ficha de procedimiento: “gestión de riesgos” · ficha de procedimiento: “gestión de riesgos...
TRANSCRIPT
Ministeriode Economía y Finanzas
Organismo Supervisor delas Contrataciones delEstado
PERÚ
Código: PE01.03.02 Versión: 02
Ficha de procedimiento: “Gestión de riesgos”
Órgano o Unidad Orgánica Visto y Sello
Elaborado por: Unidad de Organización y Modernización
Validado por: Oficina de Planeamiento y Modernización
Revisado por:
Oficina de Planeamiento y Modernización
Oficina de Asesoría Jurídica
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
2
Control de Cambios
Versión Sección / Ítem Descripción del cambio:
01 ---- Nuevo
02
----Se actualiza la matriz de riesgo, considerando los requisitos dela Norma internacional ISO 27001:2013, Sistemas de gestiónde seguridad de la información.
Actividad 8 Se incluye el concepto de PROPIETARIO DEL RIESGO, el cualse incorpora en una celda de la matriz de riesgos.
Actividad 9 Se actualiza el concepto de “Riesgo Inherente”, el cual seincorpora en la matriz de riesgos.
Actividad 12 Se actualiza el concepto de “Riesgo Residual”, el cual seincorpora en la matriz de riesgos.
Actividad 25 Se establece “Verificar eficacia de acciones” como actividadfinal del procedimiento.
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
3
I. OBJETIVO
Identificar, analizar y evaluar riesgos, con el fin de diseñar e implementar planes deacción para reducir y/o mitigar los riesgos que tengan impacto sobre el cumplimientode los objetivos del Organismo Supervisor de las Contrataciones del Estado - OSCE.
II. ALCANCE
El presente documento es de aplicación a todos los procesos del Organismo Supervisorde las Contrataciones del Estado - OSCE.
III. RESPONSABLE
Jefe/a de los Órganos / Unidades Orgánicas del Organismo Supervisor de lasContrataciones del Estado - OSCE, es responsable de cumplir y hacer cumplir el presenteprocedimiento.
Personal asignado a los sistemas de gestión en el Organismo Supervisor de lasContrataciones del Estado - OSCE, es responsable de hacer seguimiento a laimplementación del presente procedimiento.
IV. BASE NORMATIVA
1. Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la ContraloríaGeneral de la República.
2. Ley N° 28716, Ley de Control Interno de las Entidades del Estado.3. Decreto Supremo N° 123-2018-PCM, Decreto Supremo que aprueba el “Reglamento
del Sistema Administrativo de Modernización de las Gestión Pública”.4. Resolución de Contraloría N° 146-2019-CG, que aprueba la Directiva N° 006-2019-
CG/INTEG “Implementación del Sistema de Control Interno en las Entidades delEstado”.
5. Resolución N° 059-2019-OSCE/SGE, que aprueba la Directiva N° 002-2019-OSCE/SGE “Directiva para la Gestión por Procesos en el OSCE”.
6. Norma Internacional ISO 31000:2018, Gestión del riesgo – Directrices.7. Norma internacional ISO 9001:2015, Sistemas de gestión de la calidad.8. Norma internacional ISO 37001:2016, Sistema de gestión contra el soborno.9. Norma internacional ISO 27001:2013, Sistemas de gestión de seguridad de la
información.10. Norma internacional ISO 14001:2015, Sistemas de gestión ambiental.11. Norma internacional ISO 45001:2018, Sistemas de gestión de salud y seguridad en el
trabajo.12. Norma internacional ISO Guía 73:2009 Gestión del riesgo – Vocabulario.
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
4
V. SIGLAS Y DEFINICIONES
DEFINICIONES:1. Amenaza: Son aquellos factores externos a la organización que advierten proximidad o
propensión a un evento de pérdida, sobre los cuales esta no tiene control.2. Análisis del riesgo: Proceso llevado a cabo para comprender la naturaleza del riesgo y
determinar el nivel de Riesgo Inherente.3. Aspecto ambiental: Elemento de las actividades, productos o servicios de una
organización que puede interactuar con el medio ambiente. Se considera como aspectoambiental significativo aquel con un nivel de riesgo muy alto.
