Ficha de procedimiento: “Gestión de riesgos” · Ficha de procedimiento: “Gestión de riesgos...

Ministeriode Economía y Finanzas

Organismo Supervisor delas Contrataciones delEstado

PERÚ

Código: PE01.03.02 Versión: 02

Ficha de procedimiento: “Gestión de riesgos”

Órgano o Unidad Orgánica Visto y Sello

Elaborado por: Unidad de Organización y Modernización

Validado por: Oficina de Planeamiento y Modernización

Revisado por:

Oficina de Planeamiento y Modernización

Oficina de Asesoría Jurídica

Procedimiento: Gestión de riesgos


2

Control de Cambios

Versión Sección / Ítem Descripción del cambio:

01 ---- Nuevo

02

----Se actualiza la matriz de riesgo, considerando los requisitos dela Norma internacional ISO 27001:2013, Sistemas de gestiónde seguridad de la información.

Actividad 8 Se incluye el concepto de PROPIETARIO DEL RIESGO, el cualse incorpora en una celda de la matriz de riesgos.

Actividad 9 Se actualiza el concepto de “Riesgo Inherente”, el cual seincorpora en la matriz de riesgos.

Actividad 12 Se actualiza el concepto de “Riesgo Residual”, el cual seincorpora en la matriz de riesgos.

Actividad 25 Se establece “Verificar eficacia de acciones” como actividadfinal del procedimiento.



3

I. OBJETIVO

Identificar, analizar y evaluar riesgos, con el fin de diseñar e implementar planes deacción para reducir y/o mitigar los riesgos que tengan impacto sobre el cumplimientode los objetivos del Organismo Supervisor de las Contrataciones del Estado - OSCE.

II. ALCANCE

El presente documento es de aplicación a todos los procesos del Organismo Supervisorde las Contrataciones del Estado - OSCE.

III. RESPONSABLE

Jefe/a de los Órganos / Unidades Orgánicas del Organismo Supervisor de lasContrataciones del Estado - OSCE, es responsable de cumplir y hacer cumplir el presenteprocedimiento.

Personal asignado a los sistemas de gestión en el Organismo Supervisor de lasContrataciones del Estado - OSCE, es responsable de hacer seguimiento a laimplementación del presente procedimiento.

IV. BASE NORMATIVA

1. Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la ContraloríaGeneral de la República.

2. Ley N° 28716, Ley de Control Interno de las Entidades del Estado.3. Decreto Supremo N° 123-2018-PCM, Decreto Supremo que aprueba el “Reglamento

del Sistema Administrativo de Modernización de las Gestión Pública”.4. Resolución de Contraloría N° 146-2019-CG, que aprueba la Directiva N° 006-2019-

CG/INTEG “Implementación del Sistema de Control Interno en las Entidades delEstado”.

5. Resolución N° 059-2019-OSCE/SGE, que aprueba la Directiva N° 002-2019-OSCE/SGE “Directiva para la Gestión por Procesos en el OSCE”.

6. Norma Internacional ISO 31000:2018, Gestión del riesgo – Directrices.7. Norma internacional ISO 9001:2015, Sistemas de gestión de la calidad.8. Norma internacional ISO 37001:2016, Sistema de gestión contra el soborno.9. Norma internacional ISO 27001:2013, Sistemas de gestión de seguridad de la

información.10. Norma internacional ISO 14001:2015, Sistemas de gestión ambiental.11. Norma internacional ISO 45001:2018, Sistemas de gestión de salud y seguridad en el

trabajo.12. Norma internacional ISO Guía 73:2009 Gestión del riesgo – Vocabulario.



4

V. SIGLAS Y DEFINICIONES

DEFINICIONES:1. Amenaza: Son aquellos factores externos a la organización que advierten proximidad o

propensión a un evento de pérdida, sobre los cuales esta no tiene control.2. Análisis del riesgo: Proceso llevado a cabo para comprender la naturaleza del riesgo y

determinar el nivel de Riesgo Inherente.3. Aspecto ambiental: Elemento de las actividades, productos o servicios de una

organización que puede interactuar con el medio ambiente. Se considera como aspectoambiental significativo aquel con un nivel de riesgo muy alto.

