Anexo - PE01.03.02 Procedimiento Gestión de Riesgos

Organismo Supervisor de
PERÚ Ministerio las Contrataciones del

de Economía y Finanzas Estado
Código: PE01.03.02 Versión: 03
Ficha de procedimiento: “Gestión de riesgos”
Órgano o Unidad Orgánica Visto y Sello
Firmado digitalmente por SUAREZ

BAO Milagros Danitza FAU
Elaborado por: Unidad de Organización y Modernización 20419026809 soft
Motivo: Soy el autor del documento
Fecha: 21.10.2020 17:14:32 -05:00
Firmado digitalmente por DAVILA

CAJAHUANCA Carmen Blancy FAU
Validado por: Oficina de Planeamiento y Modernización 20419026809 soft
Fecha: 21.10.2020 18:39:14 -05:00

Oficina de Planeamiento y Modernización 20419026809 soft
Fecha: 21.10.2020 18:41:11 -05:00
Revisado por:
Firmado digitalmente por ORTEGA
POLAR Hugo Milko FAU
20419026809 soft
Oficina de Asesoría Jurídica Motivo: Soy el autor del documento
Fecha: 22.10.2020 09:00:25 -05:00
Procedimiento: Gestión de riesgos
Control de Cambios
Versión Sección / Ítem Descripción del cambio:

01 ---- Nuevo
Se actualiza la matriz de riesgo, considerando los requisitos de
---- la Norma internacional ISO 27001:2013, Sistemas de gestión
de seguridad de la información.
Se incluye el concepto de PROPIETARIO DEL RIESGO, el cual
Actividad 8
se incorpora en una celda de la matriz de riesgos.
02 Se actualiza el concepto de “Riesgo Inherente”, el cual se
Actividad 9
incorpora en la matriz de riesgos.
Se actualiza el concepto de “Riesgo Residual”, el cual se
Actividad 12
incorpora en la matriz de riesgos.
Se establece “Verificar eficacia de acciones” como actividad
Actividad 25
final del procedimiento.
Se incluye el concepto de CONTEXTO y su respectiva
Actividad 5
descripción.
Se especifica la jerarquía de controles para la gestión de
Actividad 10
riesgos de SST.
03 Actividad 13 Se agrega el campo de “OPORTUNIDADES” y su respectivo
registro en caso aplique.
Actividad 19, 20 Se agrega la opinión legal de la OAJ respecto a las matrices.
Actividad 26 - 29 Se precisa las actividades relacionado a la eficacia de las
acciones propuestas.

Firmado digitalmente por SUAREZ 20419026809 soft
BAO Milagros Danitza FAU Motivo: Doy V° B°
20419026809 soft Fecha: 21.10.2020 18:41:35 -05:00
Motivo: Doy V° B°
Fecha: 21.10.2020 17:31:30 -05:00
2
I. OBJETIVO
• Identificar, analizar y evaluar riesgos, con el fin de diseñar e implementar planes de

acción para reducir y/o mitigar los riesgos que tengan impacto sobre el cumplimiento
de los objetivos del Organismo Supervisor de las Contrataciones del Estado - OSCE.
II. ALCANCE
• El presente documento es de aplicación a todos los procesos del Organismo Supervisor

de las Contrataciones del Estado - OSCE.
III. RESPONSABLE
• Jefe/a de los Órganos / Unidades Orgánicas del Organismo Supervisor de las

Contrataciones del Estado - OSCE, es responsable de cumplir y hacer cumplir el presente
procedimiento.
• Personal asignado a los sistemas de gestión en el Organismo Supervisor de las
Contrataciones del Estado - OSCE, es responsable de hacer seguimiento a la
implementación del presente procedimiento.
IV. BASE NORMATIVA
1. Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la Contraloría