4. Consecuencia / impacto: Resultado de un evento y que afecta a los objetivos.5. Control: Incluye procesos, políticas, dispositivos, prácticas u otras acciones que modifican
al riesgo. Se puede establecer jerarquía de control como: eliminación, sustitución,ingeniería, administrativo y equipo de protección de seguridad.
6. Confidencialidad: Propiedad de la información de no ponerse a disposición o serrevelada a individuos, entidades o procesos no autorizados.
7. Descripción del riesgo: Declaración estructurada del riesgo.8. Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo
requiera una entidad autorizada.9. Efectividad del control: Determina el factor reducido, el cual es considerado por la
implantación y aplicación de controles existentes.10. Evaluación del riesgo: Es la comparación de los resultados del “análisis del riesgo” con
los criterios establecidos para determinar el riesgo residual, su magnitud establece latolerancia del riesgo, si es aceptable o no.
11. Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo. Implicala identificación de fuentes, eventos, causas y consecuencias potenciales. Puedeinvolucrar datos históricos, análisis teóricos, opiniones informadas, expertas y lasnecesidades de las partes involucradas.
12. Integridad: Propiedad de la información relativa a su exactitud y completitud13. Nivel del riesgo: Magnitud de un riesgo o de una combinación de varios. Se expresa en
términos de combinación de la probabilidad y la consecuencia/impacto de los mismos.14. Peligro: Situación o característica intrínseca de algo capaz de ocasionar daños a las
personas, equipos, procesos y ambiente.15. Probabilidad: Posibilidad de que suceda el riesgo.16. Producto: Resultado de un proceso, entendiendo como los bienes y servicios que recibe
el administrado (en el caso del OSCE puede ser un proveedor, entidad, árbitros ociudadano) y que satisfacen necesidades y expectativas, lo que contribuye al logro de losobjetivos institucionales y la generación de bienestar para la sociedad.
17. Propietario del riesgo: Persona o entidad que tiene la responsabilidad de rendir cuentas,y la autoridad para gestionar el riesgo.
18. Riesgo: Efecto de la incertidumbre en los objetivos. Un efecto es una desviación de loesperado, ya sea positivo o negativo.
19. Riesgo inherente: Es el riesgo que existe por la naturaleza de la actividad que realiza laentidad.
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
5
20. Riesgo residual: Riesgo remanente después del tratamiento del riesgo.21. Tipo de riesgos:
a. Ambiental: Riesgo que se genera a partir de las actividades realizadas y que puedenocasionar alguna forma de cambio al ambiente.
b. De Corrupción: Posibilidad de que, por acción u omisión, se use el poder para desviarla gestión de lo público hacia un beneficio privado, los cuales pueden ser de:- Colusión: Delito que consiste en el acuerdo entre dos o más partes para limitar la
competencia. El cual se realiza de manera secreta e ilegal, engañando a otros sobresus derechos legales.
- Peculado: Delito que consiste en la apropiación indebida del dinero pertenecienteal Estado por parte de las personas que se encargan de su control y custodia.
- Soborno: Delito que consiste en una oferta, promesa, entrega, aceptación osolicitud de una ventaja indebida de cualquier valor (que puede ser de naturalezafinanciera o no financiera), directamente o indirectamente, e independiente de suubicación, en violación de la ley aplicable, como incentivo o recompensa para queuna persona actúe o deje de actuar en relación con el desempeño de lasobligaciones de esa persona.
- Cohecho: Delito que consiste en el soborno entre cargos de la administraciónpública. Con esto se hace referencia a que para que se produzca cohecho, al menosque uno de los implicados debe ser un servidor de la administración pública. Estetipo de acciones corruptas se enmarca dentro de lo que serían las relacioneseconómicas existentes entre el sector público y el privado.
- Tráfico de influencias: Delito que consiste en la práctica ilegal que consiste enutilizar la influencia personal en ámbitos de gobierno, a través de conexiones conpersonas, con el fin de obtener favores o tratamiento preferencial.
