directiva n° 03 -2021-minam/dm directiva para la
TRANSCRIPT
DIRECTIVA N° 03 -2021-MINAM/DM
“DIRECTIVA PARA LA IMPLEMENTACION DE LA GESTIÓN INTEGRAL DE RIESGOS EN EL MINISTERIO DEL AMBIENTE (MINAM)”
1. OBJETO
Establecer el modelo, etapas y criterios generales para la implementación de la gestión integral
de riesgos en el Ministerio del Ambiente (MINAM).
2. ALCANCE
La presente directiva es de obligatorio cumplimiento para todos/as los/as servidores/as de los
órganos, unidades orgánicas, unidades ejecutoras, programas y proyectos especiales del
MINAM, independientemente de su relación contractual, así como de sus colaboradores, en lo
que corresponda.
3. BASE LEGAL
3.1. Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de
la República.
3.2. Ley N° 28716, Ley de Control Interno de las Entidades del Estado.
3.3. Decreto Supremo N° 002-2017-MINAM, que aprueba el Reglamento de Organización y
Funciones del Ministerio del Ambiente.
3.4. Resolución de Contraloría N° 320-2006-CG, que aprueba las Normas de Control Interno.
3.5. Resolución de Contraloría N° 146-2019-CG, que aprueba la Directiva N° 006-2019-
CG/INTEG “Implementación del Sistema de Control Interno en las entidades del Estado”.
3.6. Resolución de Secretaría de Integridad Pública N° 001-2019-PCM/SIP, que aprueba aprobó
la Directiva N° 001-2019-PCM/SIP “Lineamientos para la implementación de la función de
integridad en las entidades de la administración pública”.
3.7. Resolución de Secretaría General N° 063-2020-MINAM, que creó la Unidad Funcional de
Integridad Institucional, dependiente de Secretaría General.
3.8. Resolución Ministerial N° 004-2016-PCM, que aprobó el uso obligatorio en todas las
entidades integrantes del Sistema Nacional de Informática, de la “NTP ISO/IEC 27001:2014
Tecnología de la Información. Técnicas de Seguridad. Sistema de Gestión de Seguridad de
la Información. Requisitos. 2ª Edición”.
3.9. Resolución Directoral N° 056-2017-INACAL/DN, que aprobó, entre otras, a la “NTP-ISO/IEC
27002:2017 Tecnología de la información. Técnicas de seguridad. Código de prácticas para
controles de seguridad de la información. 1a Edición”.
La presente normativa incluye sus disposiciones modificatorias y/o complementarias.
4. DISPOSICIONES GENERALES
4.1. Gestión integral de los riesgos en el MINAM
4.1.1. La Gestión de Riesgos corresponde a la identificación y evaluación de los factores o
eventos que pudieran afectar negativa o positivamente el cumplimiento de los
objetivos institucionales, la provisión de los productos o servicios que brinda a la
ciudadanía, (clientes externos) o a sus órganos o unidades orgánicas (clientes
internos); así como determinar, establecer y hacer seguimiento y/o evaluación de
las medidas de control o remediación que reduzcan la probabilidad que se
materialicen o reduzcan el impacto en su ocurrencia.
4.1.2. La Gestión Integral de Riesgos (GIR) se constituye en una práctica que permite
tener la seguridad razonable que en el MINAM se estén desarrollando los diversos
sistemas de gestión de riesgos conforme a las disposiciones normativas vigentes, o
de acuerdo a los requisitos específicos de cada sistema.
4.1.3. La GIR, considera inicialmente la gestión de riesgos en los siguientes sistemas: i) El
Sistema de Control Interno (SCI); ii) Sistema de Gestión de Riesgos de Corrupción;
iii) El Sistema de Gestión de Calidad (SGC); iv) El Sistema de Gestión Antisoborno
(SGA); y, v) El Sistema de Gestión de Seguridad de la Información (SGSI). A efectos
de la presente directiva, se les conocerá como sistemas de gestión de riesgos.
4.1.4. La GIR en el MINAM es conducida por un órgano colegiado denominado “Comité
de Gestión Integral de Riesgos en el MINAM”, también conocido como CGIR, el
cual estará conformado por los siguientes miembros:
- Un/a representante de Secretaría General, quien preside el colegiado;
- Un/a representante del Viceministerio de Gestión Ambiental;
- Un/a representante del Viceministerio de Desarrollo Estratégico de los
Recursos Naturales;
- El/La Director/a de la Oficina General de Planeamiento y Presupuesto;
- El/La Director/a de la Oficina General de Administración;
- El/La Director/a de la Oficina de Tecnologías de la Información y
Comunicaciones;
- El/La Director/a de la Oficina de Planeamiento y Modernización; y,
- El/La Coordinador/a de la Unidad Funcional de Integridad Institucional, o quien
haga sus veces.
Dicho Comité contará con una Secretaría Técnica, a cargo de la Oficina de
Planeamiento y Modernización (OPM), quien brinda el apoyo técnico y
administrativo necesario para el desarrollo de sus funciones.
