1.1 GR in 010 Sig Instructivo para Diligenciar Mapas de Riesgos V2

CÓDIGO IN-010-SIG
INSTRUCTIVO PARA DILIGENCIAR MATRIZ DE VERSIÓN 2

RIESGOS FECHA 17/05/2022
PAGINA 1 de 13
Emitido por: Revisado por: Aprobado por:

LUZ DAYAN BARROS FEDERICO GONZALEZ F. MARIELA VERGARA
Coordinador SIG Director de Operaciones VERGARA
Gerente General
Fecha: 17/05/2022 Fecha: 17/05/2022 Fecha: 17/05/2022
1 OBJETIVO
Fortalecer la implementación y desarrollo de la gestión del riesgo en el Grupo Aeroportuario del Caribe S.A.S,
a través de la adecuada identificación, valoración, tratamiento y control de los riesgos que puedan impactar el
Sistema Integrado de Gestión a través de acciones que puedan abordarlos.
2 RESPONSABLE DEL DOCUMENTO.

• Gerente General
• Directores
• Jefes de áreas
• Coordinadores de Áreas.
3 DEFINICIONES Y ABREVIATURAS
▪ Análisis de riesgo: proceso para comprender la naturaleza del riesgo y determinar el nivel de
riesgo.
▪ Consecuencia: Los resultados más probables y esperados del riesgo que se evalúa, incluyendo los
daños a los materiales.
▪ Contexto externo: Ambiente externo en el cual la organización busca alcanzar sus objetivos. Puede
incluir el ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico,
natural, competitivo, bien sea internacional, nacional, regional o local. Impulsadores clave y
tendencias, relaciones con las partes involucradas.
▪ Contexto interno: Ambiente interno en el cual la organización busca alcanzar sus objetivos. Puede
incluir gobierno, estructura organizacional, políticas, objetivos y estrategias implementadas para
lograrlo, las capacidades entendidas en términos de recursos y conocimiento, sistemas de
información y procesos para la toma de decisiones, relación con las partes involucradas internas,
cultura organizacional.
▪ Control: Medida que modifica al riesgo.
▪ Evaluación del riesgo: Proceso de comparación de los resultados del análisis de riesgos con los
criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o intolerables.
▪ Evento: Presencia o cambio de un conjunto particular de circunstancias
▪ Factor de riesgo: Elemento que encierra una capacidad potencial de producir daños materiales o al
producto.
▪ Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un
riesgo.
▪ Gestion del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto
al riesgo.
▪ Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo.
▪ Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de
la combinación de las consecuencias y su probabilidad.
▪ Parte involucrada: Persona u organización que puede afectar, verse afectada o percibirse a sí
misma como afectada por una decisión o una actividad.
▪ Probabilidad: Oportunidad de que algo suceda.
▪ Riesgo: Efecto de la incertidumbre sobre los objetivos.
▪ Tratamiento del riesgo: Proceso para modificar el riesgo.
4 VALORACIÓN DEL RIESGO

Proceso global compuesto por tres etapas como son identificación del riesgo, análisis del riesgo y evaluación
del riesgo. ISO 31000 numeral 2.14. Los riesgos asociados a cada proceso se deben documentar en el Mapa
de Riesgos del Grupo Aeroportuario del Caribe MT-048-SIG
Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

Favor piense en el medio ambiente antes de imprimir este Documento.
CÓDIGO IN-010-SIG
PAGINA 2 de 13
5 EN QUÉ CONSISTE LA GESTIÓN DEL RIESGO

La gestión del riesgo es un subsistema y se compone de las siguientes etapas
6 INSTRUCTIVO PARA DILIGENCIAR MATRIZ DE RIESGOS

Para evaluar los riesgos se debe seguir el siguiente instructivo, en la matriz MT-048-SIG - Mapa de Riesgos
del Grupo Aeroportuario del Caribe:
6.1 CONTEXTO ESTRATÉGICO