General de la República.
2. Ley N° 28716, Ley de Control Interno de las Entidades del Estado.
3. Ley N° 29783, Ley de Seguridad y Salud en el Trabajo
4. Decreto Supremo N° 123-2018-PCM, Decreto Supremo que aprueba el “Reglamento
del Sistema Administrativo de Modernización de las Gestión Pública”.
5. Resolución de Contraloría N° 146-2019-CG, que aprueba la Directiva N° 006-2019-
CG/INTEG “Implementación del Sistema de Control Interno en las Entidades del
Estado”.
6. Resolución N° 059-2019-OSCE/SGE, que aprueba la Directiva N° 002-2019-
OSCE/SGE “Directiva para la Gestión por Procesos en el OSCE”.
7. Norma Internacional ISO 31000:2018, Gestión del riesgo – Directrices.
8. Norma internacional ISO 9001:2015, Sistemas de gestión de la calidad.
9. Norma internacional ISO 37001:2016, Sistema de gestión contra el soborno.
10. Norma internacional ISO 27001:2013, Sistemas de gestión de seguridad de la
información.
11. Norma internacional ISO 14001:2015, Sistemas de gestión ambiental.
12. Norma internacional ISO 45001:2018, Sistemas de gestión de salud y seguridad en el
trabajo.
13. Norma internacional ISO Guía 73:2009 Gestión del riesgo – Vocabulario.
3
Firmado digitalmente por SUAREZ Firmado digitalmente por DAVILA
BAO Milagros Danitza FAU CAJAHUANCA Carmen Blancy FAU
20419026809 soft 20419026809 soft
Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 21.10.2020 17:31:46 -05:00 Fecha: 21.10.2020 18:42:09 -05:00
V. SIGLAS Y DEFINICIONES
DEFINICIONES:
1. Amenaza: Son aquellos factores externos a la organización que advierten proximidad o
propensión a un evento de pérdida, sobre los cuales esta no tiene control.
2. Análisis del riesgo: Proceso llevado a cabo para comprender la naturaleza del riesgo y
determinar el nivel de Riesgo Inherente.
3. Aspecto ambiental: Elemento de las actividades, productos o servicios de una
organización que puede interactuar con el medio ambiente. Se considera como aspecto
ambiental significativo aquel con un nivel de riesgo muy alto.
4. Consecuencia / impacto: Resultado de un evento y que afecta a los objetivos.
5. Control: Incluye procesos, políticas, dispositivos, prácticas u otras acciones que modifican
al riesgo. Se puede establecer jerarquía de control como: eliminación, sustitución,
ingeniería, administrativo y equipo de protección de seguridad.
6. Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada
a individuos, entidades o procesos no autorizados.
7. Descripción del riesgo: Declaración estructurada del riesgo.
8. Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo
requiera una entidad autorizada.
9. Efectividad del control: Determina el factor reducido, el cual es considerado por la
implantación y aplicación de controles existentes.
10. Eficacia: Grado en el cual se realizan las actividades planificadas y se logran los
resultados planificados.
11. Evaluación del riesgo: Es la comparación de los resultados del “análisis del riesgo” con
los criterios establecidos para determinar el riesgo residual, su magnitud establece la
tolerancia del riesgo, si es aceptable o no.
12. Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo. Implica
la identificación de fuentes, eventos, causas y consecuencias potenciales. Puede
involucrar datos históricos, análisis teóricos, opiniones informadas, expertas y las
necesidades de las partes involucradas.
13. Integridad: Propiedad de la información relativa a su exactitud y completitud
14. Nivel del riesgo: Magnitud de un riesgo o de una combinación de varios. Se expresa en
términos de combinación de la probabilidad y la consecuencia/impacto de los mismos.
15. Peligro: Situación o característica intrínseca de algo capaz de ocasionar daños a las
personas, equipos, procesos y ambiente.
16. Probabilidad: Posibilidad de que suceda el riesgo.
17. Producto: Resultado de un proceso, entendiendo como los bienes y servicios que recibe
el administrado (en el caso del OSCE puede ser un proveedor, entidad, árbitros o
ciudadano) y que satisfacen necesidades y expectativas, lo que contribuye al logro de los
objetivos institucionales y la generación de bienestar para la sociedad.
18. Propietario del riesgo: Persona o entidad que tiene la responsabilidad de rendir cuentas,
y la autoridad para gestionar el riesgo.
19. Riesgo: Efecto de la incertidumbre en los objetivos. Un efecto es una desviación de lo
esperado, ya sea positivo o negativo.
20. Riesgo inherente: Es el riesgo que existe por la naturaleza de la actividad que realiza la
entidad.
4
Firmado digitalmente por SUAREZ CAJAHUANCA Carmen Blancy FAU
BAO Milagros Danitza FAU 20419026809 soft
20419026809 soft Motivo: Doy V° B°
Motivo: Doy V° B° Fecha: 21.10.2020 18:42:37 -05:00
Fecha: 21.10.2020 17:32:00 -05:00
21. Riesgo residual: Riesgo remanente después del tratamiento del riesgo.
22. Tipo de riesgos:
a. Ambiental: Riesgo que se genera a partir de las actividades realizadas y que pueden
ocasionar alguna forma de cambio al ambiente.
b. De Corrupción: Posibilidad de que, por acción u omisión, se use el poder para desviar
la gestión de lo público hacia un beneficio privado, los cuales pueden ser de:
- Colusión: Delito que consiste en el acuerdo entre dos o más partes para limitar la
competencia. El cual se realiza de manera secreta e ilegal, engañando a otros sobre
sus derechos legales.
- Peculado: Delito que consiste en la apropiación indebida del dinero perteneciente
al Estado por parte de las personas que se encargan de su control y custodia.
- Soborno: Delito que consiste en una oferta, promesa, entrega, aceptación o
solicitud de una ventaja indebida de cualquier valor (que puede ser de naturaleza
financiera o no financiera), directamente o indirectamente, e independiente de su
ubicación, en violación de la ley aplicable, como incentivo o recompensa para que
una persona actúe o deje de actuar en relación con el desempeño de las
obligaciones de esa persona.
- Cohecho: Delito que consiste en el soborno entre cargos de la administración
pública. Con esto se hace referencia a que para que se produzca cohecho, al menos
que uno de los implicados debe ser un servidor de la administración pública. Este
tipo de acciones corruptas se enmarca dentro de lo que serían las relaciones
económicas existentes entre el sector público y el privado.
- Tráfico de influencias: Delito que consiste en la práctica ilegal que consiste en
utilizar la influencia personal en ámbitos de gobierno, a través de conexiones con
personas, con el fin de obtener favores o tratamiento preferencial.
- Enriquecimiento ilícito: Delito que consiste en el incremento del patrimonio de un
funcionario público con significativo exceso respecto de sus ingresos legítimos
durante el ejercicio de sus funciones y que no pueda ser razonablemente justificado.
c. Tecnológico: Asociado con la capacidad de la organización para que la tecnología
disponible satisfaga sus necesidades actuales y futuras y soporte el cumplimiento de su
misión.
d. Económico: Asociado a la actividad económica, ya sean de tipo interno o externo,
afecta básicamente a los beneficios monetarios de la organización.
e. Estratégicos: Asociado con la forma en que se administra la organización. El manejo
del riesgo estratégico se enfoca en asuntos globales relacionados con la misión y el
cumplimiento de los objetivos estratégicos, la clara definición de políticas y el diseño y
conceptualización de la organización por parte de la Alta Dirección.
f. Financiero: Relacionado con el manejo de los recursos de la organización e incluye, la
ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos
de excedentes de tesorería y el manejo sobre los bienes. De la eficiencia y transparencia
en el manejo de los recursos, así como su interacción con las demás áreas dependerá
en gran parte el éxito o fracaso de toda organización.
g. Legal: Se refiere a los obstáculos legales o normativos que pueden obstaculizar el rol
de una organización.
h. Operativo: Comprende los riesgos relacionados tanto con la parte operativa como
técnica de la organización, incluye riesgos provenientes de deficiencias en la definición
de los procesos, en la estructura organizacional y/o en la desarticulación entre
dependencias, lo cual conduce a ineficiencias en sus resultados.
i. Político: Puede derivarse de cualquier circunstancia política del entorno en el que opera
la organización.
5
20419026809 soft 20419026809 soft
Fecha: 21.10.2020 17:32:25 -05:00 Fecha: 21.10.2020 18:43:02 -05:00
j.Seguridad de la Información: Se generan a partir de la disponibilidad, protección,