4.1.5. El “Comité de Gestión Integral de Riesgos en el MINAM” desarrollará las siguientes
funciones:
a. Supervisar la planificación de la gestión de riesgos de los diversos sistemas de
gestión bajo los alcances de la presente directiva.
b. Supervisar la ejecución oportuna de las actividades de cada sistema de riesgos.
c. Incluir o excluir sistemas de gestión de riesgo en la metodología de gestión
integral.
d. Hacer seguimiento a que cada sistema priorice sus riesgos, de acuerdo a su
normativa, requisitos o disposiciones aplicables.
e. Promover el desarrollo de sinergias, coordinación y colaboración entre los
distintos sistemas de riesgos.
f. Orientar a los sistemas de gestión de riesgos respecto a la gestión integral de
riesgos.
g. Promover la cultura de gestión de riesgos en la entidad.
4.1.6. A través del enfoque de “Gestión Integral de Riesgos”, se establece una
metodología e instrumentos y pautas generales para una correcta gestión de
riesgos; sin embargo, si por normativa o especialidad, los sistemas de riesgos
requieren establecer sus propios instrumentos, podrán hacerlo, debiendo
sustentarlo al CGIR.
4.2. Organización para la Gestión Integral de Riesgos
4.2.1. La gestión integral de riesgos en el MINAM es conducida por el CGIR, quien
supervisa las actividades de los sistemas de riesgos; así como la formulación,
aprobación y aplicación de los instrumentos para su operatividad.
4.2.2. Cada sistema de riesgos cuenta con su propia estructura que asegure su correcta
gestión, con el/la/los/las Responsable/s designado/a/os/as en concordancia con
las disposiciones de cada ente rector y/o de cada norma.
Sistema de Riesgos Ente Rector / Sistema Responsable
Sistema de Control
Interno (SCI)
Contraloría General de la
República (CGR)
Presidente del Grupo de Trabajo para el monitoreo
y seguimiento de la implementación del SCI,
conformado por R.M. N° 190-2020-MINAM
Sistema de gestión de
riesgos de corrupción
la Secretaría de Integridad
Pública de la Presidencia del
Consejo de Ministros (PCM);
Coordinador/a de la Unidad Funcional de
Integridad Institucional del MINAM constituida por
R.S.G. N° 063-2020-MINAM
Sistema de Gestión de
Calidad (SGC) Norma ISO 9001:2015 Servidor/a designado como Alta Dirección del SGC
Sistema de Gestión
Antisoborno (SGA) Norma ISO 37001:2016 Servidor/a designado como Alta Dirección del SGA
Sistema de Gestión de
Seguridad de la
Información (SGSI)
Norma ISO 27001:2014. Presidente del Comité de Gobierno Digital del
MINAM
4.2.3. Cada sistema de riesgos debe designar, mantener actualizado y vigente a su/s
responsable/s y comunicarlos formalmente a la Secretaría Técnica del CGIR,
definiendo las funciones y/o responsabilidades que asume/n.
4.2.4. Se establecerá a un/a Coordinador/a General por cada sistema de riesgos, el cual
será el contacto técnico - operativo, para las actividades de identificación,
valoración y mitigación de los riesgos bajo su responsabilidad; así como las
coordinaciones con las áreas involucradas.
4.2.5. Cada Coordinador/a General deberá establecer, por cada órgano, unidad orgánica,
unidad ejecutora, programa, proyecto o proyecto especial (denominados áreas en
lo que respecta a la presente directiva) que se intervenga, a un/a Coordinador/a
de área, quien se constituirán como punto focal para el despliegue de la gestión de
riesgos. La designación o actualización de estos servidores/as; así como las charlas
o capacitaciones brindadas, deben ser comunicadas a la Secretaría Técnica del
CGIR.
4.2.6. Cada sistema de riesgos, a través de sus responsables y coordinadores generales,
de acuerdo a sus responsabilidades y especialización, brindará apoyo
metodológico y/o asistencia técnica a los/as Coordinadores/as de área en lo
relacionado a su gestión de riesgos.
4.2.7. La Secretaría Técnica del CGIR será responsable de administrar el registro o base
de datos de coordinadores/as de gestión de riesgos (generales, y por área),
capacitaciones, talleres brindados y materiales (presentaciones, instructivos, entre
otros).
4.3. Modelo y ciclo de vida de implementación de la gestión integral de los riesgos
4.3.1. La gestión integral de los riesgos en el MINAM se desarrolla a través de un modelo
compuesto por cinco (05) fases: Fase Preparatoria; Fase de Identificación y
Evaluación; Fase de Diseño (tratamiento); Fase de Ejecución; y, Fase de Evaluación
y Mejora.
El ciclo de vida del antes citado modelo se desarrolla en forma anual, o en caso
que la normativa, disposiciones o requisito de un sistema de gestión de riesgos lo
requiera.