Para la identificación del riesgo, se debe establecer el contexto estratégico por medio de la Matriz de Contexto
y DOFA de cada proceso. La elaboración de esta matriz, consiste en la identificación de factores internos de
los cuales el proceso puede tener control ó influye directamente (Fortalezas y Debilidades) y factores externos
de los cuales el proceso no tiene control pero puede influir(Amenazas y Oportunidades), los cuales son de
carácter positivo y/o negativo y permiten obtener un diagnóstico del proceso sobre sus riesgos y
CÓDIGO IN-010-SIG
PAGINA 3 de 13
oportunidades, para con base a esto tomar acciones que permitan gestionar los puntos débiles a través de la
disminución del nivel de riesgo y potencializar los puntos positivos a través de la materialización de las
oportunidades.
Para la metodología de este instructivo, no se identificarán estrategias como comúnmente se establecen en la

elaboración de la matriz DOFA. Lo anterior dado que en el marco de este Sistema integrado de Gestión, las
acciones que permitirán abordar lo que se identificó en la DOFA son las acciones preventivas y las de Mejora
cuyo tratamiento se encuentra establecido en el PR-017-SIG Procedimiento de acciones correctivas,
preventivas y de mejora
Para la elaboración de la Matriz DOFA es importante tener claro lo siguiente:
Debilidades: factores negativos internos. Aspectos que aún pudiendo estar controlados, significan riesgo
para la consecución de los objetivos del proceso.
Los siguientes interrogantes aportan en la definición de las debilidades del proceso:
¿Qué se debe dejar de hacer? ¿Qué aspectos negativos del proceso han mencionado las partes interesadas?
¿Qué tiene la competencia que no tiene el proceso? ¿Por qué el proceso se está desviando de su objetivo?
¿En qué falta más experiencia? ¿Cuáles fueron los aspectos negativos en las auditorías internas y/o
externas? ¿Por qué no se están alcanzando las metas de los indicadores?
Oportunidades: elementos externos que se pueden aprovechar, a pesar de no tenerse control sobre ellas se
pueden establecer planes aprovecharlas.
Los siguientes interrogantes aportan en la definición de las oportunidades del proceso:
¿Cuáles son las tendencias del mercado a favor? ¿Qué cambios tecnológicos pueden representar una
oportunidad? ¿Qué eventos permitirán expandir los servicios? ¿Se puede explotar alguna fortaleza? ¿Qué
medidas de la competencia se pueden adoptar?
Fortalezas: son los factores positivos internos que si se pueden controlar.
Los siguientes interrogantes aportan a la definición de las fortalezas:
¿Qué distingue al proceso de los demás? ¿Qué percepción positiva tienen las partes interesadas del
proceso?
¿Cuál es la propuesta de valor del proceso? ¿Cuáles son los puntos fuertes del proceso?
Amenazas: son los factores externos que ponen en riesgo el logro de los objetivos, que a pesar de no poder
controlarlos se pueden elaborar planes para afrontarlas.
Los siguientes interrogantes aportan a la definición de las amenazas:
¿Cómo está cambiando el mercado? ¿Cómo está cambiando la legislación y/o normatividad? ¿Qué
obstáculos externos se están presentando? ¿Qué está haciendo la competencia que puede afectarlos?
¿Cómo afectan las medidas del gobierno? ¿Cómo le afectan las condiciones de salud pública
actuales?¿Cómo está cambiando la tendencia del mercado?¿Cómo impacta los avances en la automatización
de procesos?
Para la identificación de los riesgos bajo los lineamientos de este instructivo, sólo se toman para el contexto
interno las debilidades y para el contexto externo las amenazas, para seguidamente categorizarlos en cada
uno de los factores que se mencionan a continuación:
Internos: Hace referencia a las políticas, objetivos, procesos y actividades

desarrolladas dentro de la organización. Pueden ser: (1) CONTEXTO
- Estructura organizacional; ESTRATEGICO
- funciones;
- Políticas objetivos y estrategias;
I E
- Recursos y conocimiento; N X
- Procesos; T T
E E
- flujos de información; R R
- Relaciones internas; N N
O O
- La cultura de la organización; S S
Externos: Hace referencia a los factores externos a nivel de proveedores,

clientes y otras partes interesadas, en un contexto más amplio, por ejemplo, a nivel legal, político,
cultural, ambiental, social, tecnológico. Puede ser:
- Impulsores clave y tendencias;
- Las relaciones partes externas sus percepciones y valores;
- Ambiente social y cultural;