integridad y acceso a la información de la organización a través de su infraestructura,
métodos y procesos de generación, almacenamiento, transporte, consulta y análisis.
Son aquellos riesgos que atenten contra la disponibilidad, confidencialidad e integridad
de la información independiente del medio en que esta se encuentre.
k. Seguridad y Salud en el Trabajo: Se generan en las actividades realizadas y pueden
afectar el bienestar social, mental y físico del personal que labora para la organización.
23. Valoración del riesgo: proceso que consiste en comparar los resultados del análisis del
riesgo con los criterios de riesgo con el fin de determinar si el riesgo y/o su magnitud son
aceptables o no.
SIGLAS:
a. OSCE: Organismo Supervisor de las Contrataciones del Estado.
b. OPM: Oficina de Planeamiento y Modernización
c. UOYM: Unidad de Organización y Modernización.
d. OAJ: Oficina de Asesoría Jurídica.
e. SGE: Secretaria General.
f. SGD: Sistema de Gestión Documental.
VI. ENTRADAS Y SALIDAS DEL PROCEDIMIENTO
Proveedor Entrada
------- Necesidades / requerimiento
Salida Usuario
Matriz de riesgos Personal del proceso involucrado
VII. ACTIVIDADES DEL PROCEDIMIENTO
Nº Actividad Área Responsable Registro
CONFORMACIÓN EQUIPO DE TRABAJO
Definir alcance y solicitar equipo de

trabajo
Correo
1 Definir el alcance del trabajo y solicitar a los OPM UOYM
electrónico
dueños de los procesos involucrados la
designación del equipo de trabajo.
Designar e informar equipo de trabajo
Conformar el equipo de trabajo,
considerando el personal asociado al ÓRGANOS /
Dueño del Correo
2 proceso y experiencia en el puesto. UNIDADES
proceso electrónico
ÓRGANICAS
Informar la designación a la UOYM mediante
correo electrónico.
6
20419026809 soft 20419026809 soft
Fecha: 21.10.2020 17:33:42 -05:00 Fecha: 21.10.2020 18:43:31 -05:00

Conformar equipo de trabajo
multidisciplinario
Conformar el equipo de trabajo Correo
3 OPM UOYM
multidisciplinario, asignando un facilitador de electrónico
la UOYM y comunicarlo al equipo de trabajo
mediante correo electrónico.
Coordinar plan de trabajo
Definir el plan de trabajo (actividades, plazos
ÓRGANOS /
y responsables). Así como, el Equipo de Plan de
4 UNIDADES
establecimiento de las reuniones periódicas trabajo trabajo
ÓRGANICAS
para asegurar el cumplimiento de las
actividades planificadas.
IDENTIFICACIÓN DE RIESGOS
Listar actividades / productos / Contexto

✓ En caso de considerar actividades del
proceso, deben ser listados manteniendo
el orden secuencial de los mismos.
Ficha de
✓ En caso de evaluar productos, se debe
identificación
priorizar de acuerdo a la Ficha de
de
identificación de productos - Anexo 2.
ÓRGANOS / productos
Equipo de
5 ✓ De considerar las cuestiones de UNIDADES
trabajo
comprensión del Contexto ÓRGANICAS
Organizacional, se debe incluir para la Matriz de
evaluación y determinar los riesgos. Riesgos
Posterior a ello, en caso aplique, se debe
identificar el puesto de trabajo relacionado.
Registrar lo antes mencionado en la Matriz
de riesgos – Anexo 3.
Identificar peligro/aspecto/amenaza
Identificar peligro/aspecto/amenaza en base
a experiencias, ocurrencias, registros,
análisis de procedimientos, lineamientos, ÓRGANOS /
Equipo de Matriz de
6 lluvia de ideas, listas de verificación, UNIDADES
trabajo Riesgos
controles existentes, entre otros. ÓRGANICAS
Describir y definir el tipo de riesgo
Describir el evento de la posible
materialización del riesgo y luego definir el ÓRGANOS /
7 tipo de cada uno de los riesgos identificados. UNIDADES Equipo de Matriz de
Considerando la siguiente clasificación: ÓRGANICAS trabajo Riesgos
▪ Ambiental:
7
20419026809 soft 20419026809 soft
Fecha: 21.10.2020 17:33:55 -05:00 Fecha: 21.10.2020 18:44:06 -05:00

