criterios de riesgo: evaluación de riesgos: gestión de...
TRANSCRIPT
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
2/15
1. OBJETIVO
Establecer los lineamientos y procedimiento a seguir para identificar, analizar, evaluar y tratar los riesgos que
puedan afectar al logro de los objetivos de los procesos y al cumplimiento de los compromisos asumidos con las
partes interesadas vinculadas al Sistema de Gestión de la Calidad.
2. ALCANCE
El presente procedimiento es administrado por la Unidad de Racionalización de la Oficina de Planeamiento y
Presupuesto, y es fuente de consulta y aplicación para todos los órganos y unidades orgánicas de la entidad. El
procedimiento se inicia con la conformación del Equipo de Gestión de Riesgos, y culmina con el seguimiento a la
implementación de las actividades/controles establecidos en el Plan de Tratamiento de Riesgos.
3. DOCUMENTOS A CONSULTAR
3.1. Ley Nº 30075, Ley de fortalecimiento de la Comisión de Promoción del Perú para la Exportación y el Turismo
– PROMPERÚ.
3.2. Reglamento de Organización y Funciones de la Comisión de Promoción del Perú para la Exportación y el
Turismo – PROMPERÚ, aprobado por Decreto Supremo Nº 013-2013-MINCETUR.
3.3. Manual de Funciones y Perfiles de Contratos Administrativos de Servicios de PROMPERÚ aprobado por
Resolución de Secretaría General Nº 102-2008-PROMPERÚ/SG y modificatorias.
3.4. Manual de Perfiles de Puestos de PROMPERÚ, aprobado por Resolución de Secretaria General Nº 028-2014-
PROMPERÚ/SG y modificatorias.
3.5. Carta de Servicios de la Comisión de Promoción del Perú para la Exportación y el Turismo – PROMPERÚ,
vigente.
3.6. Manual de Calidad de la Comisión de Promoción del Perú para la Exportación y el Turismo – PROMPERÚ,
vigente.
3.7. Procedimiento para el Tratamiento de Incidentes y Servicios No Conformes, PR-OPP-CSI-002.
3.8. Procedimiento de Acciones Correctivas, PR-OPP-CSI-004.
3.9. Procedimiento para la Gestión de Mejoras y Cambios, PR-OPP-CSI-005.
3.10. Norma ISO 9000:2015. Sistemas de Gestión de la Calidad – Fundamentos y vocabulario.
3.11. Norma ISO 9001:2015. Sistemas de Gestión de la Calidad – Requisitos.
3.12. Norma UNE-ISO 31000:2009. Gestión del Riesgo. Principios y Directrices.
4. SIGLAS Y ACRÓNIMOS
4.1. DX: Dirección de Promoción de las Exportaciones.
4.2. EGR: Equipo de Gestión de Riesgos.
4.3. SG: Secretaría General.
4.4. SGC: Sistema de Gestión de la Calidad.
4.5. URCN: Unidad de Racionalización.
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
3/15
5. DEFINICIONES
Para efectos del presente procedimiento se consideran las siguientes definiciones, las mismas que se encuentran
señaladas en la norma UNE-ISO 31000:2009:
5.1. Aceptación del riesgo: Decisión informada a favor de tomar un riesgo particular. La aceptación del riesgo
puede tener lugar sin que exista tratamiento del riesgo o durante el proceso del tratamiento del riesgo. Los
riesgos aceptados son objeto de seguimiento y de revisión.
5.2. Análisis de riesgos: Proceso que permite comprender la naturaleza del riesgo y determinar el nivel del riesgo.
5.3. Control: Medida que modifica un riesgo. Los controles incluyen cualquier proceso, política, dispositivo,
práctica u otras acciones que modifiquen un riesgo. Los controles no siempre pueden proporcionar el efecto
de modificación previsto o asumido.
5.4. Criterios de riesgo: Términos de referencia respecto a los que se evalúa la importancia de un riesgo. Los
criterios de riesgo se basan en los objetivos de la organización y en el contexto externo e interno. Los criterios
de riesgo se pueden obtener de normas, leyes, políticas y otros requerimientos.
5.5. Evaluación de riesgos: Proceso de comparación de los resultados del análisis de riesgo con los criterios de
riesgo para determinar si el riesgo y/o su magnitud son aceptables. La evaluación del riesgo ayuda a la toma
de decisiones sobre el tratamiento de los riesgos.