CÓDIGO IN-010-SIG
PAGINA 4 de 13
- Político;
- Legal reglamentario;
- Financiero;
- Tecnológico;
- Económico natural y competitivo
- Condiciones ambientales;
*Esta metodología no está diseñada para valorar, evaluar, tratar y controlar oportunidades, el SIG ha decidido darle manejo a través
de las acciones de mejora establecidas en el PR-017-SIG Procedimiento de acciones correctivas, preventivas y de mejora. Cuando las
acciones de mejora se cierren, estas pueden convertirse en las nuevas fortalezas del DOFA del proceso.
6.2 IDENTIFICACIÓN DEL RIESGO
(2) IDENTIFICACION DEL RIESGO
R
DESCRIPCION DEL EFECTO
I CAUSAS (S)
E RIESGO lo que podría <afectar el
S Debido a < una causa
Puede ocurrir <un proceso a la empresa
G concreta, Agente generador>
O acontecimiento incierto y su entorno>.’
>,
Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo
6.2.1 RIESGO
Efecto de la incertidumbre sobre los objetivos. El efecto es una desviación de lo esperado – positiva o
negativa
- Riesgo de Corrupción: La posibilidad de ocurrencia de una conducta o comportamiento que puede

derivar en una actuación corrupta, entendiéndose por tal un comportamiento de abuso en el ejercicio
de las funciones en beneficio personal o particular y en detrimento del interés general o colectivo.
- Riesgo Estratégico: Está asociado a la administración de la Empresa. Como deficiencia o falta de
políticas, diseño de estrategias, cumplimiento de metas.
- Riesgo de Imagen: es la posibilidad de pérdida en que incurre una organización por desprestigio,
mala imagen, publicidad negativa, cierta o no, respecto de la institución y sus prácticas de negocios,
que cause pérdida de clientes, disminución de ingresos o procesos judiciales.
- Riesgo Operativo: referenciado a las deficiencias de infraestructura y organización. Como
desarticulación de los procesos, fallas de los sistemas de información, falta de documentación de los
procesos, etc.
- Riesgo Financiero: Se relaciona con el manejo eficiente y eficaz de los recursos financieros. Como
Dificultades y retrasos en la ejecución presupuestal, Descontrol de los pagos, demoras en la
elaboración de los estados financieros, entre otros.
- Riesgo Cumplimiento: Capacidad para el cumplimiento de los requisitos legales, contractuales, ética
organizacional.
- Riesgo de Tecnología: Asociado a la capacidad y seguridad de la tecnología disponible y su
adaptación a las necesidades actuales y futuras.
6.2.2 DESCRIPCIÓN DEL RIESGO

Las preguntas claves que deben responderse con la descripción del riesgo son: ¿Que puede suceder?,
donde? y cuándo? ¿qué consecuencias tendría su materialización?
El riesgo está asociado a:
- Fuente, que es aquello que tiene el potencial intrínseco para hacer daño, por ejemplo, un químico
peligroso, competidores o una regulación.
- Evento o Incidente: Aquello que ocurre, de manera que la fuente de riesgo genera un impacto, por
ejemplo, un derrame genera contaminación.

CÓDIGO IN-010-SIG
PAGINA 5 de 13
6.2.3 CAUSAS
Factores internos o externos: Son los medios, las circunstancias y agentes generadores de riesgo. Los
agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar
un riesgo.
6.2.4 EFECTO O CONSECUENCIA POTENCIAL

Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la organización;
generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes
tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de
imagen, de credibilidad y de confianza, interrupción de las operaciones. daño ambiental y otros definidos por
el evaluador.
6.3 ANÁLISIS DEL RIESGO

El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus
consecuencias, calificándolos y evaluándolos con el fin de obtener
información para establecer el nivel de riesgo y las acciones que se van a Evaluación cualitativa del riesgo
implementar. inherente
Para adelantar el análisis del riesgo se deben considerar los siguientes
Probailidad
aspectos:
Impacto
Riesgo
- - La Calificación del Riesgo: se logra a través de la estimación de la Inherente
probabilidad de su ocurrencia y el impacto que puede causar la
materialización del riesgo.
- - La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los criterios
definidos para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible
distinguir entre los riesgos Extremos, Altos, Medios, Bajos y fijar las prioridades de las acciones
requeridas para su tratamiento.
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad e
Impacto.
6.3.1 PROBABILIDAD
Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de
frecuencia.
Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las siguientes especificaciones. Tiempo X:
hace referencia al tiempo en cual se evaluará la probabilidad, puede ser 6 meses, 1 año o el tiempo definido
por el responsable de la evaluación:
ESCALA DE CALIFICACIÓN: PROBABILIDAD
NIVEL PROBABILIDAD MEDICIÓN* DESCRIPCIÓN DETALLADA DEL EJEMPLO

