LOGO

PROC-XX
CONTROL DE DOCUMENTOS
Rev.XX

Firma Fecha

Realizado por DD-MM-AA

Aprobado por DD-MM-AA

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Índice
1.- OBJETIVO ...................................................................................................................... 4
2. ALCANCE ........................................................................................................................ 4
3.- RESPONSABILIDADES ................................................................................................. 4
4.- DEFINICIONES ............................................................................................................... 5
5.- RECURSOS NECESARIOS ........................................................................................... 8
6.- DESCRIPCIÓN DE LA ACTIVIDAD ............................................................................... 8
5.1 Establecimiento del Contexto ............................................................................................. 8
5.1.1 Establecer el Contexto Interno y Externo de la Gestión del Riesgo................................. 9
5.1.2 Establecer el Alcance y los Objetivos de la Gestión del Riesgo ...................................... 9
5.1.3 Establecer las Responsabilidades y Recursos ................................................................ 9
5.1.4 Establecer Metodologías y Técnicas............................................................................. 10
5.1.5 Establecer los Criterios de Análisis y Evaluación del Riesgo ........................................ 11
5.2. Identificación del Riesgo.................................................................................................. 13
5.3. Análisis del Riesgo ........................................................................................................... 14
5.4. Evaluación del Riesgo ...................................................................................................... 16
5.4.1. Determinar la Importancia del Riesgo .......................................................................... 16
5.4.2. Priorización del Riesgo ................................................................................................ 17
5.4.3. Decisión de Tolerancia ................................................................................................ 17
5.5. Tratamiento de Riesgos ................................................................................................... 19
5.5.1. Jerarquía de Controles ................................................................................................ 21
5.5.2. Selección de Opciones de Tratamiento........................................................................ 23
5.5.3. Plan de Tratamiento..................................................................................................... 23
5.5.4. Preparación e Implementación de Planes de Tratamiento del Riesgo ......................... 23
5.6. Seguimiento y Revisión ................................................................................................... 24
5.6.1. Seguimiento y Revisión de Riesgos ............................................................................. 24
5.6.2. Reportabilidad.............................................................................................................. 25
5.6.3. Seguimiento y Revisión del Proceso de Gestión del Riesgo ........................................ 25
5.6.4. Medición de indicadores clave de riesgo (KRI) ............................................................ 26
5.7. Comunicación y Consulta ................................................................................................ 27
7.- ANEXOS ....................................................................................................................... 28

Código XX-YY-ZZ-00N Página 2 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Control de Cambios

Fecha de
Rev. Observaciones
Modificación

Código XX-YY-ZZ-00N Página 3 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

1.- OBJETIVO

Establecer una metodología para identificar, analizar, evaluar, tratar, realizar seguimiento y
revisar los riesgos del contexto interno y externo de EMPRESA, para controlar los factores
e influencias que afecten el logro de los objetivos del negocio.

2. ALCANCE

Este procedimiento tiene carácter obligatorio y es aplicable a todo el ciclo de vida del
negocio, incluyendo actividades, procesos, proyectos, planes y activos de EMPRESA, así
como a empresas colaboradoras, sub-contratistas y proveedoras de bienes y servicios.

3.- RESPONSABILIDADES

El Gerente es responsable de:

 Liderar la gestión de los riesgos clave de EMPRESA.
 Disponer de los recursos necesarios para el desarrollo de la gestión de riesgos de
EMPRESA.
 Velar por el cumplimientos de los requisitos legales y otros requisitos aplicables.
 Rendir cuenta de los resultados de los riesgos clave de EMPRESA.
 Revisar periódicamente los riesgos clave y los resultados de la gestión de estos.
 Asegurar que se considera la información de la gestión de riesgos en la definición de
estrategias, objetivos y metas, así como en la formulación de planes de gestión.
 Revisar, aprobar y conocer del estado de los planes emergencia, crisis y de
continuidad del negocio para los riesgos clave.
 Asegurar que el personal conozca la responsabilidad de mantener un control interno
de la gestión del riesgo, a fin de lograr los objetivos personales, del grupo de trabajo y
de EMPRESA.
 Tomar decisiones respecto del tratamiento de los riesgos clave vinculado a los
procesos de EMPRESA.
Los Dueños de Proceso son responsable de:
 Aplicar este procedimiento para la gestión de los riesgos identificados en sus
proyectos, procesos, subprocesos y actividades.
 Rendir cuenta sobre la gestión del riesgo de su área.
 Revisar el tratamiento de los riesgos bajo su responsabilidad y fiscalizar el
cumplimiento de los controles y tareas.
 Difundir los riesgos asociados a las operaciones, procesos y actividades realizados en
sus áreas.

Código XX-YY-ZZ-00N Página 4 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

 Gestionar los riesgos de los procesos, subprocesos y actividades a su cargo.

 Verificar la efectividad de los controles a los riesgos clave y de proceso.
El Encargado de la Gestión del Riesgo es responsable de:
 Coordinar y dirigir la identificación de riesgos de proceso y riesgos clave de
EMPRESA.
 Gestionar los controles del riesgo de las áreas de EMPRESA.
 Revisar la implementación de los controles.
 Actualizar los riesgos e implementar mejoras a los controles, y de ser necesario
diseñar nuevos controles en conjunto con un equipo multidisciplinario.
 Coordinar tareas de identificación de necesidades de capacitación y actividades de
capacitación en riesgo.
 Controlar e informar periódicamente a su superior inmediato los resultados de la
gestión del riesgo.
 Levantar y actualizar los diagramas de proceso de cada área de EMPRESA.
Los Trabajadores son responsables de:
 Participar activamente en la identificación, evaluación y control de los riesgos.
 Participar activamente en actividades de capacitación en temas de gestión del riesgo.
 Comunicar a su superior inmediato los riesgos y oportunidades de mejora que
identifique.
 Cumplir con los procedimientos o instructivos que correspondan.
Las Empresa de Servicios son responsables de:
 Dar cumplimiento a los requerimientos y prácticas de gestión del riesgo de
EMPRESA.
 Proporcionar capacitación a su personal en temas de gestión del riesgo.
 Comunicar al administrador de contrato de EMPRESA los riesgos identificados en la
actividades bajo su control.

