Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1.1 GR in 010 Sig Instructivo para Diligenciar Mapas de Riesgos V2
1.1 GR in 010 Sig Instructivo para Diligenciar Mapas de Riesgos V2
1 OBJETIVO
Fortalecer la implementación y desarrollo de la gestión del riesgo en el Grupo Aeroportuario del Caribe S.A.S,
a través de la adecuada identificación, valoración, tratamiento y control de los riesgos que puedan impactar el
Sistema Integrado de Gestión a través de acciones que puedan abordarlos.
3 DEFINICIONES Y ABREVIATURAS
▪ Análisis de riesgo: proceso para comprender la naturaleza del riesgo y determinar el nivel de
riesgo.
▪ Consecuencia: Los resultados más probables y esperados del riesgo que se evalúa, incluyendo los
daños a los materiales.
▪ Contexto externo: Ambiente externo en el cual la organización busca alcanzar sus objetivos. Puede
incluir el ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico,
natural, competitivo, bien sea internacional, nacional, regional o local. Impulsadores clave y
tendencias, relaciones con las partes involucradas.
▪ Contexto interno: Ambiente interno en el cual la organización busca alcanzar sus objetivos. Puede
incluir gobierno, estructura organizacional, políticas, objetivos y estrategias implementadas para
lograrlo, las capacidades entendidas en términos de recursos y conocimiento, sistemas de
información y procesos para la toma de decisiones, relación con las partes involucradas internas,
cultura organizacional.
▪ Control: Medida que modifica al riesgo.
▪ Evaluación del riesgo: Proceso de comparación de los resultados del análisis de riesgos con los
criterios del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o intolerables.
▪ Evento: Presencia o cambio de un conjunto particular de circunstancias
▪ Factor de riesgo: Elemento que encierra una capacidad potencial de producir daños materiales o al
producto.
▪ Fuente de riesgo: Elemento que solo o en combinación tiene el potencial intrínseco de originar un
riesgo.
▪ Gestion del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto
al riesgo.
▪ Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo.
▪ Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de
la combinación de las consecuencias y su probabilidad.
▪ Parte involucrada: Persona u organización que puede afectar, verse afectada o percibirse a sí
misma como afectada por una decisión o una actividad.
▪ Probabilidad: Oportunidad de que algo suceda.
▪ Riesgo: Efecto de la incertidumbre sobre los objetivos.
▪ Tratamiento del riesgo: Proceso para modificar el riesgo.
oportunidades, para con base a esto tomar acciones que permitan gestionar los puntos débiles a través de la
disminución del nivel de riesgo y potencializar los puntos positivos a través de la materialización de las
oportunidades.
Para la identificación de los riesgos bajo los lineamientos de este instructivo, sólo se toman para el contexto
interno las debilidades y para el contexto externo las amenazas, para seguidamente categorizarlos en cada
uno de los factores que se mencionan a continuación:
- Político;
- Legal reglamentario;
- Financiero;
- Tecnológico;
- Económico natural y competitivo
- Condiciones ambientales;
*Esta metodología no está diseñada para valorar, evaluar, tratar y controlar oportunidades, el SIG ha decidido darle manejo a través
de las acciones de mejora establecidas en el PR-017-SIG Procedimiento de acciones correctivas, preventivas y de mejora. Cuando las
acciones de mejora se cierren, estas pueden convertirse en las nuevas fortalezas del DOFA del proceso.
R
DESCRIPCION DEL EFECTO
I CAUSAS (S)
E RIESGO lo que podría <afectar el
S Debido a < una causa
Puede ocurrir <un proceso a la empresa
G concreta, Agente generador>
O acontecimiento incierto y su entorno>.’
>,
Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo
6.2.1 RIESGO
Efecto de la incertidumbre sobre los objetivos. El efecto es una desviación de lo esperado – positiva o
negativa
6.2.3 CAUSAS
Factores internos o externos: Son los medios, las circunstancias y agentes generadores de riesgo. Los
agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar
un riesgo.
Probailidad
aspectos:
Impacto
Riesgo
- - La Calificación del Riesgo: se logra a través de la estimación de la Inherente
probabilidad de su ocurrencia y el impacto que puede causar la
materialización del riesgo.
