Académique Documents
Professionnel Documents
Culture Documents
PROC-XX
CONTROL DE DOCUMENTOS
Rev.XX
Firma Fecha
Índice
1.- OBJETIVO ...................................................................................................................... 4
2. ALCANCE ........................................................................................................................ 4
3.- RESPONSABILIDADES ................................................................................................. 4
4.- DEFINICIONES ............................................................................................................... 5
5.- RECURSOS NECESARIOS ........................................................................................... 8
6.- DESCRIPCIÓN DE LA ACTIVIDAD ............................................................................... 8
5.1 Establecimiento del Contexto ............................................................................................. 8
5.1.1 Establecer el Contexto Interno y Externo de la Gestión del Riesgo................................. 9
5.1.2 Establecer el Alcance y los Objetivos de la Gestión del Riesgo ...................................... 9
5.1.3 Establecer las Responsabilidades y Recursos ................................................................ 9
5.1.4 Establecer Metodologías y Técnicas............................................................................. 10
5.1.5 Establecer los Criterios de Análisis y Evaluación del Riesgo ........................................ 11
5.2. Identificación del Riesgo.................................................................................................. 13
5.3. Análisis del Riesgo ........................................................................................................... 14
5.4. Evaluación del Riesgo ...................................................................................................... 16
5.4.1. Determinar la Importancia del Riesgo .......................................................................... 16
5.4.2. Priorización del Riesgo ................................................................................................ 17
5.4.3. Decisión de Tolerancia ................................................................................................ 17
5.5. Tratamiento de Riesgos ................................................................................................... 19
5.5.1. Jerarquía de Controles ................................................................................................ 21
5.5.2. Selección de Opciones de Tratamiento........................................................................ 23
5.5.3. Plan de Tratamiento..................................................................................................... 23
5.5.4. Preparación e Implementación de Planes de Tratamiento del Riesgo ......................... 23
5.6. Seguimiento y Revisión ................................................................................................... 24
5.6.1. Seguimiento y Revisión de Riesgos ............................................................................. 24
5.6.2. Reportabilidad.............................................................................................................. 25
5.6.3. Seguimiento y Revisión del Proceso de Gestión del Riesgo ........................................ 25
5.6.4. Medición de indicadores clave de riesgo (KRI) ............................................................ 26
5.7. Comunicación y Consulta ................................................................................................ 27
7.- ANEXOS ....................................................................................................................... 28
Control de Cambios
Fecha de
Rev. Observaciones
Modificación
1.- OBJETIVO
Establecer una metodología para identificar, analizar, evaluar, tratar, realizar seguimiento y
revisar los riesgos del contexto interno y externo de EMPRESA, para controlar los factores
e influencias que afecten el logro de los objetivos del negocio.
2. ALCANCE
Este procedimiento tiene carácter obligatorio y es aplicable a todo el ciclo de vida del
negocio, incluyendo actividades, procesos, proyectos, planes y activos de EMPRESA, así
como a empresas colaboradoras, sub-contratistas y proveedoras de bienes y servicios.
3.- RESPONSABILIDADES
4.- DEFINICIONES
Incidente: Cualquier evento que da lugar a o que tiene el potencial de producir una
lesión, enfermedad, daño u otra pérdida a personas, medio ambiente, comunidad o
una combinación de estas.
Nivel de Riesgo: Magnitud de un riesgo o combinación de éstos, expresados en
términos de la combinación de los impactos y probabilidad.
Nivel de Riesgo Inaceptable: Nivel de riesgo que no tiene justificación, ya sea por
la vía operacional, económica o técnica. Es aquel riesgo donde la probabilidad que
ocurra es muy alta. El nivel de este riesgo puede bajar a la región ALARP, excepto
en circunstancias excepcionales.
Peligro (fuente de riesgo): Es la fuente de daño potencial o situación con potencial
de ocasionar daños.
Perfil del Riesgo: Descripción de cualquier conjunto de riesgos.
Probabilidad o Frecuencia: Posibilidad de que el evento ocurra en un periodo
determinado de tiempo.
Nota: Debe ser definido, medido o estimado de manera de manera objetiva o subjetiva,
cualitativa o cuantitativamente y se describe con términos generales o matemáticamente
(como una probabilidad en un periodo de tiempo determinado).
Riesgo: Efecto de la incertidumbre sobre el logro de los objetivos. Un efecto es una
desviación positiva y/o negativa respecto a los previsto.
