Procedimiento para: Gestión del

riesgo
Referencia:
SISTEMA INTEGRADO DE GESTION NORMA ISO 9001:2015
BASC v5-2017
Código: SIG-GES-PR.02 Versión: 01 Página 1 de 7

1. OBJETIVO

Establecer la metodología para la gestión del riesgo, brindando una orientación clara para su
aplicación a nivel organizacional y propiciando la efectiva toma de decisiones con respecto a los
riesgos que tienden a afectar el logro de su misión y sus objetivos.
2. ALCANCE

El procedimiento es de aplicación para todos los procesos y servicios en la organización

relacionados con el Sistema de Gestión de la Calidad y Sistema de Gestión en Control y Seguridad
BASC, así como a proveedores y otras partes interesadas, en cuanto sea aplicable.
3. RESPONSABLES

Es responsabilidad del encargado de Sistema Integrado de Gestión y/o asistente SIG el

seguimiento, control y de la eficaz aplicabilidad del presente procedimiento.

4. DEFINICIONES

4.1 Contexto: se refiere a la definición de los parámetros tanto internos como externos que se
han de tomar en consideración y su articulación con los objetivos de la empresa.
4.2 Contexto interno: se refiere entonces al ambiente interno. Para ello se podrá considerar
incluir la estructura organizacional, políticas, objetivos y estrategias implementadas;
personas, procesos, sistemas y tecnologías, flujos de información, normas, directrices y
modelos adoptados que tenga la organización y que puedan influir fortaleciendo o
restringiendo la gestión del riesgo.
4.3 Contexto externo: se refiere al ambiente cultural, social, político, legal, económico y
competitivo en el cual se mueve la organización tanto a nivel internacional, nacional, regional
o local.
4.4 Consecuencia: Resultado de un evento.
4.5 Evento de Riesgo: La aparición o cambio de un conjunto particular de circunstancias
4.6 Riesgo: Efecto de la incertidumbre sobre los objetivos.
4.7 Riesgo inherente: Cantidad y tipo de riesgo que una organización está preparada a seguir,
retener o adoptar
4.8 Riesgo residual: Riesgo que queda después del tratamiento del riesgo
4.9 Tratamiento de riesgos: Establecimiento de controles operacionales y respuestas a eventos.
4.10 Vulnerabilidad: Es el grado relativo de sensibilidad que la estabilidad de la empresa tenga
respecto a un riesgo determinado. De acuerdo a esto, la Vulnerabilidad representa una
medida relativa del impacto que las consecuencias de un posible siniestro tendrían sobre el
sistema.

5. DOCUMENTOS A CONSULTAR

5.1 NORMA ISO 9001:2015

5.2 BASC v5-2017
 Procedimiento para: Gestión del
riesgo
Referencia:
SISTEMA INTEGRADO DE GESTION NORMA ISO 9001:2015
BASC v5-2017
Código: SIG-GES-PR.02 Versión: 01 Página 2 de 7

6. CONDICIONES BÁSICAS
ESTRUCTURA PARA LA GESTIÓN DEL RIESGO

6.1 La gestión de riesgos en toda la organización, se construye bajo los siguientes niveles y
actividades:

ADMINISTRACION DEL RIESGO

Gerencia General, Responsable SIG, Jefaturas y responsables de proceso

Identificación, análisis
y evaluación de Monitoreo y revisión Comunicación de
riesgos Tratamiento de de riesgos riesgos
riesgos

RESPONSABILIDADES

6.2 Gerencia General

a) Aprobar las políticas y procedimientos de Gestión de Riesgos, así como los planes y
programas que se establezcan para su cumplimiento.
b) Proporcionar los recursos necesarios para implementar y mantener en funcionamiento, de
forma efectiva y eficiente, el sistema de Gestión de Riesgos.

