación con los

requisitos de control interno y su nivel potencial (programas o actividades complejas, el manejo de dinero

en efectivo, la alta rotación y crecimiento del personal, el establecimiento de nuevos servicios, sistemas de

información rediseñados, crecimientos rápidos, nueva tecnología, entre otros ), por su relación con los

procesos ( estratégicos, de cadena de valor, de soporte), por su relación con las entidades responsables

(estructura orgánica funcional) y por su relación con los objetivos institucionales ( Ejes: CTI, Académico,

Vinculación y Gestión).

Los riesgos se definen haciendo una breve descripción e identificando las causas que los generan. En el

mapa de riesgos los potenciales eventos fueron identificados en base de los factores externos e internos que

inciden en la ejecución de procesos y subprocesos, actividades, funciones y proyectos, ejecutados por los

funcionarios, teniendo como base el mapa de procesos que está basado en la estructura orgánica funcional

de la Universidad de Cuenca que se muestra a continuación:

Página: 10 de 23



CÓDIGO: DIP-UC-001

3.3 Análisis de riesgos

Este mecanismo permite establecer la probabilidad de ocurrencia de los eventos negativos, representada

por el número de veces que el riesgo pueda presentarse en un determinado periodo y el impacto de sus

consecuencias a causa de la materialización del mismo.

3.4 Valoración de los riesgos.- Norma 300-03

La valoración del riesgo está ligada a obtener la suficiente información acerca de las situaciones de riesgo

para estimar su probabilidad de ocurrencia, este análisis permite a las servidoras y servidores reflexionar

sobre cómo los riesgos pueden afectar el logro de los objetivos institucionales. Se fundamenta en la

realización de un estudio detallado de los temas puntuales sobre riesgos que se hayan decidido evaluar.

3.5 Calificación del riesgo

La calificación del riesgo se realiza a partir de dos parámetros de variables como son la probabilidad de

ocurrencia y el impacto o efecto que pueda causar. Para asignar peso a las variables de probabilidad e

impacto, el criterio utilizado, las califica de acuerdo a una escala cualitativa en la que se propone de valores

de 1= Bajo, 2= Medio y 3= Alto, lo cual permitirá la evaluación de los riesgos identificados.

3.5.1 Estudio de Probabilidad:

Para la determinación de la probabilidad se ha tomado y adaptado para la Universidad de Cuenca, una

matriz de valoración de probabilidad propuesta por la metodología de AMEF (Análisis de Modo y Efecto

Página: 11 de 23



CÓDIGO: DIP-UC-001

de Fallo-AIAG) la misma que tiene como sustento matemático la regla de Laplace [Probabilidad – Curso

de Rafael Rivera Marín] que calcula la probabilidad con la siguiente fórmula.

[Fórmula adaptada]: P(R)= R/P

Donde P(R): Es la probabilidad de ocurrencia de riesgo

R: Es el número de veces que se potencialmente se materializaría el riesgo

P: Es el número de veces que se realiza un proceso.

Tal como se muestra en la siguiente tabla de probabilidad de ocurrencia:

Probabilidad P(R)=Probabilidad estadística de

ocurrencia

3 ALTA: Es muy factible que el hecho se presente.

Probabilidad Estadística: Mayor al 10% Mayor de 10 en cada 100

2 MEDIA: Es factible que el hecho se presente.

Probabilidad Estadística: Hasta el 10% y desde el 1%

Mayor de 1 en cada 100 y menor de 10 en

cada 100

1 BAJA: Es muy poco factible que el hecho se presente.

Probabilidad Estadística: Menor al 1% Menor de 1 en cada 100

3.5.1 Formato de análisis, calificación y evaluación

En este formato se evalúan los riesgos estableciendo la probabilidad con rangos de alta, media y baja

asignando los siguientes valores de 3,2,1 respectivamente; y, el impacto con rangos de Alto (catastrófico),