Entre 1 - 3 veces en el tiempo El evento puede ocurrir solo en circunstancias
1 Muy Baja
X excepcionales.
Entre 4 - 5 veces en el tiempo
2 Alta El evento puede ocurrir en algún momento.
X
Entre 6 - 7 veces en el tiempo
3 Moderada El evento podría ocurrir en algún momento.
X
Entre 8 - 9 veces en el tiempo El evento probablemente ocurrirá en la mayoría de las
4 Probable
X circunstancias.
Más de 10 veces en el tiempo Se espera que el evento ocurra en la mayoría de las
5 Muy Alta
X circunstancias.
* La medición se calcula teniendo en cuenta el número de veces que suceda el evento durante un periodo de tiempo.

CÓDIGO IN-010-SIG
PAGINA 6 de 13
6.3.2 IMPACTO
Consecuencias que puede ocasionar a la organización la materialización del riesgo.
El impacto se debe medir a partir de las siguientes variables:
Escala de Calificación: Impacto

Económico Ambiente de
Nivel Impacto Ambiental** Imagen Contractual Plazos Personas
(%) trabajo
Contaminación Despido con

5 Superior 100% Internacional Sanciones >o= 1 año muerte
Irreparable justa causa
Contaminación entre 5 y
4 Mayor -75% Nacional Multas accidente Sanciones
Mayor 10 meses
Contaminación entre 1 y 5 Llamados de
3 Importante -50% Regional Oficios Incidentes
Localizada meses atención
Acto o
Contaminación Quejas y/o menor a 1 Quejas
2 Menor -35% Local condición
Menor reclamos mes internas
insegura
Contaminación Incumplimientos
1 Inferior -20% Interna NO Genera NO genera
Leve subsanables
Las variables se pueden ajustar a cada proceso, ajustando las existentes, excluyendo aquellas que no aplican
e incluyendo las que sean necesarias para evaluar el impacto.
Para determinar el impacto, a cada variable se le da un valor de 1 a 5. La calificación de 1 cuando la variable

tenga un impacto es Inferior y de 5 cuando sea Superior.
Luego se calcula un valor promedio de la sumatoria de la calificación del impacto, y el resultado que se
colocará en la Evaluación Cuantitativa del Riesgo Residual.
Los cálculos de la evaluación del impacto se deben registrar para cada riesgo así:
CALIFICACIÓN DEL IMPACTO
Ambiente de trabajo ,
Económico (%)
PROMEDIO
Ambiental**
Contractual
Personas
Imagen
Plazos
RIESGO
Riesgo 1 Prom
Riesgo 2 Prom

CÓDIGO IN-010-SIG
PAGINA 7 de 13
6.3.3 RIESGO INHERENTE

El primer análisis del riesgo se denomina Riesgo Inherente y se define como aquel al que se enfrenta una
organización en ausencia de controles para su gestión y control.
Probabilidad (X) Impacto = Riesgo Inherente
Ejemplo de calificación de acuerdo con las escalas de probabilidad, impacto y probabilidad vs Impacto
Probabilidad (4) X impacto (2) = 8
B: Zona de riesgo baja: Asumir el riesgo

M: Zona de riesgo moderada: Asumir el riesgo, reducir el riesgo
A: Zona de riesgo alta: Reducir el riesgo, evitar, compartir o transferir
E: Zona de riesgo extrema: Reducir el riesgo, evitar, compartir o transferir
6.4 EVALUACIÓN DEL RIESGO
(4) EVALUACIÓN DEL RIESGO
Evaluación cualitativa del riesgo Evaluación Cuantitativa del Riesgo Evaluacion Cualitativa del
inherente Residual Riesgo Residual
Evaluación de
la efectividad
Probabilidad
Controles Existentes
Probailidad
Probailidad
de los
Impacto
Impacto
Impacto
Riesgo Riesgo Riesgo

Controles Residual
Inherente Residual

CÓDIGO IN-010-SIG
PAGINA 8 de 13
6.4.1 Evaluación cualitativa del riesgo inherente

6.4.2
6.4.3 Controles Existentes

Son las medidas de intervención existentes para la gestión del riesgo inherente, estas medidas son
evidenciables.
6.4.4 Evaluación de la efectividad de los Controles

Tome la escala de Calificación de los controles y califique en una escala de 1 a 5:
Evaluación de la efectividad de los Controles
1 2 3 4 5
Existe Control, esta documentado
Existe Control, esta
No existe control en el Existe Control y no esta Existe el Control y esta y se aplica y es efectivo para
documentado y se
proceso documentado. documentado minimizar el riesgo y/o eliminar la
aplica
causa.
6.4.5 Evaluación Cuantitativa y Cualitativa del Riesgo Residual

Una vez identificados y valorados los controles, se vuelve a evaluar cuantitativa y cualitativamente el riesgo
residual después de aplicar los controles.