Gráfico 1: Modelo de gestión integral de riesgos en el MINAM
I.Fase Preparatoria
II.Fase de Identificación y
Evaluación
III.Fase de Diseño
IV.Fase de Ejecución
V.Fase de Evaluación y mejora
Fortalecimiento de la cultura de gestión de riesgos en el MINAM
4.4. Pautas generales para la gestión integral de riesgos en el MINAM
4.4.1. Cada sistema de riesgos debe elaborar un plan o programa de gestión de riesgos,
en el que se establece y comunica al CGIR las acciones, alcance, recursos y
servicios ejecutados en un determinado periodo para lograr la consecución de sus
objetivos. Dicha información debe será solicitada por el CGIR, a través de su
Secretaría Técnica, a cada responsable de sistema en los primeros 15 días hábiles
de cada periodo, o de forma excepcional cuando existan cambios institucionales
sustantivos.
4.4.2. Cada sistema de riesgos es responsable de la definición de su alcance, pudiendo
ampliar el mismo, o incorporar procesos, servicios, áreas, según su naturaleza, o
los planes y/o programas para la implementación de la gestión de riesgos en sus
temáticas.
4.4.3. Asimismo, cada sistema de riesgos, en sus respectivos programas o planes, debe
comunicar al CGIR sobre las acciones preparatorias, preliminares,
complementarias y/o conexas que desarrollan, de forma previa a implementar la
Fase de Identificación y evaluación de Riesgos.
Sistema de Riesgos Acción preliminar Acciones especificas
SCI Identificación y priorización de
productos Aprobación del PAA-SMC
SGRC - -
SGC Establecimiento del contexto del SGI
Manual del Sistema de Gestión Integrado
ISO 9001-37001 (alcance) SGA
SGSI Establecimiento del contexto del SGSI Inventario de Activos y valoración de activos
de seguridad de la información
4.4.4. Cada sistema debe establecer, los recursos necesarios para el desarrollo de la
gestión de riesgos en la temática de su competencia. Los/as responsable/s de cada
sistema son los encargados de su requerimiento y seguimiento; así como de su
inclusión en el Plan Operativo Institucional (POI), en caso lo requieran.
4.4.5. El CGIR elabora y/o actualiza (en caso sea necesario) los documentos e
instrumentos para la implementación de la gestión integral de riesgos, los cuales
corresponden ser aprobados por acto resolutivo de la máxima autoridad
administrativa de la entidad, y que se listan a continuación:
a. Aprobación o actualización de la Directiva para la Gestión del Riesgo y anexos.
b. Revisión de los sistemas de gestión de riesgos incluidos considerados.
4.4.6. Los documentos señalados en el párrafo precedente, y la documentación
específica de cada sistema de riesgos (anexos, formatos y modelos); serán
publicados en la en el portal institucional del Ministerio del Ambiente
(https://www.gob.pe/minam), o intranet, en caso corresponda. Además, de
socializados y difundidos entre los/las servidores/as a través de diferentes medios
(según el alcance de cada sistema).
4.5. Respecto a la caracterización, priorización y tolerancia aceptada de los riesgos en el
MINAM
4.5.1. Cada sistema establece el/los aspecto/s sobre el cual se identifican sus riesgos y las
pautas para su priorización (en caso corresponda); así mismo, puede contar con
instructivos y/o instrumentos específicos para dicha tarea, según su grado de
complejidad, los cuales deberán ser comunicados al CGIR, a través de su Secretaría
Técnica.
Sistema de Riesgos Identificación de riesgos Factor de Priorización
Sistema de Control
Interno (SCI)
Acción Estratégica Institucional (AEI) del PEI vigente,
o lo que señale la Directiva N° 06-2019-CG/INTEG.
Presupuesto vinculado al
producto y/o servicio (AEI)
Sistema de gestión de
riesgos de corrupción Proceso de Nivel 2 del MAPRO del MINAM Ninguno
Sistema de Gestión de
Calidad (SGC),
Proceso de Nivel 2 del MAPRO del MINAM,
contenido en el alcance del SGC Ninguno
Sistema de Gestión Proceso de Nivel 2 del MAPRO del MINAM, Ninguno
Antisoborno (SGA), contenido en el alcance del SGA
Sistema de Gestión de
Seguridad de la
Información (SGSI),
Activo de Seguridad de la Información, o conforme
se establezca en la ISO 27001. Sistema de Gestión
de Seguridad de la Información
Identificación y valoración
de Activos de SI
4.5.2. Los riesgos deben evaluarse teniendo en consideración la probabilidad o
frecuencia (f) en la cual se presentan, como en el impacto o severidad (s) de su
ocurrencia. Cada sistema de riesgos determina los niveles de valoración de ambas
variables. Asimismo, establece la relación entre ambas para el cálculo del Grado de
Exposición o Nivel de Riesgo.
Sistema de
Riesgos Valor de probabilidad de ocurrencia Valor de Impacto (s)
Grado de Exposición /
Nivel del riesgo
SCI Baja (4), Media (6), Alta (8), Muy Alta (10) Bajo (4), Medio (6),
Alto (8), Muy Alto (10)
Valor del riesgo = (f*s)
Riesgo Bajo (16-24), Medio (32-40),
Alto (48-64), Muy Alto (80-100)
SGRC
Baja (1), Media (2), Alta (3) Baja (), Media (2), Alta
(3)
Valor del riesgo = (f*s)
Riesgo Bajo (1-2), Medio (3-4), Alto
(6-9)
SGC
SGA,
SGSI
Madurez del Control: Optimizado (1),
Avanzado (2), Intermedio (3), Básico (4),
Inexistente (5).