5.6. Gestión de riesgos: Proceso desarrollado por el directorio, gerencia y/u otro personal de una entidad, que se
aplica en la formulación de estrategias y a través de toda la empresa. Diseñado para identificar eventos
potenciales que podrían afectar la entidad y manejar el riesgo, con el fin de entregar una seguridad razonable.
5.7. Identificación del riesgo: Proceso que comprende la búsqueda, el reconocimiento y la descripción de los
riesgos. La identificación del riesgo implica la identificación de las fuentes del riesgo, los sucesos, sus causas
y sus consecuencias (impactos) potenciales. La identificación del riesgo puede implicar datos históricos,
análisis teóricos, opiniones informadas y de expertos, así como necesidades de las partes interesadas.
5.8. Nivel de riesgo: Magnitud de un riesgo o combinación de riesgos, expresados en términos de la combinación
de las consecuencias (impactos) y de su probabilidad.
5.9. Parte interesada: Persona u organización que puede afectar, estar afectada o percibir que está afectada por
una decisión o actividad.
5.10. Plan de tratamiento de riesgos: Documento que contempla las decisiones relacionadas con el tratamiento
de los riesgos y las acciones para la implementación de los objetivos de control y controles seleccionados.
5.11. Riesgo1: Efecto de la incertidumbre sobre la consecución de los objetivos.
5.12. Riesgo residual: Riesgo remanente después del tratamiento del riesgo. El riesgo residual puede contener
riesgos no identificados. El riesgo residual también se puede conocer como “riesgo retenido”.
5.13. Tratamiento de riesgos: Proceso destinado a modificar el riesgo.
Asimismo, para el caso específico del presente procedimiento se consideran las siguientes definiciones:
5.14. Metodología de gestión de riesgos: Método lógico y sistemático de establecer el contexto, identificar,
analizar, evaluar, tratar, hacer seguimiento y comunicar los riesgos asociados con una actividad, función o
proceso de una forma que permita a una organización, minimizar pérdidas y maximizar oportunidades.
5.15. Sistema de Control Interno: Conjunto de acciones, actividades, planes, políticas, normas, registros,
procedimientos y métodos, incluido el entorno y actitudes que desarrollan autoridades y su personal a cargo,
con el objetivo de prevenir posibles riesgos que afectan a una entidad pública. Se fundamenta en una
1 Algunos autores definen el riesgo como la posibilidad que un evento ocurra y afecte de manera adversa el logro de los objetivos de la entidad, impidiendo la creación de valor o deteriorando el valor existente. El riesgo combina la probabilidad que ocurra un evento negativo con el daño que podría causar.
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
4/15
estructura basada en cinco componentes funcionales: 1) Ambiente de control, 2) Evaluación de riesgos, 3)
Actividades de control gerencial, 4) Información y comunicación, y 5) Supervisión.
6. CONDICIONES BÁSICAS
6.1. El responsable del proceso deberá:
6.1.1. Promover la cultura de gestión de riesgos en los procesos bajo su responsabilidad.
6.1.2. Asegurar la puesta en marcha del proceso de Gestión de Riesgos y monitorear el cumplimiento de los
planes de acción, coordinando con los responsables respectivos, con el fin de asegurar que se tomen
las medidas preventivas, correctivas o de mejoras necesarias para garantizar que se logren los
resultados previstos.
6.1.3. Asegurar la aplicación de la metodología de gestión de riesgos en los procesos bajo su responsabilidad.
6.1.4. Definir la tolerancia al riesgo en coordinación con el Equipo de Gestión de Riesgos.
6.1.5. Gestionar los riesgos de sus procesos sobre la base de los resultados de la evaluación de riesgos.
6.1.6. Velar por la efectividad de los controles asociados a los riesgos de sus procesos.
6.2. Para cada uno de los procesos de la entidad, se conformará un Equipo de Gestión de Riesgos (EGR), el cual se
encargará de aplicar la metodología de gestión de riesgos, y estará integrado por el Dueño del proceso (quien
liderará el EGR) y especialistas designados por este último.
6.3. Una vez conformado el EGR, el líder del EGR coordinará con los demás miembros las reuniones de trabajo
necesarias para la aplicación de la metodología de gestión de riesgos; de requerirlo, podrá solicitar la
asistencia técnica de la URCN en cualquier etapa del desarrollo de la citada metodología.