Riesgo aceptable o tolerable: Aquel riesgo en el cual la probabilidad y gravedad
del impacto se han definido como baja y no se ejecutarán acciones específicas a
excepción de provisionar los gastos que incurriría la pérdida y asegurar que los
controles contemplados en la evaluación sean aplicados.
Riesgo Inherente: El riesgo existente sin presencia de controles que lo mitiguen.
Riesgo Residual: El riesgo que permanece después de que se han tomado y
realizado medidas de control.
Nivel de Efectividad de Control: Estado del control una vez evaluada su
capacidad para lograr su objetivo en base a su diseño u eficacia operacional.
Tarea: Es la acción que se realiza sólo una vez, es decir tiene un comienzo y un fin.
Las tareas se establecen dentro de un programa, tendientes a implementar nuevas
medidas de control o mejorar las existentes para lograr disminuir el riesgo residual.
Es importante que la tarea cuente con la descripción necesaria de la actividad a
realizar, responsable y fecha de cumplimiento. Cuando la tarea se ejecuta periódica
o permanentemente pasa a formar parte de un control.
Tratamiento de Riesgos: Proceso destinado a modificar el riesgo mediante la
selección e implementación de las opciones apropiadas.
Para establecer el contexto interno y externo en el que opera EMPRESA, se debe tener en
consideración, pero no estar limitado a:
Los parámetros básicos para que los riesgos sean gestionados.
Especificar las áreas de impacto o categorías para un riesgo (seguridad y salud,
medio ambiente, reputación, entorno socioeconómico, cumplimiento legal,
presupuesto, calidad, inocuidad, etc.).
La identificación de las partes interesadas, tanto internas como externas
(empleados, sindicatos, contratistas, colaboradores, clientes, organismos
fiscalizadores, comunidades, grupos de emergencia, organizaciones sociales).
Consideración de las comunidades y su cultura.
Leyes, estándares y normas aplicables y compromisos adquiridos por EMPRESA.
Ambiente comercial y financiero.
Ambiente tecnológico.
Ambiente político regional y nacional.
Los recursos disponibles (personal e instalaciones apropiadas).
La cultura organizacional.
El análisis de las estrategias, objetivos y metas.
El estado de la gestión de personas y sus competencias.
Los resultados de la gestión estratégica.
Las restricciones presupuestarias.
Los procesos y sistemas internos.
Las práctica y experiencia del área en el ámbito de gestión del riesgo, entre otros.
5.1.2 Establecer el Alcance y los Objetivos de la Gestión del Riesgo
Se debe formar el equipo de trabajo y asignar las responsabilidades para la gestión del
riesgo, las que deben ser establecidas en función de las competencias de los integrantes
del equipo y del alcance de la gestión del riesgo.
La Gerencia General de EMPRESA debe disponer de recursos necesarios para el
idoneidad de éstas.
5.1.5 Establecer los Criterios de Análisis y Evaluación del Riesgo
EMPRESA establece los criterios para determinar el nivel del riesgo y evaluar su
importancia de acuerdo a cada área de impacto.
Los criterios para analizar el riesgo guían la valoración de la probabilidad e impacto
(consecuencia) de los eventos que podrían ocurrir.
Los criterios para asignar puntuación a la probabilidad están en función de la posibilidad
de ocurrencia o frecuencia del evento.
Nota: El análisis cualitativo es utilizado cuando se ejecuta por primera vez el proceso de
gestión de riesgo, o bien cuando no existen datos suficientes para determinar la frecuencia
de un riesgo.
Impacto
Calificación 1 2 3 4 5
Estudio en el
Enfermedad
Organismo
profesional Enfermedad Enfermedad
Problema de Administrados
Salud con profesional profesional
Salud menor de la ley
incapacidad individual. colectiva.
16744
temporal.
(Mutualidad)
Daño leve de
Categoría
baja
Medioambiente
significancia y
fácil de reparar
Incumplimiento
a un requisito
Calidad del producto
que no genera
queja/reclamo
Inocuidad
Legal
Comunitario
Reputación
Operacional
//* Las categorías de riesgo deben ser establecidas en función del alcance del proceso de
gestión del riesgo, adecuado al tipo de empresa.
Los criterios para evaluar el riesgo ayudan a determinar la importancia del riesgo.