4.- DEFINICIONES

 ALARP (As Low As is Reasonably Practicable): Nivel de riesgo que es tolerable,

pero que debe ser reducido hasta el punto en que dicha reducción implica incurrir en
costos que estén en gran desproporción con relación al beneficio obtenido o que no
sea factible desde un punto de vista técnico.
 Análisis del Riesgo: proceso que permite comprender la naturaleza del riesgo y
determinar el nivel de riesgo, a través del uso sistemático de información disponible.

Código XX-YY-ZZ-00N Página 5 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

 Análisis Cualitativo del Riesgo: Se usa principalmente cuando no se dispone de

datos muy detallados o para un estudio inicial. Este análisis se usa en las etapas
conceptuales de un proyecto o cuando se está estableciendo un nuevo registro de
riesgos para un área u operación.
 Análisis Cuantitativo del Riesgo: Permite la comparación numérica del nivel de
riesgo y los criterios de aceptación del riesgo establecidos.
 Apetito al Riesgo: Cantidad de riesgo a nivel global, que la gerencia de una empresa
está dispuesta a aceptar en el logro de sus objetivos.
 Control: Medida que modifica un riesgo.
 Control Manual: Corresponden a actividades que requieren la intervención
humana para ejecutarse.
 Control Automático: Aquellos controles que realizan los sistemas en forma
programable, no requieren de una intervención humana para ser ejecutados.
 Control Semiautomático: Son aquellos controles que presentan una combinación
de actividades manuales y automáticas.
 Control Preventivo: Acción con el objeto de evitar la ocurrencias de eventos que
afecten el cumplimiento de los objetivos.
 Control Detectivo: Acción con el objetivo de detectar fallas en los controles
preventivos.
 Control Correctivo: Acción con el objetivo de corregir el impacto cuando un riesgo
se materializa. Estos controles sólo se ejecutan excepcionalmente.
 Contexto de Riesgos: Define los parámetros básicos dentro de los cuales los
riesgos serán administrados, y establece el alcance para el resto del proceso de
gestión del riesgo. El contexto incluye el entorno externo e interno en el cual la
organización busca alcanzar sus objetivos.
 Dueño del riesgo: Persona o entidad que tiene la responsabilidad y autoridad para
gestionar un riesgo.
 Evaluación del Riesgo: Es el proceso usado para determinar las prioridades de
manejo de riesgos, evaluando y comparando el nivel de riesgo contra criterios
previamente establecidos para determinar si el riesgo y/o su magnitud es aceptable
o tolerable.
 Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
Nota: Un evento puede ser único o repetirse y se puede deber a varias causas.
 Gestión del Riesgo: Actividades coordinadas para dirigir y controlar los riesgos en
una organización.
 Impacto, Consecuencia o Daño: Resultado de la materialización de un evento que
afecta en forma negativa o positiva los objetivos.

Código XX-YY-ZZ-00N Página 6 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

 Incidente: Cualquier evento que da lugar a o que tiene el potencial de producir una
lesión, enfermedad, daño u otra pérdida a personas, medio ambiente, comunidad o
una combinación de estas.
 Nivel de Riesgo: Magnitud de un riesgo o combinación de éstos, expresados en
términos de la combinación de los impactos y probabilidad.
 Nivel de Riesgo Inaceptable: Nivel de riesgo que no tiene justificación, ya sea por
la vía operacional, económica o técnica. Es aquel riesgo donde la probabilidad que
ocurra es muy alta. El nivel de este riesgo puede bajar a la región ALARP, excepto
en circunstancias excepcionales.
 Peligro (fuente de riesgo): Es la fuente de daño potencial o situación con potencial
de ocasionar daños.
 Perfil del Riesgo: Descripción de cualquier conjunto de riesgos.
 Probabilidad o Frecuencia: Posibilidad de que el evento ocurra en un periodo
determinado de tiempo.
Nota: Debe ser definido, medido o estimado de manera de manera objetiva o subjetiva,
cualitativa o cuantitativamente y se describe con términos generales o matemáticamente
(como una probabilidad en un periodo de tiempo determinado).
 Riesgo: Efecto de la incertidumbre sobre el logro de los objetivos. Un efecto es una
desviación positiva y/o negativa respecto a los previsto.
 Riesgo aceptable o tolerable: Aquel riesgo en el cual la probabilidad y gravedad
del impacto se han definido como baja y no se ejecutarán acciones específicas a
excepción de provisionar los gastos que incurriría la pérdida y asegurar que los
controles contemplados en la evaluación sean aplicados.
 Riesgo Inherente: El riesgo existente sin presencia de controles que lo mitiguen.
 Riesgo Residual: El riesgo que permanece después de que se han tomado y
realizado medidas de control.
 Nivel de Efectividad de Control: Estado del control una vez evaluada su
capacidad para lograr su objetivo en base a su diseño u eficacia operacional.
 Tarea: Es la acción que se realiza sólo una vez, es decir tiene un comienzo y un fin.
Las tareas se establecen dentro de un programa, tendientes a implementar nuevas
medidas de control o mejorar las existentes para lograr disminuir el riesgo residual.
Es importante que la tarea cuente con la descripción necesaria de la actividad a
realizar, responsable y fecha de cumplimiento. Cuando la tarea se ejecuta periódica
o permanentemente pasa a formar parte de un control.
 Tratamiento de Riesgos: Proceso destinado a modificar el riesgo mediante la
selección e implementación de las opciones apropiadas.