CÓDIGO IN-010-SIG
PAGINA 9 de 13
6.5 POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO

Las políticas identifican las opciones para tratar y manejar los riesgos de acuerdo a los resultados en la
valoración de riesgos, permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del
Riesgo, a su vez transmiten la posición de la dirección y establecen las guías de acción necesarias a todos
los empleados de la organización.
Se deben tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de
ellas independientemente, interrelacionadas o en conjunto.
COMBINACIONES
Prob VS Nivel de riesgo
Probabilidad Impacto (Prob VS Impac Probabilidad Impacto Resultado Opciones de tratamiento
Impac /25)
Asumir el riesgo. Permite a la
Organización asumirlo, es decir, el riesgo
se encuentra en un nivel que puede
1 1 1 4% Raro Insignificante Bajo aceptarlo sin necesidad de tomar otras
medidas de control diferentes a las que se
poseen. El responsable del proceso acepta
el riesgo

1 2 2 8% Raro Menor Bajo aceptarlo sin necesidad de tomar otras
el riesgo
Asumir y Reducir el Riesgo. Se deben

tomar medidas para llevar los Riesgos de
1 3 3 12% Raro Moderado Medio la Zona Media a la Zona baja, y prevenir
que se materialicen, en lo posible. (Dentro
del Nivel de Aceptación)
Reducir, Evitar, Compartir o transferir el
riesgo. Se deben tomar medidas para
llevar los Riesgos de la Zona Alta a la
1 4 4 16% Raro Mayor Alto Zona baja, en lo posible. Deben elaborar
acciones correctivas, preventivas y de
mejora y documentarlas, probando su
eficacia, eficiencia y efectividad.

CÓDIGO IN-010-SIG
PAGINA 10 de 13
COMBINACIONES
Impac /25)
llevar los Riesgos de la Zona Alta a la
1 5 5 20% Raro Catastrófico Alto Zona baja, en lo posible. Deben elaborar
las acciones correctivas, preventivas y de
Mejora y documentarlas, probando su
eficacia y eficiencia.

2 1 2 8% Improbable Insignificante Bajo aceptarlo sin necesidad de tomar otras
el riesgo

2 2 4 16% Improbable Menor Bajo aceptarlo sin necesidad de tomar otras
el riesgo

la Zona Media a la Zona baja, y prevenir
que se materialicen, en lo posible. Se
2 3 6 24% Improbable Moderado Medio
deben elaborar las acciones correctivas,
preventivas y de mejora y documentarlas,
probando su eficacia y eficiencia. (Dentro
del Nivel de Aceptación)
riesgo. se deben tomar medidas para
llevar los Riesgos a la Zona Baja y/o
media, en lo posible. Las medidas
2 4 8 32% Improbable Mayor Alto
preventivas deben asegurar la
minimización del impacto y la reducción de
la probabilidad y deben estar
documentadas y aprobadas.
Evitar, Reducir, Compartir o transferir el

llevar los Riesgos a la Zona media o baja.
2 5 10 40% Improbable Catastrófico Extremo Siempre que el riesgo es calificado con
Impacto muy alto la Organización debe
diseñar planes de contingencia, para
protegerse en caso de su ocurrencia.

3 1 3 12% Posible Insignificante Bajo aceptarlo sin necesidad de tomar otras
el riesgo

la Zona Media a la Zona baja. Se deben
3 2 6 24% Posible Menor Medio
elaborar las acciones correctivas,
probando su eficacia y eficiencia.