6.3 Responsable SIG

a) Establece y comunica la metodología de Administración del Riesgo que será utilizada en

toda la organización.
b) Revisa y propone las correspondientes actualizaciones y/o modificaciones a las políticas y
procedimientos de Gestión de Riesgos en la organización.
c) Identifica, analiza y evalúa junto a los responsables de cada proceso los riesgos de la
organización y sus procesos, así como establece los controles para tratar los riesgos
identificados.
d) Realizar el seguimiento a la implementación y cumplimiento de los controles derivados de la
Gestión de Riesgos y emite las acciones correctivas correspondientes.
e) Diseñar el plan de recuperación de la empresa posterior a una emergencia identificada
(Plan de Contingencias)

6.4 Responsables De Procesos (jefes y Gerentes)

a) Conocer y cumplir las políticas y procedimientos correspondientes a la Gestión de Riesgo

en la organización.
b) Participar en la identificación de los riesgos de sus procesos y gestionarlos bajo la
metodología que se describe en el presente procedimiento.
c) Definir la conveniencia o necesidad de modificar los controles o bien la implantación de
otros nuevos, de acuerdo al análisis de riesgos.
 Procedimiento para: Gestión del
riesgo
Referencia:
SISTEMA INTEGRADO DE GESTION NORMA ISO 9001:2015
BASC v5-2017
Código: SIG-GES-PR.02 Versión: 01 Página 3 de 7

6.5 Colaboradores

a) Conocer y cumplir las políticas y procedimientos correspondientes a la Gestión de Riesgo

en la organización.
b) Participar en la identificación de riesgos de su proceso, cuando se le requiera.
c) Comunicar riesgos que identifique en la organización a su Superior inmediato o responsable
SIG.

7. DESARROLLO DEL PROCEDIMIENTO

7. 1 El proceso de gestión de riesgo del día a día en toda la organización, considerará la aplicación
de las siguientes actividades que interactúan entre sí, según se muestra en el esquema
siguiente:

IDENTIFICACION

Establecimiento de
controles y
IV. MONITOREO DE RIESGO INHERENTE II. ANALISIS Y
respuestas a EVALUACION DE eventos
RIESGOS

III. TRATAMIENTO

DETERMINACIÓN DEL CONTEXTO

7. 2 Para la determinación del contexto externo e interno de la organización, se consideran los

siguientes aspectos:

CONTEXTO EXTERNO CONTEXTO INTERNO

Entornos legales Valores
Cultura organizacional (clima y ambiente
Tecnológico
laboral)
Competitivo Conocimientos de la organización
De mercado Desempeño de la organización
Cultural Infraestructura de la organización
Social, económico y político
La madurez de la organización
(internacional, nacional, regional o local)
Buenas prácticas en la actividad
Los procesos de la organización
empresarial
Niveles de educación Políticas internas, objetivos
 Procedimiento para: Gestión del
riesgo
Referencia:
SISTEMA INTEGRADO DE GESTION NORMA ISO 9001:2015
BASC v5-2017
Código: SIG-GES-PR.02 Versión: 01 Página 4 de 7

IDENTIFICACIÓN DE RIESGOS

7. 3 En esta fase se deben identificar los “escenarios o asuntos de riesgo” potenciales que, de
ocurrir, podrían crear, aumentar, prevenir, degradar, acelerar o retener el logro de los objetivos
de la organización.
7. 4 Los asuntos con impacto negativo representan riesgos, que exigen la evaluación y respuesta
de la dirección. Los escenarios con impacto positivo representan oportunidades, que la
organización reconducirá hacia la estrategia y el proceso de fijación de objetivos.
7. 5 Pautas para la identificación de riesgos:

a) Definir el Proceso a analizar. Se prioriza la identificación de los riesgos comenzando por

los procesos “misionales” del negocio, seguidos luego por los procesos de apoyo.

b) Establecer la descripción del riesgo: Identificar y analizar los posibles puntos tanto de
origen como de materialización de las causas, para ello se deberá resolver las siguientes
preguntas:

¿Qué puede suceder?;

¿Cómo y porqué puede suceder?