Código XX-YY-ZZ-00N Página 7 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

5.- RECURSOS NECESARIOS

 Información de los proceso de negocio

 Información del contexto externo del negocio

6.- DESCRIPCIÓN DE LA ACTIVIDAD

Los riesgos asociados los procesos, actividades y productos de la EMPRESA pueden

constituir una amenaza u oportunidad para la continuidad del negocio. Por lo tanto, la
gestión del riesgo, debe considerar todo el ciclo de vida de la negocio.
El proceso de gestión del riesgo, debe estar alineado a la estrategia de la empresa y
considerar la aplicación sistemática de políticas, procesos, procedimientos, guías,
técnicas, herramientas y prácticas de acuerdo a los siguientes pasos:
 Determinación del Contexto del Riesgo
 Identificación del Riesgo
 Análisis del Riesgo (tanto riesgo inherente como riesgo residual)
 Evaluación del Riesgo (tanto riesgo inherente como riesgo residual)
 Tratamiento del Riesgo
 Seguimiento y Revisión del Riesgo
Cada una de estas fases debe ser planificada detalladamente definiendo el cómo y
cuándo se iniciará, los recursos a utilizar y las personas que participaran en ella. Así
también se debe definir el alcance, los métodos (cualitativos, semi-cuantitativo o
cuantitativo) e información a ser utilizada.
5.1 Establecimiento del Contexto
Esta fase tiene como propósito articular y comprender los objetivos de EMPRESA, definir
los parámetros internos y externos a tener en cuenta en la gestión del riesgo, establecer el
alcance de la gestión del riesgo y definir los métodos a utilizar.
Los elementos del contexto, se establecen para cada ejercicio de gestión del riesgo, es
decir, antes de iniciar la identificación del riesgo se debería:
 Establecer el contexto interno y contexto externo de la Gestión del Riesgo.
 Establecer el alcance (proyecto, área, procesos, entre otros) y objetivos de gestión
del riesgo.
 Establecer las responsabilidades y recursos.
 Establecer las metodologías y técnicas.
 Establecer los criterios de análisis y evaluación del riesgo

Código XX-YY-ZZ-00N Página 8 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

5.1.1 Establecer el Contexto Interno y Externo de la Gestión del Riesgo

Para establecer el contexto interno y externo en el que opera EMPRESA, se debe tener en
consideración, pero no estar limitado a:
 Los parámetros básicos para que los riesgos sean gestionados.
 Especificar las áreas de impacto o categorías para un riesgo (seguridad y salud,
medio ambiente, reputación, entorno socioeconómico, cumplimiento legal,
presupuesto, calidad, inocuidad, etc.).
 La identificación de las partes interesadas, tanto internas como externas
(empleados, sindicatos, contratistas, colaboradores, clientes, organismos
fiscalizadores, comunidades, grupos de emergencia, organizaciones sociales).
 Consideración de las comunidades y su cultura.
 Leyes, estándares y normas aplicables y compromisos adquiridos por EMPRESA.
 Ambiente comercial y financiero.
 Ambiente tecnológico.
 Ambiente político regional y nacional.
 Los recursos disponibles (personal e instalaciones apropiadas).
 La cultura organizacional.
 El análisis de las estrategias, objetivos y metas.
 El estado de la gestión de personas y sus competencias.
 Los resultados de la gestión estratégica.
 Las restricciones presupuestarias.
 Los procesos y sistemas internos.
 Las práctica y experiencia del área en el ámbito de gestión del riesgo, entre otros.
5.1.2 Establecer el Alcance y los Objetivos de la Gestión del Riesgo

Se debe establecer el alcance de la gestión del riesgo en términos de proyectos, áreas,

procesos, activos, objetivos, planes, estrategias u otro elemento en donde se aplicará la
gestión del riesgo.
Una vez establecido el alcance, se deben establecer los objetivos que se pretende
alcanzar con la gestión del riesgos, alineados a la estrategia de EMPRESA.
5.1.3 Establecer las Responsabilidades y Recursos

Se debe formar el equipo de trabajo y asignar las responsabilidades para la gestión del
riesgo, las que deben ser establecidas en función de las competencias de los integrantes
del equipo y del alcance de la gestión del riesgo.
La Gerencia General de EMPRESA debe disponer de recursos necesarios para el

Código XX-YY-ZZ-00N Página 9 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

tratamiento de los riesgos y la ejecución del seguimiento y revisión.

Los recursos incluyen la asignación de tiempo al equipo de trabajo y la asignación de
recursos financieros en el caso de ser necesario.
5.1.4 Establecer Metodologías y Técnicas

La gestión del riesgo incluye la aplicación de métodos y técnicas sistemáticas para:

 comunicar y consultar a lo largo de todo el proceso;
 establecer el contexto, la identificación, análisis, evaluación, tratamiento del riesgo
asociado con cualquier proyecto, proceso, actividad, activo o producto;
 realizar seguimiento y revisar los objetivos;
 informar y registrar los resultados de manera apropiada.
Las metodologías y técnicas a utilizar en el proceso de gestión del riesgo deben estar en
función de:
 El alcance de la gestión del riesgo.
 Los objetivos de gestión del riesgo.
 La necesidad de los resultados del análisis y evaluación del riesgo, para la toma de
decisiones.
 Los tipos de riesgo a analizar.
 Posible magnitud de las consecuencias.
 La profundidad del análisis, evaluación y tratamiento del riesgo.
 La complejidad de los procesos y actividades.
 La competencia del equipo de trabajo.
 El grado de conocimientos técnicos, de recursos humanos y de otros tipos que se
necesitan
 Los resultados previos de la gestión del riesgo.
 La disponibilidad de información y de datos.
 Requisitos legales y contractuales.
En términos generales, los métodos y las técnicas adecuadas deben tener las siguientes
características:
 Deben ser justificables y apropiadas a la situación, proyecto, área o proceso que se
está considerando;
 Debe proporcionar resultados de una forma que mejoren la comprensión de la
naturaleza del riesgo y de cómo se puede tratar;
 Se deben poder utilizar de una manera que sea trazable, reproducible y verificable.
Se debe justificar la elección de métodos y técnicas, en cuanto a la importancia y a la