Capacidad del Control = [(Cap. Control
Preventivo + Cap. Control Correctivo) / N°
de Controles]
Frecuencia de Ocurrencia: Rara vez (1),
Poco Probable (2), Probable (3), Muy
Probable (4), Casi cierta (5).
Probabilidad de ocurrencia = [(capacidad
del Control + frecuencia de ocurrencia)/2]
Extremo (5), Alto (4),
Moderado (3), Bajo
(2), No significativo (1).
Valor del riesgo = (Probabilidad de
Ocurrencia * Valor Impacto)
Riesgo Bajo (1-4), Medio (5-10),
Alto (11-25)
4.5.3. Los sistemas de riesgos, si corresponde a su dinámica, pueden establecer riesgos
negativos, como riesgos positivos (también denominados oportunidades).
4.5.4. Cada sistema de riesgos, en caso lo estimen necesario, ampliará y detallará los
criterios sobre los cuales aplica los valores de probabilidad de ocurrencia o valor
de impacto. En caso de no efectuarlos, aplicará los detallados en el ANEXO N° 01
de la presente directiva.
4.5.5. La Tolerancia al Riesgo se define como el Grado de Exposición o Nivel de Riesgo
(pueden usarse indistintamente) que puede aceptar la entidad. Cualquier riesgo
por encima de dicho parámetro debe ser atendido, a fin de reducir su frecuencia o
su impacto. Cada sistema define su tolerancia, en observancia de su normativa o
requisitos de aplicación específicos.
Sistema de Riesgos Tolerancia al Riesgo Tratamiento Obligatorio
Sistema de Control Interno (SCI) Bajo Medio, Alto y Muy Alto
Sistema de gestión de riesgos de
corrupción Bajo Medio y Alto
Sistema de Gestión de Calidad (SGC), Medio (Justificado) Alto
Sistema de Gestión Antisoborno
(SGA), Bajo Medio y Alto
Sistema de Gestión de Seguridad de la
Información (SGSI), Bajo Medio y Alto
4.5.6. El Grado de Exposición o Nivel de Riesgo definido, se constituye en la variable
principal de la gestión de riesgos, y esta se presenta en tres (3) dimensiones. Cada
sistema de riesgos define las dimensiones a aplicar, conforme a su dinámica
específica:
a. Riesgo Inherente: Toma en consideración la frecuencia y severidad de la
ocurrencia tal como se presenta.
b. Riesgo Residual: Grado de Exposición inherente, el cual reduce la frecuencia o
severidad de su ocurrencia, producto de la aplicación de controles y acciones
que se ejecutan actualmente (formales e informales).
c. Riesgo Objetivo: Establece el Grado de Exposición al que se pretende llegar,
aplicando acciones adicionales a fin de reducir la frecuencia o severidad de los
riesgos (opcional, dado que muchos sistemas de riesgos aplican un análisis de
eficacia en reemplazo).
4.5.7. En caso el sistema de riesgos lo requiera, se pueden clasificar las acciones posibles
para atender los riesgos u oportunidades, pudiendo ser, de forma genérica los
siguientes:
Acciones Detalle de la acción Requiere Plan
Evitar Decisión de no iniciar o continuar con la actividad que causa el riesgo. Si
Reducir Atacar la fuente del riesgo para evitar s ocurrencia Si
Asumir Se acepta el riesgo en su condición actual, a fin de perseguir una
oportunidad o si el riesgo no impacta significativamente
No
Aprovechar Asignar recursos para afrontar con ventaja la oportunidad identificada Si
4.5.8. Cada sistema de riesgos, en caso lo requiera, establecerá los criterios y fechas para
la evaluación de la eficacia de los controles o mitigantes, la cual debe estar ligada a
la disminución de la probabilidad de la ocurrencia de un riesgo.
4.5.9. Cada Responsable de un Sistema de Gestión de Riesgos, debe comunicar al CGIR
respecto a sus matrices de riesgos; así como de sus mapas de riesgos (conocidos
como mapas de calor), quienes deben resguardar dicha información, con la reserva
que aplique a dicha indagación (como por ejemplo en el caso del SGSI).
4.5.10. Cada Responsable de un sistema de riesgos comunicará al CGIR las coordinaciones
y requerimientos efectuados con la Oficina General de Recursos Humanos para
buscar su inclusión de su temática en el Plan de Desarrollo de Personas al servicio
del Estado (PDP)1.
4.5.11. Cada Responsable de un sistema de riesgos comunica y traslada al CGIR los
informes y/o reportes de seguimiento o evaluación de la gestión de riesgos, en la
materia de su competencia.
1 Durante la elaboración del Diagnóstico de Necesidades de Capacitación.
5. DISPOSICIONES ESPECÍFICAS
5.1. Respecto a la Fase I: Preparatoria
5.1.1. Cada sistema de riesgos desarrolla su fase preparatoria, según su Plan o Programa
de Riesgos aprobado (conforme a su propia dinámica) y comunicada al CGIR; y, haciendo uso de sus instrumentos específicos de corresponder.
