ficha de procedimiento: gestión de riesgos
TRANSCRIPT
Ministerio de Economía y Finanzas
Organismo Supervisor de las Contrataciones del Estado
PERÚ
Código: PE01.03.02 Versión: 03
Ficha de procedimiento: “Gestión de riesgos”
Órgano o Unidad Orgánica Visto y Sello
Elaborado por: Unidad de Organización y Modernización
Validado por: Oficina de Planeamiento y Modernización
Revisado por:
Oficina de Planeamiento y Modernización
Oficina de Asesoría Jurídica
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
2
Control de Cambios
Versión Sección / Ítem Descripción del cambio:
01 ---- Nuevo
02
---- Se actualiza la matriz de riesgo, considerando los requisitos de la Norma internacional ISO 27001:2013, Sistemas de gestión de seguridad de la información.
Actividad 8 Se incluye el concepto de PROPIETARIO DEL RIESGO, el cual se incorpora en una celda de la matriz de riesgos.
Actividad 9 Se actualiza el concepto de “Riesgo Inherente”, el cual se incorpora en la matriz de riesgos.
Actividad 12 Se actualiza el concepto de “Riesgo Residual”, el cual se incorpora en la matriz de riesgos.
Actividad 25 Se establece “Verificar eficacia de acciones” como actividad final del procedimiento.
03
Actividad 5 Se incluye el concepto de CONTEXTO y su respectiva descripción.
Actividad 10 Se especifica la jerarquía de controles para la gestión de riesgos de SST.
Actividad 13 Se agrega el campo de “OPORTUNIDADES” y su respectivo registro en caso aplique.
Actividad 19, 20 Se agrega la opinión legal de la OAJ respecto a las matrices.
Actividad 26 - 29 Se precisa las actividades relacionado a la eficacia de las acciones propuestas.
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
3
I. OBJETIVO
• Identificar, analizar y evaluar riesgos, con el fin de diseñar e implementar planes de acción para reducir y/o mitigar los riesgos que tengan impacto sobre el cumplimiento de los objetivos del Organismo Supervisor de las Contrataciones del Estado - OSCE.
II. ALCANCE
• El presente documento es de aplicación a todos los procesos del Organismo Supervisor de las Contrataciones del Estado - OSCE.
III. RESPONSABLE
• Jefe/a de los Órganos / Unidades Orgánicas del Organismo Supervisor de las Contrataciones del Estado - OSCE, es responsable de cumplir y hacer cumplir el presente procedimiento.
• Personal asignado a los sistemas de gestión en el Organismo Supervisor de las Contrataciones del Estado - OSCE, es responsable de hacer seguimiento a la implementación del presente procedimiento.
IV. BASE NORMATIVA
1. Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la Contraloría General de la República.
2. Ley N° 28716, Ley de Control Interno de las Entidades del Estado.
3. Ley N° 29783, Ley de Seguridad y Salud en el Trabajo
4. Decreto Supremo N° 123-2018-PCM, Decreto Supremo que aprueba el “Reglamento del Sistema Administrativo de Modernización de las Gestión Pública”.
5. Resolución de Contraloría N° 146-2019-CG, que aprueba la Directiva N° 006-2019-CG/INTEG “Implementación del Sistema de Control Interno en las Entidades del Estado”.
6. Resolución N° 059-2019-OSCE/SGE, que aprueba la Directiva N° 002-2019-OSCE/SGE “Directiva para la Gestión por Procesos en el OSCE”.
7. Norma Internacional ISO 31000:2018, Gestión del riesgo – Directrices.
8. Norma internacional ISO 9001:2015, Sistemas de gestión de la calidad.
9. Norma internacional ISO 37001:2016, Sistema de gestión contra el soborno.
10. Norma internacional ISO 27001:2013, Sistemas de gestión de seguridad de la información.
11. Norma internacional ISO 14001:2015, Sistemas de gestión ambiental.
12. Norma internacional ISO 45001:2018, Sistemas de gestión de salud y seguridad en el trabajo.
13. Norma internacional ISO Guía 73:2009 Gestión del riesgo – Vocabulario.
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
4
V. SIGLAS Y DEFINICIONES
DEFINICIONES:
1. Amenaza: Son aquellos factores externos a la organización que advierten proximidad o propensión a un evento de pérdida, sobre los cuales esta no tiene control.