Código XX-YY-ZZ-00N Página 10 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

idoneidad de éstas.
5.1.5 Establecer los Criterios de Análisis y Evaluación del Riesgo

EMPRESA establece los criterios para determinar el nivel del riesgo y evaluar su
importancia de acuerdo a cada área de impacto.
Los criterios para analizar el riesgo guían la valoración de la probabilidad e impacto
(consecuencia) de los eventos que podrían ocurrir.
Los criterios para asignar puntuación a la probabilidad están en función de la posibilidad
de ocurrencia o frecuencia del evento.

Valoración Calificación Probabilidad Cualitativa Probabilidad Cuantitativa

Es posible que ocurra en Ha ocurrido más de una

Muy Alta 5
todas las ocasiones vez por año

Es posible que ocurra las

Alta 4 Ha ocurrido una vez al año
mayoría de la ocasiones

Es posible que ocurra en Ha ocurrido una vez cada

Media 3
alguna ocasión YY años

Es poco posible que Ha ocurrido una vez cada

Baja 2
ocurra en alguna ocasión XX años

Es posible que ocurra

No ha ocurrido en los
Muy Baja 1 bajo circunstancias
últimos XX años
extraordinarias

Nota: El análisis cualitativo es utilizado cuando se ejecuta por primera vez el proceso de
gestión de riesgo, o bien cuando no existen datos suficientes para determinar la frecuencia
de un riesgo.

Código XX-YY-ZZ-00N Página 11 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Los criterios para asignar puntuación de impacto depende de la magnitud de la

consecuencia y del área de impacto que se está analizando (por ejemplo, medio ambiente,
seguridad y salud, cumplimiento legal, calidad, inocuidad entre otros).

Impacto

Calificación 1 2 3 4 5

Valoración Leve Menor Moderado Mayor Catastrófico

Lesión
Lesión menor profesional con Lesión profesional
Lesión sin Lesión con
que no consecuencia con consecuencia
tratamiento tratamiento
Seguridad requiere de muerte o de muerte o
médico. Sin médico. Con
atención incapacidad. incapacidad total.
tiempo perdido tiempo perdido
sanitaria Fatalidad Fatalidad Múltiple
Individual

Estudio en el
Enfermedad
Organismo
profesional Enfermedad Enfermedad
Problema de Administrados
Salud con profesional profesional
Salud menor de la ley
incapacidad individual. colectiva.
16744
temporal.
(Mutualidad)

Daño leve de
Categoría

baja
Medioambiente
significancia y
fácil de reparar

Incumplimiento
a un requisito
Calidad del producto
que no genera
queja/reclamo

Inocuidad

Legal

Comunitario

Reputación

Operacional

//* Las categorías de riesgo deben ser establecidas en función del alcance del proceso de
gestión del riesgo, adecuado al tipo de empresa.

Código XX-YY-ZZ-00N Página 12 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Los criterios para evaluar el riesgo ayudan a determinar la importancia del riesgo.
Los equipos de trabajo que apliquen la gestión del riesgo e identifiquen oportunidades de
mejoras a los criterios establecidos por EMPRESA deben comunicar oportunamente esta
información a los responsables del proceso de gestión del riesgo, quienes deben revisar
dichas oportunidades de mejora teniendo en consideración:
 La naturaleza de las causas y de las consecuencias que se pueden producir.
 El método de definición de probabilidad.
 El método para determinar el nivel del riesgo.
 Las opiniones de los grupos de interés.
 El nivel al que el riesgo comienza a ser aceptable.
 La necesidad de considerar combinaciones de riesgos
5.2. Identificación del Riesgo
El objetivo de esta fase es reconocer, describir y registrar los riesgos de EMPRESA, por lo
tanto se debe identificar qué puede pasar o qué situaciones se pueden presentar que
afecten positiva o negativamente el logro de los objetivos de la organización.
La identificación del riesgo, se debe realizar utilizando diferentes técnicas, definidas en el
establecimiento del contexto y en función de la naturaleza del proyecto, proceso, actividad,
producto, activo o cambio en estudio. Estas técnicas incluyen, entre otras:
1 Evaluaciones Cualitativas de Riesgo (Quality Risk Assessment - QRA)
2 Estudios de Peligros y Operatividad (HAZOP)
3 Análisis de Seguridad de Trabajo (AST)
4 Diagramas Bow Tie
5 Análisis de árbol de fallas
6 Análisis de modo de efecto y fallas (AMEF), entre otras.
Las fuentes de información utilizadas para la identificación del riesgo pueden ser, pero no
estar limitadas a:
 Procesos y actividades.
 Ubicación geográfica.
 Revisión y análisis de incidentes.
 Encuestas, informes y auditorías internas y externas.
 Resultados de Inspecciones y observaciones en el lugar de trabajo.
 Revisión de monitoreo específico (ruido, calidad del aire, calidad del agua,
radiación, etc.).

Código XX-YY-ZZ-00N Página 13 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

 Resultados de simulacro, ejercicio y/o entrenamiento de emergencia y crisis.

