criterios de riesgo: evaluación de riesgos: gestión de...

Título:

PROCEDIMIENTO PARA LA GESTIÓN DE RIESGOS

Código:

PR-OPP-CSI-006

Versión:

01

Página:

2/15

1. OBJETIVO

Establecer los lineamientos y procedimiento a seguir para identificar, analizar, evaluar y tratar los riesgos que

puedan afectar al logro de los objetivos de los procesos y al cumplimiento de los compromisos asumidos con las

partes interesadas vinculadas al Sistema de Gestión de la Calidad.

2. ALCANCE

El presente procedimiento es administrado por la Unidad de Racionalización de la Oficina de Planeamiento y

Presupuesto, y es fuente de consulta y aplicación para todos los órganos y unidades orgánicas de la entidad. El

procedimiento se inicia con la conformación del Equipo de Gestión de Riesgos, y culmina con el seguimiento a la

implementación de las actividades/controles establecidos en el Plan de Tratamiento de Riesgos.

3. DOCUMENTOS A CONSULTAR

3.1. Ley Nº 30075, Ley de fortalecimiento de la Comisión de Promoción del Perú para la Exportación y el Turismo

– PROMPERÚ.

3.2. Reglamento de Organización y Funciones de la Comisión de Promoción del Perú para la Exportación y el

Turismo – PROMPERÚ, aprobado por Decreto Supremo Nº 013-2013-MINCETUR.

3.3. Manual de Funciones y Perfiles de Contratos Administrativos de Servicios de PROMPERÚ aprobado por

Resolución de Secretaría General Nº 102-2008-PROMPERÚ/SG y modificatorias.

3.4. Manual de Perfiles de Puestos de PROMPERÚ, aprobado por Resolución de Secretaria General Nº 028-2014-

PROMPERÚ/SG y modificatorias.

3.5. Carta de Servicios de la Comisión de Promoción del Perú para la Exportación y el Turismo – PROMPERÚ,

vigente.

3.6. Manual de Calidad de la Comisión de Promoción del Perú para la Exportación y el Turismo – PROMPERÚ,

vigente.

3.7. Procedimiento para el Tratamiento de Incidentes y Servicios No Conformes, PR-OPP-CSI-002.

3.8. Procedimiento de Acciones Correctivas, PR-OPP-CSI-004.

3.9. Procedimiento para la Gestión de Mejoras y Cambios, PR-OPP-CSI-005.

3.10. Norma ISO 9000:2015. Sistemas de Gestión de la Calidad – Fundamentos y vocabulario.

3.11. Norma ISO 9001:2015. Sistemas de Gestión de la Calidad – Requisitos.

3.12. Norma UNE-ISO 31000:2009. Gestión del Riesgo. Principios y Directrices.

4. SIGLAS Y ACRÓNIMOS

4.1. DX: Dirección de Promoción de las Exportaciones.

4.2. EGR: Equipo de Gestión de Riesgos.

4.3. SG: Secretaría General.

4.4. SGC: Sistema de Gestión de la Calidad.

4.5. URCN: Unidad de Racionalización.

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

3/15

5. DEFINICIONES

Para efectos del presente procedimiento se consideran las siguientes definiciones, las mismas que se encuentran

señaladas en la norma UNE-ISO 31000:2009:

5.1. Aceptación del riesgo: Decisión informada a favor de tomar un riesgo particular. La aceptación del riesgo

puede tener lugar sin que exista tratamiento del riesgo o durante el proceso del tratamiento del riesgo. Los

riesgos aceptados son objeto de seguimiento y de revisión.

5.2. Análisis de riesgos: Proceso que permite comprender la naturaleza del riesgo y determinar el nivel del riesgo.

5.3. Control: Medida que modifica un riesgo. Los controles incluyen cualquier proceso, política, dispositivo,

práctica u otras acciones que modifiquen un riesgo. Los controles no siempre pueden proporcionar el efecto

de modificación previsto o asumido.

5.4. Criterios de riesgo: Términos de referencia respecto a los que se evalúa la importancia de un riesgo. Los

criterios de riesgo se basan en los objetivos de la organización y en el contexto externo e interno. Los criterios

de riesgo se pueden obtener de normas, leyes, políticas y otros requerimientos.

5.5. Evaluación de riesgos: Proceso de comparación de los resultados del análisis de riesgo con los criterios de

riesgo para determinar si el riesgo y/o su magnitud son aceptables. La evaluación del riesgo ayuda a la toma

de decisiones sobre el tratamiento de los riesgos.