2. Análisis del riesgo: Proceso llevado a cabo para comprender la naturaleza del riesgo y determinar el nivel de Riesgo Inherente.
3. Aspecto ambiental: Elemento de las actividades, productos o servicios de una organización que puede interactuar con el medio ambiente. Se considera como aspecto ambiental significativo aquel con un nivel de riesgo muy alto.
4. Consecuencia / impacto: Resultado de un evento y que afecta a los objetivos.
5. Control: Incluye procesos, políticas, dispositivos, prácticas u otras acciones que modifican al riesgo. Se puede establecer jerarquía de control como: eliminación, sustitución, ingeniería, administrativo y equipo de protección de seguridad.
6. Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.
7. Descripción del riesgo: Declaración estructurada del riesgo.
8. Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.
9. Efectividad del control: Determina el factor reducido, el cual es considerado por la implantación y aplicación de controles existentes.
10. Eficacia: Grado en el cual se realizan las actividades planificadas y se logran los resultados planificados.
11. Evaluación del riesgo: Es la comparación de los resultados del “análisis del riesgo” con los criterios establecidos para determinar el riesgo residual, su magnitud establece la tolerancia del riesgo, si es aceptable o no.
12. Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo. Implica la identificación de fuentes, eventos, causas y consecuencias potenciales. Puede involucrar datos históricos, análisis teóricos, opiniones informadas, expertas y las necesidades de las partes involucradas.
13. Integridad: Propiedad de la información relativa a su exactitud y completitud
14. Nivel del riesgo: Magnitud de un riesgo o de una combinación de varios. Se expresa en términos de combinación de la probabilidad y la consecuencia/impacto de los mismos.
15. Peligro: Situación o característica intrínseca de algo capaz de ocasionar daños a las personas, equipos, procesos y ambiente.
16. Probabilidad: Posibilidad de que suceda el riesgo.
17. Producto: Resultado de un proceso, entendiendo como los bienes y servicios que recibe el administrado (en el caso del OSCE puede ser un proveedor, entidad, árbitros o ciudadano) y que satisfacen necesidades y expectativas, lo que contribuye al logro de los objetivos institucionales y la generación de bienestar para la sociedad.
18. Propietario del riesgo: Persona o entidad que tiene la responsabilidad de rendir cuentas, y la autoridad para gestionar el riesgo.
19. Riesgo: Efecto de la incertidumbre en los objetivos. Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
20. Riesgo inherente: Es el riesgo que existe por la naturaleza de la actividad que realiza la entidad.
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
5
21. Riesgo residual: Riesgo remanente después del tratamiento del riesgo.
22. Tipo de riesgos:
a. Ambiental: Riesgo que se genera a partir de las actividades realizadas y que pueden ocasionar alguna forma de cambio al ambiente.
b. De Corrupción: Posibilidad de que, por acción u omisión, se use el poder para desviar la gestión de lo público hacia un beneficio privado, los cuales pueden ser de:
- Colusión: Delito que consiste en el acuerdo entre dos o más partes para limitar la competencia. El cual se realiza de manera secreta e ilegal, engañando a otros sobre sus derechos legales.
- Peculado: Delito que consiste en la apropiación indebida del dinero perteneciente al Estado por parte de las personas que se encargan de su control y custodia.
- Soborno: Delito que consiste en una oferta, promesa, entrega, aceptación o solicitud de una ventaja indebida de cualquier valor (que puede ser de naturaleza financiera o no financiera), directamente o indirectamente, e independiente de su ubicación, en violación de la ley aplicable, como incentivo o recompensa para que una persona actúe o deje de actuar en relación con el desempeño de las obligaciones de esa persona.
- Cohecho: Delito que consiste en el soborno entre cargos de la administración pública. Con esto se hace referencia a que para que se produzca cohecho, al menos que uno de los implicados debe ser un servidor de la administración pública. Este tipo de acciones corruptas se enmarca dentro de lo que serían las relaciones económicas existentes entre el sector público y el privado.
- Tráfico de influencias: Delito que consiste en la práctica ilegal que consiste en utilizar la influencia personal en ámbitos de gobierno, a través de conexiones con personas, con el fin de obtener favores o tratamiento preferencial.