- - La Evaluación del Riesgo: permite comparar los resultados de su calificación, con los criterios
definidos para establecer el grado de exposición de la entidad al riesgo; de esta forma es posible
distinguir entre los riesgos Extremos, Altos, Medios, Bajos y fijar las prioridades de las acciones
requeridas para su tratamiento.
Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad e
Impacto.
6.3.1 PROBABILIDAD
Por probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de
frecuencia.
Bajo el criterio de Probabilidad: el riesgo se debe medir a partir de las siguientes especificaciones. Tiempo X:
hace referencia al tiempo en cual se evaluará la probabilidad, puede ser 6 meses, 1 año o el tiempo definido
por el responsable de la evaluación:
6.3.2 IMPACTO
Consecuencias que puede ocasionar a la organización la materialización del riesgo.
Las variables se pueden ajustar a cada proceso, ajustando las existentes, excluyendo aquellas que no aplican
e incluyendo las que sean necesarias para evaluar el impacto.
Luego se calcula un valor promedio de la sumatoria de la calificación del impacto, y el resultado que se
colocará en la Evaluación Cuantitativa del Riesgo Residual.
Los cálculos de la evaluación del impacto se deben registrar para cada riesgo así:
CALIFICACIÓN DEL IMPACTO
Ambiente de trabajo ,
Económico (%)
PROMEDIO
Ambiental**
Contractual
Personas
Imagen
Plazos
RIESGO
Riesgo 1 Prom
Riesgo 2 Prom
Ejemplo de calificación de acuerdo con las escalas de probabilidad, impacto y probabilidad vs Impacto
Probabilidad (4) X impacto (2) = 8
Evaluación cualitativa del riesgo Evaluación Cuantitativa del Riesgo Evaluacion Cualitativa del
inherente Residual Riesgo Residual
Evaluación de
la efectividad
Probabilidad
Controles Existentes
Probailidad
Probailidad
de los
Impacto
Impacto
Impacto
1 2 3 4 5
Existe Control, esta documentado
Existe Control, esta
No existe control en el Existe Control y no esta Existe el Control y esta y se aplica y es efectivo para
documentado y se
proceso documentado. documentado minimizar el riesgo y/o eliminar la
aplica
causa.
Se deben tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de
ellas independientemente, interrelacionadas o en conjunto.
COMBINACIONES
Prob VS Nivel de riesgo
Probabilidad Impacto (Prob VS Impac Probabilidad Impacto Resultado Opciones de tratamiento
Impac /25)
Asumir el riesgo. Permite a la
Organización asumirlo, es decir, el riesgo
se encuentra en un nivel que puede
1 1 1 4% Raro Insignificante Bajo aceptarlo sin necesidad de tomar otras
medidas de control diferentes a las que se
poseen. El responsable del proceso acepta
el riesgo
COMBINACIONES
Prob VS Nivel de riesgo
Probabilidad Impacto (Prob VS Impac Probabilidad Impacto Resultado Opciones de tratamiento
Impac /25)
Reducir, Evitar, Compartir o transferir el
riesgo. Se deben tomar medidas para
llevar los Riesgos de la Zona Alta a la
1 5 5 20% Raro Catastrófico Alto Zona baja, en lo posible. Deben elaborar
las acciones correctivas, preventivas y de
Mejora y documentarlas, probando su
eficacia y eficiencia.
COMBINACIONES
Prob VS Nivel de riesgo
Probabilidad Impacto (Prob VS Impac Probabilidad Impacto Resultado Opciones de tratamiento
Impac /25)
Reducir, Evitar, Compartir o transferir el
riesgo. se deben tomar medidas para
llevar los Riesgos a la Zona media o baja
en lo posible. Los Riesgos con Impacto
3 3 9 36% Posible Moderado Alto moderado y Probabilidad posible, debe
reducirse o compartirse el riesgo. Se
deben elaborar las acciones correctivas,
preventivas y de mejora y documentarlas,
probando su eficacia y eficiencia.