6.4. Se deberá contar con información relativa al contexto interno y externo de la entidad que sirva de marco
general para determinar: i) Las posibles amenazas que puedan afectar al SGC, y al cumplimiento de los
compromisos con las partes interesadas pertinentes, ii) Los aspectos que requieren protección, y iii) Los
recursos actuales. Asimismo, se deberá considerar y revisar la información contenida en el Acta de Revisión
por la Dirección, en el Acta de Análisis de Contexto y Partes Interesadas, en informes de control interno u
otros documentos necesarios, según corresponda.
6.5. En forma supletoria se podrá aplicar el presente procedimiento para la Gestión del Riesgo en el marco del
Sistema de Control Interno.
7. CONDICIONES ESPECÍFICAS
7.1. La metodología de gestión de riesgos que se aplicará a los procesos, comprende las siguientes etapas:
7.1.1. Identificación de riesgos:
Haciendo uso de la sección I de la Matriz de Riesgos (Ver Anexo Nº 5), se deberán identificar los riesgos
del proceso que podrían afectar: i) Su adecuada ejecución y el logro de sus objetivos, ii) La conformidad
de los servicios brindados, iii) La capacidad de aumentar la satisfacción del cliente, y iv) Los resultados
esperados. Asimismo, se deberá determinar el tipo de riesgo2, las causas que los originan y sus efectos.
2 De acuerdo a la Guía para la Implementación del Sistema de Control Interno de las entidades del Estado, los tipos de riesgos son:
1. Riesgo estratégico: Se asocia con la forma en que se administra la entidad. El manejo del riesgo estratégico se enfoca en asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas y el diseño y conceptualización de la entidad por parte de la Alta Dirección.
2. Riesgo operativo: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura organizacional, en la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales.
3. Riesgo financiero: Se relacionan con el manejo de los recursos de la entidad e incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad.
4. Riesgo de cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.
5. Riesgo de tecnología: Se asocian con la capacidad de la entidad para que la tecnología disponible satisfaga sus necesidades actuales y futuras y soporte el cumplimiento de su misión.
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
5/15
Para estos fines, se deberá tener en cuenta la siguiente información:
- Fichas de procesos: Documento que contiene la caracterización del proceso.
- Información histórica (Ej.: análisis de resultado de indicadores, registro de incidentes y servicios no
conformes, retroalimentación de clientes externos y partes interesadas, entre otros).
- Opinión de clientes internos.
7.1.2. Evaluación de riesgos:
Se busca comprender la naturaleza de los riesgos, para lo cual se hará uso de la sección II de la Matriz
de Riesgos (Ver Anexo Nº 5), donde se deberá determinar la probabilidad de ocurrencia del riesgo
identificado y el impacto que podría tener sobre el proceso, con el fin de establecer el nivel de riesgo.
Para ello, se deberá tener en cuenta lo siguiente:
a) Criterios de probabilidad: La selección del nivel de probabilidad de ocurrencia se realizará de
acuerdo con los criterios descritos en el Anexo Nº 2. El nivel de probabilidad está relacionado con
la ocurrencia y condiciones que favorezcan la materialización del riesgo. Se deberá asignar el valor
que más se ajuste a la realidad del riesgo. Sólo es necesario que un criterio sea identificado para
seleccionar el nivel de probabilidad al que pertenece.
b) Criterios de impacto: La selección del nivel de impacto se realizará de acuerdo con los criterios
descritos en el Anexo Nº 3. Para lo cual, se deberá considerar el escenario más probable o lógico,
evitándose el peor o mejor escenario. Sólo es necesario que un criterio se origine para seleccionar
el nivel del impacto al que pertenece.
c) Nivel del riesgo: Se obtiene del producto del valor de la probabilidad de ocurrencia y del valor del
impacto, de acuerdo al Anexo Nº 4. Para mantener un entendimiento de la situación actual del
proceso involucrado en el análisis de los riesgos, se deberán registrar los controles que se
encuentran implementados, a fin de evaluar posteriormente si se requiere fortalecer o
replantearse dichos controles.
Aquellos riesgos con un nivel “Bajo” o “Medio” serán considerados como riesgos “aceptables”; en
tanto, aquellos con un nivel “Alto” o “Extremo”, como “no aceptables”. Sin embargo, todos los riesgos
se encontrarán sujetos a monitoreo y revisión.