▪ De corrupción (colusión, peculado,
soborno, cohecho, malversación, tráfico
de influencias, enriquecimiento ilícito,
entre otros).
▪ Tecnológico
▪ Económico
▪ Estratégicos
▪ Financiero
▪ Legal
▪ Operativo
▪ Político
▪ Seguridad de la información
▪ Seguridad y Salud en el Trabajo
Describir consecuencia / impacto del
riesgo
Describir la posible consecuencia/impacto
que generaría si se materializa el riesgo. Así ÓRGANOS /
Equipo de Matriz de
8 mismo, definir y determinar el propietario del UNIDADES
trabajo Riesgos
riesgo. ÓRGANICAS

ANÁLISIS Y EVALUACIÓN DEL RIESGO
Determinar el nivel de Riesgo
Inherente
Calcular el nivel de riesgo inherente de
acuerdo a lo establecido en la Matriz de
consecuencia/impacto y probabilidad –
Anexo 4, el cual es el resultado de:
NRI = P * C
Donde:
ÓRGANOS /
Equipo de Matriz de
9 UNIDADES
▪ NRI : Nivel de riesgo inherente. trabajo Riesgos
ÓRGANICAS
▪ P : Valoración de la probabilidad. **
▪ C : Valoración de la consecuencia /
impacto. ***
CAJAHUANCA Carmen Blancy FAU **La valoración de la probabilidad, se determina de
20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 18:45:05 -05:00
acuerdo a la Tabla de Probabilidad – Anexo 5. De
considerar necesario, para establecer la probabilidad
con preguntas específicas, usar la calculadora,
establecida en el Anexo 9: Cálculo De
Probabilidades.
8
20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 17:34:06 -05:00

***La valoración de la consecuencia/impacto, se
determina de acuerdo a la Tabla de
Consecuencia/impacto - Anexo 6. De considerar
necesario, para establecer la consecuencia / impacto
con preguntas específicas, usar la calculadora,
establecida en el Anexo 10: Cálculo De
Probabilidades.
Solo para el caso de evaluación de riesgo

para el Sistema de Gestión de Seguridad de
la Información (ISO 27001), se debe
determinar los “criterios de seguridad
afectados”, los cuales podrían ser:
▪ Confidencialidad,
▪ integridad y
▪ disponibilidad,
Identificar los controles existentes

Identificar y registrar los mecanismos,
políticas, procedimientos, prácticas u otras
acciones que forman parte de los controles
existentes.
Solo para el caso de evaluación de riesgo

para el Sistema de Gestión de Seguridad y
Salud en el Trabajo (ISO 45001), se debe
clasificar los controles, de acuerdo a la
Jerarquía de Controles:
▪ Eliminación: se modifica el diseño para

eliminar el peligro.
ÓRGANOS /
Equipo de Matriz de
10 ▪ Sustitución: se deben sustituir los UNIDADES
trabajo Riesgos
materiales peligrosos por materiales ÓRGANICAS
menos peligrosos o reducir la energía del
sistema.
▪ Controles de ingeniería: involucran el

rediseño del equipamiento, del proceso o
de la organización del trabajo.
▪ Controles administrativos: se realizan

proveyendo de controles como
capacitación, procedimientos.
▪ Elementos de Protección a las

Personas (EPP): Se da cuando otros
controles no sean posibles de aplicar.

BAO Milagros Danitza FAU Firmado digitalmente por DAVILA
9
20419026809 soft CAJAHUANCA Carmen Blancy FAU
Motivo: Doy V° B° 20419026809 soft
Fecha: 21.10.2020 17:34:18 -05:00 Motivo: Doy V° B°
Fecha: 21.10.2020 18:45:30 -05:00

Evaluar la efectividad del Control
Determina el factor reducido, el cual es
considerado por la implantación y
aplicación del control existente.
*La valoración de la efectividad del control, se ÓRGANOS /
determina de acuerdo a lo establecido en el Anexo 11 Equipo de Matriz de
11 UNIDADES
Efectividad del Control. trabajo Riesgos
ÓRGANICAS
De considerar necesario, para establecer la
efectividad del control, con preguntas específicas,
usar la calculadora, establecida en el Anexo 11:
Cálculo Efectividad del Control.
Determinar el nivel de Riesgo Residual

Calcular el nivel de riesgo residual de
acuerdo a lo establecido en la Matriz de
consecuencia/impacto y probabilidad –
Anexo 4, el cual es el resultado de:
NRI*E = NRR
Donde: ÓRGANOS /
Equipo de Matriz de
12 UNIDADES
▪ NRI: Nivel de riesgo inherente. trabajo Riesgos
ÓRGANICAS
▪ E : Efectividad del Control.*
▪ NRR: Nivel de riesgo residual.
¿Es riesgo aceptable?