Medio (moderado), y Bajo (leve) asignando valores de 3, 2 y 1, respectivamente. Dichos valores son

multiplicados estableciendo una tabla de Indicador de Prioridad de Riesgos (IPR) [Denominación tomada

de AMEF –AIAG), los cuales son enmarcados en cuadrantes de calificación de riesgo como critico (9),

inaceptable (6), importante (4), moderado (3), tolerable (2), y aceptable (1). [Criterios acoplados para la

Universidad de Cuenca, tomado referencia de la Norma Técnica Colombiana NTC 5254 de gestión del

riesgo anexo E]

Página: 12 de 23



CÓDIGO: DIP-UC-001

Tabla de evaluación de riesgos

Probabilidad

Impacto

3 ALTO: Si el hecho

llegara a presentarse,

tendría alto (Catastrófico)

impacto o efecto sobre la

entidad.

Factor de ponderación= 3

2 MEDIO: Si el hecho

llegara a presentarse

tendría medio (moderado)

impacto o efecto en la

entidad.


1 BAJO: Si el hecho

llegara a presentarse

tendría bajo (leve)

impacto o efecto en la

entidad.


3 ALTA: es muy

factible que el

hecho se presente.

Probabilidad

Estadística:

Mayor al 10%

3x3=9 Riesgo Critico 3x2= 6 Riesgo inaceptable 3x1= 3 Riesgo moderado

2 MEDIA: es

factible que el

hecho se presente.

Probabilidad

Estadística:

Hasta el 10% y

desde el 1%

2x3= 6 Riesgo inaceptable 2x2= 4 Riesgo importante 2x1= 2 Riesgo tolerable

1 BAJA: es muy

poco factible que

el hecho se

presente.

Probabilidad

Estadística:

Menor al 1%

1x3= 3 Riesgo moderado 1x2= 2 Riesgo tolerable 1x1= 1 Riesgo aceptable

3.5.2 Indicador de prioridad de riesgo IPR

Es el producto de las puntuaciones de Probabilidad (P) e impacto (I).

IPR = (P) x (I)

Página: 13 de 23



CÓDIGO: DIP-UC-001

Este valor debe ser usado con el fin de priorizar el factor potencial de riesgo para enfocar acciones de

mitigación.

Si el IPR tiene valores de 1 o 2, no se debe tomar acción de mitigación.

Si el IPR presenta valores superiores a 2, se debe tomar acción de mitigación y explicitar en el plan de

mitigación.

Estos criterios se aplican en el formato de análisis de los riegos para calificarlos. También se puede

determinar si existen controles y si estos están documentados, son aplicados y efectivos, como consecuencia

se definen acciones para mitigación, posteriormente luego de realizado las acciones correctivas se analizará

el nuevo nivel de riesgo el cual puede cambiar (disminuir), las acciones correctivas deben ser revisadas y el

nivel de riesgo debe ser recalculado hasta lograr un nivel de riesgo de 2 tolerable o mejor aún hasta llegar a

un nivel 1 de riesgo aceptable, según este planteamiento todos los riesgos de IPR 3,4,6 o 9 deben ser

tratados aplicando el ciclo de valoración, aplicación de correcciones hasta tener niveles metas de 2 o 1.

Se anota que el proceso de administración de riesgo se inicia con un diagnóstico constituyendo los

resultados la línea base para la administración del riesgo.

3.6 Evaluación y valoración del riesgo residual

Luego de la primera calificación del riesgo se considerará una respuesta potencial para cada riesgo

significativo, debiendo analizarse la probabilidad del riesgo residual por causa de las limitaciones propias

de cada actividad, esto con el fin de ser analizadas por lo que se hace necesario partir de la realización de

un estudio sobre la probabilidad de ocurrencia de riesgos significativos que se haya decido evaluar, para lo

cual, se procederá a identificar y calificar de acuerdo con su grado de eficacia y factibilidad, los controles o

acciones correctivas, de tipo preventivo y correctivo planteados por la Universidad de Cuenca.

La nueva valoración del riesgo da como resultado los nuevos niveles de riesgos para los cuales y según

continúen afectando los propósitos institucionales es necesario desarrollar una serie de acciones a fin de

alinearlos con los niveles de aceptación y tolerancia.