7.1.3. Tratamiento de riesgos:
Se deberá evaluar cómo se tratarán los riesgos de acuerdo a las siguientes opciones de tratamiento
(acción), las cuales se indicarán en la sección III de la Matriz de Riesgos (Ver Anexo Nº 5):
a) Evitar el riesgo: Eliminar la fuente que genera la amenaza. La actividad del proceso que lo genera
no es de gran impacto en términos de negocio para la entidad, de modo que puede ser retirada
funcionalmente.
b) Reducir el riesgo: Implica implementar controles u optimizar procedimientos a fin de reducir el
riesgo a niveles aceptables; esto podría ser, reduciendo la probabilidad de ocurrencia (medidas de
prevención), o reduciendo el impacto (medidas de protección) si el riesgo ocurriese. Se utiliza
cuando al implementar el control o controles trae beneficios mayores a la inversión de su
implementación.
c) Transferir el riesgo: Implica transferir el impacto del riesgo a terceros (empresas aseguradoras o
proveedores de servicio); es decir, dar a otra entidad la responsabilidad de su gestión, más no lo
elimina. Se utiliza cuando no se puede reducir la probabilidad de ocurrencia del riesgo pero su
impacto es inminente.
d) Aceptar el riesgo: Aceptar la posibilidad de que pueda ocurrir el riesgo sin tomar medidas de acción
concretas (siempre que satisfagan claramente los criterios de aceptación del riesgo). Se utiliza
cuando el costo de implementar el control o controles, en términos económicos, recursos de
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
6/15
personal y su repercusión de tareas adicionales superan el impacto del riesgo que se desea reducir;
o cuando el impacto del riesgo es mínimo.
Para aquellos riesgos no aceptables, se deberá establecer un plan de tratamiento que comprenda los
controles o actividades necesarias para su mitigación, los responsables de su implementación
(previamente coordinados) y el plazo de ejecución correspondiente.
Asimismo, en caso existan riesgos de nivel “Alto” o “Extremo” cuya decisión respecto a la opción de
tratamiento del riesgo sea “Aceptar el riesgo”, esto deberá ser formalizado mediante un “Acta de
Aceptación de Riesgos” (Ver Anexo Nº 6). La instancia que asumirá la responsabilidad final de la
aceptación del riesgo está en función al nivel de riesgo asociado, según se detalla a continuación:
Nivel de riesgo Responsabilidad de la aceptación del riesgo
Extremo Alta Dirección del SGC
Alto Director de Promoción de las Exportaciones o
Secretaría General
En caso que el plan de tratamiento de riesgos, contemple la necesidad de contar con recursos
económicos, mayores o iguales a S/ 30,000 este deberá ser aprobado por la Alta Dirección del SGC,
antes de su implementación; en caso de montos menores, deberá ser aprobado por el Subdirector o
Jefe de Oficina del área donde se desarrolla el proceso.
7.2. Una vez implementado el plan de tratamiento de riesgos a un determinado proceso, se deberá efectuar
nuevamente la evaluación de riesgos a fin de determinar los riesgos residuales e identificar aquellos que
resultan ser aceptables, y por consiguiente evaluar la eficacia de los controles implementados, registrando la
nueva evaluación en la sección IV de la Matriz de Riesgos (Ver Anexo Nº 5).
7.3. El responsable del proceso, deberá asegurarse que por lo menos una vez al año se revisen los resultados de
la evaluación de riesgos y se realice nuevamente dicha evaluación con el fin de garantizar el control continuo
de los riesgos a niveles aceptables.
7.4. El responsable del proceso deberá coordinar oportunamente las acciones que resulten necesarias en el marco
de la gestión de riesgos, teniendo en cuenta:
Los cambios en la entidad;
Los cambios en la tecnología de la entidad;
Los cambios en los objetivos y procesos vinculados al SGC;
Los riesgos identificados;
Nuevos riesgos;
La efectividad de los controles implementados; y
Los eventos externos, tales como cambios en el entorno legal o regulatorio, cambios en obligaciones
contractuales, entre otros.
8. DESCRIPCIÓN DEL PROCEDIMIENTO
Nº Actividad Responsable
A. Planificación de la aplicación de la metodología de gestión de riesgos
1 Conforma EGR, obtiene copia del Acta de Revisión por la Dirección y del
Acta de Análisis de Contexto y Partes Interesadas, entre otra información
relevante del proceso al cual se aplicará la metodología de gestión de
riesgos.
Dueño del proceso
2 Coordina con los demás miembros del EGR las reuniones necesarias para
la aplicación de la metodología de gestión de riesgos.