5.6. Gestión de riesgos: Proceso desarrollado por el directorio, gerencia y/u otro personal de una entidad, que se

aplica en la formulación de estrategias y a través de toda la empresa. Diseñado para identificar eventos

potenciales que podrían afectar la entidad y manejar el riesgo, con el fin de entregar una seguridad razonable.

5.7. Identificación del riesgo: Proceso que comprende la búsqueda, el reconocimiento y la descripción de los

riesgos. La identificación del riesgo implica la identificación de las fuentes del riesgo, los sucesos, sus causas

y sus consecuencias (impactos) potenciales. La identificación del riesgo puede implicar datos históricos,

análisis teóricos, opiniones informadas y de expertos, así como necesidades de las partes interesadas.

5.8. Nivel de riesgo: Magnitud de un riesgo o combinación de riesgos, expresados en términos de la combinación

de las consecuencias (impactos) y de su probabilidad.

5.9. Parte interesada: Persona u organización que puede afectar, estar afectada o percibir que está afectada por

una decisión o actividad.

5.10. Plan de tratamiento de riesgos: Documento que contempla las decisiones relacionadas con el tratamiento

de los riesgos y las acciones para la implementación de los objetivos de control y controles seleccionados.

5.11. Riesgo1: Efecto de la incertidumbre sobre la consecución de los objetivos.

5.12. Riesgo residual: Riesgo remanente después del tratamiento del riesgo. El riesgo residual puede contener

riesgos no identificados. El riesgo residual también se puede conocer como “riesgo retenido”.

5.13. Tratamiento de riesgos: Proceso destinado a modificar el riesgo.

Asimismo, para el caso específico del presente procedimiento se consideran las siguientes definiciones:

5.14. Metodología de gestión de riesgos: Método lógico y sistemático de establecer el contexto, identificar,

analizar, evaluar, tratar, hacer seguimiento y comunicar los riesgos asociados con una actividad, función o

proceso de una forma que permita a una organización, minimizar pérdidas y maximizar oportunidades.

5.15. Sistema de Control Interno: Conjunto de acciones, actividades, planes, políticas, normas, registros,

procedimientos y métodos, incluido el entorno y actitudes que desarrollan autoridades y su personal a cargo,

con el objetivo de prevenir posibles riesgos que afectan a una entidad pública. Se fundamenta en una

1 Algunos autores definen el riesgo como la posibilidad que un evento ocurra y afecte de manera adversa el logro de los objetivos de la entidad, impidiendo la creación de valor o deteriorando el valor existente. El riesgo combina la probabilidad que ocurra un evento negativo con el daño que podría causar.

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

4/15

estructura basada en cinco componentes funcionales: 1) Ambiente de control, 2) Evaluación de riesgos, 3)

Actividades de control gerencial, 4) Información y comunicación, y 5) Supervisión.

6. CONDICIONES BÁSICAS

6.1. El responsable del proceso deberá:

6.1.1. Promover la cultura de gestión de riesgos en los procesos bajo su responsabilidad.

6.1.2. Asegurar la puesta en marcha del proceso de Gestión de Riesgos y monitorear el cumplimiento de los

planes de acción, coordinando con los responsables respectivos, con el fin de asegurar que se tomen

las medidas preventivas, correctivas o de mejoras necesarias para garantizar que se logren los

resultados previstos.

6.1.3. Asegurar la aplicación de la metodología de gestión de riesgos en los procesos bajo su responsabilidad.

6.1.4. Definir la tolerancia al riesgo en coordinación con el Equipo de Gestión de Riesgos.

6.1.5. Gestionar los riesgos de sus procesos sobre la base de los resultados de la evaluación de riesgos.

6.1.6. Velar por la efectividad de los controles asociados a los riesgos de sus procesos.

6.2. Para cada uno de los procesos de la entidad, se conformará un Equipo de Gestión de Riesgos (EGR), el cual se

encargará de aplicar la metodología de gestión de riesgos, y estará integrado por el Dueño del proceso (quien

liderará el EGR) y especialistas designados por este último.

6.3. Una vez conformado el EGR, el líder del EGR coordinará con los demás miembros las reuniones de trabajo

necesarias para la aplicación de la metodología de gestión de riesgos; de requerirlo, podrá solicitar la

asistencia técnica de la URCN en cualquier etapa del desarrollo de la citada metodología.