4. Consecuencia / impacto: Resultado de un evento y que afecta a los objetivos.5. Control: Incluye procesos, políticas, dispositivos, prácticas u otras acciones que modifican

al riesgo. Se puede establecer jerarquía de control como: eliminación, sustitución,ingeniería, administrativo y equipo de protección de seguridad.

6. Confidencialidad: Propiedad de la información de no ponerse a disposición o serrevelada a individuos, entidades o procesos no autorizados.

7. Descripción del riesgo: Declaración estructurada del riesgo.8. Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo

requiera una entidad autorizada.9. Efectividad del control: Determina el factor reducido, el cual es considerado por la

implantación y aplicación de controles existentes.10. Evaluación del riesgo: Es la comparación de los resultados del “análisis del riesgo” con

los criterios establecidos para determinar el riesgo residual, su magnitud establece latolerancia del riesgo, si es aceptable o no.

11. Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo. Implicala identificación de fuentes, eventos, causas y consecuencias potenciales. Puedeinvolucrar datos históricos, análisis teóricos, opiniones informadas, expertas y lasnecesidades de las partes involucradas.

12. Integridad: Propiedad de la información relativa a su exactitud y completitud13. Nivel del riesgo: Magnitud de un riesgo o de una combinación de varios. Se expresa en

términos de combinación de la probabilidad y la consecuencia/impacto de los mismos.14. Peligro: Situación o característica intrínseca de algo capaz de ocasionar daños a las

personas, equipos, procesos y ambiente.15. Probabilidad: Posibilidad de que suceda el riesgo.16. Producto: Resultado de un proceso, entendiendo como los bienes y servicios que recibe

el administrado (en el caso del OSCE puede ser un proveedor, entidad, árbitros ociudadano) y que satisfacen necesidades y expectativas, lo que contribuye al logro de losobjetivos institucionales y la generación de bienestar para la sociedad.

17. Propietario del riesgo: Persona o entidad que tiene la responsabilidad de rendir cuentas,y la autoridad para gestionar el riesgo.

18. Riesgo: Efecto de la incertidumbre en los objetivos. Un efecto es una desviación de loesperado, ya sea positivo o negativo.

19. Riesgo inherente: Es el riesgo que existe por la naturaleza de la actividad que realiza laentidad.



5

20. Riesgo residual: Riesgo remanente después del tratamiento del riesgo.21. Tipo de riesgos:

a. Ambiental: Riesgo que se genera a partir de las actividades realizadas y que puedenocasionar alguna forma de cambio al ambiente.

b. De Corrupción: Posibilidad de que, por acción u omisión, se use el poder para desviarla gestión de lo público hacia un beneficio privado, los cuales pueden ser de:- Colusión: Delito que consiste en el acuerdo entre dos o más partes para limitar la

competencia. El cual se realiza de manera secreta e ilegal, engañando a otros sobresus derechos legales.

- Peculado: Delito que consiste en la apropiación indebida del dinero pertenecienteal Estado por parte de las personas que se encargan de su control y custodia.

- Soborno: Delito que consiste en una oferta, promesa, entrega, aceptación osolicitud de una ventaja indebida de cualquier valor (que puede ser de naturalezafinanciera o no financiera), directamente o indirectamente, e independiente de suubicación, en violación de la ley aplicable, como incentivo o recompensa para queuna persona actúe o deje de actuar en relación con el desempeño de lasobligaciones de esa persona.

- Cohecho: Delito que consiste en el soborno entre cargos de la administraciónpública. Con esto se hace referencia a que para que se produzca cohecho, al menosque uno de los implicados debe ser un servidor de la administración pública. Estetipo de acciones corruptas se enmarca dentro de lo que serían las relacioneseconómicas existentes entre el sector público y el privado.

- Tráfico de influencias: Delito que consiste en la práctica ilegal que consiste enutilizar la influencia personal en ámbitos de gobierno, a través de conexiones conpersonas, con el fin de obtener favores o tratamiento preferencial.