Líder del EGR
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
7/15
Nº Actividad Responsable
B. Ejecución de la metodología de gestión de riesgos
3 Realiza la identificación de riesgos asociados al proceso, según lo
señalado en el numeral 7.1.1 del presente procedimiento, y los registra
en la sección I: “Identificación del Riesgo” de la Matriz de Riesgos (Ver
Anexo Nº 5).
Equipo de Gestión de
Riesgos
4 Realiza la evaluación de riesgos asociados al proceso, según lo señalado
en el numeral 7.1.2 del presente procedimiento, y lo registra en la sección
II: “Evaluación del Riesgo” de la Matriz de Riesgos (Ver Anexo Nº 5).
Equipo de Gestión de
Riesgos
5 Determina la Acción a seguir en función al nivel de riesgo obtenido y la
registra en la Sección III: “Plan de Tratamiento del Riego” de la Matriz de
Riesgos (Ver Anexo Nº 5), y procede de acuerdo a lo siguiente:
Si el nivel de riesgo es “Alto” o “Extremo” y la acción definida es
“Aceptar el riesgo”, el Líder del EGR, elabora o modifica, y visa el Acta
de Aceptación de Riesgos (Ver Anexo Nº 6).
En los demás casos, completa o revisa la Sección III: “Plan de
Tratamiento de Riesgos” de la Matriz de Riesgos (Ver Anexo Nº 5),
según lo señalado en el numeral 7.1.3 del presente procedimiento.
Equipo de Gestión de
Riesgos
6 Remite la Matriz de Riesgos y el Acta de Aceptación de Riesgos de ser el
caso, vía correo electrónico, al Subdirector o Jefe de Oficina donde se
desarrolla el proceso para su revisión y aprobación.
Líder del EGR
7 Recibe y revisa la Sección III: “Plan de Tratamiento del Riesgo” de la
Matriz de Riesgos y el Acta de Aceptación de Riesgos, de ser el caso; de
no existir observaciones, firma el(los) documento(s) en señal de
conformidad, en caso contrario, coordina con el Líder del EGR el
levantamiento de las observaciones, y realiza lo siguiente:
7.1. Si existe un Plan de Tratamiento de Riesgos, procede en función al
costo estimado de implementación:
7.1.1. Si se requiere una inversión igual o mayor a S/. 30,000, eleva
la Matriz de Riesgos con dichos riesgos a la Alta Dirección de
la SGC, para su aprobación. Continúa en el paso 8.
7.1.2. En caso contrario, deriva la Matriz de Riesgos, al Líder del EGR
para su ejecución. Continúa en el paso 10.
7.2. Si existe una Acta de Aceptación de Riesgos, procede en función al
nivel de riesgo:
7.2.1. Si es “Extremo”, eleva el Acta a la Alta Dirección del SGC.
Continúa en el paso 8.
7.2.2. Si es “Alto”, eleva el Acta al Director de Promoción de las
Exportaciones o a la Secretaria General, en función al tipo de
proceso. Continúa en el paso 9.
Subdirector o Jefe de Oficina
8 Recibe y evalúa la Sección III: “Plan de Tratamiento del Riesgo” de la
Matriz de Riesgos y determina si acepta o no el costo estimado de
implementación, o el(los) riesgo(s) indicado(s) en el Acta de Aceptación
de Riesgos, firma el(los) documento(s) en caso de aceptación, y lo(s)
deriva al Líder del EGR, a través de los niveles correspondientes. Continúa
en el paso 10.
Alta Dirección del SGC
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
8/15
Nº Actividad Responsable
9 Recibe, evalúa y determina si acepta o no el(los) riesgo(s) indicado(s) en
el Acta de Aceptación de Riesgos, firma el documento en caso de
aceptación, y lo deriva al Líder del EGR, a través de los niveles
correspondientes.
Director de la DX /
Secretaría General
10 Recibe la Matriz de Riesgos aprobada y coordina la implementación de la
Sección III: “Plan de Tratamiento del Riesgo”, con los responsables
designados y/o archiva el Acta de Aceptación de Riesgos, en caso exista.