- Enriquecimiento ilícito: Delito que consiste en el incremento del patrimonio de un funcionario público con significativo exceso respecto de sus ingresos legítimos durante el ejercicio de sus funciones y que no pueda ser razonablemente justificado.
c. Tecnológico: Asociado con la capacidad de la organización para que la tecnología disponible satisfaga sus necesidades actuales y futuras y soporte el cumplimiento de su misión.
d. Económico: Asociado a la actividad económica, ya sean de tipo interno o externo, afecta básicamente a los beneficios monetarios de la organización.
e. Estratégicos: Asociado con la forma en que se administra la organización. El manejo del riesgo estratégico se enfoca en asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas y el diseño y conceptualización de la organización por parte de la Alta Dirección.
f. Financiero: Relacionado con el manejo de los recursos de la organización e incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda organización.
g. Legal: Se refiere a los obstáculos legales o normativos que pueden obstaculizar el rol de una organización.
h. Operativo: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la organización, incluye riesgos provenientes de deficiencias en la definición de los procesos, en la estructura organizacional y/o en la desarticulación entre dependencias, lo cual conduce a ineficiencias en sus resultados.
i. Político: Puede derivarse de cualquier circunstancia política del entorno en el que opera la organización.
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
6
j. Seguridad de la Información: Se generan a partir de la disponibilidad, protección, integridad y acceso a la información de la organización a través de su infraestructura, métodos y procesos de generación, almacenamiento, transporte, consulta y análisis. Son aquellos riesgos que atenten contra la disponibilidad, confidencialidad e integridad de la información independiente del medio en que esta se encuentre.
k. Seguridad y Salud en el Trabajo: Se generan en las actividades realizadas y pueden afectar el bienestar social, mental y físico del personal que labora para la organización.
23. Valoración del riesgo: proceso que consiste en comparar los resultados del análisis del riesgo con los criterios de riesgo con el fin de determinar si el riesgo y/o su magnitud son aceptables o no.
SIGLAS:
a. OSCE: Organismo Supervisor de las Contrataciones del Estado. b. OPM: Oficina de Planeamiento y Modernización c. UOYM: Unidad de Organización y Modernización. d. OAJ: Oficina de Asesoría Jurídica. e. SGE: Secretaria General. f. SGD: Sistema de Gestión Documental.
VI. ENTRADAS Y SALIDAS DEL PROCEDIMIENTO
Proveedor Entrada
------- Necesidades / requerimiento
Salida Usuario
Matriz de riesgos Personal del proceso involucrado
VII. ACTIVIDADES DEL PROCEDIMIENTO
Nº Actividad Área Responsable Registro
CONFORMACIÓN EQUIPO DE TRABAJO
1
Definir alcance y solicitar equipo de trabajo
Definir el alcance del trabajo y solicitar a los dueños de los procesos involucrados la designación del equipo de trabajo.
OPM UOYM Correo
electrónico
2
Designar e informar equipo de trabajo
Conformar el equipo de trabajo, considerando el personal asociado al proceso y experiencia en el puesto.
Informar la designación a la UOYM mediante correo electrónico.
ÓRGANOS / UNIDADES
ÓRGANICAS
Dueño del proceso
Correo electrónico
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
7
Nº Actividad Área Responsable Registro
3
Conformar equipo de trabajo multidisciplinario
Conformar el equipo de trabajo multidisciplinario, asignando un facilitador de la UOYM y comunicarlo al equipo de trabajo mediante correo electrónico.
OPM UOYM Correo
electrónico
4
Coordinar plan de trabajo
Definir el plan de trabajo (actividades, plazos y responsables). Así como, el establecimiento de las reuniones periódicas para asegurar el cumplimiento de las actividades planificadas.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Plan de trabajo
IDENTIFICACIÓN DE RIESGOS
5
Listar actividades / productos / Contexto
✓ En caso de considerar actividades del proceso, deben ser listados manteniendo el orden secuencial de los mismos.
✓ En caso de evaluar productos, se debe priorizar de acuerdo a la Ficha de identificación de productos - Anexo 2.
✓ De considerar las cuestiones de comprensión del Contexto Organizacional, se debe incluir para la evaluación y determinar los riesgos.
Posterior a ello, en caso aplique, se debe identificar el puesto de trabajo relacionado.
Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Ficha de identificación
de productos
Matriz de Riesgos
6
Identificar peligro/aspecto/amenaza
Identificar peligro/aspecto/amenaza en base a experiencias, ocurrencias, registros, análisis de procedimientos, lineamientos, lluvia de ideas, listas de verificación, controles existentes, entre otros.
Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
7
Describir y definir el tipo de riesgo
Describir el evento de la posible materialización del riesgo y luego definir el tipo de cada uno de los riesgos identificados. Considerando la siguiente clasificación:
▪ Ambiental:
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
8
Nº Actividad Área Responsable Registro
▪ De corrupción (colusión, peculado, soborno, cohecho, malversación, tráfico de influencias, enriquecimiento ilícito, entre otros).
▪ Tecnológico
▪ Económico
▪ Estratégicos
▪ Financiero
▪ Legal
▪ Operativo
▪ Político
▪ Seguridad de la información
▪ Seguridad y Salud en el Trabajo
Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
8
Describir consecuencia / impacto del riesgo Describir la posible consecuencia/impacto que generaría si se materializa el riesgo. Así mismo, definir y determinar el propietario del riesgo. Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
ANÁLISIS Y EVALUACIÓN DEL RIESGO
9
Determinar el nivel de Riesgo
Inherente
Calcular el nivel de riesgo inherente de acuerdo a lo establecido en la Matriz de consecuencia/impacto y probabilidad – Anexo 4, el cual es el resultado de:
NRI = P * C
Donde:
▪ NRI : Nivel de riesgo inherente. ▪ P : Valoración de la probabilidad. ** ▪ C : Valoración de la consecuencia /
impacto. ***
**La valoración de la probabilidad, se determina de
acuerdo a la Tabla de Probabilidad – Anexo 5. De
considerar necesario, para establecer la probabilidad
con preguntas específicas, usar la calculadora,
establecida en el Anexo 9: Cálculo De
Probabilidades.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
9
Nº Actividad Área Responsable Registro
***La valoración de la consecuencia/impacto, se determina de acuerdo a la Tabla de Consecuencia/impacto - Anexo 6. De considerar necesario, para establecer la consecuencia / impacto con preguntas específicas, usar la calculadora, establecida en el Anexo 10: Cálculo De Probabilidades.
Solo para el caso de evaluación de riesgo para el Sistema de Gestión de Seguridad de la Información (ISO 27001), se debe determinar los “criterios de seguridad afectados”, los cuales podrían ser:
▪ Confidencialidad, ▪ integridad y ▪ disponibilidad,
Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
10
Identificar los controles existentes Identificar y registrar los mecanismos, políticas, procedimientos, prácticas u otras acciones que forman parte de los controles existentes. Solo para el caso de evaluación de riesgo para el Sistema de Gestión de Seguridad y Salud en el Trabajo (ISO 45001), se debe clasificar los controles, de acuerdo a la Jerarquía de Controles:
▪ Eliminación: se modifica el diseño para
eliminar el peligro. ▪ Sustitución: se deben sustituir los
materiales peligrosos por materiales menos peligrosos o reducir la energía del sistema.
▪ Controles de ingeniería: involucran el
rediseño del equipamiento, del proceso o de la organización del trabajo.
▪ Controles administrativos: se realizan
proveyendo de controles como capacitación, procedimientos.
▪ Elementos de Protección a las
Personas (EPP): Se da cuando otros controles no sean posibles de aplicar.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
10
Nº Actividad Área Responsable Registro
11
Evaluar la efectividad del Control Determina el factor reducido, el cual es considerado por la implantación y aplicación del control existente. *La valoración de la efectividad del control, se
determina de acuerdo a lo establecido en el Anexo 11
Efectividad del Control.
De considerar necesario, para establecer la efectividad del control, con preguntas específicas, usar la calculadora, establecida en el Anexo 11: Cálculo Efectividad del Control.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
12
Determinar el nivel de Riesgo Residual Calcular el nivel de riesgo residual de acuerdo a lo establecido en la Matriz de consecuencia/impacto y probabilidad – Anexo 4, el cual es el resultado de:
NRI*E = NRR
Donde:
▪ NRI: Nivel de riesgo inherente. ▪ E : Efectividad del Control.* ▪ NRR: Nivel de riesgo residual.