 Cambios a la Legislación y normativa aplicable.
 Información de los diseñadores, fabricantes, proveedores de equipo y otros.
 Cualquier cambio que implique una modificación, actualización, incorporación o
eliminación de las condiciones de operación actuales.
 Aspectos e impactos ambientales de los procesos, subproceso, actividades,
proyectos, planes, cambios, productos y servicios de EMPRESA (Ver Anexo F).
Esta etapa involucra identificar la fuente de riesgo (peligro), identificar el evento que podría
ocurrir (riesgo), identificar la o las áreas de impacto (seguridad, salud, medioambiente,
calidad, legal, entre otros), identificar las causas y las consecuencias potenciales asociado
al evento de acuerdo al área de impacto.
Para que la etapa de identificación sea efectiva, todos los interesados deben estar
involucrados y los miembros del equipo de estudio, deben ser experimentados y
conocedores de la naturaleza del proyecto, del proceso, subproceso, actividad o activo en
estudio.

Proceso Actividad Peligro Riesgo Causas Consecuencias

5.3. Análisis del Riesgo

El objetivo de esta etapa es lograr la comprensión del riesgo y sus controles, así como
generar elementos de entrada para la evaluación de éstos y para la toma de decisiones
respecto del tratamiento (definición de estrategias y métodos para modificar el riesgo) del
riesgo.
El análisis del riesgo debe tener en consideración:
 La fuente del riesgo;
 Sus causas;
 Sus consecuencias positivas y negativas;
 La categoría del riesgo;
 La probabilidad de ocurrencia;
 La identificación y descripción de los controles existentes.
 Los factores que pueden afectar la probabilidad y la consecuencias
 Otros atributos del riesgo.

Código XX-YY-ZZ-00N Página 14 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Controles (preventivos y
Análisis de Riesgo Inherente
mitigantes)

Calificación
Categoría Probabilidad Impacto del Riesgo Controles Responsables
Inherente

El análisis de la información del riesgo permite determinar el nivel de riesgo inherente o

neto, el cual no considera los controles existente.
El nivel del riesgo (Nr= P x I) se determina aplicando los criterios de probabilidad e
impacto asociado a la categoría de riesgo (área de impacto), este análisis semi-
cuantitativo se realiza mediante una matriz con 5 niveles de impacto y 5 niveles de
probabilidad.

5 5 10 15 20 25
Porbabilidad

4 4 9 14 19 24

3 3 8 13 18 23

2 2 7 12 17 22

1 1 6 11 16 21

1 2 3 4 5

Impacto

El análisis de la probabilidad (P), debe considerar tanto la probabilidad cualitativa

(posibilidad de ocurrencia) y la probabilidad cuantitativa (frecuencia de ocurrencia).
El análisis del impacto (I) o consecuencia, debe considerar tanto qué o quién está
expuesto (personas, ecosistema, equipos, negocio, reputación, etc.), como el qué tan
grave será el impacto o el daño (leve, menor, moderado, mayor, catastrófico).
Una vez conocido en nivel de riesgo inherente, se identifican los controles implementados
para el riesgo a objeto de determinar su nivel de efectividad, es decir, determinar la

Código XX-YY-ZZ-00N Página 15 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

capacidad de los controles para lograr el objetivo para el cual fueron diseñados. Esta
evaluación se detalla en el Anexo III.
La evaluación de los controles debe determinar si éstos logran modificar la probabilidad de
que el riesgo se concrete o logran modificar el nivel impacto del riesgos, o ambos.
Esta información permite reevaluar el riesgo y determinar el nivel de riesgo residual sobre
el cual se ejecutará la gestión del riesgo.

Controles (preventivos y mitigantes) Análisis de Riesgo Residual

Calificación
Controles Responsables Efectividad Probabilidad Impacto del Riesgo
Residual

El resultado del análisis del riesgo debe ser registrado y mantenido (Ver anexo II “Matriz
de Riesgos”) para su utilización en fase de evaluación del riesgo.
Como resultado de esta fase de la gestión del riesgo, se obtiene el nivel del riesgo
(combinación del valor de la probabilidad y del impacto) inherente y el nivel del riesgo
residual el cual considera los controles actuales y su nivel de efectividad.
5.4. Evaluación del Riesgo
5.4.1. Determinar la Importancia del Riesgo

El objetivo de esta fase es examinar los resultados del análisis del riesgo para determinar
la importancia el riesgo analizado.
La importancia del riesgo está dada en tres niveles:

Alta

Media

Baja

Esta evaluación se realiza tanto para los riesgos inherente como para los riesgos
residuales, de acuerdo a la matriz de 5 niiveles de probabilidad y 5 niveles de riesgo.

Código XX-YY-ZZ-00N Página 16 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

5 M5 A10 A15 A20 A25

Porbabilidad

4 M4 M9 A14 A19 A24

3 B3 M8 M13 A18 A23

2 B2 B7 M12 M17 A22

1 B1 B6 B11 M16 A21

1 2 3 4 5

Impacto

//* La asignación de importacia a los niveles de riesgo depende del apetito al riesgo de la
empresa, esto permite determinar el perfil de riesgo, una vez que se han sido identificados
y evaluados los riesgos del negocio. La importancia debe estar en concordancia con los
criterios de probabilidad e impacto definidos por le empresa.
Como resultado de la evaluación del riesgo se puede concluir que:
 Se requiere un análisis de mayor profundidad del riesgo.
 No se implementan nuevas medidas de tratamiento del riesgo y únicamente se
mantienen los controles existentes.
5.4.2. Priorización del Riesgo

Basados en el nivel e importancia del riesgo los responsables de la gestión deben elaborar
un listado de los riesgos, ordenado de mayor a menor que les permitirá definir aquellos de
mayor de importancia sobre los cuales deberán implementar medidas de tratamiento.
Se debe centrar la atención en lo crítico, de acuerdo a los niveles de aceptación
establecidos por EMPRESA.
5.4.3. Decisión de Tolerancia

Se debe comparar el nivel e importancia del riesgo con los criterios de aceptación
establecidos por EMPRESA, para posteriormente considerar el balance entre los
beneficios potenciales y los resultados adversos al implementar medidas de tratamiento.
Esto posibilita que se tomen las decisiones adecuadas sobre el alcance y naturaleza de
las medidas que modifican el riesgo (controles) y sobre las prioridades al implementar
aquellas medidas.