Si : Ir a la actividad N° 13 (ACEPTABLE)
No: Ir a la actividad N° 14 (NO
ACEPTABLE).
Realizar el trabajo con los controles
existentes
De establecerse un Nivel de Riesgo
Inherente como “Aceptable” (Riesgo bajo),
se realiza el trabajo/actividad con los
controles existentes.
Se deja a decisión del equipo, el de ÓRGANOS /

implementar acciones adicionales a modo Equipo de Matriz de
13 UNIDADES
de oportunidad de mejora. De ser ese el trabajo Riesgos
ÓRGANICAS
caso, se debe registrar dichas acciones
como Oportunidades.
Ir a la actividad N° 15
20419026809 soft
Motivo: Doy V° B° Registrar lo antes mencionado en la Matriz
Fecha: 21.10.2020 18:50:07 -05:00
Determinar acciones, plazos y

responsables ÓRGANOS /
Equipo de Matriz de
14 Por cada riesgo determinado como “No UNIDADES
trabajo Riesgos
aceptable”, se debe establecer medidas y/o ÓRGANICAS
controles que permitan disminuir y/o mitigar
10
20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 17:34:29 -05:00

el “riesgo inherente” de manera eficaz,
considerando plazos y responsables.
Si está evaluando riesgos relacionados a la
Gestión de Seguridad y Salud en el Trabajo
(SST)/Medio Ambiente (MA), considerar si
es:
Riesgo alto / muy alto: Incluir en los
controles, la implementación de
“Procedimientos para trabajos de alto
riesgo” (PETAR).
Presentar matriz de riesgos
Correo
ÓRGANOS /
Presentar la matriz de riesgos al dueño del Equipo de electrónico /
15 UNIDADES
proceso, para su revisión y posterior trabajo Matriz de
ÓRGANICAS
validación. Riesgos
TRATAMIENTO Y COMUNICACIÓN DEL RIESGO
Revisar matriz de riesgos elaborado

Revisar el contenido de la matriz de riesgos
presentado por el equipo de trabajo. Correo
ÓRGANOS /
¿Encuentra observaciones? Dueño del electrónico /
16 UNIDADES
proceso Matriz de
ÓRGANICAS
No: Ir a la actividad N° 17 Riesgos
Si : Ir a la actividad N° 21
Solicitar revisión matriz de riesgos

ÓRGANOS / SGD /
Dueño del
17 Solicitar a la UOYM la revisión de la matriz UNIDADES Matriz de
proceso
de riesgos elaborado, adjuntando los ÓRGANICAS Riesgos
documentos generados.
Revisar técnicamente matriz de riesgos
Revisar si matriz de riesgos, cumple con la
metodología establecida.
En caso de matriz de riesgo de la Gestión de
Seguridad y Salud en el Trabajo (SST) o
Sistema de Gestión (SGAS) Antisoborno, SGD /
“adicionalmente”, se debe adjuntar acta Matriz de
UOYM /
18 sesión de Comité en donde se evidencia su OPM Riesgos /
Comité
revisión y aprobación de las matrices de Acta de
riesgo. Comité
Firmado digitalmente por DAVILA ¿Cumple metodología establecida?

20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 18:50:54 -05:00
No: Ir a la actividad N° 21
11
20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 17:34:41 -05:00

Validar y remitir Matriz de Riesgo SGD /
Matriz de
Validar matriz de riesgo y mediante informe
19 OPM UOYM Riesgos /
solicitar aprobación de matrices remitiéndolo
Acta de
a la OAJ para la opinión correspondiente.
Comité
Revisar legalmente Matriz de Riesgo
Revisar matriz de riesgo considerando el SGD /
contexto legal del mismo. Matriz de
20 ¿Cumple? OAJ OAJ Riesgos /
Acta de
No: Ir a la actividad N° 21 Comité
Levantar las observaciones

SGD o
Levantar las observaciones indicadas para ÓRGANOS / Correo
Equipo de
21 la matriz de riesgos y solicitar su revisión al UNIDADES electrónico /
trabajo
dueño del proceso. ÓRGANICAS Matriz de
Riesgos
Ir a la actividad N° 16
Emitir opinión legal favorable
SGD /
Emitir opinión legal favorable respecto a la
Matriz de
matriz de riesgo y mediante informe
22 OAJ OAJ Riesgos /
recomendar aprobación de matrices
Acta de
remitiéndolo a la SGE para la revisión
Comité
correspondiente.
Revisar matriz de riesgos
Revisar si matriz de riesgos cumple con el
objetivo para el sistema de gestión y si los
controles propuestos son los adecuados, SGD /
alineado a los recursos y objetivos de la Matriz de
23 organización. OSCE SGE Riesgos /
Acta de
¿Está conforme la matriz de riesgo? Comité
No: Ir a la actividad N° 21
Si: Ir a la actividad N° 24
20419026809 soft
Motivo: Doy V° B°
Aprobar Matriz de riesgos
Fecha: 21.10.2020 18:51:21 -05:00
Aprobar matriz de riesgo para el seguimiento
y cumplimiento correspondiente por el SGD /
24 Dueño de Proceso y comunicar la OSCE SGE Matriz de
aprobación a los involucrados. Riesgos
Difundir matriz de riesgos aprobado

ÓRGANOS / SGD o
Difundir la matriz de riesgos aprobada, a los Dueño del
25 UNIDADES Correo
miembros de los procesos y/o al personal proceso
ÓRGANICAS electrónico
involucrado.
12
20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 17:34:52 -05:00

EFICACIA DE LAS ACCIONES PROPUESTAS
Implementar acciones planificadas
Implementar las acciones de acuerdo a los
plazos y responsables establecidos.
¿Se implementó en el plazo? Matriz de
Si: Ir a la actividad N° 27 Riesgos /
ÓRGANOS /
Dueño del Registro de
26 No: Realizar tratamiento de acuerdo al UNIDADES
proceso evidencia
procedimiento de Acciones correctivas y ÓRGANICAS
de
oportunidades de mejora. Del mismo controles
modo, en caso que el riesgo identificado
inicialmente se haya materializado.

Verificar implementación de las acciones
planificadas
Verificar y registrar la implementación de las
acciones planificadas en la matriz. Matriz de
¿Se implementó en el plazo? Riesgos /
UOYM / Registro de
27 Si: Ir a la actividad N° 28 OPM
Comité evidencia
No: Realizar tratamiento de acuerdo al de
procedimiento de Acciones correctivas y controles
oportunidades de mejora.