¿Es riesgo aceptable? Si : Ir a la actividad N° 13 (ACEPTABLE) No: Ir a la actividad N° 14 (NO ACEPTABLE).
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
13
Realizar el trabajo con los controles existentes
De establecerse un Nivel de Riesgo Inherente como “Aceptable” (Riesgo bajo), se realiza el trabajo/actividad con los controles existentes. Se deja a decisión del equipo, el de implementar acciones adicionales a modo de oportunidad de mejora. De ser ese el caso, se debe registrar dichas acciones como Oportunidades. Ir a la actividad N° 15 Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
14
Determinar acciones, plazos y responsables
Por cada riesgo determinado como “No aceptable”, se debe establecer medidas y/o controles que permitan disminuir y/o mitigar
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Matriz de Riesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
11
Nº Actividad Área Responsable Registro
el “riesgo inherente” de manera eficaz, considerando plazos y responsables.
Si está evaluando riesgos relacionados a la Gestión de Seguridad y Salud en el Trabajo (SST)/Medio Ambiente (MA), considerar si es:
Riesgo alto / muy alto: Incluir en los controles, la implementación de “Procedimientos para trabajos de alto riesgo” (PETAR).
Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
15
Presentar matriz de riesgos
Presentar la matriz de riesgos al dueño del proceso, para su revisión y posterior validación.
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
Correo electrónico /
Matriz de Riesgos
TRATAMIENTO Y COMUNICACIÓN DEL RIESGO
16
Revisar matriz de riesgos elaborado
Revisar el contenido de la matriz de riesgos presentado por el equipo de trabajo. ¿Encuentra observaciones? No: Ir a la actividad N° 17 Si : Ir a la actividad N° 21
ÓRGANOS / UNIDADES
ÓRGANICAS
Dueño del proceso
Correo electrónico /
Matriz de Riesgos
17
Solicitar revisión matriz de riesgos
Solicitar a la UOYM la revisión de la matriz de riesgos elaborado, adjuntando los documentos generados.
ÓRGANOS / UNIDADES
ÓRGANICAS
Dueño del proceso
SGD / Matriz de Riesgos
18
Revisar técnicamente matriz de riesgos
Revisar si matriz de riesgos, cumple con la metodología establecida.
En caso de matriz de riesgo de la Gestión de Seguridad y Salud en el Trabajo (SST) o Sistema de Gestión (SGAS) Antisoborno, “adicionalmente”, se debe adjuntar acta sesión de Comité en donde se evidencia su revisión y aprobación de las matrices de riesgo.
¿Cumple metodología establecida?
No: Ir a la actividad N° 21 Si : Ir a la actividad N° 19
OPM UOYM / Comité
SGD / Matriz de Riesgos / Acta de Comité
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
12
Nº Actividad Área Responsable Registro
19
Validar y remitir Matriz de Riesgo
Validar matriz de riesgo y mediante informe solicitar aprobación de matrices remitiéndolo a la OAJ para la opinión correspondiente.
OPM UOYM
SGD / Matriz de Riesgos / Acta de Comité
20
Revisar legalmente Matriz de Riesgo
Revisar matriz de riesgo considerando el contexto legal del mismo.
¿Cumple?
No: Ir a la actividad N° 21
Si : Ir a la actividad N° 22
OAJ OAJ
SGD / Matriz de Riesgos / Acta de Comité
21
Levantar las observaciones
Levantar las observaciones indicadas para la matriz de riesgos y solicitar su revisión al dueño del proceso.
Ir a la actividad N° 16
ÓRGANOS / UNIDADES
ÓRGANICAS
Equipo de trabajo
SGD o Correo
electrónico / Matriz de Riesgos
22
Emitir opinión legal favorable
Emitir opinión legal favorable respecto a la matriz de riesgo y mediante informe recomendar aprobación de matrices remitiéndolo a la SGE para la revisión correspondiente.
OAJ OAJ
SGD / Matriz de Riesgos / Acta de Comité
23
Revisar matriz de riesgos
Revisar si matriz de riesgos cumple con el objetivo para el sistema de gestión y si los controles propuestos son los adecuados, alineado a los recursos y objetivos de la organización.
¿Está conforme la matriz de riesgo?