5.1.2. Los/as Responsables de los sistemas de riesgos comunican, de forma
documentada, a través del sistema de trámite documentario de la entidad, respecto a los resultados de las acciones de dicha fase, en caso sea el caso.
5.2. Respecto a la Fase II: Identificación y Evaluación
5.2.1. En esta fase, cada sistema conducirá la identificación de los riesgos a los cuales
están expuestas la entidad (o las áreas, según su alcance) en el marco de su
competencia; conforme a los criterios y formatos de la presente directiva, o caso
contrario, de las establecidas para cada caso en particular.
5.2.2. La identificación de riesgos es responsabilidad de cada área, quien cuenta con el
apoyo y asistencia técnica - metodológica de el/la Responsable y Coordinador/a de
cada sistema de riesgos en análisis.
5.2.3. Dicha fase inicia con la solicitud que realiza el/la Responsable de cada sistema de
riesgos a las áreas, o cualquier unidad de organización definidas en su alcance, a fin
de programar y desarrollar talleres que permitan, de forma asistida, la identificación
y valoración integral de sus riesgos.
5.2.4. En dichos talleres debe elaborarse una propuesta de matriz, para que
subsiguientemente sea complementada y culminada por los coordinadores en
posteriores reuniones de trabajo. Una vez culminada la matriz es remitida por
correo electrónico al responsable del área (Director General, Director, Coordinador,
o a quien corresponda) para su validación, suscripción y traslado mediante el
Sistema de Trámite Documentario.
5.2.5. Los riesgos deberán ser identificados sobre la base de los aspectos señalados en el
numeral 4.5.1 de la presente Directiva, debiendo estar vinculados al menos a un
Objetivo Estratégico Institucional (OEI) consignado en Plan Estratégico Institucional
(PEI) vigente de la entidad, lo cual permitirá observar la concentración de riesgos
sobre la estrategia institucional.
5.2.6. Los riesgos identificados consignarán la siguiente información como mínimo:
a) Identificador único (Inicial sistema de riesgos + Id N°);
b) Objetivo Estratégico Institucional;
c) Órgano, unidad orgánica, UE, Programa, Proyecto o proyecto especial;
d) Proceso N° 0, 1 y “n” (en concordancia con el MAPRO, en caso corresponda);
e) Descripción del riesgo;
El Anexo N° 02 establece una metodología genérica para la identificación de riesgos.
5.2.7. La narración de los riesgos es resultante de identificar el evento, la causa y la
consecuencia de los mismos, conforme se muestra a continuación:
Forma de narración del riesgo
Evento Causa Consecuencia
Actividad, suceso, proceso, o
producto o servicio en análisis
en un determinado momento.
Condición/es
concretas que dan
lugar al evento.
Conjunto de efectos derivados de la materialización
de un evento, expresado de forma cuantitativa o
cualitativa, pudiendo ser perjuicios u oportunidades
para la entidad.
Ejemplo:
Al momento de efectuar el
requerimiento de un servicio
de consultoría para la
formulación del POI
Podría no validarse
los plazos para la
entrega de
productos
Conduciendo a no contar con los productos en los
plazos establecidos por el órgano rector, e incumplir
con su registro cuya responsabilidad es del titular de
la entidad.
Narración del Riesgo
Al momento de efectuar el requerimiento de un servicio de consultoría para la formulación del POI, podría no
validarse los plazos para la entrega de productos, lo cual conduciría a no contar con los productos en los plazos
establecidos por el órgano rector, e incumplir con su registro cuya responsabilidad es del titular de la entidad.
5.2.8. Cada sistema de riesgos deberá establecer un listado de preguntas que coadyuven a
los dueños o ejecutores de procesos a la identificación y evaluación de sus riesgos,
haciendo uso de preguntas tipo cuestionario y ejemplos de referencia. El Anexo N°
05 contempla una relación genérica de preguntas por factores y subfactores, el cual
podrá ser actualizado y complementado por el CGIR de forma permanente (lo cual
es comunicado a todos los actores de la gestión integral de riesgos, de forma
oportuna).
5.2.9. Una vez se cuente con la información respecto a la identificación / caracterización
de los procesos, se procede a su evaluación. Para lo cual, los/as Coordinadores de
área consignan la siguiente información:
i. Valor cuantitativo de la Frecuencia (f);
ii. Valor cuantitativo de la Severidad (s);
El Anexo N° 03 establece una metodología genérica para la evaluación de riesgos.
5.2.10. El Grado de Exposición o Nivel de Riesgo (inherente) es el resultado auto-calculado
de ambas variables (f y s), según las pautas y formulas definidas en el numeral 4.5.2
de la presente directiva, la cual puede variar según el Sistema de Riesgos.
5.2.11. Una vez consolidada la identificación y evaluación de los riesgos, El/La
Coordinador/a General del sistema en análisis, elabora una “Matriz de Frecuencia e
Impacto”, en la cual se evidencia la agrupación de riesgos en los distintos Grados de
Exposición. Impacto
Bajo
(1)
Medio
(2)
Alto
(3)
Fre
cu en cia Alto
(3)
3
Moderado
6
Importante
9
Inaceptable
Medio
(2)
2
Tolerable
4
Moderado
6
Importante
Bajo
(1)
1
Aceptable
2
Tolerable
3
Moderado
5.2.12. En caso un sistema de riesgos requiera ampliar el enfoque de Riesgo Inherente a
Riesgo Residual, el/la Responsable de dicho sistema coordinará con las distintas
áreas, para que especifiquen que actividades de control (formales o informales)
vienen implementando, a fin de reducir su frecuencia o severidad.