Los equipos de trabajo que apliquen la gestión del riesgo e identifiquen oportunidades de
mejoras a los criterios establecidos por EMPRESA deben comunicar oportunamente esta
información a los responsables del proceso de gestión del riesgo, quienes deben revisar
dichas oportunidades de mejora teniendo en consideración:
La naturaleza de las causas y de las consecuencias que se pueden producir.
El método de definición de probabilidad.
El método para determinar el nivel del riesgo.
Las opiniones de los grupos de interés.
El nivel al que el riesgo comienza a ser aceptable.
La necesidad de considerar combinaciones de riesgos
5.2. Identificación del Riesgo
El objetivo de esta fase es reconocer, describir y registrar los riesgos de EMPRESA, por lo
tanto se debe identificar qué puede pasar o qué situaciones se pueden presentar que
afecten positiva o negativamente el logro de los objetivos de la organización.
La identificación del riesgo, se debe realizar utilizando diferentes técnicas, definidas en el
establecimiento del contexto y en función de la naturaleza del proyecto, proceso, actividad,
producto, activo o cambio en estudio. Estas técnicas incluyen, entre otras:
1 Evaluaciones Cualitativas de Riesgo (Quality Risk Assessment - QRA)
2 Estudios de Peligros y Operatividad (HAZOP)
3 Análisis de Seguridad de Trabajo (AST)
4 Diagramas Bow Tie
5 Análisis de árbol de fallas
6 Análisis de modo de efecto y fallas (AMEF), entre otras.
Las fuentes de información utilizadas para la identificación del riesgo pueden ser, pero no
estar limitadas a:
Procesos y actividades.
Ubicación geográfica.
Revisión y análisis de incidentes.
Encuestas, informes y auditorías internas y externas.
Resultados de Inspecciones y observaciones en el lugar de trabajo.
Revisión de monitoreo específico (ruido, calidad del aire, calidad del agua,
radiación, etc.).
Controles (preventivos y
Análisis de Riesgo Inherente
mitigantes)
Calificación
Categoría Probabilidad Impacto del Riesgo Controles Responsables
Inherente
5 5 10 15 20 25
Porbabilidad
4 4 9 14 19 24
3 3 8 13 18 23
2 2 7 12 17 22
1 1 6 11 16 21
1 2 3 4 5
Impacto
capacidad de los controles para lograr el objetivo para el cual fueron diseñados. Esta
evaluación se detalla en el Anexo III.
La evaluación de los controles debe determinar si éstos logran modificar la probabilidad de
que el riesgo se concrete o logran modificar el nivel impacto del riesgos, o ambos.
Esta información permite reevaluar el riesgo y determinar el nivel de riesgo residual sobre
el cual se ejecutará la gestión del riesgo.
Calificación
Controles Responsables Efectividad Probabilidad Impacto del Riesgo
Residual
El resultado del análisis del riesgo debe ser registrado y mantenido (Ver anexo II “Matriz
de Riesgos”) para su utilización en fase de evaluación del riesgo.
Como resultado de esta fase de la gestión del riesgo, se obtiene el nivel del riesgo
(combinación del valor de la probabilidad y del impacto) inherente y el nivel del riesgo
residual el cual considera los controles actuales y su nivel de efectividad.
5.4. Evaluación del Riesgo
5.4.1. Determinar la Importancia del Riesgo
El objetivo de esta fase es examinar los resultados del análisis del riesgo para determinar
la importancia el riesgo analizado.
La importancia del riesgo está dada en tres niveles:
Alta
Media
Baja
Esta evaluación se realiza tanto para los riesgos inherente como para los riesgos
residuales, de acuerdo a la matriz de 5 niiveles de probabilidad y 5 niveles de riesgo.
1 2 3 4 5
Impacto
//* La asignación de importacia a los niveles de riesgo depende del apetito al riesgo de la
empresa, esto permite determinar el perfil de riesgo, una vez que se han sido identificados
y evaluados los riesgos del negocio. La importancia debe estar en concordancia con los
criterios de probabilidad e impacto definidos por le empresa.
Como resultado de la evaluación del riesgo se puede concluir que:
Se requiere un análisis de mayor profundidad del riesgo.
No se implementan nuevas medidas de tratamiento del riesgo y únicamente se
mantienen los controles existentes.
5.4.2. Priorización del Riesgo
Basados en el nivel e importancia del riesgo los responsables de la gestión deben elaborar
un listado de los riesgos, ordenado de mayor a menor que les permitirá definir aquellos de
mayor de importancia sobre los cuales deberán implementar medidas de tratamiento.