No: Ir a la actividad N° 21
Si: Ir a la actividad N° 24
OSCE SGE
SGD / Matriz de Riesgos / Acta de Comité
24
Aprobar Matriz de riesgos
Aprobar matriz de riesgo para el seguimiento y cumplimiento correspondiente por el Dueño de Proceso y comunicar la aprobación a los involucrados.
OSCE SGE SGD /
Matriz de Riesgos
25
Difundir matriz de riesgos aprobado
Difundir la matriz de riesgos aprobada, a los miembros de los procesos y/o al personal involucrado.
ÓRGANOS / UNIDADES
ÓRGANICAS
Dueño del proceso
SGD o Correo
electrónico
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
13
Nº Actividad Área Responsable Registro
EFICACIA DE LAS ACCIONES PROPUESTAS
26
Implementar acciones planificadas
Implementar las acciones de acuerdo a los plazos y responsables establecidos.
¿Se implementó en el plazo?
Si: Ir a la actividad N° 27
No: Realizar tratamiento de acuerdo al procedimiento de Acciones correctivas y oportunidades de mejora. Del mismo modo, en caso que el riesgo identificado inicialmente se haya materializado. Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
ÓRGANOS / UNIDADES
ÓRGANICAS
Dueño del proceso
Matriz de Riesgos /
Registro de evidencia
de controles
27
Verificar implementación de las acciones planificadas
Verificar y registrar la implementación de las acciones planificadas en la matriz.
¿Se implementó en el plazo?
Si: Ir a la actividad N° 28
No: Realizar tratamiento de acuerdo al procedimiento de Acciones correctivas y oportunidades de mejora. Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
OPM UOYM / Comité
Matriz de Riesgos /
Registro de evidencia
de controles
28
Establecer fecha de verificación de Eficacia
De acuerdo a la implementación del control, se debe establecer fecha de verificación de la eficacia.
Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
OPM UOYM / Comité
Matriz de Riesgos
29
Verificar eficacia de acciones
Registrar el responsable de verificar la eficacia y determinar si fue eficaz o no, considerando:
- Que los controles implementados son eficaces en el diseño y funcionamiento.
- Se obtenga mayor información para la reevaluación de los riesgos.
ÓRGANOS / UNIDADES
ÓRGANICAS
Dueño del proceso
Matriz de riesgos
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
14
Nº Actividad Área Responsable Registro
- Aprender lecciones a partir de los eventos, los cambios, las tendencias, los éxitos y los fracasos.
Considerar el sustento de esta evaluación.
Registrar lo antes mencionado en la Matriz de riesgos – Anexo 3.
Fin de procedimiento
VIII. DOCUMENTOS RELACIONADOS
Nº Documento
1 Ninguno.
IX. PROCESO
Nombre Tipo
PE01.03 Gestión por procesos Estratégico
X. SEGUIMIENTO
Revaluación de riesgos
La reevaluación de riesgos debe realizarse considerando la ejecución de la eficacia de los controles existentes de acuerdo a lo establecido en le actividad N°29, auditorías, inspecciones, resultados de los indicadores de desempeño y otras herramientas de gestión.
En la revaluación de riesgos, se obtiene:
¿Riesgo aceptable?
Si: fin de procedimiento.
No: Iniciar desde la actividad 1.
El proceso de reevaluación de los riesgos se realiza mínimo una vez al año y/o cuando:
▪ Se identifique nuevos riesgos.
▪ Se materialice un riesgo.
▪ Haya un cambio pertinente en la Organización y/o Legislación.
XI. INDICADOR
Nombre Fórmula
Porcentaje de riesgos aceptable % 𝑅𝑖𝑒𝑠𝑔𝑜𝑠 𝑎𝑐𝑒𝑝𝑡𝑎𝑏𝑙𝑒𝑠 =N° Riesgos aceptables
N° Total de Riesgos𝑥100%
Procedimiento: Gestión de riesgos
Código: PE01.03.02 Versión: 03
15
XII. ANEXOS
1. Anexo 1: Diagrama de flujo del procedimiento
2. Anexo 2: Ficha de identificación de productos
3. Anexo 3: Matriz de riesgos
4. Anexo 4: Matriz de consecuencia / impacto y probabilidad
5. Anexo 5: Tabla de probabilidad
6. Anexo 6 Tabla de consecuencia/impacto
7. Anexo 7 Tabla de efectividad del control
8. Anexo 8 Tabla de Tolerancia del riesgo
9. Anexo 9: Cálculo de probabilidades
10. Anexo 10 Cálculo de Impacto
11. Anexo 11: Cálculo de efectividad de control
XIII. OTROS
No Aplica.