- Enriquecimiento ilícito: Delito que consiste en el incremento del patrimonio de unfuncionario público con significativo exceso respecto de sus ingresos legítimosdurante el ejercicio de sus funciones y que no pueda ser razonablemente justificado.
c. Tecnológico: Asociado con la capacidad de la organización para que la tecnologíadisponible satisfaga sus necesidades actuales y futuras y soporte el cumplimiento de sumisión.
d. Económico: Asociado a la actividad económica, ya sean de tipo interno o externo,afecta básicamente a los beneficios monetarios de la organización.
e. Estratégicos: Asociado con la forma en que se administra la organización. El manejodel riesgo estratégico se enfoca en asuntos globales relacionados con la misión y elcumplimiento de los objetivos estratégicos, la clara definición de políticas y el diseño yconceptualización de la organización por parte de la Alta Dirección.
f. Financiero: Relacionado con el manejo de los recursos de la organización e incluye, laejecución presupuestal, la elaboración de los estados financieros, los pagos, manejosde excedentes de tesorería y el manejo sobre los bienes. De la eficiencia y transparenciaen el manejo de los recursos, así como su interacción con las demás áreas dependeráen gran parte el éxito o fracaso de toda organización.
g. Legal: Se refiere a los obstáculos legales o normativos que pueden obstaculizar el rolde una organización.
h. Operativo: Comprende los riesgos relacionados tanto con la parte operativa comotécnica de la organización, incluye riesgos provenientes de deficiencias en la definiciónde los procesos, en la estructura organizacional y/o en la desarticulación entredependencias, lo cual conduce a ineficiencias en sus resultados.
i. Político: Puede derivarse de cualquier circunstancia política del entorno en el que operala organización.
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
6
j. Seguridad de la Información: Se generan a partir de la disponibilidad, protección,integridad y acceso a la información de la organización a través de su infraestructura,métodos y procesos de generación, almacenamiento, transporte, consulta y análisis.Son aquellos riesgos que atenten contra la disponibilidad, confidencialidad e integridadde la información independiente del medio en que esta se encuentre.
k. Seguridad y Salud en el Trabajo: Se generan en las actividades realizadas y puedenafectar el bienestar social, mental y físico del personal que labora para la organización.
22. Valoración del riesgo: proceso que consiste en comparar los resultados del análisis delriesgo con los criterios de riesgo con el fin de determinar si el riesgo y/o su magnitud sonaceptables o no.
SIGLAS:a. OPM: Oficina de Planeamiento y Modernizaciónb. OSCE: Organismo Supervisor de las Contrataciones del Estado.c. UOYM: Unidad de Organización y Modernización.d. SGD: Sistema de Gestión Documental.
VI. ENTRADAS Y SALIDAS DEL PROCEDIMIENTO
Proveedor Entrada
------- Necesidades / requerimiento
Salida Usuario
Matriz de riesgos Personal del proceso involucrado
VII. ACTIVIDADES DEL PROCEDIMIENTO
Nº Actividad Área Responsable Registro
CONFORMACIÓN EQUIPO DE TRABAJO
1
Definir alcance y solicitar equipo detrabajoDefinir el alcance del trabajo y solicitar alos dueños de los procesos involucradosla designación del equipo de trabajo.
OPM UOYM Correoelectrónico
2
Designar e informar equipo de trabajoConformar el equipo de trabajo,considerando el personal asociado alproceso y experiencia en el puesto.Informar la designación a la UOYMmediante correo electrónico.
ÓRGANOS /UNIDADES
ÓRGANICAS
Dueño delproceso
Correoelectrónico
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
7
Nº Actividad Área Responsable Registro
3
Conformar equipo de trabajomultidisciplinarioConformar el equipo de trabajomultidisciplinario, asignando un facilitadorde la UOYM y comunicarlo al equipo detrabajo mediante correo electrónico.
OPM UOYM Correoelectrónico
4
Coordinar plan de trabajoDefinir el plan de trabajo (actividades,plazos y responsables). Así como, elestablecimiento de las reunionesperiódicas para asegurar el cumplimientode las actividades planificadas.