Se debe centrar la atención en lo crítico, de acuerdo a los niveles de aceptación
establecidos por EMPRESA.
5.4.3. Decisión de Tolerancia
Se debe comparar el nivel e importancia del riesgo con los criterios de aceptación
establecidos por EMPRESA, para posteriormente considerar el balance entre los
beneficios potenciales y los resultados adversos al implementar medidas de tratamiento.
Esto posibilita que se tomen las decisiones adecuadas sobre el alcance y naturaleza de
las medidas que modifican el riesgo (controles) y sobre las prioridades al implementar
aquellas medidas.
Región
Ampliamente
Riesgo Bajo Aceptable
No se requieren medidas de
tratamiento adicionales excepto
Bajo mantener los controles a actuales
Riesgo Inaceptable
EMPRESA establece que para los riesgos, cuyo nivel de riesgo residual tiene una
importancia Alta (color rojo), se debe desarrollar e implementar planes de acción y/o
tareas documentadas para mejorar el nivel del riesgo y sus controles actuales.
EMPRESA establece que para aquellos riesgos, cuyo nivel de riesgo residual tiene una
importancia Alta (color rojo) que no se puede modificar con la aplicación de controles, se
deben diseñar y documentar planes de emergencia, planes gestión de crisis y planes
continuidad del negocio como medida preventiva frente a la materialización del riesgo.
Riesgo Aceptable
dependen de la efectividad de los controles actuales y del riesgo residual. Esto implica
que, mientras mayor es el nivel e importancia del riesgo residual, más efectivos necesitan
ser los controles.
En este contexto, el tratamiento del riesgo supone un proceso cíclico, que considera:
Evaluar un tratamiento del riesgo
Decidir si los niveles de riesgos residual son tolerables
Si no son tolerables, generar un nuevo tratamiento del riesgo y
Evaluar los controles existentes
En esta fase el riesgo debe ser interpretado en su contexto más amplio, ya que en algunos
casos las causas pueden ser no controlables, tales como eventos naturales: terremotos,
tormentas, etc.
Por tanto, aún cuando se deben concentrar los esfuerzos en la identificación e
implementación de medidas preventivas orientadas a las causas que generarían los
eventos, no pueden ni deben limitarse sólo a este espectro.
Por consiguiente, este tratamiento debe considerar la posibilidad de falla de los controles
preventivos, por lo que, en el plan de implementación debe definir y accionar un conjunto
equilibrado de controles que atiendan los tres elementos claves de:
Prevención (cómo detener las causas de un evento asociado al peligro)
Predicción (cuán efectivos son los controles)
Corrección (en caso de un evento, cómo se minimizarán las consecuencias)
Prevención Recuperación
Antes Después
Causa Consecuencia
Causa 1 Consecuencia 1
Causa 2 Consecuencia2
Causa 3 Consecuencia3
Causa N Consecuencia N
Controles Controles
Preven vo Reac vos
Detec vo
Esquema de tipología de controles de riesgo
Respecto de la toma de decisiones de tratamiento del riesgo se debe considerar el
contexto más amplio del riesgo y la tolerancia al riesgo por otras partes diferentes a la
organización que se pueden ver impactadas positiva o negativamente por éstos.
Así también las decisiones deben tener en consideración los requisitos legales, normativos
y otros requistos adscritos voluntariamente.
Es posible que un riesgo tenga baja importancia, sin embargo, si éste está asociado a un
requisitos legal debe ser tratado a la brevedad.
5.5.1. Jerarquía de Controles
Cuando se examinan propuestas u opciones para el tratamiento del riesgo, se debe aplicar
la siguiente jerarquía general:
Mas eficiente en la
eliminación /
Eliminación
control de peligros y
riesgos
Sustitución
Aislamiento
Ingeniería
Administración / Capacitación
Para aplicar este modelo de jerarquía de los controles, el equipo de estudio, puede
apoyarse en las siguientes preguntas guías:
¿Es posible rediseñar el enfoque, el proceso, el proyecto, la estructura, la planta, o
la tarea, para eliminar estos riesgos?
¿Es posible sustituir materiales, equipos o procesos por otros menos peligrosos?
¿Es posible brindar barreras físicas construidas para aislar el peligro de la gente?