Código XX-YY-ZZ-00N Página 17 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Nivel del Riesgo

Riesgo Alto El riesgo no puede ser aceptado

(excepto en circunstancias
extraordinarias)
Región Inaceptable

El riesgo es aceptable solo sí la reducción es

Riesgo Moderado impracticable o los costos son
Se requiere un sistema para desproporcionados en relación a los beneficios
asegurar que los riesgos son obtenidos
Región Aceptable
periódicamente revisados para
determinar si se requieren
controles adicionales.
El riesgo es aceptable si los costos exceden los
beneficios obtenidos

Región
Ampliamente
Riesgo Bajo Aceptable
No se requieren medidas de
tratamiento adicionales excepto
Bajo mantener los controles a actuales

Riesgo Inaceptable
EMPRESA establece que para los riesgos, cuyo nivel de riesgo residual tiene una
importancia Alta (color rojo), se debe desarrollar e implementar planes de acción y/o
tareas documentadas para mejorar el nivel del riesgo y sus controles actuales.
EMPRESA establece que para aquellos riesgos, cuyo nivel de riesgo residual tiene una
importancia Alta (color rojo) que no se puede modificar con la aplicación de controles, se
deben diseñar y documentar planes de emergencia, planes gestión de crisis y planes
continuidad del negocio como medida preventiva frente a la materialización del riesgo.
Riesgo Aceptable

Código XX-YY-ZZ-00N Página 18 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

El riesgo aceptable se define como aquel que requiere la incorporación de controles

adicionales siempre que esto no resulte impracticable en relación a que los costos de
dichas medidas sean desproporcionados en relación al beneficio obtenido.
Por lo tanto, se debe justificar (técnica y económicamente) la decisión de no incorporar
nuevas medidas de control. Para esto se pueden utilizar dos preguntas prácticas:
 ¿Qué más se puede hacer?
 ¿Por qué no se haría?
Para que un riesgo residual se encuentre en un nivel aceptable, la operación debe
realizarse de manera que el nivel e importancia de éste:
 Se encuentre dentro de los límites aceptables
 Sea tan bajo como razonablemente practicable.
Las razones para que un riesgo residual pueda ser aceptado son:
 El nivel de riesgo residual es tan bajo, que no vale la pena aplicar ninguna
estrategia adicional de control de riesgos.
 El riesgo puede ser tal, que no exista controles adecuados disponibles.
 El costo de controlar el riesgo puede ser tan alto, que el único modo de generar un
beneficio es aceptando el riesgo, más que aplicando un tratamiento.
 Las oportunidades generadas mediante la aceptación del riesgo, pueden pesar más
que las amenazas relacionadas con el riesgo y, en consecuencia, la aplicación de
un control de riesgos puede no ser deseable.
 Los recursos pueden ser insuficientes para enfrentar el riesgo actual, aunque puede
ser necesario contar con controles para el riesgo.
 Los costos netos de otras reducciones incrementales no corresponden con respecto
a los beneficios en la reducción del riesgo.
Riesgo Ampliamente Aceptable
Es aquel cuyo nivel e importancia del riesgo residual es tan bajo que no requiere la
implementación de acciones para reducirlo aún más, pero se mantienen y revisan
periódicamente los controles actualmente implementos. La región ampliamente aceptable
tiene relación con el apetito al riesgo de EMPRESA.
5.5. Tratamiento de Riesgos
El objetivo de esta fase es seleccionar e implementar una o varias opciones para modificar
el nivel e importancia del riesgo residual. Por lo tanto las nuevas opciones de tratamiento

Código XX-YY-ZZ-00N Página 19 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

dependen de la efectividad de los controles actuales y del riesgo residual. Esto implica
que, mientras mayor es el nivel e importancia del riesgo residual, más efectivos necesitan
ser los controles.
En este contexto, el tratamiento del riesgo supone un proceso cíclico, que considera:
 Evaluar un tratamiento del riesgo
 Decidir si los niveles de riesgos residual son tolerables
 Si no son tolerables, generar un nuevo tratamiento del riesgo y
 Evaluar los controles existentes
En esta fase el riesgo debe ser interpretado en su contexto más amplio, ya que en algunos
casos las causas pueden ser no controlables, tales como eventos naturales: terremotos,
tormentas, etc.
Por tanto, aún cuando se deben concentrar los esfuerzos en la identificación e
implementación de medidas preventivas orientadas a las causas que generarían los
eventos, no pueden ni deben limitarse sólo a este espectro.
Por consiguiente, este tratamiento debe considerar la posibilidad de falla de los controles
preventivos, por lo que, en el plan de implementación debe definir y accionar un conjunto
equilibrado de controles que atiendan los tres elementos claves de:
 Prevención (cómo detener las causas de un evento asociado al peligro)
 Predicción (cuán efectivos son los controles)
 Corrección (en caso de un evento, cómo se minimizarán las consecuencias)

Código XX-YY-ZZ-00N Página 20 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Prevención Recuperación
Antes Después
Causa Consecuencia
Causa 1 Consecuencia 1

Causa 2 Consecuencia2

Causa 3 Consecuencia3

Causas Evento Resultados

potenciales
Potenciales (Riesgo)

Causa N Consecuencia N

Controles Controles
Preven vo Reac vos
Detec vo
Esquema de tipología de controles de riesgo
Respecto de la toma de decisiones de tratamiento del riesgo se debe considerar el
contexto más amplio del riesgo y la tolerancia al riesgo por otras partes diferentes a la
organización que se pueden ver impactadas positiva o negativamente por éstos.
Así también las decisiones deben tener en consideración los requisitos legales, normativos
y otros requistos adscritos voluntariamente.
Es posible que un riesgo tenga baja importancia, sin embargo, si éste está asociado a un
requisitos legal debe ser tratado a la brevedad.
5.5.1. Jerarquía de Controles