6.4. Se deberá contar con información relativa al contexto interno y externo de la entidad que sirva de marco

general para determinar: i) Las posibles amenazas que puedan afectar al SGC, y al cumplimiento de los

compromisos con las partes interesadas pertinentes, ii) Los aspectos que requieren protección, y iii) Los

recursos actuales. Asimismo, se deberá considerar y revisar la información contenida en el Acta de Revisión

por la Dirección, en el Acta de Análisis de Contexto y Partes Interesadas, en informes de control interno u

otros documentos necesarios, según corresponda.

6.5. En forma supletoria se podrá aplicar el presente procedimiento para la Gestión del Riesgo en el marco del

Sistema de Control Interno.

7. CONDICIONES ESPECÍFICAS

7.1. La metodología de gestión de riesgos que se aplicará a los procesos, comprende las siguientes etapas:

7.1.1. Identificación de riesgos:

Haciendo uso de la sección I de la Matriz de Riesgos (Ver Anexo Nº 5), se deberán identificar los riesgos

del proceso que podrían afectar: i) Su adecuada ejecución y el logro de sus objetivos, ii) La conformidad

de los servicios brindados, iii) La capacidad de aumentar la satisfacción del cliente, y iv) Los resultados

esperados. Asimismo, se deberá determinar el tipo de riesgo2, las causas que los originan y sus efectos.

2 De acuerdo a la Guía para la Implementación del Sistema de Control Interno de las entidades del Estado, los tipos de riesgos son:

1. Riesgo estratégico: Se asocia con la forma en que se administra la entidad. El manejo del riesgo estratégico se enfoca en asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas y el diseño y conceptualización de la entidad por parte de la Alta Dirección.

2. Riesgo operativo: Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura organizacional, en la desarticulación entre dependencias, lo cual conduce a ineficiencias, oportunidades de corrupción e incumplimiento de los compromisos institucionales.

3. Riesgo financiero: Se relacionan con el manejo de los recursos de la entidad e incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes. De la eficiencia y transparencia en el manejo de los recursos, así como su interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad.

4. Riesgo de cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

5. Riesgo de tecnología: Se asocian con la capacidad de la entidad para que la tecnología disponible satisfaga sus necesidades actuales y futuras y soporte el cumplimiento de su misión.

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

5/15

Para estos fines, se deberá tener en cuenta la siguiente información:

- Fichas de procesos: Documento que contiene la caracterización del proceso.

- Información histórica (Ej.: análisis de resultado de indicadores, registro de incidentes y servicios no

conformes, retroalimentación de clientes externos y partes interesadas, entre otros).

- Opinión de clientes internos.

7.1.2. Evaluación de riesgos:

Se busca comprender la naturaleza de los riesgos, para lo cual se hará uso de la sección II de la Matriz

de Riesgos (Ver Anexo Nº 5), donde se deberá determinar la probabilidad de ocurrencia del riesgo

identificado y el impacto que podría tener sobre el proceso, con el fin de establecer el nivel de riesgo.

Para ello, se deberá tener en cuenta lo siguiente:

a) Criterios de probabilidad: La selección del nivel de probabilidad de ocurrencia se realizará de

acuerdo con los criterios descritos en el Anexo Nº 2. El nivel de probabilidad está relacionado con

la ocurrencia y condiciones que favorezcan la materialización del riesgo. Se deberá asignar el valor

que más se ajuste a la realidad del riesgo. Sólo es necesario que un criterio sea identificado para

seleccionar el nivel de probabilidad al que pertenece.

b) Criterios de impacto: La selección del nivel de impacto se realizará de acuerdo con los criterios

descritos en el Anexo Nº 3. Para lo cual, se deberá considerar el escenario más probable o lógico,

evitándose el peor o mejor escenario. Sólo es necesario que un criterio se origine para seleccionar

el nivel del impacto al que pertenece.

c) Nivel del riesgo: Se obtiene del producto del valor de la probabilidad de ocurrencia y del valor del

impacto, de acuerdo al Anexo Nº 4. Para mantener un entendimiento de la situación actual del

proceso involucrado en el análisis de los riesgos, se deberán registrar los controles que se

encuentran implementados, a fin de evaluar posteriormente si se requiere fortalecer o

replantearse dichos controles.