¿Hay políticas, estándares y procedimiento de trabajo establecidos para minimizar
los riesgos?
¿Se debe usar EPP como protección adicional?
¿Qué controles se requiere para atender los factores de conducta humana y
organizacional?
Es esencial reconocer que ningún control es totalmente efectivo y que mientras los
controles mas dependen de la acción humana menos efectivos serán cuando se
requieran.
Se necesita por lo menos de dos barreras efectivas para cada riesgo, de modo de
garantizar un nivel de control aceptable.
Las opciones de tratamiento del riesgo deben tener en consideración el equilibrio entre los
costos y los esfuerzos de implementación, así como las ventajas que se obtengan en el
marco de cumplimiento de los requisitos legales y normativos aplicables a EMPRESA.
La toma de decisiones de tratamiento del riesgo debe tener en consideración los riesgos
cuyo tratamiento no es justificable desde el punto de vista económico.
Por otro lado las opciones de tratamiento no son excluyentes unas de otras, ni son
apropiadas en todas las circunstancias. Por lo que se puede tener opciones para:
Evitar el riesgo (No iniciar o continuar con una actividad)
Aceptar o aumentar el riesgo (Oportunidad)
Eliminar la fuente de Riesgo
Modificar la probabilidad
Modificar la consecuencia
Compartir el riesgo con otras partes
Retener el riesgo en base a una decisión informada.
Las opciones de tratamiento del riesgo pueden modificar, tanto la probabilidad (medidas
preventivas y de detección) como las consecuencias (medidas mitigantes).
5.5.3. Plan de Tratamiento
El plan de tratamiento debe identificar con claridad el orden de prioridad con que se deben
implementar las opciones de tratamiento del riesgo.
Dado que las medidas para el tratamiento del riesgo pueden introducir nuevos riesgos
debido al fallo o ineficiencias de éstas, se requiere que el seguimiento y revisión sea
considerado en el plan de tratamiento.
En el caso que el tratamiento del riesgo introduzca riesgos secundarios, estos deben ser
incorporados al plan de tratamiento del riesgo original y no tratarse como riesgos nuevos,
identificando la relación entre los dos riesgos (original y secundario).
Al detectarse nuevos riesgos, estos se gestionarán separadamente.
5.5.4. Preparación e Implementación de Planes de Tratamiento del Riesgo
Se deberá analizar y reportar los resultados de la gestión del riesgo a las instancias
correspondientes. Los reportes a entregar estarán en función de la necesidad de toma de
decisiones y revisiones de las gerencias de área y gerencia general.
5.6.3. Seguimiento y Revisión del Proceso de Gestión del Riesgo
Los indicadores clave de riesgo son métricas que aportan información útil acerca de los
riesgos potenciales que pueden tener un impacto en el logro de los objetivos. Actúan como
señales de alertas tempranas, proporcionando la capacidad para indicar los cambios en el
perfil de riesgo.
Se debe determinar el umbral del KRI, que indica el valor límite que puede presentar la
medida escogida.
Los KRIs deben ser determinados a partir de los objetivos de negocio de EMPRESA y los
eventos relacionados con el riesgo que pueden afectar a la consecución de esos objetivos.
La clara vinculación de los principales riesgos a los ejes estratégicos de EMPRESA
ayudará a identificar la información más relevante que puede servir como un indicador
eficaz de un riesgo emergente.
Los KRI pueden ayudar a:
Activar alertas tempranas cuando el riesgo aumente, ante el aumento de la
frecuencia de incidentes, y/o si los incidentes se hacen más graves.
Evaluar la efectividad de los controles, las mejoras de ellos y los esfuerzos de
mitigación de riesgos
Aumentar la conciencia de riesgo a través de informes.
Potencialmente predecir tasas de pérdidas
//*A modo de ejemplo, supongamos que EMPRESA está preocupada por el riesgo que la
organización no cuente con el personal adecuado para cumplir con sus objetivos. En el
desarrollo del KRI para ayudar a controlar la gestión del riesgo, se puede establecer una
medida en la organización que permita monitorear la rotación del personal, e incluso
establecer una medida ponderada considerando puestos que sean más críticos para la
Compañía.
En la medición del indicador, si los valores arrojados se acercan al umbral (límites)
definido, se debe cuestionar la efectividad de los controles asociados al riesgo, o bien, da
tiempo a la empresa para implementar una acción adicional con el fin de modificar el
riesgo.
7.- ANEXOS