Cuando se examinan propuestas u opciones para el tratamiento del riesgo, se debe aplicar
la siguiente jerarquía general:

Código XX-YY-ZZ-00N Página 21 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Mas eficiente en la
eliminación /
Eliminación
control de peligros y
riesgos

Sustitución

Aislamiento

Ingeniería

Administración / Capacitación

Medidas Mitigantes (EPP, Auditorías)

Menos
eficiente en la
eliminación /
control de
Conducta peligros y
riesgos

Para aplicar este modelo de jerarquía de los controles, el equipo de estudio, puede
apoyarse en las siguientes preguntas guías:
 ¿Es posible rediseñar el enfoque, el proceso, el proyecto, la estructura, la planta, o
la tarea, para eliminar estos riesgos?
 ¿Es posible sustituir materiales, equipos o procesos por otros menos peligrosos?
 ¿Es posible brindar barreras físicas construidas para aislar el peligro de la gente?
 ¿Hay políticas, estándares y procedimiento de trabajo establecidos para minimizar
los riesgos?
 ¿Se debe usar EPP como protección adicional?
 ¿Qué controles se requiere para atender los factores de conducta humana y
organizacional?
Es esencial reconocer que ningún control es totalmente efectivo y que mientras los
controles mas dependen de la acción humana menos efectivos serán cuando se
requieran.
Se necesita por lo menos de dos barreras efectivas para cada riesgo, de modo de
garantizar un nivel de control aceptable.

Código XX-YY-ZZ-00N Página 22 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

5.5.2. Selección de Opciones de Tratamiento

Las opciones de tratamiento del riesgo deben tener en consideración el equilibrio entre los
costos y los esfuerzos de implementación, así como las ventajas que se obtengan en el
marco de cumplimiento de los requisitos legales y normativos aplicables a EMPRESA.
La toma de decisiones de tratamiento del riesgo debe tener en consideración los riesgos
cuyo tratamiento no es justificable desde el punto de vista económico.
Por otro lado las opciones de tratamiento no son excluyentes unas de otras, ni son
apropiadas en todas las circunstancias. Por lo que se puede tener opciones para:
 Evitar el riesgo (No iniciar o continuar con una actividad)
 Aceptar o aumentar el riesgo (Oportunidad)
 Eliminar la fuente de Riesgo
 Modificar la probabilidad
 Modificar la consecuencia
 Compartir el riesgo con otras partes
 Retener el riesgo en base a una decisión informada.
Las opciones de tratamiento del riesgo pueden modificar, tanto la probabilidad (medidas
preventivas y de detección) como las consecuencias (medidas mitigantes).
5.5.3. Plan de Tratamiento

El plan de tratamiento debe identificar con claridad el orden de prioridad con que se deben
implementar las opciones de tratamiento del riesgo.
Dado que las medidas para el tratamiento del riesgo pueden introducir nuevos riesgos
debido al fallo o ineficiencias de éstas, se requiere que el seguimiento y revisión sea
considerado en el plan de tratamiento.
En el caso que el tratamiento del riesgo introduzca riesgos secundarios, estos deben ser
incorporados al plan de tratamiento del riesgo original y no tratarse como riesgos nuevos,
identificando la relación entre los dos riesgos (original y secundario).
Al detectarse nuevos riesgos, estos se gestionarán separadamente.
5.5.4. Preparación e Implementación de Planes de Tratamiento del Riesgo

El objetivo de los planes de tratamiento del riesgo es documentar la manera en como se

implementaran las opciones de tratamiento seleccionadas. La información proporcionada

Código XX-YY-ZZ-00N Página 23 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

por los planes de tratamiento del riesgo debe considerar:

 Justificación de la elección de las opciones de tratamiento, incluyendo beneficios.
 Responsables de aprobación e implementación del plan
 Acciones propuestas
 Recursos necesarios
 Medidas de desempeño y restricciones
 Requisitos de información y monitoreo
 Calendario y programación
Los planes de tratamiento del riesgo deben formar parte de los planes de gestión de
EMPRESA y cuando sea necesario se deben revisar con los grupos de interés.
5.6. Seguimiento y Revisión
5.6.1. Seguimiento y Revisión de Riesgos

El seguimiento y revisión se debe planificar en la fase de tratamiento del riesgo y

monitoreo periódico.
Los riesgos y peligros identificados que no se puedan evitar o eliminar, deben ser
seguidos y revisados sistemáticamente, puesto que riesgos de poca importancia pueden
transformarse en significativos resultado de un cambio en los procesos, sistemas o
resultado de un incidente.
Para ello, en esta etapa se deben considerar los siguientes pasos:
 Revisión y verificación de las tareas planificadas a implementar para el tratamiento
de los riesgos.
 Revisión de las opciones de tratamiento (controles) existentes.
 Evaluación de Controles, respecto del logro de los objetivos establecidos, de la
jerarquía de los controles y del tipo de control. Esta actividad se debe realizar
periódicamente. No obstante, se pueden realizar evaluaciones cada vez que se
estime necesario.
La finalidad de las acciones de seguimiento y revisión son:
 Asegurar que los controles son eficaces y eficientes
 Obtener información para mejorar la valoración del riesgo

Código XX-YY-ZZ-00N Página 24 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