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Plan detrabajo
IDENTIFICACIÓN DE RIESGOS
5
Listar actividades / productosListar las actividades/productos*relacionadas, manteniendo el ordensecuencial de los mismos.En caso aplique, se debe identificar elpuesto de trabajo asociado a la actividad.*Para evaluar riesgos de los productos,se debe priorizar de acuerdo a la Fichade identificación de productos - Anexo2.Registrar lo antes mencionado en laMatriz de riesgos – Anexo 3.
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Ficha deidentificación
deproductos
Matriz deRiesgos
6
Identificar peligro/aspecto/amenazaIdentificar peligro/aspecto/amenaza enbase a experiencias, ocurrencias,registros, análisis de procedimientos,lineamientos, lluvia de ideas, listas deverificación, controles existentes, entreotros.Registrar lo antes mencionado en laMatriz de riesgos – Anexo 3.
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Matriz deRiesgos
7
Describir y definir el tipo de riesgoDescribir el evento de la posiblematerialización del riesgo y luego definirel tipo de cada uno de los riesgosidentificados. Considerando la siguienteclasificación:Ambiental:De corrupción (colusión, peculado,
soborno, cohecho, malversación,
ÓRGANOS /UNIDADES
ÓRGANICASEquipo de
trabajoMatriz deRiesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
8
Nº Actividad Área Responsable Registro
tráfico de influencias, enriquecimientoilícito, entre otros). TecnológicoEconómicoEstratégicos Financiero LegalOperativoPolíticoSeguridad de la informaciónSeguridad y Salud en el Trabajo
Registrar lo antes mencionado en laMatriz de riesgos – Anexo 3.
8
Determinar consecuencia/impacto delriesgoDescribir la posibleconsecuencia/impacto que generaría sise materializa el riesgo. Así mismo,definir y determinar el propietario delriesgo.
Registrar lo antes mencionado en laMatriz de riesgos – Anexo 3.
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Matriz deRiesgos
ANÁLISIS Y EVALUACIÓN DEL RIESGO
9
Determinar el nivel de RiesgoInherenteCalcular el nivel de riesgo inherente deacuerdo a lo establecido en la Matriz deconsecuencia/impacto y probabilidad– Anexo 4, el cual es el resultado de:
NRI = P * CDonde:
NRI : Nivel de riesgo inherente. P : Valoración de la probabilidad. ** C : Valoración de la consecuencia /
impacto. ***
**La valoración de la probabilidad, se determina deacuerdo a la Tabla de Probabilidad – Anexo 5.De considerar necesario, para establecer laprobabilidad con preguntas específicas, usar lacalculadora, establecida en el Anexo 9: CálculoDe Probabilidades.
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Matriz deRiesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
9
Nº Actividad Área Responsable Registro***La valoración de la consecuencia/impacto, sedetermina de acuerdo a la Tabla deConsecuencia/impacto - Anexo 6. De considerarnecesario, para establecer la consecuencia /impacto con preguntas específicas, usar lacalculadora, establecida en el Anexo 10: CálculoDe Probabilidades.
Solo para el caso de evaluación de riesgopara el Sistema de Gestión de Seguridadde la Información (ISO 27001), se debedeterminar los criterios de seguridadafectados, que son: Confidencialidad,integridad y disponibilidad.
10
Identificar los controles existentesIdentificar y registrar los mecanismos,políticas, procedimientos, prácticas uotras acciones que forman parte de loscontroles existentes.
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Matriz deRiesgos
11
Evaluar la efectividad del ControlDetermina el factor reducido, el cual esconsiderado por la implantación yaplicación del control existente.
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Matriz deRiesgos
12
Determinar el nivel de Riesgo ResidualCalcular el nivel de riesgo residual deacuerdo a lo establecido en la Matriz deconsecuencia/impacto y probabilidad– Anexo 4, el cual es el resultado de:
NRI*E = NRRDonde:
NRI: Nivel de riesgo inherente. E : Efectividad del Control.* NRR: Nivel de riesgo residual.
*La valoración de la efectividad del control, sedetermina de acuerdo a lo establecido en el Anexo7 Efectividad del Control.