Para ello, los/as Coordinadores/as de área proceden a actualizar la valoración al
riesgo, precisando si se ha reducido la frecuencia o severidad de su ocurrencia. El
valor del riesgo ajustado se denomina Grado de Exposición Residual y comprende
los siguientes aspectos2.
i. Frecuencia Actualizada.
ii. Severidad Actualizada.
iii. Grado de Exposición Residual:
5.2.13. Cada sistema de riesgos consolida la información remitida por las áreas en su
alcance, y determina que riesgos requieren ser atendidos, tomando en
consideración los parámetros de Tolerancia al Riesgo (previamente definidos en el
numeral 4.5.5 de la presente directiva). Depende de cada Responsable de sistema,
determinar si establece medidas de mitigación para riesgos por debajo de la
tolerancia establecida; sin embargo, los mismos quedan registrados, a fin de
efectuar un seguimiento entre periodos de su comportamiento.
5.2.14. Finalmente, el/la Responsable de cada sistema comunicará los riesgos al
responsable del órgano o unidad orgánica, o a quien corresponda, los cuales se
constituirán en la base para la Fase de Diseño.
5.3. Respecto a la Fase III: Diseño
5.3.1. Esta fase inicia una vez que el/la Responsable de un sistema de riesgos remite el
listado de riesgos priorizados a las distintas áreas involucradas. Asimismo, se les
solicita a los/las Directores/as a cargo, el diseño y programación de actividades para
la mitigación o control de riesgos, buscando reducir su frecuencia o la severidad de
su ocurrencia en un periodo específico3.
5.3.2. La programación de actividades para la mitigación o control de los riesgos se efectúa
teniendo en consideración, como mínimo, la siguiente información:
i. Actividad o control para mitigación del riesgo identificado;
2 El grado de exposición residual es la relación directa (producto) entre la frecuencia y severidad (para todos los sistemas). 3 Se podrá efectuar las acciones de identificación, evaluación y tratamiento de riesgos de forma paralela, o en una sola reunión de
trabajo, solo si el área usuaria garantiza la participación de la parte técnico - operativa encargada de la identificación y evaluación, y de la parte decisoria para su tratamiento y programación.
ii. Fecha de Inicio / Fecha Fin de implementación;
iii. Frecuencia de seguimiento (de corresponder); y,
iv. Medio de verificación;
Queda a consideración de cada sistema de riesgos la determinación de la frecuencia
o severidad objetivo (y en consecuencia del Grado de Exposición Objetivo), o en su
defecto el uso de herramientas para la determinación de su eficacia. El Anexo N° 04
establece una metodología genérica para el tratamiento de riesgos.
5.3.3. En caso que los/las coordinadores/as de área requieran asistencia técnica para
elaborar la información señalada en el numeral precedente podrán, si así lo estiman
necesario, solicitarla a el/la Coordinador/a General del sistema en análisis.
5.3.4. Los/las Directores Generales, Directores, Coordinadores, o responsables de las áreas
involucradas remiten su programación de actividades de mitigación mediante
documento por Sistema de Trámite Documentario a el/la Responsable del sistema
en análisis, a fin que se proceda a la consolidación de dicha información.
5.3.5. Con la información recabada, cada sistema de riesgos deberá proceder a la
formalización de su matriz de gestión de riesgos o plan de tratamiento de riesgos
(PTR), o la denominación a la que haga referencia las disposiciones que la regulan, el
cual deberá estar mínimamente suscrito por el/la responsable y Coordinador
General.
5.3.6. La Matriz o Plan señalado en el numeral precedente establece el Grado de Madurez
Actual (residual) y el Grado de Madurez Objetivo (como línea base y proyectada),
como elementos de referencia para el proceso de seguimiento y evaluación.
5.4. Respecto a la Fase IV: Ejecución
5.4.1. Cada área del MINAM implementa las actividades o controles para la mitigación de
sus riesgos (de forma independiente a que sistema de riesgos pertenezca), de
acuerdo a lo programado en sus matrices y/o planes de tratamiento de riesgos.
5.4.2. Cada sistema de riesgos efectuará un monitoreo o seguimiento a la implementación
de dichas actividades o controles, de forma periódica (mínimamente semestral),
requiriendo a cada área involucrada la información respectiva.
Asimismo, revisan4 y consolidan la información remitida, elaborando un informe o
reporte de seguimiento, el cual será remitido a la/s instancia/s que corresponda/n
según su marco normativo específico.
