Riesgo: posibilidad de que exista un evento o situación, de carácter interno o externo, en cualquier nivel de la organización, que pueda afectar los objetivos, la estrategia y propósitos organizacionales de manera positiva o negativa, creando y protegiendo el valor, o dificultando y deteriorando el valor existente (COSO ERM, (2017); ISO 31000, 2018).
COSO: plantea que el riesgo implica incertidumbre y afecta la capacidad de una organización para lograr su estrategia y objetivos.
En el marco del SGR llamamos riesgos a aquellos eventos que, desde una perspectiva negativa, pueden ocasionar pérdida, inadecuación, daño, o que pueden dificultar el logro de los objetivos propuestos; y llamamos oportunidades a aquellas situaciones que facilitan el logro de los objetivos o que se identifican a partir del análisis del contexto externo como proyectos, contratos, mejoras, eficiencias, satisfacción de las partes de interés, nuevos procesos, negocios, entre otros.
Riesgo emergente: riesgo que no existía y que se puede derivar de cambios en el entorno, estructura, tecnologías, procesos, entre otros.
Riesgo residual: hace referencia al riesgo luego del análisis en cuanto a su probabilidad e impacto, considerando los controles existentes, excepto seguros.
Evento de riesgo: suceso o acontecimiento que se presenta en un proceso y que representa un riesgo, cuyo impacto puede ser en personas, económico o de imagen – reputacional.
Evaluación del Riesgo: corresponde al proceso de identificación, análisis y valoración del riesgo.
Tratamiento del riesgo: corresponde a la definición, diseño e implementación de las medidas de tratamiento para eliminar, prevenir, proteger o transferir el riesgo.
Identificación del riesgo: conocimiento del riesgo que puede afectar el cumplimiento y logro de los objetivos
Análisis del riesgo: consiste en calificar, de acuerdo con los criterios de evaluación definidos, la probabilidad, el impacto y el nivel de los controles para cada uno de los riesgos identificados.
Probabilidad/Frecuencia: hace referencia a la posibilidad de ocurrencia de un riesgo, cada cuánto se espera que se presente o se ha presentado.
Severidad/Impacto: hace referencia a las consecuencias que la ocurrencia del riesgo puede ocasionarle a la Universidad.
Matriz de riesgos: denominada también como matriz de frecuencia e impacto, es una representación del nivel de criticidad de los riesgos identificados y analizados.
BCM: Business Continuity Management - Gestión de Continuidad del Negocio.
BCP: Business Continuity Plan (Plan de Continuidad del Negocio).
MBCO: Mínimum Business Continuity Objective (Objetivo Mínimo de Continuidad del Negocio).
DRP: Disaster Recovery Plan (Plan de Recuperación de Desastres).
BIA: Business Impact Analysis (Análisis de Impacto al Negocio).
AIA: Análisis de impacto a las aplicaciones.
RTO: Recovery Time Objective (Tiempo Objetivo de Recuperación).
RPO: Recovery Point Objective (Punto Objetivo de Recuperación).