Importante: Para identificar los escenarios de riesgo por procesos, se conforman equipos de
“análisis de riesgos”, constituidos por funcionarios multinivel y multidisciplinario, con experiencia
en el proceso analizado, con el propósito de aprovechar el conocimiento colectivo del grupo y
desarrollar con ellos una lista de acontecimientos relacionados.

ANÁLISIS Y EVALUACIÓN DEL RIESGO

7. 6 El riesgo se analiza y evalúa mediante la combinación de estimaciones de probabilidad y las

consecuencias de que el evento ocurra, en el contexto de las medidas de control existentes
para ese evento, acorde a la siguiente fórmula:

Nivel del Riesgo = Impacto x Ocurrencia x Medidas de Control

TRATAMIENTO DEL RIESGO

7. 7 Se establecen controles operacionales con base en la prioridad de los riesgos.

7. 8 Las acciones de tratamiento del riesgo identificado se definirán en base al resultado de su
evaluación y las políticas de tratamiento definidas por la organización. (Ver Anexo 2)

MONITOREO DE RIESGOS

7. 9 La re-evaluación de riesgos se realizará mínimo una vez al año por el área SIG y/o cuando se
identifiquen nuevos escenarios o asuntos de riesgo en la organización.
7. 10 Se realizará una revisión de la ejecución de los controles durante las auditorías
internas.

COMUNICACIÓN DE RIESGOS

7. 11 Una vez finalizado el proceso de gestión de riesgo es importante informar los resultados al
personal y a las partes interesadas. Dicha comunicación se realizará a través de correo
electrónico y/o capacitaciones a los involucrados.
 Procedimiento para: Gestión del
riesgo
Referencia:
SISTEMA INTEGRADO DE GESTION NORMA ISO 9001:2015
BASC v5-2017
Código: SIG-GES-PR.02 Versión: 01 Página 5 de 7

GESTIÓN DEL RIESGO EN PARTES INTERESADAS

7. 12 En función de los resultados de la evaluación de riesgos y clasificación de las partes

interesadas en cada proceso y como organización, se definirán los requisitos que se
incorporarán en las solicitudes de cotización, términos de referencia, pliegos de condiciones,
contratos, Acuerdos de Seguridad, análisis de Riesgos de Parte Interesada y demás
documentos que integren los procesos de adquisición de bienes y/o servicios y
establecimiento de relaciones comerciales con clientes y proveedores.

8. REGISTROS

RESPONSIBLE DE
REGISTROS TIEMPO DE RETENCION DISPOSICION FINAL
CONSERVARLO
Matriz de
Identificación, Después del año
Hasta su actualización Asistente SIG
evaluación y control destrucción
de riesgos BASC.
Matriz de Riesgos Después del año
Hasta su actualización Asistente SIG
de calidad destrucción

9. ANEXOS

9.1 Anexo 1: Criterios para la evaluación del riesgo

9.2 Anexo 2: Políticas de tratamiento del riesgo

ELABORADO REVISADO APROBADO

Nombre Guillermo Rodríguez Rivera Nombre Carlos Gómez Lazo Nombre Carlos Gómez Lazo
Cargo Responsable SIG Cargo Gerente General Cargo Gerente General
 Procedimiento para: Gestión del
riesgo
Referencia:
SISTEMA INTEGRADO DE GESTION NORMA ISO 9001:2015
BASC v5-2017
Código: SIG-GES-PR.02 Versión: 01 Página 6 de 7