- Enriquecimiento ilícito: Delito que consiste en el incremento del patrimonio de unfuncionario público con significativo exceso respecto de sus ingresos legítimosdurante el ejercicio de sus funciones y que no pueda ser razonablemente justificado.

c. Tecnológico: Asociado con la capacidad de la organización para que la tecnologíadisponible satisfaga sus necesidades actuales y futuras y soporte el cumplimiento de sumisión.

d. Económico: Asociado a la actividad económica, ya sean de tipo interno o externo,afecta básicamente a los beneficios monetarios de la organización.

e. Estratégicos: Asociado con la forma en que se administra la organización. El manejodel riesgo estratégico se enfoca en asuntos globales relacionados con la misión y elcumplimiento de los objetivos estratégicos, la clara definición de políticas y el diseño yconceptualización de la organización por parte de la Alta Dirección.

f. Financiero: Relacionado con el manejo de los recursos de la organización e incluye, laejecución presupuestal, la elaboración de los estados financieros, los pagos, manejosde excedentes de tesorería y el manejo sobre los bienes. De la eficiencia y transparenciaen el manejo de los recursos, así como su interacción con las demás áreas dependeráen gran parte el éxito o fracaso de toda organización.

g. Legal: Se refiere a los obstáculos legales o normativos que pueden obstaculizar el rolde una organización.

h. Operativo: Comprende los riesgos relacionados tanto con la parte operativa comotécnica de la organización, incluye riesgos provenientes de deficiencias en la definiciónde los procesos, en la estructura organizacional y/o en la desarticulación entredependencias, lo cual conduce a ineficiencias en sus resultados.

i. Político: Puede derivarse de cualquier circunstancia política del entorno en el que operala organización.



6

j. Seguridad de la Información: Se generan a partir de la disponibilidad, protección,integridad y acceso a la información de la organización a través de su infraestructura,métodos y procesos de generación, almacenamiento, transporte, consulta y análisis.Son aquellos riesgos que atenten contra la disponibilidad, confidencialidad e integridadde la información independiente del medio en que esta se encuentre.

k. Seguridad y Salud en el Trabajo: Se generan en las actividades realizadas y puedenafectar el bienestar social, mental y físico del personal que labora para la organización.

22. Valoración del riesgo: proceso que consiste en comparar los resultados del análisis delriesgo con los criterios de riesgo con el fin de determinar si el riesgo y/o su magnitud sonaceptables o no.

SIGLAS:a. OPM: Oficina de Planeamiento y Modernizaciónb. OSCE: Organismo Supervisor de las Contrataciones del Estado.c. UOYM: Unidad de Organización y Modernización.d. SGD: Sistema de Gestión Documental.

VI. ENTRADAS Y SALIDAS DEL PROCEDIMIENTO

Proveedor Entrada

------- Necesidades / requerimiento

Salida Usuario

Matriz de riesgos Personal del proceso involucrado

VII. ACTIVIDADES DEL PROCEDIMIENTO

Nº Actividad Área Responsable Registro

CONFORMACIÓN EQUIPO DE TRABAJO

1

Definir alcance y solicitar equipo detrabajoDefinir el alcance del trabajo y solicitar alos dueños de los procesos involucradosla designación del equipo de trabajo.

OPM UOYM Correoelectrónico

2

Designar e informar equipo de trabajoConformar el equipo de trabajo,considerando el personal asociado alproceso y experiencia en el puesto.Informar la designación a la UOYMmediante correo electrónico.

ÓRGANOS /UNIDADES

ÓRGANICAS

Dueño delproceso

Correoelectrónico



7


3

Conformar equipo de trabajomultidisciplinarioConformar el equipo de trabajomultidisciplinario, asignando un facilitadorde la UOYM y comunicarlo al equipo detrabajo mediante correo electrónico.

OPM UOYM Correoelectrónico

4

Coordinar plan de trabajoDefinir el plan de trabajo (actividades,plazos y responsables). Así como, elestablecimiento de las reunionesperiódicas para asegurar el cumplimientode las actividades planificadas.

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Plan detrabajo

IDENTIFICACIÓN DE RIESGOS

5

Listar actividades / productosListar las actividades/productos*relacionadas, manteniendo el ordensecuencial de los mismos.En caso aplique, se debe identificar elpuesto de trabajo asociado a la actividad.*Para evaluar riesgos de los productos,se debe priorizar de acuerdo a la Fichade identificación de productos - Anexo2.Registrar lo antes mencionado en laMatriz de riesgos – Anexo 3.