 Analizar y obtener conclusiones de los eventos, cambios, tendencias, existos y

fallos.
 Detectar cambio en el contexto interno y externo.
 Identificar riesgos emergentes.
Las revisiones de los riesgo de importancia alta deben realizarse a través de reuniones
periodicas lideradas por el Gerente General, cada semestre, trimestre, donde se
retroalimenta acerca del estado de cumplimiento y avance de los planes de tratamiento de
éstos.
Los dueños de proceso deben revisar periódicamente sus riesgos, cada trimestre, mes a
través de una reunión liderada por el Gerente del Área.
Además, anualmente todas las áreas, deben actualizar en forma programada todos sus
riesgos usando la metodología descrita en este documento.
Las actualizaciones de los riesgos, deben realizarse cada vez que sea necesario y como
resultado de las revisiones asociadas a cada uno.
Cada área de EMPRESA, debe mantener una revisión regular y continúa de sus riesgos,
como parte del ciclo de gestión y más aún cuando exista un cambio o incidentes.
Se debe mantener registro de los resultados del seguimiento y revisión del riesgo, los
cuales deben ser comunicados interna y externamente cuando corresponda, esta
información debe ser utilizada para la revisión del marco de trabajo de la gestión del riesgo
de EMPRESA.
5.6.2. Reportabilidad

Se deberá analizar y reportar los resultados de la gestión del riesgo a las instancias
correspondientes. Los reportes a entregar estarán en función de la necesidad de toma de
decisiones y revisiones de las gerencias de área y gerencia general.
5.6.3. Seguimiento y Revisión del Proceso de Gestión del Riesgo

Se debe realizar el seguimiento y revisión del proceso a través de los siguientes

mecanismos con el propósito de establecer mejoras en el proceso y herramientas usadas:
 Auditorías internas y madurez del riesgo, entre otras.
 Medición de los indicadores clave de riesgo (KRI) identificados para cada área que
aportaran información acerca de los riesgos potenciales y el perfil de riesgo de la
organización.

Código XX-YY-ZZ-00N Página 25 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

 Medición de indicadores asociados al cumplimiento de los planes de

implementación de las medidas de tratamiento del riesgos.
 Medición de indicadores asociados al logro de los objetivos de gestión del riesgo.
Los resultados de este seguimiento y revisión deben ser informados al Gerente General.
5.6.4. Medición de indicadores clave de riesgo (KRI)

Los indicadores clave de riesgo son métricas que aportan información útil acerca de los
riesgos potenciales que pueden tener un impacto en el logro de los objetivos. Actúan como
señales de alertas tempranas, proporcionando la capacidad para indicar los cambios en el
perfil de riesgo.
Se debe determinar el umbral del KRI, que indica el valor límite que puede presentar la
medida escogida.
Los KRIs deben ser determinados a partir de los objetivos de negocio de EMPRESA y los
eventos relacionados con el riesgo que pueden afectar a la consecución de esos objetivos.
La clara vinculación de los principales riesgos a los ejes estratégicos de EMPRESA
ayudará a identificar la información más relevante que puede servir como un indicador
eficaz de un riesgo emergente.
Los KRI pueden ayudar a:
 Activar alertas tempranas cuando el riesgo aumente, ante el aumento de la
frecuencia de incidentes, y/o si los incidentes se hacen más graves.
 Evaluar la efectividad de los controles, las mejoras de ellos y los esfuerzos de
mitigación de riesgos
 Aumentar la conciencia de riesgo a través de informes.
 Potencialmente predecir tasas de pérdidas
//*A modo de ejemplo, supongamos que EMPRESA está preocupada por el riesgo que la
organización no cuente con el personal adecuado para cumplir con sus objetivos. En el
desarrollo del KRI para ayudar a controlar la gestión del riesgo, se puede establecer una
medida en la organización que permita monitorear la rotación del personal, e incluso
establecer una medida ponderada considerando puestos que sean más críticos para la
Compañía.
En la medición del indicador, si los valores arrojados se acercan al umbral (límites)
definido, se debe cuestionar la efectividad de los controles asociados al riesgo, o bien, da
tiempo a la empresa para implementar una acción adicional con el fin de modificar el
riesgo.

Código XX-YY-ZZ-00N Página 26 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

Se debe planificar el seguimiento y medición de los KRI y analizar los resultados

obtenidos. Los resultados deberán ser reportados a la Gerencia General para ser
revisados de acuerdo al ciclo de gestión.
Los indicadores y los resultados que evidencian desempeño de la gestión del riesgo se
deben mantener y documentar adecuadamente.
5.7. Comunicación y Consulta
Se debe comunicar y consultar (cuando corresponda) en cada fase del proceso de gestión
del riesgo, a los grupos de interés (internos y externos) la información relacionada con los
riesgos identificados y evaluados.
Los participantes pueden incluir, pero no se limitan a:
 empleados
 contratistas
 grupos de interés
 partes interesadas
 gobierno local
 organismos legislativos
 organismos regionales
La comunicación interna se realiza mediante la aplicación de las herramientas preventivas
y de comunicación que posee EMPRESA, entre las que se destacan:
 Reglamentos y Procedimientos
 Instructivos y análisis de riesgo
 Inducciones
 Reuniones
 Charlas de inducción
 Medios de difusión escrita, gráfica, audiovisual, etc.
La comunicación externa de riesgos, debe ser preparada por las Gerencias y aprobada
por el Gerente General. Adicionalmente, debe ceñirse a los procedimientos y medios de
comunicación establecidos por EMPRESA.

Código XX-YY-ZZ-00N Página 27 de 28

Este documento impreso es válido sólo por el día 15/01/2019.

 PROCEDIMIENTO
LOGO
GESTIÓN DEL RIESGO

7.- ANEXOS

 Anexo I Análisis de Contexto

 Anexo II Matriz de Riesgos
 Anexo III Plan de Continuidad del Negocio
 Anexo IV Evaluación Efectividad de Controles
 Anexo V Reportabilidad mensual, trimestral y semestral
 Anexo VI Matriz de Indicadores de Riesgo

Código XX-YY-ZZ-00N Página 28 de 28

Este documento impreso es válido sólo por el día 15/01/2019.