De considerar necesario, para establecer laefectividad del control, con preguntas específicas,usar la calculadora, establecida en el Anexo 11:Cálculo Efectividad del Control.
¿Es riesgo aceptable?Si : Ir a la actividad N° 13 (ACEPTABLE)No: Ir a la actividad N° 14 (NOACEPTABLE).
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Matriz deRiesgos
13
Realizar el trabajo con los controlesexistentes.Se realiza el trabajo/actividad con loscontroles existentes y se deja a decisióndel equipo, el de implementar nuevos
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Matriz deRiesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
10
Nº Actividad Área Responsable Registro
controles a modo de oportunidad demejora.
14
Determinar acciones, plazos yresponsablesPor cada riesgo determinado como “Noaceptable”, se debe establecer medidasy/o controles que permitan disminuir y/omitigar el “riesgo inherente” de maneraeficaz, considerando plazos yresponsables.Si está evaluando riesgos relacionados ala Gestión de Seguridad y Salud en elTrabajo (SST)/Medio Ambiente (MA),considerar si es:Riesgo alto / muy alto: Incluir en loscontroles, la implementación de“Procedimientos para trabajos de altoriesgo” (PETAR).
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Matriz deRiesgos
15
Presentar matriz de riesgosPresentar la matriz de riesgos al dueñodel proceso, para su revisión y posteriorvalidación.
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Correoelectrónico /
Matriz deRiesgos
TRATAMIENTO Y COMUNICACIÓN DEL RIESGO
16
Revisar matriz de riesgosRevisar el contenido de la matriz deriesgos presentado por el equipo detrabajo.¿Encuentra observaciones?No: Ir a la actividad N° 17Si : Ir a la actividad N° 20
ÓRGANOS /UNIDADES
ÓRGANICAS
Dueño delproceso
Correoelectrónico /
Matriz deRiesgos
17
Solicitar revisión matriz de riesgosSolicitar a la UOYM mediante correoelectrónico la revisión de la matriz deriesgos adjuntando los documentosgenerados.
ÓRGANOS /UNIDADES
ÓRGANICAS
Dueño delproceso
Correoelectrónico /
Matriz deRiesgos
18
Revisar técnicamente matriz deriesgosRevisar si matriz de riesgos, cumple conla metodología establecida.¿Cumple metodología establecida?
No: Ir a la actividad N° 20Si : Ir a la actividad N° 19
OPM UOYM
Correoelectrónico /
Matriz deRiesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
11
Nº Actividad Área Responsable Registro
19
Validar y remitir Matriz de RiesgoValidar matriz de riesgo y remitir a laSecretaria General para la aprobacióncorrespondiente.Ir a la actividad N° 21
OPM UOYMSGD /
Matriz deRiesgos
20
Levantar las observacionesLevantar las observaciones indicadaspara la matriz de riesgos y solicitar surevisión al dueño del proceso.Ir a la actividad N° 16
ÓRGANOS /UNIDADES
ÓRGANICAS
Equipo detrabajo
Correoelectrónico /
Matriz deRiesgos
21
Revisar matriz de riesgosRevisar si matriz de riesgos cumple conel objetivo para el sistema de gestión y loscontroles propuestos son los adecuados,alineado a los recursos y objetivos de laorganización.¿Está conforme la matriz?No : Ir a la actividad N° 20Si : Ir a la actividad N° 22
OSCESecretaríaGeneral /Comité
SGD /Matriz deRiesgos
22
Aprobar Matriz de riesgosAprobar matriz de riesgo para elseguimiento y cumplimientocorrespondiente por el Dueño deProceso.En caso de ser matriz de riesgo de laGestión de Seguridad y Salud en elTrabajo (SST) / Sistema de GestiónAntisoborno, “adicionalmente” se debeagendar en sesión de comité para suaprobación.
OSCESecretaríaGeneral /Comité
SGD /Matriz deRiesgos /Acta deComité
23
Difundir matriz de riesgos aprobadoDifundir la matriz de riesgos aprobada, alos miembros de los procesos y/o alpersonal involucrado, mediante correoelectrónico.