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Ficha deidentificación

deproductos

Matriz deRiesgos

6

Identificar peligro/aspecto/amenazaIdentificar peligro/aspecto/amenaza enbase a experiencias, ocurrencias,registros, análisis de procedimientos,lineamientos, lluvia de ideas, listas deverificación, controles existentes, entreotros.Registrar lo antes mencionado en laMatriz de riesgos – Anexo 3.

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Matriz deRiesgos

7

Describir y definir el tipo de riesgoDescribir el evento de la posiblematerialización del riesgo y luego definirel tipo de cada uno de los riesgosidentificados. Considerando la siguienteclasificación:Ambiental:De corrupción (colusión, peculado,

soborno, cohecho, malversación,

ÓRGANOS /UNIDADES

ÓRGANICASEquipo de

trabajoMatriz deRiesgos



8


tráfico de influencias, enriquecimientoilícito, entre otros). TecnológicoEconómicoEstratégicos Financiero LegalOperativoPolíticoSeguridad de la informaciónSeguridad y Salud en el Trabajo

Registrar lo antes mencionado en laMatriz de riesgos – Anexo 3.

8

Determinar consecuencia/impacto delriesgoDescribir la posibleconsecuencia/impacto que generaría sise materializa el riesgo. Así mismo,definir y determinar el propietario delriesgo.

Registrar lo antes mencionado en laMatriz de riesgos – Anexo 3.

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Matriz deRiesgos

ANÁLISIS Y EVALUACIÓN DEL RIESGO

9

Determinar el nivel de RiesgoInherenteCalcular el nivel de riesgo inherente deacuerdo a lo establecido en la Matriz deconsecuencia/impacto y probabilidad– Anexo 4, el cual es el resultado de:

NRI = P * CDonde:

NRI : Nivel de riesgo inherente. P : Valoración de la probabilidad. ** C : Valoración de la consecuencia /

impacto. ***

**La valoración de la probabilidad, se determina deacuerdo a la Tabla de Probabilidad – Anexo 5.De considerar necesario, para establecer laprobabilidad con preguntas específicas, usar lacalculadora, establecida en el Anexo 9: CálculoDe Probabilidades.

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Matriz deRiesgos



9

Nº Actividad Área Responsable Registro***La valoración de la consecuencia/impacto, sedetermina de acuerdo a la Tabla deConsecuencia/impacto - Anexo 6. De considerarnecesario, para establecer la consecuencia /impacto con preguntas específicas, usar lacalculadora, establecida en el Anexo 10: CálculoDe Probabilidades.

Solo para el caso de evaluación de riesgopara el Sistema de Gestión de Seguridadde la Información (ISO 27001), se debedeterminar los criterios de seguridadafectados, que son: Confidencialidad,integridad y disponibilidad.

10

Identificar los controles existentesIdentificar y registrar los mecanismos,políticas, procedimientos, prácticas uotras acciones que forman parte de loscontroles existentes.

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Matriz deRiesgos

11

Evaluar la efectividad del ControlDetermina el factor reducido, el cual esconsiderado por la implantación yaplicación del control existente.

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Matriz deRiesgos

12

Determinar el nivel de Riesgo ResidualCalcular el nivel de riesgo residual deacuerdo a lo establecido en la Matriz deconsecuencia/impacto y probabilidad– Anexo 4, el cual es el resultado de:

NRI*E = NRRDonde:

NRI: Nivel de riesgo inherente. E : Efectividad del Control.* NRR: Nivel de riesgo residual.

*La valoración de la efectividad del control, sedetermina de acuerdo a lo establecido en el Anexo7 Efectividad del Control.

De considerar necesario, para establecer laefectividad del control, con preguntas específicas,usar la calculadora, establecida en el Anexo 11:Cálculo Efectividad del Control.

¿Es riesgo aceptable?Si : Ir a la actividad N° 13 (ACEPTABLE)No: Ir a la actividad N° 14 (NOACEPTABLE).