Sistema de Riesgos Instancia de elevación de informe o reporte de
seguimiento
Sistema de Control Interno (SCI) Órgano responsable de la implementación del SCI
Sistema de gestión de riesgos de corrupción Secretaría General
Sistema de Gestión de Calidad (SGC), Alta Dirección del SGC
4 En términos de forma, toda vez que la información es remitida documentalmente por cada área.
Sistema de Gestión Antisoborno (SGA), Alta Dirección del SGA
Sistema de Gestión de Seguridad de la Información (SGSI), Presidente del Comité de Gobierno Digital
El seguimiento al Plan de Gestión Integral de Riesgos debe brindar la siguiente
información como mínimo, para el periodo en análisis:
i.
ii.
5.4.3. Adicionalmente, los/las coordinadores/as de área, deben efectuar un seguimiento
periódico a los riesgos por debajo del nivel de tolerancia, actualizando la
información consignada en las matrices, y determinando si existe una variación en
su frecuencia o severidad, que amerite su inclusión a los planes de tratamiento.
En caso un riesgo incremente su grado de exposición y supere los niveles de
tolerancia, el área en donde se produce el evento que conlleva al riesgo, lo
comunica a el/la Coordinador General del sistema involucrado, la cual evalúa la
información, y en caso de corresponder, solicita la programación de una actividad o
control al órgano en donde se origina el mismo, a fin de que sea incluido en el/los
planes de tratamiento.
5.5. Respecto a la Fase V: Evaluación y Mejora
5.5.1. Cada sistema de riesgos que haya desarrollado las fases previas, y cuenten con
planes de tratamiento de riesgos o matrices de riesgos con medidas de mitigación
definidas, desarrolla de forma anual un Informe y/o reporte de evaluación de la
gestión de riesgos de su competencia.
5.5.2. Para la elaboración de dicho informe o reporte, el/la Responsable de cada sistema
requiere, al Coordinador/a del área, la información respecto a la implementación de
las actividades y controles; así como la actualización de la valoración de los riesgos
asociados a las mismas.
5.5.3. El/La Responsable de cada sistema de riesgos consolida dicha información y elabora
un informe y/o reportes, el cual debe contener como mínimo los siguientes índices:
i.
ii.
5.5.4. El informe o reporte de evaluación debe identificar aquellos riesgos en los cuales a
pesar de haber implementado un control o ejecutado una actividad, mantienen la
misma frecuencia o severidad en su ocurrencia, y por tanto el mismo Grado de
Exposición, determinando si lo antes señalado se debe a un error en el diseño del
control o actividad. En caso de ser un error de diseño brindará las recomendaciones
correspondientes. Asimismo, dicho informe se remite a la Máxima Autoridad
Administrativa de la entidad, o las instancias que corresponden, según las
disposiciones normativas que correspondan.
5.5.5. Culminada las actividades de esta fase, la entidad procede a implementar un nuevo
ciclo del Modelo de Gestión de Riegos, con la Fase “Preparatoria” y de
“Identificación y Evaluación”.
6. DISPOSICIONES COMPLEMENTARIAS FINALES
6.1.1. El Comité de Gestión Integral de Riesgos (CGIR) establece, en coordinación con cada
sistema de riesgos, las fechas y cronograma para el desarrollo de las fases del
modelo de gestión establecidas en el numeral 4.3.1 de la presente directiva.
6.1.2. Los/as Responsables de cada sistema de riesgos comunican al CGIR en caso se
presenten modificaciones normativas o procedimentales en materia de su
competencia.
7. ANEXOS
Anexo 01: Criterios comunes para la gestión de riesgos
Anexo 02: Formato de identificación de riesgos
Anexo 03: Formato de evaluación de riesgos
Anexo 04: Formato de tratamiento de riesgos
Anexo 05: Elementos de consulta para identificación de riesgos por Factores y Sub-factores
Anexo 01:
Criterios comunes para la gestión de riesgos
SEVERIDAD / IMPACTO
Baja 1 Cuando el efecto de la probable falla o el impacto de la oportunidad afecta poco al contexto, partes interesadas y/o procesos; y/o genera un impacto escaso en la entidad.
Media 2 Cuando el efecto de la probable falla o el impacto de la oportunidad afecta medianamente al contexto, partes interesadas y/o procesos; y/o genera un impacto parcial en la entidad.
Alta 3 Cuando el efecto de la probable falla o el impacto de la oportunidad afecta altamente al contexto, partes interesadas y/o procesos; y/o genera un impacto negativo en la entidad.
PROBABILIDAD / FRECUENCIA
Baja 1 Cuando la falla u oportunidad se presenta poco; y/o el evento que se espera ocurra muy poco o de forma esporádica.
Media 2 Cuando la falla u oportunidad se presenta medianamente; y/o el evento que se espera ocurra con cierta frecuencia.
Alta 3 Cuando la falla u oportunidad se presenta constantemente; y/o el evento que se espera ocurra en la mayoría de los casos.
AMENAZAS/DEBILIDADES
Categoría Nivel del Riesgo Acciones de Control
1 y 2 BAJO No se necesita tomar acciones, ya que el riesgo está controlado o tiene poco impacto
3 y 4 MEDIO Se deben hacer esfuerzos para reducir el riesgo, determinando las inversiones precisas. Las medidas para reducir el riesgo deben implementarse en un periodo determinado
6 y 9 ALTO Se debe enfocar en reducir el riesgo.