ÓRGANOS /UNIDADES
ÓRGANICAS
Dueño delproceso
Correoelectrónico
MONITOREO DEL RIESGO
24
Implementar acciones planificadasImplementar las acciones de acuerdo alos plazos y responsables establecidos.¿Se implementó en el plazo?
ÓRGANOS /UNIDADES
ÓRGANICAS
Dueño delproceso
Evidenciade accionesimplementa
das
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
12
Nº Actividad Área Responsable Registro
Si: Ir a la actividad N° 25No: Realizar tratamiento de acuerdo alprocedimiento de Acciones correctivasy oportunidades de mejora. Del mismomodo, en caso que el riesgo identificadoinicialmente se haya materializado.
25
Verificar eficacia de accionesVerificar eficacia, considerando:- Que los controles implementados son
eficaces en el diseño yfuncionamiento.
- Se obtenga mayor información para lareevaluación de los riesgos.
- Aprender lecciones a partir de loseventos, los cambios, las tendencias,los éxitos y los fracasos.
ÓRGANOS /UNIDADES
ÓRGANICAS
Dueño delproceso
Matriz deriesgos
Fin de procedimiento
VIII. DOCUMENTOS RELACIONADOS
Nº Documento
1 Ninguno.
IX. PROCESO
Nombre Tipo
PE01.03 Gestión por procesos Estratégico
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 02
13
X. SEGUIMIENTO
Revaluación de riesgosLa reevaluación de riesgos debe realizarse considerando la eficacia de los controles existentes,auditorías, inspecciones, resultados de los indicadores de desempeño y otras herramientas degestión.En la revaluación de riesgos, se obtiene:¿Riesgo aceptable?Si: fin de procedimiento.No: Iniciar desde la actividad 1.El proceso de reevaluación de los riesgos se realiza mínimo una vez al año y/o cuando: Se identifique nuevos riesgos. Se materialice un riesgo. Haya un cambio pertinente en la Organización y/o Legislación.
XI. INDICADOR
Nombre Fórmula
Porcentaje de riesgos aceptable % = N° Riesgos aceptablesN° Total de Riesgos 100%XII. ANEXOS
1. Anexo 1: Diagrama de flujo del procedimiento2. Anexo 2: Ficha de identificación de productos3. Anexo 3: Matriz de riesgos4. Anexo 4: Matriz de consecuencia / impacto y probabilidad5. Anexo 5: Tabla de probabilidad6. Anexo 6 Tabla de consecuencia/impacto7. Anexo 7 Tabla de efectividad del control8. Anexo 8 Tabla de Tolerancia del riesgo9. Anexo 9: Cálculo de probabilidades10. Anexo 10 Cálculo de Impacto11. Anexo 11: Cálculo de efectividad de control
XIII. OTROS
No Aplica.
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
14
Anexo 1: Diagrama de flujo del procedimiento
A
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
15
BA
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
16
BA
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
17
Anexo 2: Ficha de identificación de productos
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
18
Anexo 3: Matriz de riesgos
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
19
Anexo 4: Matriz de consecuencia / impacto y probabilidad
Anexo 5: Tabla de probabilidad
Bajo Medio Alto Muy Alto
4 6 8 10
Muy Alta 10 40 60 80 100
Alta 8 32 48 64 80
Media 6 24 36 48 60
Baja 4 16 24 32 40
Probabilidad
MATRIZ DE CONSECUENCIA/IMPACTO Y PROBABILIDAD
Consecuencia/Impacto
Respuestasafirmativas Categoría Valor
Sí > 5 Muy Alta 10
3< Sí ≤ 5 Alta 8
1 < Sí ≤ 3 Media 6
0 ≤ Sí ≤ 1 Baja 4
Riesgo cuya probabilidad de ocurrencia es alta (probable).Ha sucedido
Riesgo cuya probabilidad de ocurrencia es media (posible).Podría suceder
Riesgo cuya probabilidad de ocurrencia es baja (poco probable).Raro que suceda
TABLA DE PROBABILIDAD
Descripción
Riesgo cuya probabilidad de ocurra es muy alta (muy probable).Común que suceda
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
20
Anexo 6 Tabla de consecuencia/impacto
Respuestasafirmativas Categoría Valor
0 ≤ Sí ≤ 1 Bajo 4
1 < Sí ≤ 3 Medio 6
3< Sí ≤ 5 Alto 8
Sí > 5 Muy Alto 10
Riesgo cuya materialización causaría ya sea una pérdida importante enel patrimonio o un deterioro significativo de la imagen. Además, serequeriría una cantidad de tiempo importante de la alta dirección eninvestigar y corregir los daños.