CÓDIGO IN-010-SIG
PAGINA 11 de 13
COMBINACIONES
Impac /25)
llevar los Riesgos a la Zona media o baja
en lo posible. Los Riesgos con Impacto
3 3 9 36% Posible Moderado Alto moderado y Probabilidad posible, debe
reducirse o compartirse el riesgo. Se
Reducir, Compartir o transferir el
riesgo. Cuando el riesgo se encuentra en
la escala Posible e Impacto altor se debe
compartir el riesgo. Siempre que el riesgo
3 4 12 48% Posible Mayor Extremo
es calificado con Impacto extremo la
Organización debe diseñar y probar planes
de contingencia, para protegerse en caso
de su ocurrencia.
riesgo. Es aconsejable eliminar la
actividad que genera el riesgo, si es viable,
de lo contrario se deben implementar
controles de prevención y protección
debidamente documentados y probados,
para disminuir la Probabilidad del riesgo, o
3 5 15 60% Posible Catastrófico Extremo
compartir o transferir el riesgo si es posible
a través de pólizas de seguros u otras
opciones que estén disponibles. Siempre
que el riesgo sea calificado con Impacto
Extremo la organización debe diseñar
planes de contingencia, para protegerse en
caso de su ocurrencia.
la Zona Media a la Zona baja. Se deben
4 1 4 16% Probable muy bajo Medio

llevar los Riesgos altos, a la zona media o
4 2 8 32% Probable Bajo Alto baja, deben reducirse o compartirse. Se
llevar los Riesgos a la Zona media o baja,
en lo posible. los Riesgos probarles con
4 3 12 48% Probable Moderado Alto Impacto moderado, se reducen o se
comparten, si es posible. Se deben
la escala Probable e Impacto mayor se
debe compartir el riesgo. Siempre que el
riesgo es calificado como extremo la
4 4 16 64% Probable Mayor Extremo Organización debe elaborar las acciones
preventivas y/o correctivas y
documentarlas, probando su eficacia y
eficiencia, además diseñar y probar planes
de su ocurrencia.

CÓDIGO IN-010-SIG
PAGINA 12 de 13
COMBINACIONES
Impac /25)
4 5 20 80% Probable Catastrófico Extremo
Muy alto la organización debe diseñar
planes de contingencia, para protegerse en
caso de su ocurrencia.
llevar los Riesgos altos, a la zona media o
baja en lo posible para reducirse o
5 1 5 20% Casi seguro muy bajo Alto
compartirse. Se deben elaborar las
acciones correctivas, preventivas y de
mejora y documentarlas, probando su
eficacia y eficiencia.
llevar los Riesgos a la Zona media o baja,
en lo posible. los Riesgos altos, se
5 2 10 40% Casi seguro Bajo Alto
reducen o se comparten, si es posible. Se
la escala Casi seguro e Impacto moderado
se debe compartir el riesgo. Siempre que
el riesgo es calificado como extremo la
5 3 15 60% Casi seguro Moderado Extremo Organización debe elaborar las acciones
preventivas y/o correctivas y
documentarlas, probando su eficacia y
eficiencia, además diseñar y probar planes
de su ocurrencia.
5 4 20 80% Casi seguro Alto Extremo
Alto la organización debe diseñar planes
de su ocurrencia.
5 5 25 100% Casi seguro Casi seguro Extremo compartir o transferir el riesgo si es posible
Muy Alto la organización debe tener sus
planes de continuidad del negocio,
protegerse en caso de su ocurrencia, y
asegurarse de seguir funcionando.

CÓDIGO IN-010-SIG
PAGINA 13 de 13
COMBINACIONES
Impac /25)
6.6 PLANES DE TRATAMIENTO DEL RIESGO

El tratamiento de los riesgos residuales identificados en el mapa de riesgos de cada proceso se realiza
teniendo en cuenta la política de Administración de riesgos. Las acciones para abordar estos riesgos se
deben documentar en el FO 160 SIG Tratamiento de Acciones Correctivas Preventivas de Mejoras como
acciones preventivas y se deben seguir los lineamientos del PR-017-SIG Procedimiento de Acciones
Correctivas, Preventivas y de Mejora teniendo en cuenta la política de administración del riesgo.
NOTAS IMPORTANTES: Cuando las acciones preventivas se cierren, se debe valorar y evaluar nuevamente
el nivel de riesgo. Muy posiblemente, los planes de acción cerrados se convierten en los nuevos controles
existentes, lo que se verá reflejado en una disminución de nivel de riesgo con respecto a la evaluación
anterior.
Para los riesgos que se le implementaron los controles eficaces y no son permanentes, se elimina del mapa
de riesgo o se convierten en fortalezas en la matriz DOFA.
Las oportunidades son abordadas con acciones de mejora, siguiendo el PR-017-SIG Procedimiento de
Acciones Correctivas, Preventivas y de Mejora
El análisis de contexto, matriz DOFA y Mapa de riesgos, se deben revisar y si se requiere actualizar, por lo
menos una vez al año, antes del ciclo de auditorias internas del Sistema Integrado de Gestión
7. CONTROL DE CAMBIOS DEL DOCUMENTO
VERSIÓN FECHA MODIFICACIÓN