OPORTUNIDADES/FORTALEZAS
Categoría Nivel del Riesgo Acciones de Control
1 y 2 Baja Evaluar si el beneficio a obtener amerita el esfuerzo de la organización, posiblemente no se asignen recursos adicionales en esta oportunidad o fortaleza.
3 y 4 Media Se deben hacer esfuerzos para aprovechar el la oportunidad o fortaleza, determinando las inversiones precisas. Las medidas a tomar deben implementarse en un periodo determinado
6 y 9 Alta Se debe aprovechar la oportunidad o fortaleza para elevar los resultados de la organización, enfocados en la estrategia.
Anexo 02: Formato de identificación de riesgos
Id PEI
Área Proceso
MAPRO Narración del Riesgo
Cod. OEI OEI
Anexo 03:
Formato de evaluación de riesgos
Riesgo Frecuencia / Probabilidad Severidad / Impacto
Grado de Exposición /
Nivel de riesgo
Cuantitativa Cualitativa Cuantitativa Cualitativa Cuantitativa Cualitativa
Anexo 04:
Formato de tratamiento de riesgos
Riesgo Plazo de implementación Detalle acciones
ejecutadas
Medio de
verificación
Frecuencia de
seguimiento Inicio Fin
Anexo 05:
Elementos de consulta para identificación de riesgos por Factores y Sub-factores
PER
SON
AS
ÁM
BIT
O G
ENER
AL
Valoración o cálculo erróneo de operaciones
Ignorar o pasar por alto deliberadamente los procesos o procedimientos
Falta de Entrenamiento, Inducción o Reinducción
Ejecución de actividades u operaciones no autorizadas
Ejecución actividades u operaciones no reveladas
Incumplimiento de legislación laboral
Incumplimiento de normas del sistema de seguridad y salud en el Trabajo
Modificaciones en el personal
Pérdida de personal clave
Falta de personal idóneo
Fraude de programación o parametrización
Uso indebido o sustracción de información confidencial
Cese injustificado, no presentarse a laborar
Error en el ingreso de datos
PRO
CES
OS
Rel
acio
nad
os
a la
s o
per
ació
nes
de
la e
nti
dad
y la
co
nti
nu
idad
de
los
serv
icio
s
Cumplimiento de los procesos, límites y directivas
Diseño inadecuado del procesos o procedimiento
Falta de procedimientos, directivas, controles o acciones de supervisión
Procedimiento manual
Documentación llenada indebidamente
Cláusulas / términos contractuales inapropiados o insuficientes
Errores en entrada / problemas en la calidad de los datos
Incumplimiento de plazos
Error de notificaciones
Presentación informe/información interna inexacta
Presentación informe/información externa inexacta
Permisos o autorizaciones que faltan
Documentos legales faltantes / incompletos
Acceso no autorizado a información
Registros incorrectos o indebido de transacciones
Capacidad insuficiente de personal o sistemas para manejar el volumen
Mal funcionamiento del modelo
Información insuficiente
Pérdida o daño de activos por negligencia
Comunicación defectuosa
Riesgo de proyectos / Cambio en la administración (Dirección) /sobrecarga
Depende de envío de información de fuentes internas o externas
Plazos cortos
TEC
NO
LOG
ÍAS
DE
LA IN
FOR
MA
CIÓ
N
Inve
rsió
n
tecn
oló
gica
Inversión tecnológica: Arquitectura inapropiada
Inversión tecnológica incompatible
Inversión tecnológica obsoleta
Inversión tecnológica que no se ajusta al negocio
Des
arro
llo y
pu
esta
en
pro
du
cció
n d
e si
stem
as
Desarrollo e implementación de sistemas: Inadecuada gestión del proyecto
Desarrollo e implementación de sistemas: Sobrecostos y retrasos
Desarrollo e implementación de sistemas: Errores de levantamiento de requerimientos
Desarrollo e implementación de sistemas: Errores de programación
Desarrollo e implementación de sistemas: Falla de integración y migración
Desarrollo e implementación de sistemas: Falla en el dimensionamiento del proyecto
Desarrollo e Implementación de sistemas: Fallas en parametrizaciones
Op
erac
ión
y m
ante
nim
ien
to d
e
sist
emas
Capacidad de los sistemas para atender operaciones
Operaciones no automatizadas o sistematizadas
Falla del hardware
Falla del software
Fallas de las telecomunicaciones
Violaciones de la seguridad perimetral
Violaciones de la seguridad interna
Equipos de cómputo
Comunicación: equipos, telefonía IP, canales y celular
Contingencia: Grupo electrógeno, UPS
Co
nex
os
a la
s o
per
acio
nes
de
los
sist
emas
Útiles de oficina y papelería
Dispositivos de seguridad y monitoreo
Edificios
Espacios de trabajo
Transporte
Almacenamiento
EXTE
RN
OS
Exó
gen
os
a la
en
tid
ad
Actividades criminales
Riesgo del financiamiento externo/ Proveedor
Desastres y fallas
Infraestructura de los servicios públicos
Riesgo normativo
Riesgo gubernamental/ político
Retrasos del Proveedor