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 03
16
Anexo 1: Diagrama de flujo del procedimiento
A
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 03
17
A
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 03
18
Anexo 2: Ficha de identificación de productos
ID Código
3
2
1
3
2
1
3
2
1
03 al 06
07 al 09
Contribuye mucho al logro
Priorización
Prioritarios
No Prioritarios
Hasta 5,000,000
Desde 5,000,001 hasta 15,000,000
Mas de 15,000,000
Contribución al Logro del Objetivo Estratégico
Institucional
Contribuye poco al logro
Contribuye al logro
LEYENDA
Relevancia para la población
Poco relevante
Relevante
Muy Relevante
Presupuesto asignado al producto
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Acción estratégica institucionalRelevancia para la
población
Presupuesto
asignado al
producto
Contribución al logro del
objetivo estratégico
institucional
Priorización
PROCESO / ÁREA:
EQUIPO DE TRABAJO:FECHA DE ELABORACIÓN:
FECHA DE ACTUALIZACIÓN:
FICHA DE IDENTIFICACIÓN DE PRODUCTOS
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 03
19
Anexo 3: Matriz de riesgos
C I D
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
Fecha de
Implementación
EFICACIA DE LAS ACCIONES PROPUESTAS
Nivel de
Riesgo
Inherente
PROPIETARIO DEL
RIESGO
EVALUACIÓN DEL RIESGO
ANÁLISIS Y EVALUACIÓN DEL RIESGO
Consecuencia /
Impacto(Anexo 10)
Efectividad del
Control(Anexo 11)
Criterio de seguridad
afectados (ISO 27001)
ACTIVIDAD /
PRODUCTO /
CONTEXTO
PUESTO DE
TRABAJO
PELIGRO / ASPECTO / AMENAZA
DESCRIPCIÓN DEL RIESGOTIPO DETALLE
TIPO DE
RIESGO
CONSECUENCIA /
IMPACTO
IDENTIFICACIÓN DEL RIESGO
PROCESO / PRODUCTO:
ÁREA(S):
FECHA DE ACTUALIZACIÓN:
MATRIZ DE RIESGOS
EQUIPO DE TRABAJO:FECHA DE ELABORACIÓN:
Nivel de
Riesgo
Inherente
TRATAMIENTO DEL RIESGO
Verificación de
ImplementaciónResponsable
ANÁLISIS DEL RIESGO
Fecha Verificación
de EficaciaOportunidad
¿Fue eficaz?
(SI/NO)EVALUACIÓN
DEL RIESGO
Responsable de la
evaluación de
eficacia
AccionesProbabilidad
(Anexo 9)
Control
existente
Sustento
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 03
19
Anexo 4: Matriz de consecuencia / impacto y probabilidad
Anexo 5: Tabla de probabilidad
Bajo Medio Alto Muy Alto
4 6 8 10
Muy Alta 10 40 60 80 100
Alta 8 32 48 64 80
Media 6 24 36 48 60
Baja 4 16 24 32 40
Probabilidad
MATRIZ DE CONSECUENCIA/IMPACTO Y PROBABILIDAD
Consecuencia/Impacto
Respuestas
afirmativasCategoría Valor
Sí > 5 Muy Alta 10
3< Sí ≤ 5 Alta 8
1 < Sí ≤ 3 Media 6
0 ≤ Sí ≤ 1 Baja 4
Riesgo cuya probabilidad de ocurrencia es alta (probable).
Ha sucedido
Riesgo cuya probabilidad de ocurrencia es media (posible).
Podría suceder
Riesgo cuya probabilidad de ocurrencia es baja (poco probable).
Raro que suceda
TABLA DE PROBABILIDAD
Descripción
Riesgo cuya probabilidad de ocurra es muy alta (muy probable).