0 26/03/2019 Primera emisión del documento
1.Se aterriza el instructivo sólo a la identificación, valoración,
evaluación, tratamiento y control de los riesgos. Se extraen las
Oportunidades.
1 10/02/2020 2.Se ajusta el Contexto estratégico ampliando los lineamientos para la
elaboración de la Matriz Dofa
3.Se ajustaron los planes de tratamiento del riesgo y las opciones de
tratamiento de riesgo
2 17/05/2022 En el numeral 6.6 se agrega notas importantes


1.1 GR in 010 Sig Instructivo para Diligenciar Mapas de Riesgos V2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1.1 GR in 010 Sig Instructivo para Diligenciar Mapas de Riesgos V2

Cargado por

Copyright:

Formatos disponibles

CÓDIGO IN-010-SIG

INSTRUCTIVO PARA DILIGENCIAR MATRIZ DE VERSIÓN 2

Emitido por: Revisado por: Aprobado por:

2 RESPONSABLE DEL DOCUMENTO.

4 VALORACIÓN DEL RIESGO

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

5 EN QUÉ CONSISTE LA GESTIÓN DEL RIESGO

6 INSTRUCTIVO PARA DILIGENCIAR MATRIZ DE RIESGOS

6.1 CONTEXTO ESTRATÉGICO

Para la metodología de este instructivo, no se identificarán estrategias como comúnmente se establecen en la

Internos: Hace referencia a las políticas, objetivos, procesos y actividades

Externos: Hace referencia a los factores externos a nivel de proveedores,

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

6.2 IDENTIFICACIÓN DEL RIESGO

(2) IDENTIFICACION DEL RIESGO

- Riesgo de Corrupción: La posibilidad de ocurrencia de una conducta o comportamiento que puede

6.2.2 DESCRIPCIÓN DEL RIESGO

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

6.2.4 EFECTO O CONSECUENCIA POTENCIAL

6.3 ANÁLISIS DEL RIESGO

Para adelantar el análisis del riesgo se deben considerar los siguientes

ESCALA DE CALIFICACIÓN: PROBABILIDAD

NIVEL PROBABILIDAD MEDICIÓN* DESCRIPCIÓN DETALLADA DEL EJEMPLO

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

El impacto se debe medir a partir de las siguientes variables:

Escala de Calificación: Impacto

Contaminación Despido con

Para determinar el impacto, a cada variable se le da un valor de 1 a 5. La calificación de 1 cuando la variable

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

6.3.3 RIESGO INHERENTE

Probabilidad (X) Impacto = Riesgo Inherente

B: Zona de riesgo baja: Asumir el riesgo

6.4 EVALUACIÓN DEL RIESGO

(4) EVALUACIÓN DEL RIESGO

Riesgo Riesgo Riesgo

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

6.4.1 Evaluación cualitativa del riesgo inherente

6.4.3 Controles Existentes

6.4.4 Evaluación de la efectividad de los Controles

Evaluación de la efectividad de los Controles

6.4.5 Evaluación Cuantitativa y Cualitativa del Riesgo Residual

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

6.5 POLÍTICAS DE ADMINISTRACIÓN DEL RIESGO

Asumir el riesgo. Permite a la

Asumir y Reducir el Riesgo. Se deben

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

Asumir el riesgo. Permite a la

Asumir el riesgo. Permite a la

Asumir y Reducir el Riesgo. Se deben

Evitar, Reducir, Compartir o transferir el

Asumir el riesgo. Permite a la

Asumir y Reducir el Riesgo. Se deben

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

Reducir, Evitar, Compartir o transferir el

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

6.6 PLANES DE TRATAMIENTO DEL RIESGO

7. CONTROL DE CAMBIOS DEL DOCUMENTO

VERSIÓN FECHA MODIFICACIÓN

Cualquier copia impresa de este documento se considera COPIA NO CONTROLADA.

También podría gustarte