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Matriz deRiesgos

13

Realizar el trabajo con los controlesexistentes.Se realiza el trabajo/actividad con loscontroles existentes y se deja a decisióndel equipo, el de implementar nuevos

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Matriz deRiesgos



10


controles a modo de oportunidad demejora.

14

Determinar acciones, plazos yresponsablesPor cada riesgo determinado como “Noaceptable”, se debe establecer medidasy/o controles que permitan disminuir y/omitigar el “riesgo inherente” de maneraeficaz, considerando plazos yresponsables.Si está evaluando riesgos relacionados ala Gestión de Seguridad y Salud en elTrabajo (SST)/Medio Ambiente (MA),considerar si es:Riesgo alto / muy alto: Incluir en loscontroles, la implementación de“Procedimientos para trabajos de altoriesgo” (PETAR).

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Matriz deRiesgos

15

Presentar matriz de riesgosPresentar la matriz de riesgos al dueñodel proceso, para su revisión y posteriorvalidación.

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo

Correoelectrónico /

Matriz deRiesgos

TRATAMIENTO Y COMUNICACIÓN DEL RIESGO

16

Revisar matriz de riesgosRevisar el contenido de la matriz deriesgos presentado por el equipo detrabajo.¿Encuentra observaciones?No: Ir a la actividad N° 17Si : Ir a la actividad N° 20

ÓRGANOS /UNIDADES

ÓRGANICAS

Dueño delproceso


Matriz deRiesgos

17

Solicitar revisión matriz de riesgosSolicitar a la UOYM mediante correoelectrónico la revisión de la matriz deriesgos adjuntando los documentosgenerados.

ÓRGANOS /UNIDADES

ÓRGANICAS

Dueño delproceso


Matriz deRiesgos

18

Revisar técnicamente matriz deriesgosRevisar si matriz de riesgos, cumple conla metodología establecida.¿Cumple metodología establecida?

No: Ir a la actividad N° 20Si : Ir a la actividad N° 19

OPM UOYM


Matriz deRiesgos



11


19

Validar y remitir Matriz de RiesgoValidar matriz de riesgo y remitir a laSecretaria General para la aprobacióncorrespondiente.Ir a la actividad N° 21

OPM UOYMSGD /

Matriz deRiesgos

20

Levantar las observacionesLevantar las observaciones indicadaspara la matriz de riesgos y solicitar surevisión al dueño del proceso.Ir a la actividad N° 16

ÓRGANOS /UNIDADES

ÓRGANICAS

Equipo detrabajo


Matriz deRiesgos

21

Revisar matriz de riesgosRevisar si matriz de riesgos cumple conel objetivo para el sistema de gestión y loscontroles propuestos son los adecuados,alineado a los recursos y objetivos de laorganización.¿Está conforme la matriz?No : Ir a la actividad N° 20Si : Ir a la actividad N° 22

OSCESecretaríaGeneral /Comité

SGD /Matriz deRiesgos

22

Aprobar Matriz de riesgosAprobar matriz de riesgo para elseguimiento y cumplimientocorrespondiente por el Dueño deProceso.En caso de ser matriz de riesgo de laGestión de Seguridad y Salud en elTrabajo (SST) / Sistema de GestiónAntisoborno, “adicionalmente” se debeagendar en sesión de comité para suaprobación.

OSCESecretaríaGeneral /Comité

SGD /Matriz deRiesgos /Acta deComité

23

Difundir matriz de riesgos aprobadoDifundir la matriz de riesgos aprobada, alos miembros de los procesos y/o alpersonal involucrado, mediante correoelectrónico.

ÓRGANOS /UNIDADES

ÓRGANICAS

Dueño delproceso

Correoelectrónico

MONITOREO DEL RIESGO

24

Implementar acciones planificadasImplementar las acciones de acuerdo alos plazos y responsables establecidos.¿Se implementó en el plazo?

ÓRGANOS /UNIDADES

ÓRGANICAS

Dueño delproceso

Evidenciade accionesimplementa

das



12


Si: Ir a la actividad N° 25No: Realizar tratamiento de acuerdo alprocedimiento de Acciones correctivasy oportunidades de mejora. Del mismomodo, en caso que el riesgo identificadoinicialmente se haya materializado.