3.7 Respuesta al riesgo.- Norma 300-04

Los directivos de la entidad identificarán las opciones de respuestas al riesgo, considerando la probabilidad

y el impacto en relación con la tolerancia al riesgo y su aplicabilidad. La consideración del manejo del

riesgo y la selección e implementación de una respuesta son parte integral de la administración de los

riesgos. Los modelos de respuesta al riesgo pueden ser: evitar, reducir, compartir y aceptar.

Página: 14 de 23



CÓDIGO: DIP-UC-001

Evitar el riesgo implica, prevenir las actividades que los originan. La reducción incluye los métodos y

técnicas específicas para tratar con ellos, identificándolos y proveyendo acciones para la reducción de su

probabilidad e impacto. El compartirlo reduce la probabilidad y el impacto mediante la transferencia u otra

manera de compartir una parte del riesgo. La aceptación no realiza acción alguna para afectar la

probabilidad o el impacto.

3.7.1 Rangos de respuestas para evitar o prevenir riesgos

Como parte de la gestión de riesgos, se considerarán para cada riesgo significativo las respuestas

potenciales en base de un rango de respuestas. A partir de la selección de una respuesta, se volverá a medir

el riesgo sobre su base residual, reconociendo que siempre existirá algún nivel de riesgo residual por causa

de la incertidumbre inherente y las limitaciones propias de cada actividad, por lo que se consideran las

siguientes respuestas para prevenir los riesgos:

Procesos de capacitación y formación

Programas de desarrollo y bienestar para el personal

Programas de mantenimiento preventivo para equipos

3.7.1.1 Procesos de capacitación y formación

Para garantizar una gestión institucional eficaz, los servidores deben contar con actualización permanente

de sus competencias, destrezas y habilidades, por lo que se debe elaborar e implementar un programa de

capacitación y formación cuya planificación esta a cargo de la Dirección de Talento Humano, esta

capacitación debe estar orientada al fortalecimiento de las competencias.

3.7.1.2 Programas de desarrollo y bienestar para el personal

Para prevenir cualquier afectación por vulnerabilidad en la integridad del personal, y de la institución, la

universidad debe cumplir con programas de salud ocupacional, seguridad física y medioambiental para

mantener un alto grado de bienestar social de los servidores, y de la institución ,dando observancia a la

legislación y disposiciones reglamentarias existentes ; es así como se deben ejecutar programas de higiene y

seguridad laboral con la finalidad de identificar, evaluar y controlar mediante estudios ambientales

periódicos, los agentes y factores de riesgo presentes en el medio de trabajo, que puedan causar alteraciones

irreversibles o permanentes en la salud de los servidores y en el bienestar de la institución.

3.7.1.3 Programas de mantenimiento preventivo para equipos

Página: 15 de 23



CÓDIGO: DIP-UC-001

Otra de las políticas aplicadas para prevenir o evitar la materialización de los riesgos, son los programas de

mantenimiento preventivo para equipos y bienes como son, el parque automotor, equipos de cómputo,

sistemas de información, plantas eléctricas, equipos de aire acondicionado, equipos de laboratorio, etc.

3.7.2 Rango de respuestas para reducir el riesgo

Esta clase de opciones busca disminuir tanto la probabilidad de ocurrencia del riesgo, como el impacto que

éste puede generar. Para la Universidad de Cuenca se proponen las siguientes acciones:

Fortalecimiento del ejercicio del autocontrol

Fortalecimiento del ejercicio de la autoevaluación de la gestión

Proceso de Auditoria Interna

3.7.2.1 Fortalecimiento del ejercicio del autocontrol (controles)

Con el objeto de que cada servidor o servidora, independientemente de su nivel jerárquico tenga la

capacidad de evaluar su trabajo, detectar desviaciones, efectuar correctivos, mejorar y solicitar ayuda

cuando lo considere necesario, de tal manera que la ejecución de los procesos, actividades y tareas bajo su

responsabilidad, garanticen el ejercicio de una función transparente y eficaz, la Dirección de Planificación

conjuntamente con la Dirección de Talento Humano deben promover esta práctica de autocontrol.