Establecer fecha de verificación de
Eficacia
De acuerdo a la implementación del control,
UOYM / Matriz de
28 se debe establecer fecha de verificación de OPM
Comité Riesgos
la eficacia.
Verificar eficacia de acciones

Registrar el responsable de verificar la
eficacia y determinar si fue eficaz o no,
considerando: ÓRGANOS /
Dueño del Matriz de
29 UNIDADES
- Que los controles implementados son proceso riesgos
ÓRGANICAS
eficaces en el diseño y funcionamiento.
- Se obtenga mayor información para la
reevaluación de los riesgos.
13
20419026809 soft 20419026809 soft
Fecha: 21.10.2020 17:35:04 -05:00 Fecha: 21.10.2020 18:52:13 -05:00

- Aprender lecciones a partir de los
eventos, los cambios, las tendencias, los
éxitos y los fracasos.
Considerar el sustento de esta evaluación.
Fin de procedimiento
VIII. DOCUMENTOS RELACIONADOS
Nº Documento
1 Ninguno.
IX. PROCESO
Nombre Tipo
PE01.03 Gestión por procesos Estratégico
X. SEGUIMIENTO
Revaluación de riesgos
La reevaluación de riesgos debe realizarse considerando la ejecución de la eficacia de los
controles existentes de acuerdo a lo establecido en le actividad N°29, auditorías, inspecciones,
resultados de los indicadores de desempeño y otras herramientas de gestión.
En la revaluación de riesgos, se obtiene:
¿Riesgo aceptable?
Si: fin de procedimiento.
No: Iniciar desde la actividad 1.
El proceso de reevaluación de los riesgos se realiza mínimo una vez al año y/o cuando:
▪ Se identifique nuevos riesgos.
▪ Se materialice un riesgo.
▪ Haya un cambio pertinente en la Organización y/o Legislación.
20419026809 soft
Motivo: Doy V° B°
XI. INDICADOR Fecha: 21.10.2020 18:52:56 -05:00
Nombre Fórmula
N° Riesgos aceptables
Porcentaje de riesgos aceptable % 𝑅𝑖𝑒𝑠𝑔𝑜𝑠 𝑎𝑐𝑒𝑝𝑡𝑎𝑏𝑙𝑒𝑠 = 𝑥100%
N° Total de Riesgos
14
20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 17:35:13 -05:00
XII. ANEXOS
1. Anexo 1: Diagrama de flujo del procedimiento

2. Anexo 2: Ficha de identificación de productos
3. Anexo 3: Matriz de riesgos
4. Anexo 4: Matriz de consecuencia / impacto y probabilidad
5. Anexo 5: Tabla de probabilidad
6. Anexo 6 Tabla de consecuencia/impacto
7. Anexo 7 Tabla de efectividad del control
8. Anexo 8 Tabla de Tolerancia del riesgo
9. Anexo 9: Cálculo de probabilidades
10. Anexo 10 Cálculo de Impacto
11. Anexo 11: Cálculo de efectividad de control
XIII. OTROS
No Aplica.

20419026809 soft
Firmado digitalmente por SUAREZ Motivo: Doy V° B°
BAO Milagros Danitza FAU Fecha: 21.10.2020 18:53:58 -05:00
20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 17:35:23 -05:00
15
Procedimiento: Gestión de Riesgos
Anexo 1: Diagrama de flujo del procedimiento
16
20419026809 soft 20419026809 soft
Fecha: 21.10.2020 17:35:35 -05:00 Fecha: 21.10.2020 18:54:20 -05:00
17
20419026809 soft 20419026809 soft
Fecha: 21.10.2020 17:35:46 -05:00 Fecha: 21.10.2020 18:54:47 -05:00
Anexo 2: Ficha de identificación de productos
FICHA DE IDENTIFICACIÓN DE PRODUCTOS
PROCESO / ÁREA:
FECHA DE ELABORACIÓN: EQUIPO DE TRABAJO:
FECHA DE ACTUALIZACIÓN:
Presupuesto Contribución al logro del

Relevancia para la
ID Acción estratégica institucional Código asignado al objetivo estratégico Priorización
población
producto institucional
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
LEYENDA
Relevancia para la población
Poco relevante 3
Relevante 2
Muy Relevante 1
Presupuesto asignado al producto
Hasta 5,000,000 3
Desde 5,000,001 hasta 15,000,000 2
Mas de 15,000,000 1
Contribución al Logro del Objetivo Estratégico
Institucional
Contribuye poco al logro 3
Contribuye al logro 2
Contribuye mucho al logro 1
Priorización
Prioritarios 03 al 06
No Prioritarios 07 al 09