25

Verificar eficacia de accionesVerificar eficacia, considerando:- Que los controles implementados son

eficaces en el diseño yfuncionamiento.

- Se obtenga mayor información para lareevaluación de los riesgos.

- Aprender lecciones a partir de loseventos, los cambios, las tendencias,los éxitos y los fracasos.

ÓRGANOS /UNIDADES

ÓRGANICAS

Dueño delproceso

Matriz deriesgos

Fin de procedimiento

VIII. DOCUMENTOS RELACIONADOS

Nº Documento

1 Ninguno.

IX. PROCESO

Nombre Tipo

PE01.03 Gestión por procesos Estratégico



13

X. SEGUIMIENTO

Revaluación de riesgosLa reevaluación de riesgos debe realizarse considerando la eficacia de los controles existentes,auditorías, inspecciones, resultados de los indicadores de desempeño y otras herramientas degestión.En la revaluación de riesgos, se obtiene:¿Riesgo aceptable?Si: fin de procedimiento.No: Iniciar desde la actividad 1.El proceso de reevaluación de los riesgos se realiza mínimo una vez al año y/o cuando: Se identifique nuevos riesgos. Se materialice un riesgo. Haya un cambio pertinente en la Organización y/o Legislación.

XI. INDICADOR

Nombre Fórmula

Porcentaje de riesgos aceptable % = N° Riesgos aceptablesN° Total de Riesgos 100%XII. ANEXOS

1. Anexo 1: Diagrama de flujo del procedimiento2. Anexo 2: Ficha de identificación de productos3. Anexo 3: Matriz de riesgos4. Anexo 4: Matriz de consecuencia / impacto y probabilidad5. Anexo 5: Tabla de probabilidad6. Anexo 6 Tabla de consecuencia/impacto7. Anexo 7 Tabla de efectividad del control8. Anexo 8 Tabla de Tolerancia del riesgo9. Anexo 9: Cálculo de probabilidades10. Anexo 10 Cálculo de Impacto11. Anexo 11: Cálculo de efectividad de control

XIII. OTROS

No Aplica.

Procedimiento: Gestión de Riesgos


14

Anexo 1: Diagrama de flujo del procedimiento

A



15

BA



16

BA



17

Anexo 2: Ficha de identificación de productos



18

Anexo 3: Matriz de riesgos



19

Anexo 4: Matriz de consecuencia / impacto y probabilidad

Anexo 5: Tabla de probabilidad

Bajo Medio Alto Muy Alto

4 6 8 10

Muy Alta 10 40 60 80 100

Alta 8 32 48 64 80

Media 6 24 36 48 60

Baja 4 16 24 32 40

Probabilidad

MATRIZ DE CONSECUENCIA/IMPACTO Y PROBABILIDAD

Consecuencia/Impacto

Respuestasafirmativas Categoría Valor

Sí > 5 Muy Alta 10

3< Sí ≤ 5 Alta 8

1 < Sí ≤ 3 Media 6

0 ≤ Sí ≤ 1 Baja 4

Riesgo cuya probabilidad de ocurrencia es alta (probable).Ha sucedido

Riesgo cuya probabilidad de ocurrencia es media (posible).Podría suceder

Riesgo cuya probabilidad de ocurrencia es baja (poco probable).Raro que suceda

TABLA DE PROBABILIDAD

Descripción

Riesgo cuya probabilidad de ocurra es muy alta (muy probable).Común que suceda



20

Anexo 6 Tabla de consecuencia/impacto

Respuestasafirmativas Categoría Valor

0 ≤ Sí ≤ 1 Bajo 4

1 < Sí ≤ 3 Medio 6

3< Sí ≤ 5 Alto 8

Sí > 5 Muy Alto 10

Riesgo cuya materialización causaría ya sea una pérdida importante enel patrimonio o un deterioro significativo de la imagen. Además, serequeriría una cantidad de tiempo importante de la alta dirección eninvestigar y corregir los daños.

Riesgo cuya materialización dañaría significativamente el patrimonio,imagen o logro de los objetivos sociales. Además, se requeriría unacantidad importante de tiempo de la alta dirección en investigar ycorregir los daños.