Común que suceda
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 03
20
Anexo 6 Tabla de consecuencia/impacto
Respuestas
afirmativasCategoría Valor
0 ≤ Sí ≤ 1 Bajo 4
1 < Sí ≤ 3 Medio 6
3< Sí ≤ 5 Alto 8
Sí > 5 Muy Alto 10
Riesgo cuya materialización causaría ya sea una pérdida importante en
el patrimonio o un deterioro significativo de la imagen. Además, se
requeriría una cantidad de tiempo importante de la alta dirección en
investigar y corregir los daños.
Riesgo cuya materialización dañaría significativamente el patrimonio,
imagen o logro de los objetivos sociales. Además, se requeriría una
cantidad importante de tiempo de la alta dirección en investigar y
corregir los daños.
Riesgo que causa un daño en el patrimonio o imagen, que se puede
corregir en el corto tiempo y que no afecta el cumplimiento de los
objetivos estratégicos.
Riesgo que puede tener un pequeño o nulo efecto en la institución.
Descripción
TABLA DE CONSECUENCIA / IMPACTO
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 03
21
Anexo 7 Tabla de efectividad del control
Categoría Valor
Muy deficiente 1.0
Deficiente 0.8
Insuficiente 0.6
Mejorable 0.4
Apropiada 0.2
ANEXO N° 07
El control ha sido informado a todo el personal, es aceptado por los
colaboradores, existen herramientas que permiten gestionarlo; se
ejecuta y da seguimiento en los tiempos establecidos; existen
responsables para su ejecución; permite restringir la acción que
genera el riesgo, cuenta con protocolos; hay evidencia de
documentos que acreditan su cumplimiento y registro temporal.
EFECTIVIDAD DEL CONTROL
El control ha sido informado a todos los colaboradores pero no
todos lo aceptan; se ejecuta y supervisa a veces; no existen
responsables para ejecutarlo; permite restringir en parte la acción
que genera el riesgo, cuenta con protocolos; hay evidencia de
documentos que acrediten su cumplimiento mas no su registro
temporal.
El control ha sido informado y es aceptado por todos los
colaboradores, no existen herramientas para su gestión; se ejecuta
según los tiempos establecidos, no siempre se supervisa; existen
responsables para su ejecución; permite restringir en parte la acción
que genera el riesgo, cuenta con protocolos; hay evidencia de
documentos que acrediten su cumplimiento y registro temporal.
El control no ha sido informado a todos los colaboradores, no todos
lo aceptan; se ejecuta a veces, no se supervisa; no existen
responsables para su ejecución; permite restringir en parte la acción
que genera el riesgo, no cuenta con protocolos; no hay evidencia de
documentos que acrediten su cumplimiento y registro temporal.
Descripción
El control no ha sido aplicado; no existen responsables definidos de
la ejecución del control ni una supervisión de los responsables; no
permite restringir la acción que genera el riesgo, no existen
protocolos para proceder ante un riesgo advertido por el control; no
hay evidencia de documentos que acrediten su cumplimiento y
registro temporal.
Procedimiento: Gestión de Riesgos
Código: PE01.03.02 Versión: 03
22
Anexo 8 Tabla de Tolerancia del riesgo
Anexo 9: Cálculo de probabilidades
Anexo 10 Cálculo de Impacto
Anexo 11: Cálculo de efectividad de control
Valor Nivel Nivel Resultado
65 - 100 Riesgo Muy Alto Riesgo Muy Alto
41 - 64 Riesgo Alto Riesgo Alto
25 - 40 Riesgo Medio Riesgo Medio
01 -24 Riesgo Bajo Riesgo Bajo ACEPTABLE
NO
ACEPTABLE
Se debe establecer e implantar
acciones eficientes (tratamiento)
para reducir el riesgo no aceptable.
Se realiza el trabajo con los controles
ya existentes.
NIVEL DE RIESGO TOLERANCIA DEL RIESGO
Descripción
RIESGO
ASOCIADOTOTAL PROBABILIDAD
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
ANEXO 9: CÁLCULO DE PROBABILIDADES
RIESGO
ASOCIADOTOTAL IMPACTO
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
ANEXO 10: CÁLCULO DE IMPACTO
RIESGO
ASOCIADOCONTROLES TOTAL
EFECTIVIDAD DEL
CONTROL
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
0 0 0 Muy Deficiente
ANEXO 11: CÁLCULO DE EFECTIVIDAD DEL CONTROL