Aquellos riesgos con un nivel “Bajo” o “Medio” serán considerados como riesgos “aceptables”; en

tanto, aquellos con un nivel “Alto” o “Extremo”, como “no aceptables”. Sin embargo, todos los riesgos

se encontrarán sujetos a monitoreo y revisión.

7.1.3. Tratamiento de riesgos:

Se deberá evaluar cómo se tratarán los riesgos de acuerdo a las siguientes opciones de tratamiento

(acción), las cuales se indicarán en la sección III de la Matriz de Riesgos (Ver Anexo Nº 5):

a) Evitar el riesgo: Eliminar la fuente que genera la amenaza. La actividad del proceso que lo genera

no es de gran impacto en términos de negocio para la entidad, de modo que puede ser retirada

funcionalmente.

b) Reducir el riesgo: Implica implementar controles u optimizar procedimientos a fin de reducir el

riesgo a niveles aceptables; esto podría ser, reduciendo la probabilidad de ocurrencia (medidas de

prevención), o reduciendo el impacto (medidas de protección) si el riesgo ocurriese. Se utiliza

cuando al implementar el control o controles trae beneficios mayores a la inversión de su

implementación.

c) Transferir el riesgo: Implica transferir el impacto del riesgo a terceros (empresas aseguradoras o

proveedores de servicio); es decir, dar a otra entidad la responsabilidad de su gestión, más no lo

elimina. Se utiliza cuando no se puede reducir la probabilidad de ocurrencia del riesgo pero su

impacto es inminente.

d) Aceptar el riesgo: Aceptar la posibilidad de que pueda ocurrir el riesgo sin tomar medidas de acción

concretas (siempre que satisfagan claramente los criterios de aceptación del riesgo). Se utiliza

cuando el costo de implementar el control o controles, en términos económicos, recursos de

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

6/15

personal y su repercusión de tareas adicionales superan el impacto del riesgo que se desea reducir;

o cuando el impacto del riesgo es mínimo.

Para aquellos riesgos no aceptables, se deberá establecer un plan de tratamiento que comprenda los

controles o actividades necesarias para su mitigación, los responsables de su implementación

(previamente coordinados) y el plazo de ejecución correspondiente.

Asimismo, en caso existan riesgos de nivel “Alto” o “Extremo” cuya decisión respecto a la opción de

tratamiento del riesgo sea “Aceptar el riesgo”, esto deberá ser formalizado mediante un “Acta de

Aceptación de Riesgos” (Ver Anexo Nº 6). La instancia que asumirá la responsabilidad final de la

aceptación del riesgo está en función al nivel de riesgo asociado, según se detalla a continuación:

Nivel de riesgo Responsabilidad de la aceptación del riesgo

Extremo Alta Dirección del SGC

Alto Director de Promoción de las Exportaciones o

Secretaría General

En caso que el plan de tratamiento de riesgos, contemple la necesidad de contar con recursos

económicos, mayores o iguales a S/ 30,000 este deberá ser aprobado por la Alta Dirección del SGC,

antes de su implementación; en caso de montos menores, deberá ser aprobado por el Subdirector o

Jefe de Oficina del área donde se desarrolla el proceso.

7.2. Una vez implementado el plan de tratamiento de riesgos a un determinado proceso, se deberá efectuar

nuevamente la evaluación de riesgos a fin de determinar los riesgos residuales e identificar aquellos que

resultan ser aceptables, y por consiguiente evaluar la eficacia de los controles implementados, registrando la

nueva evaluación en la sección IV de la Matriz de Riesgos (Ver Anexo Nº 5).

7.3. El responsable del proceso, deberá asegurarse que por lo menos una vez al año se revisen los resultados de

la evaluación de riesgos y se realice nuevamente dicha evaluación con el fin de garantizar el control continuo

de los riesgos a niveles aceptables.

7.4. El responsable del proceso deberá coordinar oportunamente las acciones que resulten necesarias en el marco

de la gestión de riesgos, teniendo en cuenta:

Los cambios en la entidad;

Los cambios en la tecnología de la entidad;

Los cambios en los objetivos y procesos vinculados al SGC;

Los riesgos identificados;

Nuevos riesgos;

La efectividad de los controles implementados; y

Los eventos externos, tales como cambios en el entorno legal o regulatorio, cambios en obligaciones

contractuales, entre otros.