3.7.2.2 Fortalecimiento del ejercicio de la autoevaluación de la gestión

La autoevaluación realizada por cada entidad refleja la efectividad y los resultados de su gestión en tiempo

real, esto a la vez ayuda a verificar su capacidad para cumplir con las metas, a fin de tomar las medidas

correctivas que sean necesarias para el cumplimiento de los objetivos institucionales.

3.7.2.3 Proceso de Auditoria Interna

La auditoria interna es un mecanismo que permite llevar a cabo un examen sistemático, objetivo e

independiente de los procesos, actividades, operaciones y resultados de la entidad, a fin de determinar (i) si

los recursos se han utilizado con la debida consideración por su eficiencia, eficacia y transparencia, (ii) si se

han observado las normas internas y externas que le sean aplicables, y (iii) si los mecanismos de

comunicación pública son confiables, para revelar los aspectos más importantes de la gestión y los

resultados obtenidos por lo que con su aplicación se logrará reducir la probabilidad de ocurrencia del riesgo

y el impacto que éste pueda generar en la gestión institucional.

Página: 16 de 23



CÓDIGO: DIP-UC-001

3.8 Plan de mitigación de riesgos - Norma 300-02

Esta norma indica que los directivos de las entidades del sector público y las personas jurídicas de derecho

privado que dispongan de recursos públicos, realizarán el plan de mitigación de riesgos desarrollando y

documentando una estrategia clara, organizada e interactiva para identificar y valorar los riesgos que

puedan impactar en la entidad impidiendo el logro de sus objetivos. Acorde con los compromisos

establecidos para el manejo de los riesgos, se debe trazar un plan de mitigación de los riesgos el cual debe

ser revisado como mínimo una vez al año.

El plan contiene las acciones encaminadas a controlar los riesgos, las cuales deben estar enfocadas a evitar,

reducir, compartir y aceptar los riesgos, estableciendo los responsables de ejecutar las acciones, las fechas

metas en la cuales se van a desarrollar tales acciones e indicadores metas de seguimiento.

3.9 Mapa de Riesgos

El principal insumo que permite analizar y adaptar la información a los criterios exigidos por las normas de

control interno, en especial en lo referente a la evaluación del riesgo provienen de:

Diagrama de Estructura Orgánica de la Universidad de Cuenca

Reporte de las Auditoria Interna

Reporte de los problemas internos

Datos de intervenciones de planificación y los proyectos a ejecutarse.

Datos de la Planificación Estratégica de la Universidad de Cuenca

Datos estadísticos

Requisitos o requerimientos de cada entidad

Para obtener el mapa de riesgos se debe identificar y valorar los riesgos asociados a las entidades,

actividades, funciones o procesos que se ejecutan, señalar acciones para su manejo y ubicarlos

referencialmente en la estructura orgánica funcional.

El procedimiento utilizado para la elaboración del mapa y el plan de gestión riesgos es el siguiente:

i) Revisar los requerimientos contenidos en las normas de control interno de la Contraloría General del

Estado.

ii) Identificar los factores de riesgo que potencialmente impactan e incluirlo en la matriz de análisis.

Página: 17 de 23



CÓDIGO: DIP-UC-001

iii) Establecer un equipo multidisciplinario conformado por: Coordinador de Control de Gestión de la

Dirección de Planificación y representantes de las entidades, función o proceso

El Coordinador es la persona encargada de programar las reuniones, realizar las actualizaciones de la

matriz de análisis y verificar el cumplimiento de los planes de mitigación

iv) Revisar los procesos actualizados, adaptar los formatos y la información a la estructura y caracterizar el

plan de gestión de riesgos de la Universidad de Cuenca.

v) Enmarcar los requerimientos emitidos por la Unidad de Auditoria Interna.

vi) Revisar y consultar otros planes y mapas de instituciones afines

vii) Identificar, revisar y controlar la calidad de los riesgos a los se encuentra expuesta la UC.