Riesgo cuya materialización dañaría significativamente el patrimonio,imagen o logro de los objetivos sociales. Además, se requeriría unacantidad importante de tiempo de la alta dirección en investigar ycorregir los daños.
Riesgo que causa un daño en el patrimonio o imagen, que se puedecorregir en el corto tiempo y que no afecta el cumplimiento de losobjetivos estratégicos.
Riesgo que puede tener un pequeño o nulo efecto en la institución.
Descripción
TABLA DE CONSECUENCIA / IMPACTO
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
21
Anexo 7 Tabla de efectividad del control
Categoría Valor
Muy deficiente 100
Deficiente 80
Insuficiente 60
Mejorable 40
Apropiada 20
El control ha sido informado a todo el personal, es aceptado por loscolaboradores, existen herramientas que permiten gestionarlo; seejecuta y da seguimiento en los tiempos establecidos; existenresponsables para su ejecución; permite restringir la acción quegenera el riesgo, cuenta con protocolos; hay evidencia dedocumentos que acreditan su cumplimiento y registro temporal.
EFECTIVIDAD DEL CONTROL
El control ha sido informado a todos los colaboradores pero notodos lo aceptan; se ejecuta y supervisa a veces; no existenresponsables para ejecutarlo; permite restringir en parte la acciónque genera el riesgo, cuenta con protocolos; hay evidencia dedocumentos que acrediten su cumplimiento mas no su registrotemporal.El control ha sido informado y es aceptado por todos loscolaboradores, no existen herramientas para su gestión; se ejecutasegún los tiempos establecidos, no siempre se supervisa; existenresponsables para su ejecución; permite restringir en parte la acciónque genera el riesgo, cuenta con protocolos; hay evidencia dedocumentos que acrediten su cumplimiento y registro temporal.
El control no ha sido informado a todos los colaboradores, no todoslo aceptan; se ejecuta a veces, no se supervisa; no existenresponsables para su ejecución; permite restringir en parte la acciónque genera el riesgo, no cuenta con protocolos; no hay evidencia dedocumentos que acrediten su cumplimiento y registro temporal.
Descripción
El control no ha sido aplicado; no existen responsables definidos dela ejecución del control ni una supervisión de los responsables; nopermite restringir la acción que genera el riesgo, no existenprotocolos para proceder ante un riesgo advertido por el control; nohay evidencia de documentos que acrediten su cumplimiento yregistro temporal.
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 02
22
Anexo 8 Tabla de Tolerancia del riesgo
Anexo 9: Cálculo de probabilidades
Anexo 10 Cálculo de Impacto
Anexo 11: Cálculo de efectividad de control
Valor Nivel Nivel Resultado
65 - 100 Riesgo Muy Alto Riesgo Muy Alto
41 - 64 Riesgo Alto Riesgo Alto
25 - 40 Riesgo Medio Riesgo Medio
01 -24 Riesgo Bajo Riesgo Bajo ACEPTABLE
NOACEPTABLE
Se debe establecer e implantaracciones eficientes (tratamiento)para reducir el riesgo no aceptable.
Se realiza el trabajo con los controlesya existentes.
NIVEL DE RIESGO TOLERANCIA DEL RIESGO
Descripción
RIESGOASOCIADO TOTAL PROBABILIDAD
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
ANEXO 9: CÁLCULO DE PROBABILIDADES
RIESGOASOCIADO
TOTAL IMPACTO
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
ANEXO 10: CÁLCULO DE IMPACTO
RIESGOASOCIADO CONTROLES TOTAL EFECTIVIDAD DEL
CONTROL
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
ANEXO 11: CÁLCULO DE EFECTIVIDAD DEL CONTROL