8. DESCRIPCIÓN DEL PROCEDIMIENTO

Nº Actividad Responsable

A. Planificación de la aplicación de la metodología de gestión de riesgos

1 Conforma EGR, obtiene copia del Acta de Revisión por la Dirección y del

Acta de Análisis de Contexto y Partes Interesadas, entre otra información

relevante del proceso al cual se aplicará la metodología de gestión de

riesgos.

Dueño del proceso

2 Coordina con los demás miembros del EGR las reuniones necesarias para

la aplicación de la metodología de gestión de riesgos.

Líder del EGR

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

7/15


B. Ejecución de la metodología de gestión de riesgos

3 Realiza la identificación de riesgos asociados al proceso, según lo

señalado en el numeral 7.1.1 del presente procedimiento, y los registra

en la sección I: “Identificación del Riesgo” de la Matriz de Riesgos (Ver

Anexo Nº 5).

Equipo de Gestión de

Riesgos

4 Realiza la evaluación de riesgos asociados al proceso, según lo señalado

en el numeral 7.1.2 del presente procedimiento, y lo registra en la sección

II: “Evaluación del Riesgo” de la Matriz de Riesgos (Ver Anexo Nº 5).


Riesgos

5 Determina la Acción a seguir en función al nivel de riesgo obtenido y la

registra en la Sección III: “Plan de Tratamiento del Riego” de la Matriz de

Riesgos (Ver Anexo Nº 5), y procede de acuerdo a lo siguiente:

Si el nivel de riesgo es “Alto” o “Extremo” y la acción definida es

“Aceptar el riesgo”, el Líder del EGR, elabora o modifica, y visa el Acta

de Aceptación de Riesgos (Ver Anexo Nº 6).

En los demás casos, completa o revisa la Sección III: “Plan de

Tratamiento de Riesgos” de la Matriz de Riesgos (Ver Anexo Nº 5),

según lo señalado en el numeral 7.1.3 del presente procedimiento.


Riesgos

6 Remite la Matriz de Riesgos y el Acta de Aceptación de Riesgos de ser el

caso, vía correo electrónico, al Subdirector o Jefe de Oficina donde se

desarrolla el proceso para su revisión y aprobación.

Líder del EGR

7 Recibe y revisa la Sección III: “Plan de Tratamiento del Riesgo” de la

Matriz de Riesgos y el Acta de Aceptación de Riesgos, de ser el caso; de

no existir observaciones, firma el(los) documento(s) en señal de

conformidad, en caso contrario, coordina con el Líder del EGR el

levantamiento de las observaciones, y realiza lo siguiente:

7.1. Si existe un Plan de Tratamiento de Riesgos, procede en función al

costo estimado de implementación:

7.1.1. Si se requiere una inversión igual o mayor a S/. 30,000, eleva

la Matriz de Riesgos con dichos riesgos a la Alta Dirección de

la SGC, para su aprobación. Continúa en el paso 8.

7.1.2. En caso contrario, deriva la Matriz de Riesgos, al Líder del EGR

para su ejecución. Continúa en el paso 10.

7.2. Si existe una Acta de Aceptación de Riesgos, procede en función al

nivel de riesgo:

7.2.1. Si es “Extremo”, eleva el Acta a la Alta Dirección del SGC.

Continúa en el paso 8.

7.2.2. Si es “Alto”, eleva el Acta al Director de Promoción de las

Exportaciones o a la Secretaria General, en función al tipo de

proceso. Continúa en el paso 9.

Subdirector o Jefe de Oficina

8 Recibe y evalúa la Sección III: “Plan de Tratamiento del Riesgo” de la

Matriz de Riesgos y determina si acepta o no el costo estimado de

implementación, o el(los) riesgo(s) indicado(s) en el Acta de Aceptación

de Riesgos, firma el(los) documento(s) en caso de aceptación, y lo(s)

deriva al Líder del EGR, a través de los niveles correspondientes. Continúa

en el paso 10.

Alta Dirección del SGC

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

8/15


9 Recibe, evalúa y determina si acepta o no el(los) riesgo(s) indicado(s) en

el Acta de Aceptación de Riesgos, firma el documento en caso de

aceptación, y lo deriva al Líder del EGR, a través de los niveles

correspondientes.

Director de la DX /

Secretaría General

10 Recibe la Matriz de Riesgos aprobada y coordina la implementación de la

Sección III: “Plan de Tratamiento del Riesgo”, con los responsables

designados y/o archiva el Acta de Aceptación de Riesgos, en caso exista.