Líder del EGR
C. Evaluación del Riesgo Residual y Seguimiento al Plan
11 Realiza una nueva evaluación del riesgo, según lo señalado en el numeral
7.1.2 del presente procedimiento, luego que la Sección III: “Plan de
Tratamiento del Riesgo” de la Matriz de Riesgos se encuentre aprobada,
con el fin de verificar la eficacia de las actividades/controles establecidos,
y registra los resultados en la Sección IV: “Evaluación del Riesgo Residual”
de la Matriz de Riesgos (Ver Anexo Nº 5).
Equipo de Gestión de
Riesgos
12 Efectúa seguimiento a la implementación de las actividades/controles
establecidos en el Plan de Tratamiento de Riesgos de acuerdo a los plazos
señalados en el mismo y registra los resultados en la Sección V:
“Seguimiento al Plan” de la Matriz de Riesgos (Ver Anexo Nº 5).
Líder del EGR
9. REGISTROS
Descripción Código Nº de
ejemplares Lugar de archivo
Tiempo de archivo (Años)
Matriz de Riesgos FO-OPP-CSI-014 1 Archivo del área
Archivo Central
2 años
8 años
Acta de Aceptación de Riesgos FO-OPP-CSI-015 1 Archivo del área
Archivo Central
2 años
8 años
10. HOJA DE CONTROL DE CAMBIOS
Nº de versión
Nº de capítulo/ Ítem
Párrafo/ Figura/ Tabla/ Nota
Modificaciones
11. ANEXOS
Descripción Anexo
Diagrama de Flujo 1
Criterios de probabilidad 2
Criterios de impacto 3
Nivel de riesgos y criterios de tolerancia de riesgos 4
Formato: Matriz de Riesgos 5
Formato: Acta de Aceptación de Riesgos 6
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
9/15
ANEXO Nº 1
DIAGRAMA DE FLUJO
Inicio
Conforma EGR, obtiene copia del Acta de Revisión por la Dirección y Acta de Análisis de Contexto y Partes Interesadas, entre otra
información y aplica metodología de gestión de riesgos.
1 2
Coordina con miembros del EGR reuniones para aplicación de metodología de gestión de
riesgos.
Dueño del Proceso Líder del EGR Equipo de Gestión de Riesgos
3
Realiza identificación de riesgos asociados al proceso, y los
registra en sección I de la Matriz de Riesgos.
A. PLANIFICACIÓN DE LA APLICACIÓN DE LA METODOLOGÍA DE GESTIÓN DE RIESGOS
B. EJECUCIÓN DE LA M ETODOLOGÍA DE GESTIÓN DE RIESGOS
4
Realiza evaluación de riesgos asociados al proceso, y los
registra en sección II de la Matriz de Riesgos.
5
Determina Acción en función a nivel de riesgo: Si es Alto o
Extremo, elabora y visa Acta de Aceptación de Riesgos, en otros casos completa sección III (Plan)
de la Matriz de Riesgos.
6
Remite Matriz de Riesgos y Acta de Aceptación, vía correo
electrónico, a Subdirector o Jefe de Oficina donde se desarrolla
proceso para su revisión y aprobación.
7
Recibe y revisa sección III (Plan) de la Matriz de Riesgos y Acta de
Aceptación, de no existir observaciones, firma en señal de
conformidad.
¿Plan o Acta?Plan
Procede en función al nivel de riesgo.
7.2
Acta
Procede en función al costo estimado de
implementación.
7.1
Subdirector o Jefe de Oficina
1
¿Monto >=30,000?
No
Eleva Matriz a Alta Dirección de la SGC para su aprobación.
7.1.1
Si
Deriva Matriz al Líder del EGR para su
ejecución.
7.1.2
2 3
¿Extremoo Alto?
Extremo
Eleva Acta al Director de Promoción de las Exportaciones o a la Secretar ia General
para su aprobación.
7.2.2
Alto
Eleva Acta a la Alta Dirección del SGC
para su aprobación.
7.2.1
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
10/15
B. EJECUCIÓN DE LA M ETODOLOGÍA DE GESTIÓN DE RIESGOS (Contin uación)
Alta Dirección del SGC Líder del EGRDirector de la DX / Secretaría General Equipo de Gestión de Riesgos
1
8
Recibe y evalúa la Sección III de la Matriz de Riesgos
(Plan) y determina si acepta los costos o el riesgo indicado en Acta de
Aceptación.
11
Realiza nueva evaluación del riesgo, luego que el Plan este
aprobado y registra resultado en Sección IV de la
Matriz.
9
Recibe, evalúa y determina si acepta los riesgos del Acta, firma aceptación y lo deriva
al Líder del EGR.