20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 17:35:56 -05:00
20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 18:55:12 -05:00
18
Anexo 3: Matriz de riesgos
MATRIZ DE RIESGOS
PROCESO / PRODUCTO:
ÁREA(S):
EQUIPO DE TRABAJO:
FECHA DE ELABORACIÓN:
FECHA DE ACTUALIZACIÓN:
IDENTIFICACIÓN DEL RIESGO ANÁLISIS Y EVALUACIÓN DEL RIESGO TRATAMIENTO DEL RIESGO EFICACIA DE LAS ACCIONES PROPUESTAS
PELIGRO / ASPECTO / AMENAZA ANÁLISIS DEL RIESGO EVALUACIÓN DEL RIESGO
ACTIVIDAD / Responsable de la
PUESTO DE TIPO DE CONSECUENCIA / PROPIETARIO DEL Criterio de seguridad Fecha de Verificación de Fecha Verificación ¿Fue eficaz?
PRODUCTO / DESCRIPCIÓN DEL RIESGO Consecuencia / Nivel de Efectividad del Nivel de Acciones Responsable evaluación de Sustento Oportunidad
TRABAJO RIESGO IMPACTO RIESGO afectados (ISO 27001) Probabilidad Control EVALUACIÓN Implementación Implementación de Eficacia (SI/NO)
CONTEXTO TIPO DETALLE Impacto Riesgo Control Riesgo eficacia
(Anexo 9) existente DEL RIESGO
C I D (Anexo 10) Inherente (Anexo 11) Inherente
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A

#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A
#N/A #N/A #N/A

20419026809 soft 20419026809 soft
Fecha: 21.10.2020 17:36:06 -05:00 Fecha: 21.10.2020 18:55:40 -05:00
19
Anexo 4: Matriz de consecuencia / impacto y probabilidad
MATRIZ DE CONSECUENCIA/IMPACTO Y PROBABILIDAD
Consecuencia/Impacto
Bajo Medio Alto Muy Alto
Probabilidad 4 6 8 10
Muy Alta 10 40 60 80 100
Alta 8 32 48 64 80
Media 6 24 36 48 60
Baja 4 16 24 32 40
Anexo 5: Tabla de probabilidad
TABLA DE PROBABILIDAD
Respuestas
Categoría Valor Descripción
afirmativas
Riesgo cuya probabilidad de ocurra es muy alta (muy probable).

Sí > 5 Muy Alta 10
Común que suceda
Riesgo cuya probabilidad de ocurrencia es alta (probable).

3< Sí ≤ 5 Alta 8
Ha sucedido
Riesgo cuya probabilidad de ocurrencia es media (posible).

1 < Sí ≤ 3 Media 6
Podría suceder
Riesgo cuya probabilidad de ocurrencia es baja (poco probable).

0 ≤ Sí ≤ 1 Baja 4
Raro que suceda

Firmado digitalmente por SUAREZ CAJAHUANCA Carmen Blancy FAU
BAO Milagros Danitza FAU 20419026809 soft
20419026809 soft Motivo: Doy V° B°
Motivo: Doy V° B° Fecha: 21.10.2020 18:58:40 -05:00
Fecha: 21.10.2020 17:36:16 -05:00
19
Anexo 6 Tabla de consecuencia/impacto
TABLA DE CONSECUENCIA / IMPACTO
Respuestas
afirmativas
0 ≤ Sí ≤ 1 Bajo 4 Riesgo que puede tener un pequeño o nulo efecto en la institución.
Riesgo que causa un daño en el patrimonio o imagen, que se puede

1 < Sí ≤ 3 Medio 6 corregir en el corto tiempo y que no afecta el cumplimiento de los
objetivos estratégicos.
Riesgo cuya materialización causaría ya sea una pérdida importante en

el patrimonio o un deterioro significativo de la imagen. Además, se
3< Sí ≤ 5 Alto 8
requeriría una cantidad de tiempo importante de la alta dirección en
investigar y corregir los daños.
Riesgo cuya materialización dañaría significativamente el patrimonio,

imagen o logro de los objetivos sociales. Además, se requeriría una
Sí > 5 Muy Alto 10
cantidad importante de tiempo de la alta dirección en investigar y
corregir los daños.

BAO Milagros Danitza FAU Firmado digitalmente por DAVILA
20419026809 soft CAJAHUANCA Carmen Blancy FAU
Motivo: Doy V° B° 20419026809 soft
Fecha: 21.10.2020 17:36:26 -05:00 Motivo: Doy V° B°
Fecha: 21.10.2020 19:00:52 -05:00
20
Anexo 7 Tabla de efectividad del control

ANEXO N° 07
EFECTIVIDAD DEL CONTROL
El control no ha sido aplicado; no existen responsables definidos de

la ejecución del control ni una supervisión de los responsables; no
permite restringir la acción que genera el riesgo, no existen
Muy deficiente 1.0
protocolos para proceder ante un riesgo advertido por el control; no
hay evidencia de documentos que acrediten su cumplimiento y
registro temporal.
El control no ha sido informado a todos los colaboradores, no todos
lo aceptan; se ejecuta a veces, no se supervisa; no existen
Deficiente 0.8 responsables para su ejecución; permite restringir en parte la acción
que genera el riesgo, no cuenta con protocolos; no hay evidencia de
documentos que acrediten su cumplimiento y registro temporal.
El control ha sido informado a todos los colaboradores pero no
todos lo aceptan; se ejecuta y supervisa a veces; no existen
responsables para ejecutarlo; permite restringir en parte la acción
Insuficiente 0.6
que genera el riesgo, cuenta con protocolos; hay evidencia de
documentos que acrediten su cumplimiento mas no su registro
temporal.
El control ha sido informado y es aceptado por todos los

colaboradores, no existen herramientas para su gestión; se ejecuta
según los tiempos establecidos, no siempre se supervisa; existen
Mejorable 0.4
responsables para su ejecución; permite restringir en parte la acción
que genera el riesgo, cuenta con protocolos; hay evidencia de
documentos que acrediten su cumplimiento y registro temporal.
El control ha sido informado a todo el personal, es aceptado por los

colaboradores, existen herramientas que permiten gestionarlo; se
ejecuta y da seguimiento en los tiempos establecidos; existen
Apropiada 0.2
responsables para su ejecución; permite restringir la acción que
genera el riesgo, cuenta con protocolos; hay evidencia de
documentos que acreditan su cumplimiento y registro temporal.