ANEXO 1

CRITERIOS PARA LA EVALUACION DEL RIESGO

Ocurrencia/
Escala Calificación Impacto Frecuencia
Control

SGC: Tiene como consecuencias el

incumplimiento de la Misión, la política y
SGC y SGCS:
objetivos de gestión; demandas legales contra
Ha sucedido en
LELY SPECIAL CORPORATION S.A.C.; impide
más del 20% de
(suspende) la prestación de los servicios en los No existe
los eventos,
procesos Misionales de la Corporación; pérdidas ningún control
transacciones,
ALTA 5 económicas significativas;
servicios o
sobre las
causas o sobre
productos del
SGCS: Riesgo cuya materialización causaría ya el riesgo.
proceso objeto
sea una pérdida importante en el patrimonio o un
de análisis del
deterioro significativo de la imagen. Además, se
riesgo.
requeriría una cantidad de tiempo importante de
la alta dirección en investigar y corregir los daños
Existe control
SGC: Tiene como consecuencias sanciones sobre el riesgo
SGC y SGCS:
disciplinarias; retrasa la prestación de los (control
Ha ocurrido entre
servicios en los procesos misionales; afecta la correctivo) pero
el 5-20% de los
imagen pública de LELY SPECIAL no sobre sus
eventos,
CORPORATION S.A.C.; genera sobrecostos o causas (control
transacciones,
MEDIA 3 reprocesos.
servicios o
preventivo) o el
control
productos del
SGCS: Riesgo que causa un daño en el existente no
proceso objeto
patrimonio o imagen, que se puede corregir en el está
de análisis del
corto tiempo y que no afecta el cumplimiento de formalizado
riesgo.
los objetivos estratégicos. (control
informal).
SGC y SGCS:
Ha sucedido en
Existe control
SGC: Tiene como consecuencias retraso en la menos del 5%
sobre el riesgo
prestación de los servicios en los procesos de de los eventos,
y sobre sus
apoyo o reprocesos internos. transacciones,
BAJA 1 servicios o
causas y el
control
SGCS: Riesgo que puede tener un pequeño o productos del
existente está
nulo efecto en la institución proceso objeto
formalizado.
de análisis del
riesgo.

ANEXO 2
 Procedimiento para: Gestión del
riesgo
Referencia:
SISTEMA INTEGRADO DE GESTION NORMA ISO 9001:2015
BASC v5-2017
Código: SIG-GES-PR.02 Versión: 01 Página 7 de 7

POLÍTICAS DE TRATAMIENTO DEL RIESGO

VALORACION NIVEL POLITICAS DE ADMINISTRACION DE RIESGO

Reducir el riesgo: tomar medidas encaminadas a disminuir tanto la
probabilidad (medidas de prevención), como el impacto medidas de
protección). La reducción del riesgo es probablemente el método
más sencillo y económico para superar las debilidades antes de
aplicar medidas más costosas y difíciles. Se consigue mediante la
optimización de los procedimientos y la implementación de controles.

CRITICO 45,75,125 Compartir o transferir el riesgo: reduce su efecto a través del

traspaso de las pérdidas a otras organizaciones, como en el caso de
los contratos de seguros o a través de otros medios que permiten
distribuir una porción del riesgo con otra entidad, como en los
contratos a riesgo compartido. Es así como, por ejemplo, la
información de gran importancia se puede duplicar y almacenar en
un lugar distante y de ubicación segura, en vez de dejarla
concentrada en un solo lugar.
Evitar (prevenir) el riesgo: tomar las medidas encaminadas a
prevenir su materialización (disminuir su ocurrencia). Es siempre la
primera alternativa a considerar, se logra cuando al interior de los
procesos se genera cambios sustanciales por mejoramiento,
MODERADO 15, 25, 27
rediseño o eliminación, resultado de unos adecuados controles y
acciones emprendidas. Un ejemplo de esto puede ser el control de
calidad, manejo de los insumos, mantenimiento preventivo de los
equipos, desarrollo tecnológico.
Asumir el riesgo: el riesgo se encuentra en un nivel que puede
aceptarlo sin necesidad de tomar otras medidas de control diferentes
a las que se poseen. Luego de que el riesgo ha sido reducido o
ACEPTABLE 1, 3, 5, 9
transferido puede quedar un riesgo residual que se mantiene, en
este caso el gerente del proceso simplemente acepta la pérdida
residual probable y elabora planes de contingencia para su manejo.