12
Efectúa seguimiento a implementación de
actividades/controles en plazos señalados y registra
resultado en Sección V de la Matriz.
3
10
Recibe Matriz aprobada y coordina implementación de Sección III (Plan) de la Matriz con responsables y/o archiva
Acta.
2
C. EVALUACIÓN DEL RIESGO RESIDUAL Y SEGUIMIENTO AL PLAN
Fin
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
11/15
ANEXO Nº 2
CRITERIOS DE PROBABILIDAD
Nivel de probabilidad de
ocurrencia Valor Criterios
Improbable 0.1 Puede ocurrir sólo en circunstancias excepcionales.
Ha ocurrido hasta una vez en los últimos 3 años.
Esporádico 0.3 No existen condiciones para la materialización del riesgo pero puede ocurrir.
Ha ocurrido más de una vez en el año.
Posible 0.5 Existen pocas condiciones para la materialización del riesgo.
Ha ocurrido más de una vez en el semestre.
Frecuente 0.7 Existen condiciones para la materialización del riesgo.
Ha ocurrido con frecuencia, una vez en el mes.
Continuo 0.9 Se espera que ocurra en la mayoría de las circunstancias o existen condiciones que favorecen altamente la materialización del riesgo.
Ha ocurrido con mucha frecuencia, más de una vez en el mes.
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
12/15
ANEXO Nº 3
CRITERIOS DE IMPACTO
Nivel de Impacto
Valor Criterios
Insignificante 1 Sin reclamo ni queja de cliente.
Sin incumplimiento de los compromisos asumidos con las partes interesadas.
Implica una debilidad no significativa, que no tiene mayor impacto a nivel de:
- Proceso (indicadores).
- Otro proceso del SGC (indicadores).
- Satisfacción del cliente.
Menor 2 Sin reclamo, pero puede ocasionar una queja de cliente.
Posible incumplimiento de los compromisos asumidos con las partes interesadas; sin que éstas lo perciban.
Implica una debilidad poco significativa, que tiene bajo impacto a nivel de:
- Proceso (indicadores).
- Otro proceso del SGC (indicadores).
- Satisfacción del cliente.
Moderado 3 Es poco probable que ocasione un reclamo de cliente.
Posible incumplimiento de los compromisos asumidos con las partes interesadas; siendo percibido como poco significativo por ellas.
Puede ocasionar un efecto concreto y adverso, no deseado, en:
- Proceso (indicadores).
- Otro proceso del SGC (indicadores).
- Satisfacción del cliente.
Mayor 4 Es muy probable que ocasione un reclamo de cliente.
Posible incumplimiento de los compromisos asumidos con las partes interesadas; siendo percibido como significativo por ellas.
Implica una debilidad que tiene un impacto significativo en:
- Cumplimiento de un objetivo del SGC.
- La imagen de la institución.
Catastrófico 5 Puede ocasionar un reclamo de cliente ante una entidad externa.
Posible incumplimiento de los compromisos asumidos con las partes interesadas; siendo percibido como muy significativo, con posibilidad de romper vínculo de forma definitiva con PROMPERÚ.
Implica una debilidad que tiene un impacto muy significativo en:
- Cumplimiento de más de un objetivo del SGC.
- La imagen país.
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
13/15
ANEXO Nº 4
NIVEL DE RIESGOS Y CRITERIOS DE TOLERANCIA DE RIESGOS
Nivel de riesgos No Aceptables: Extremos, Altos
Pro
bab
ilid
ad
Continuo 0.9
Medio
0.9
Alto
1.8
Alto
2.7
Extremo
3.6
Extremo
4.5
Frecuente 0.7
Medio
0.7
Medio
1.4
Alto
2.1
Alto
2.8
Extremo
3.5
Posible 0.5
Bajo
0.5
Medio
1.0
Alto
1.5
Alto
2.0
Alto
2.5
Esporádico 0.3
Bajo
0.3
Medio
0.6
Medio
0.9
Medio
1.2
Alto
1.5
Improbable 0.1
Bajo
0.1
Bajo
0.2
Bajo
0.3
Bajo
0.4
Medio
0.5
Insignificante
1
Menor
2
Moderado
3
Mayor
4
Catastrófico
5
Impacto
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
14/15
ANEXO Nº 5
Título:
PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS
Código:
PR-OPP-CSI-006
Versión:
01
Página:
15/15
ANEXO Nº 6