viii) Ejecutar reuniones con los responsables de los procesos, en cada una de las dependencias, asesorar

sobre el tema, revisar, actualizar, validar, valorar y calificar los riesgos.

ix) Estructurar una propuesta de compromisos necesarios para la evaluación de riesgos.

x) Tomar como referencia en página electrónica (Excel), cuatro formatos:

Formato Identificación

Formato de Análisis, Calificación y Valoración

Formato de Plan de Mitigación de los riesgos

Formato para Mapa de Riesgos

3.10 Compromisos para la administración de los riesgos institucionales

i) La Universidad de Cuenca en su compromiso con la calidad académica de investigación científica y

vinculación con la colectividad, implementará y desarrollará un Sistema de Administración de Riesgos de

orden Académico y Administrativo, que permita a la máxima autoridad la toma de decisiones acertadas

frente a la ocurrencia de eventos, y un manejo de sus efectos, de manera que no logren afectar

sustancialmente el cumplimiento de los objetivos misionales.

ii) La Universidad de Cuenca, bajo la orientación de la máxima autoridad, velará por el cumplimiento de las

acciones preventivas y de manejo de los riesgos, garantizará su ejecución y eficacia frente a su

materialización, valorará y controlará su trazabilidad, mientras el riesgo permanezca latente o las

consecuencias continúen impactando al proceso con posible afectación de sus objetivos.

iii) La Universidad de Cuenca ajustará y actualizará, por lo menos una vez al año, el Mapa de Riesgos como

herramienta fundamental de la Administración del Riesgo, para lo cual utilizará los lineamientos

establecidos en el plan de manejo de riesgos, y adoptará a través de los responsables de cada proceso, sin

Página: 18 de 23



CÓDIGO: DIP-UC-001

demora y en el marco de la viabilidad, medidas de aseguramiento contra la materialización y resultados de

los eventos descritos, y de los nuevos cuya ocurrencia pueda preverse.

iv) El proceso de Planeación Institucional será responsable de coordinar y orientar la elaboración de los

procedimientos para el manejo de los riesgos en aquellos procesos donde se requiere y promoverá su

desarrollo, asegurando el cumplimiento de sus etapas, la actualización anual del Mapa de Riesgos, la

implementación del Plan de Mitigación y su ejecución, a través de programas y acciones articuladas al Plan

Operativo Institucional.

v) Anualmente se reformulará, dentro de los primeros 60 días, el plan de mitigación de los riesgos,

estableciendo los nuevos riesgos y las acciones para su tratamiento. El seguimiento a las acciones de manejo

de los riesgos, se realizará en forma trimestral y el proceso tendrá 10 días laborables, después de este

periodo se entregará los informes del avance a la Dirección de Planificación.

vi) La Universidad de Cuenca acepta una tolerancia de riesgo frente a cada proceso de manera individual y

general hasta el nivel de tolerable (IPR= 2), por tanto, los riesgos enmarcados dentro del nivel de

moderados (IPR=3), importantes (IPR =4), inaceptables (IPR= 6) y críticos (IPR=9) tendrán prioridad de

tratamiento. La aplicación de opciones para el tratamiento de los riesgos significativos se establece en

relación a factibilidad de aplicación.

vii) La Universidad de Cuenca genera en cada uno de los servidores y servidoras, una cultura de

administración de los riesgos para asegurar la detección de los riesgos y las oportunidades que se

presentan, creando conciencia de que si no se administran apropiadamente pueden afectar el logro de los

objetivos institucionales.

3.10.1 Comunicación de los Compromisos

Con el objeto de establecer e implementar la infraestructura y el compromiso necesario para asegurar que la

administración del riesgo se convierta en parte integral de la planificación de los procesos estratégicos,

agregadores de valor y de soporte, así como del desarrollo de cultura de administración de riesgos, la

Dirección de Planificación conjuntamente con la Dirección de Talento Humano desarrollará planes de

capacitación, y realizará las comunicaciones necesarias para lograr la interiorización y sensibilización de los

funcionarios hacia el tema de la administración del riesgo en la Universidad de Cuenca.