20419026809 soft Firmado digitalmente por DAVILA
Motivo: Doy V° B° CAJAHUANCA Carmen Blancy FAU
Fecha: 21.10.2020 17:36:36 -05:00 20419026809 soft
Motivo: Doy V° B°
Fecha: 21.10.2020 19:01:16 -05:00
21
Anexo 8 Tabla de Tolerancia del riesgo
NIVEL DE RIESGO TOLERANCIA DEL RIESGO
Valor Nivel Nivel Resultado Descripción
65 - 100 Riesgo Muy Alto Riesgo Muy Alto

Se debe establecer e implantar
NO
41 - 64 Riesgo Alto Riesgo Alto acciones eficientes (tratamiento)
ACEPTABLE
para reducir el riesgo no aceptable.
25 - 40 Riesgo Medio Riesgo Medio
Se realiza el trabajo con los controles
01 -24 Riesgo Bajo Riesgo Bajo ACEPTABLE
ya existentes.
Anexo 9: Cálculo de probabilidades
ANEXO 9: CÁLCULO DE PROBABILIDADES
RIESGO
TOTAL PROBABILIDAD
ASOCIADO
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
0 0 Baja
Anexo 10 Cálculo de Impacto
0 0 Baja
ANEXO 10: CÁLCULO DE IMPACTO
0 0 Baja
RIESGO
TOTAL IMPACTO
ASOCIADO
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
0 0 Bajo
Anexo 11: Cálculo de efectividad de control
ANEXO 11: CÁLCULO DE EFECTIVIDAD DEL CONTROL
RIESGO EFECTIVIDAD DEL

CONTROLES TOTAL
CONTROL
ASOCIADO
0 0 0 Muy Deficiente
22
BAO Milagros Danitza
0
20419026809 soft
FAU 0 CAJAHUANCA Carmen Blancy FAU
20419026809 soft
0 Muy Deficiente
0 17:37:08 -05:00
Fecha: 21.10.2020 0 Fecha: 21.10.2020 19:01:53 -05:00 0 Muy Deficiente

Anexo - PE01.03.02 Procedimiento Gestión de Riesgos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Anexo - PE01.03.02 Procedimiento Gestión de Riesgos

Cargado por

Copyright:

Formatos disponibles

Organismo Supervisor de

PERÚ Ministerio las Contrataciones del

Código: PE01.03.02 Versión: 03

Ficha de procedimiento: “Gestión de riesgos”

Órgano o Unidad Orgánica Visto y Sello

Firmado digitalmente por SUAREZ

Firmado digitalmente por DAVILA

Firmado digitalmente por DAVILA

Código: PE01.03.02 Versión: 03

Versión Sección / Ítem Descripción del cambio:

Firmado digitalmente por DAVILA

Código: PE01.03.02 Versión: 03

• Identificar, analizar y evaluar riesgos, con el fin de diseñar e implementar planes de

• El presente documento es de aplicación a todos los procesos del Organismo Supervisor

• Jefe/a de los Órganos / Unidades Orgánicas del Organismo Supervisor de las

IV. BASE NORMATIVA

1. Ley N° 27785, Ley Orgánica del Sistema Nacional de Control y de la Contraloría

Código: PE01.03.02 Versión: 03

Código: PE01.03.02 Versión: 03

Código: PE01.03.02 Versión: 03

j.Seguridad de la Información: Se generan a partir de la disponibilidad, protección,

VI. ENTRADAS Y SALIDAS DEL PROCEDIMIENTO

VII. ACTIVIDADES DEL PROCEDIMIENTO

Nº Actividad Área Responsable Registro

CONFORMACIÓN EQUIPO DE TRABAJO

Definir alcance y solicitar equipo de

Código: PE01.03.02 Versión: 03

Nº Actividad Área Responsable Registro

Listar actividades / productos / Contexto

Código: PE01.03.02 Versión: 03

Nº Actividad Área Responsable Registro

Registrar lo antes mencionado en la Matriz

Código: PE01.03.02 Versión: 03

Nº Actividad Área Responsable Registro

Solo para el caso de evaluación de riesgo

Identificar los controles existentes

Solo para el caso de evaluación de riesgo

▪ Eliminación: se modifica el diseño para

▪ Controles de ingeniería: involucran el

▪ Controles administrativos: se realizan

▪ Elementos de Protección a las

Firmado digitalmente por SUAREZ

Código: PE01.03.02 Versión: 03

Nº Actividad Área Responsable Registro

Determinar el nivel de Riesgo Residual

¿Es riesgo aceptable?

Se deja a decisión del equipo, el de ÓRGANOS /

Determinar acciones, plazos y

Código: PE01.03.02 Versión: 03

Nº Actividad Área Responsable Registro

TRATAMIENTO Y COMUNICACIÓN DEL RIESGO

Revisar matriz de riesgos elaborado

Solicitar revisión matriz de riesgos

Firmado digitalmente por DAVILA ¿Cumple metodología establecida?

Código: PE01.03.02 Versión: 03

Nº Actividad Área Responsable Registro

Levantar las observaciones

Difundir matriz de riesgos aprobado

Código: PE01.03.02 Versión: 03

Nº Actividad Área Responsable Registro

Registrar lo antes mencionado en la Matriz

Registrar lo antes mencionado en la Matriz

Verificar eficacia de acciones

Código: PE01.03.02 Versión: 03