Líder del EGR

C. Evaluación del Riesgo Residual y Seguimiento al Plan

11 Realiza una nueva evaluación del riesgo, según lo señalado en el numeral

7.1.2 del presente procedimiento, luego que la Sección III: “Plan de

Tratamiento del Riesgo” de la Matriz de Riesgos se encuentre aprobada,

con el fin de verificar la eficacia de las actividades/controles establecidos,

y registra los resultados en la Sección IV: “Evaluación del Riesgo Residual”

de la Matriz de Riesgos (Ver Anexo Nº 5).


Riesgos

12 Efectúa seguimiento a la implementación de las actividades/controles

establecidos en el Plan de Tratamiento de Riesgos de acuerdo a los plazos

señalados en el mismo y registra los resultados en la Sección V:

“Seguimiento al Plan” de la Matriz de Riesgos (Ver Anexo Nº 5).

Líder del EGR

9. REGISTROS

Descripción Código Nº de

ejemplares Lugar de archivo

Tiempo de archivo (Años)

Matriz de Riesgos FO-OPP-CSI-014 1 Archivo del área

Archivo Central

2 años

8 años

Acta de Aceptación de Riesgos FO-OPP-CSI-015 1 Archivo del área

Archivo Central

2 años

8 años

10. HOJA DE CONTROL DE CAMBIOS

Nº de versión

Nº de capítulo/ Ítem

Párrafo/ Figura/ Tabla/ Nota

Modificaciones

11. ANEXOS

Descripción Anexo

Diagrama de Flujo 1

Criterios de probabilidad 2

Criterios de impacto 3

Nivel de riesgos y criterios de tolerancia de riesgos 4

Formato: Matriz de Riesgos 5

Formato: Acta de Aceptación de Riesgos 6

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

9/15

ANEXO Nº 1

DIAGRAMA DE FLUJO

Inicio

Conforma EGR, obtiene copia del Acta de Revisión por la Dirección y Acta de Análisis de Contexto y Partes Interesadas, entre otra

información y aplica metodología de gestión de riesgos.

1 2

Coordina con miembros del EGR reuniones para aplicación de metodología de gestión de

riesgos.

Dueño del Proceso Líder del EGR Equipo de Gestión de Riesgos

3

Realiza identificación de riesgos asociados al proceso, y los

registra en sección I de la Matriz de Riesgos.

A. PLANIFICACIÓN DE LA APLICACIÓN DE LA METODOLOGÍA DE GESTIÓN DE RIESGOS

B. EJECUCIÓN DE LA M ETODOLOGÍA DE GESTIÓN DE RIESGOS

4

Realiza evaluación de riesgos asociados al proceso, y los

registra en sección II de la Matriz de Riesgos.

5

Determina Acción en función a nivel de riesgo: Si es Alto o

Extremo, elabora y visa Acta de Aceptación de Riesgos, en otros casos completa sección III (Plan)

de la Matriz de Riesgos.

6

Remite Matriz de Riesgos y Acta de Aceptación, vía correo

electrónico, a Subdirector o Jefe de Oficina donde se desarrolla

proceso para su revisión y aprobación.

7

Recibe y revisa sección III (Plan) de la Matriz de Riesgos y Acta de

Aceptación, de no existir observaciones, firma en señal de

conformidad.

¿Plan o Acta?Plan

Procede en función al nivel de riesgo.

7.2

Acta

Procede en función al costo estimado de

implementación.

7.1

Subdirector o Jefe de Oficina

1

¿Monto >=30,000?

No

Eleva Matriz a Alta Dirección de la SGC para su aprobación.

7.1.1

Si

Deriva Matriz al Líder del EGR para su

ejecución.

7.1.2

2 3

¿Extremoo Alto?

Extremo

Eleva Acta al Director de Promoción de las Exportaciones o a la Secretar ia General

para su aprobación.

7.2.2

Alto

Eleva Acta a la Alta Dirección del SGC

para su aprobación.

7.2.1

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

10/15

B. EJECUCIÓN DE LA M ETODOLOGÍA DE GESTIÓN DE RIESGOS (Contin uación)

Alta Dirección del SGC Líder del EGRDirector de la DX / Secretaría General Equipo de Gestión de Riesgos

1

8

Recibe y evalúa la Sección III de la Matriz de Riesgos

(Plan) y determina si acepta los costos o el riesgo indicado en Acta de

Aceptación.

11

Realiza nueva evaluación del riesgo, luego que el Plan este

aprobado y registra resultado en Sección IV de la

Matriz.