Riesgo que causa un daño en el patrimonio o imagen, que se puedecorregir en el corto tiempo y que no afecta el cumplimiento de losobjetivos estratégicos.

Riesgo que puede tener un pequeño o nulo efecto en la institución.

Descripción

TABLA DE CONSECUENCIA / IMPACTO



21

Anexo 7 Tabla de efectividad del control

Categoría Valor

Muy deficiente 100

Deficiente 80

Insuficiente 60

Mejorable 40

Apropiada 20

El control ha sido informado a todo el personal, es aceptado por loscolaboradores, existen herramientas que permiten gestionarlo; seejecuta y da seguimiento en los tiempos establecidos; existenresponsables para su ejecución; permite restringir la acción quegenera el riesgo, cuenta con protocolos; hay evidencia dedocumentos que acreditan su cumplimiento y registro temporal.

EFECTIVIDAD DEL CONTROL

El control ha sido informado a todos los colaboradores pero notodos lo aceptan; se ejecuta y supervisa a veces; no existenresponsables para ejecutarlo; permite restringir en parte la acciónque genera el riesgo, cuenta con protocolos; hay evidencia dedocumentos que acrediten su cumplimiento mas no su registrotemporal.El control ha sido informado y es aceptado por todos loscolaboradores, no existen herramientas para su gestión; se ejecutasegún los tiempos establecidos, no siempre se supervisa; existenresponsables para su ejecución; permite restringir en parte la acciónque genera el riesgo, cuenta con protocolos; hay evidencia dedocumentos que acrediten su cumplimiento y registro temporal.

El control no ha sido informado a todos los colaboradores, no todoslo aceptan; se ejecuta a veces, no se supervisa; no existenresponsables para su ejecución; permite restringir en parte la acciónque genera el riesgo, no cuenta con protocolos; no hay evidencia dedocumentos que acrediten su cumplimiento y registro temporal.

Descripción

El control no ha sido aplicado; no existen responsables definidos dela ejecución del control ni una supervisión de los responsables; nopermite restringir la acción que genera el riesgo, no existenprotocolos para proceder ante un riesgo advertido por el control; nohay evidencia de documentos que acrediten su cumplimiento yregistro temporal.



22

Anexo 8 Tabla de Tolerancia del riesgo

Anexo 9: Cálculo de probabilidades

Anexo 10 Cálculo de Impacto

Anexo 11: Cálculo de efectividad de control

Valor Nivel Nivel Resultado

65 - 100 Riesgo Muy Alto Riesgo Muy Alto

41 - 64 Riesgo Alto Riesgo Alto

25 - 40 Riesgo Medio Riesgo Medio

01 -24 Riesgo Bajo Riesgo Bajo ACEPTABLE

NOACEPTABLE

Se debe establecer e implantaracciones eficientes (tratamiento)para reducir el riesgo no aceptable.

Se realiza el trabajo con los controlesya existentes.

NIVEL DE RIESGO TOLERANCIA DEL RIESGO

Descripción

RIESGOASOCIADO TOTAL PROBABILIDAD

0 0 Baja

0 0 Baja

0 0 Baja

0 0 Baja

0 0 Baja

0 0 Baja

0 0 Baja

0 0 Baja

0 0 Baja

ANEXO 9: CÁLCULO DE PROBABILIDADES

RIESGOASOCIADO

TOTAL IMPACTO

0 0 Bajo

0 0 Bajo

0 0 Bajo

0 0 Bajo

0 0 Bajo

0 0 Bajo

0 0 Bajo

0 0 Bajo

ANEXO 10: CÁLCULO DE IMPACTO

RIESGOASOCIADO CONTROLES TOTAL EFECTIVIDAD DEL

CONTROL

0 0 0 Muy Deficiente









ANEXO 11: CÁLCULO DE EFECTIVIDAD DEL CONTROL

Ficha de procedimiento: “Gestión de riesgos” · Ficha de procedimiento: “Gestión de riesgos...

Documents

Transcript of Ficha de procedimiento: “Gestión de riesgos” · Ficha de procedimiento: “Gestión de riesgos...