Página: 19 de 23



CÓDIGO: DIP-UC-001

Con el fin de garantizar la continuidad de la comunicación de los compromisos, la Dirección de Talento

Humano, dará a conocer dichas políticas en los procesos de inducción y reinducción de los funcionarios.

4. Monitoreo y evaluación del plan de gestión de riesgos

Las actividades asociadas a monitoreo y evaluación del PGR, corresponden a la etapa de control de

evaluación y tiene como punto de partida los riesgos identificados y los controles o acciones definidos en las

dos primeras etapas, así mismo, hacen parte del ciclo PHVA, la fase VERIFICAR.

En consecuencia, el monitoreo de los riesgos así como de los controles o acciones es responsabilidad de los

directivos de las dependencias conjuntamente con la DIPUC; quienes deberán:

Identificar, analizar, calificar, definir tratamientos y aplicarlos

Realizar las acciones para una efectiva administración del riesgo

Establecer y disminuir sistemáticamente los riesgos asociados a los procesos.

Realizar el seguimiento a las acciones que se desarrollen para una efectiva administración del

riesgo.

5. Mantenimiento y sostenibilidad del proceso de administración del riesgo

La definición de procedimientos, acciones correctivas y preventivas basados en los resultados de evaluación

y monitoreo, permitirán lograr el mejoramiento continuo y la sostenibilidad del proceso de administración

del riesgo a nivel institucional.

De igual manera, la Unidad de Auditoría Interna comunicará y presentará los resultados de las situaciones

detectadas con respecto a los riesgos institucionales, lo cual llevará a tomar decisiones necesarias para la

corrección de las desviaciones que se presenten frente a los objetivos y metas planteadas.

Estas actividades corresponden a la etapa de control de evaluación y a la última fase del ciclo PHVA: -

ACTUAR- aplicado al proceso de administración del riesgo.

6. Recursos

La implementación del presente plan de gestión de riesgos, cuenta con el compromiso de la máxima

autoridad, para lo cual se dispone de los recursos físicos, económicos, tecnológicos, así como del talento

humano con que cuenta la Universidad de Cuenca.

Para que se obtengan resultados efectivos, eficientes y eficaces, se requiere de la permanente participación

de los todos los funcionarios, para que se divulgue, apropie y se ponga en práctica procesos y

Página: 20 de 23



CÓDIGO: DIP-UC-001

procedimientos, que permitan dar una oportuna solución a cualquier evento que propicie la ocurrencia de

los riesgos relacionados, por proceso, dependencia o funcionario responsable.

La asignación de recursos debe ser coordinada entre la máxima autoridad institucional y los demás

funcionarios. Igualmente, en concordancia con el acatamiento del ordenamiento marco legal vigente, las

instancias de control, evaluación y seguimiento serán realizadas a fin de cumplir con los objetivos y

propósitos del presente plan.

Se espera la apropiación de herramientas e instrumentos contenidos en este documento, para que sean

eficientemente realizadas las acciones descritas y con ello poder atender debidamente los posibles eventos

que activen algún riesgo institucional.

Página: 21 de 23



CÓDIGO: DIP-UC-001

7.- Glosario

Riesgo, es la probabilidad de ocurrencia de un evento no deseado que podría perjudicar o afectar

adversamente a la entidad o su entorno.

Factores de riesgo, conjuntos de elementos, procesos, sistemas, modelos, actividades, etc. que pueden

impactar en el normal desarrollo de actividades de una entidad o institución en la medida que no satisface

una expectativa o reglamentación

El factor de riesgo es la manera potencial en la cual se podría no cumplir los requisitos del proceso o los

propósitos de la función. Es una descripción de la potencial no - conformidad en operaciones específicas. En

ella puede haber causas asociadas con pasos anteriores o posteriores; sin embargo en la preparación del

análisis se parte del supuesto que lo que ingresa está correcto.

Administración del riesgo, conjunto de metodologías, sistemas y aplicaciones usadas para definir o

identificar, analizar, medir, mitigar y controlar los riesgos.