9

Recibe, evalúa y determina si acepta los riesgos del Acta, firma aceptación y lo deriva

al Líder del EGR.

12

Efectúa seguimiento a implementación de

actividades/controles en plazos señalados y registra

resultado en Sección V de la Matriz.

3

10

Recibe Matriz aprobada y coordina implementación de Sección III (Plan) de la Matriz con responsables y/o archiva

Acta.

2

C. EVALUACIÓN DEL RIESGO RESIDUAL Y SEGUIMIENTO AL PLAN

Fin

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

11/15

ANEXO Nº 2

CRITERIOS DE PROBABILIDAD

Nivel de probabilidad de

ocurrencia Valor Criterios

Improbable 0.1 Puede ocurrir sólo en circunstancias excepcionales.

Ha ocurrido hasta una vez en los últimos 3 años.

Esporádico 0.3 No existen condiciones para la materialización del riesgo pero puede ocurrir.

Ha ocurrido más de una vez en el año.

Posible 0.5 Existen pocas condiciones para la materialización del riesgo.

Ha ocurrido más de una vez en el semestre.

Frecuente 0.7 Existen condiciones para la materialización del riesgo.

Ha ocurrido con frecuencia, una vez en el mes.

Continuo 0.9 Se espera que ocurra en la mayoría de las circunstancias o existen condiciones que favorecen altamente la materialización del riesgo.

Ha ocurrido con mucha frecuencia, más de una vez en el mes.

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

12/15

ANEXO Nº 3

CRITERIOS DE IMPACTO

Nivel de Impacto

Valor Criterios

Insignificante 1 Sin reclamo ni queja de cliente.

Sin incumplimiento de los compromisos asumidos con las partes interesadas.

Implica una debilidad no significativa, que no tiene mayor impacto a nivel de:

- Proceso (indicadores).

- Otro proceso del SGC (indicadores).

- Satisfacción del cliente.

Menor 2 Sin reclamo, pero puede ocasionar una queja de cliente.

Posible incumplimiento de los compromisos asumidos con las partes interesadas; sin que éstas lo perciban.

Implica una debilidad poco significativa, que tiene bajo impacto a nivel de:




Moderado 3 Es poco probable que ocasione un reclamo de cliente.

Posible incumplimiento de los compromisos asumidos con las partes interesadas; siendo percibido como poco significativo por ellas.

Puede ocasionar un efecto concreto y adverso, no deseado, en:




Mayor 4 Es muy probable que ocasione un reclamo de cliente.

Posible incumplimiento de los compromisos asumidos con las partes interesadas; siendo percibido como significativo por ellas.

Implica una debilidad que tiene un impacto significativo en:

- Cumplimiento de un objetivo del SGC.

- La imagen de la institución.

Catastrófico 5 Puede ocasionar un reclamo de cliente ante una entidad externa.

Posible incumplimiento de los compromisos asumidos con las partes interesadas; siendo percibido como muy significativo, con posibilidad de romper vínculo de forma definitiva con PROMPERÚ.

Implica una debilidad que tiene un impacto muy significativo en:

- Cumplimiento de más de un objetivo del SGC.

- La imagen país.

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

13/15

ANEXO Nº 4

NIVEL DE RIESGOS Y CRITERIOS DE TOLERANCIA DE RIESGOS

Nivel de riesgos No Aceptables: Extremos, Altos

Pro

bab

ilid

ad

Continuo 0.9

Medio

0.9

Alto

1.8

Alto

2.7

Extremo

3.6

Extremo

4.5

Frecuente 0.7

Medio

0.7

Medio

1.4

Alto

2.1

Alto

2.8

Extremo

3.5

Posible 0.5

Bajo

0.5

Medio

1.0

Alto

1.5

Alto

2.0

Alto

2.5

Esporádico 0.3

Bajo

0.3

Medio

0.6

Medio

0.9

Medio

1.2

Alto

1.5

Improbable 0.1

Bajo

0.1

Bajo

0.2

Bajo

0.3

Bajo

0.4

Medio

0.5

Insignificante

1

Menor

2

Moderado

3

Mayor

4

Catastrófico

5

Impacto

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

14/15

ANEXO Nº 5

Título:


Código:

PR-OPP-CSI-006

Versión:

01

Página:

15/15

ANEXO Nº 6

criterios de riesgo: evaluación de riesgos: gestión de...

Documents