Conceptualizada como la capacidad que tiene la entidad para emprender las acciones necesarias que le

permitan el manejo de los eventos que puedan afectar negativamente el logro de los objetivos

institucionales, protegerla de los efectos ocasionados por su ocurrencia. Consta de dos etapas: i) El

diagnóstico o valoración mediante identificación, análisis y determinación del nivel, y ii) El manejo o la

administración propiamente dicha.

Análisis de riesgos, es un método inductivo de determinación de probabilidad e impacto de riesgo,

realizando para ello un estudio sistemático de causas y consecuencias de los eventos no deseados, que

puedan afectar a la institución, como medio para asegurar que, en la medida de lo posible, han sido

estudiados todos los factores de riesgo, sus causas, efectos y mecanismos asociados. Dependiendo de la

información disponible pueden emplearse desde modelos de simulación, hasta técnicas colaborativas.

Probabilidad de riesgo, es la probabilidad de ocurrencia y se refiere a la cantidad de veces que puede

ocurrir un evento no deseado. La puntuación de la ocurrencia está relacionada con su valor. Se debe calcular

la probabilidad de ocurrencia en una escala de 1 a 3.

Impacto o consecuencia, es el resultado de un evento (causa) expresado cualitativa o cuantitativamente,

que genera pérdida, perjuicio, daño, desventaja o ganancia.

Página: 22 de 23



CÓDIGO: DIP-UC-001

Por lo tanto es un indicador de la gravedad que causa el factor de riesgo en el logro de los objetivos

estratégicos de los ejes de Investigación de Ciencia y Tecnología, Docencia, Vinculación con la Colectividad

y Gestión Académica cuyo daño se reflejaría en la evaluación de la institución. Por lo que la gravedad del

impacto está relacionada con el alcance del análisis. Una disminución de este parámetro solo puede darse

cuando existan cambios substanciales. El impacto puede tomar valores de 1,2, o 3.

Indicador de prioridad de riesgo IPR, es el producto de las puntuaciones de Probabilidad (P) e impacto

(I). IPR = (P) x (I)

Control, constituyen las políticas, acciones, procesos, prácticas que actúan para eliminar o minimizar los

riesgos adversos o mejorar oportunidades positivas. Proveen una seguridad razonable relativa al logro de

los objetivos.

Enfoque basado en procesos, identificación y gestión sistemática de los procesos implementados en las

entidades.

Evaluación del riesgo, proceso utilizado para determinar prioridades en la administración del riesgo por la

comparación de niveles de riesgo frente a estándares determinados.

Identificación del riesgo, proceso que determina “Que” puede suceder, “Porqué” y “Cómo”.

Mapas de riesgos, herramienta metodológica que permite hacer un inventario de los riesgos ordenada y

sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias.

Plan de contingencia, parte del plan de manejo de los riesgos que contiene las acciones a ejecutar en caso

de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.

Técnicas para manejar el riesgo, evitar o prevenir, reducir, dispersar, transferir, compartir y asumir o

aceptar el riesgo.

Valoración del riesgo, primera fase en la administración de riesgos, diagnóstico que consta de la

identificación, análisis y determinación del nivel de riesgo.

Página: 23 de 23



CÓDIGO: DIP-UC-001

Riesgos Significativos, riesgos enmarcados dentro del nivel de moderados (IPR=3), importantes (IPR

=4), inaceptables (IPR= 6) y críticos (IPR=9)

8.- Historia de las revisiones

Revisión Razón del Cambio Fecha

Original Creación de Documento 08-10-2012

9.- Distribución

Dirección de Planificación Unidad de auditoria interna 10.- Bibliografía

ESTADO, C. G. (14 de Diciembre de 2009). Acuerdo 039 CG. Normas de Control Interno para las Entidades,

Organismos del Sector Público y Personas Jurídicas de Derecho Privado que Dispongan de Recursos

Públicos. Quito, Pichincha, Ecuador.

.

DIRECCIÓN DE PLANIFICACIÓN PLAN DE GESTIÓN DE...

Documents

Transcript of DIRECCIÓN DE PLANIFICACIÓN PLAN DE GESTIÓN DE...