Reducir, Compartir o transferir el
riesgo. Cuando el riesgo se encuentra en
la escala Posible e Impacto altor se debe
compartir el riesgo. Siempre que el riesgo
3 4 12 48% Posible Mayor Extremo
es calificado con Impacto extremo la
Organización debe diseñar y probar planes
de contingencia, para protegerse en caso
de su ocurrencia.
Evitar, Reducir, Compartir o transferir el
riesgo. Es aconsejable eliminar la
actividad que genera el riesgo, si es viable,
de lo contrario se deben implementar
controles de prevención y protección
debidamente documentados y probados,
para disminuir la Probabilidad del riesgo, o
3 5 15 60% Posible Catastrófico Extremo
compartir o transferir el riesgo si es posible
a través de pólizas de seguros u otras
opciones que estén disponibles. Siempre
que el riesgo sea calificado con Impacto
Extremo la organización debe diseñar
planes de contingencia, para protegerse en
caso de su ocurrencia.
Asumir y Reducir el Riesgo. Se deben
tomar medidas para llevar los Riesgos de
la Zona Media a la Zona baja. Se deben
4 1 4 16% Probable muy bajo Medio
elaborar las acciones correctivas,
preventivas y de mejora y documentarlas,
probando su eficacia y eficiencia.
COMBINACIONES
Prob VS Nivel de riesgo
Probabilidad Impacto (Prob VS Impac Probabilidad Impacto Resultado Opciones de tratamiento
Impac /25)
Evitar, Reducir, Compartir o transferir el
riesgo. Es aconsejable eliminar la
actividad que genera el riesgo, si es viable,
de lo contrario se deben implementar
controles de prevención y protección
debidamente documentados y probados,
para disminuir la Probabilidad del riesgo, o
4 5 20 80% Probable Catastrófico Extremo
compartir o transferir el riesgo si es posible
a través de pólizas de seguros u otras
opciones que estén disponibles. Siempre
que el riesgo sea calificado con Impacto
Muy alto la organización debe diseñar
planes de contingencia, para protegerse en
caso de su ocurrencia.
Reducir, Evitar, Compartir o transferir el
riesgo. Se deben tomar medidas para
llevar los Riesgos altos, a la zona media o
baja en lo posible para reducirse o
5 1 5 20% Casi seguro muy bajo Alto
compartirse. Se deben elaborar las
acciones correctivas, preventivas y de
mejora y documentarlas, probando su
eficacia y eficiencia.
Reducir, Evitar, Compartir o transferir el
riesgo. Se deben tomar medidas para
llevar los Riesgos a la Zona media o baja,
en lo posible. los Riesgos altos, se
5 2 10 40% Casi seguro Bajo Alto
reducen o se comparten, si es posible. Se
deben elaborar las acciones correctivas,
preventivas y de mejora y documentarlas,
probando su eficacia y eficiencia.
Evitar, Reducir, Compartir o transferir el
riesgo. Cuando el riesgo se encuentra en
la escala Casi seguro e Impacto moderado
se debe compartir el riesgo. Siempre que
el riesgo es calificado como extremo la
5 3 15 60% Casi seguro Moderado Extremo Organización debe elaborar las acciones
preventivas y/o correctivas y
documentarlas, probando su eficacia y
eficiencia, además diseñar y probar planes
de contingencia, para protegerse en caso
de su ocurrencia.
Evitar, Reducir, Compartir o transferir el
riesgo. Es aconsejable eliminar la
actividad que genera el riesgo, si es viable,
de lo contrario se deben implementar
controles de prevención y protección
debidamente documentados y probados,
para disminuir la Probabilidad del riesgo, o
5 4 20 80% Casi seguro Alto Extremo
compartir o transferir el riesgo si es posible
a través de pólizas de seguros u otras
opciones que estén disponibles. Siempre
que el riesgo sea calificado con Impacto
Alto la organización debe diseñar planes
de contingencia, para protegerse en caso
de su ocurrencia.
Evitar, Reducir, Compartir o transferir el
riesgo. Es aconsejable eliminar la
actividad que genera el riesgo, si es viable,
de lo contrario se deben implementar
controles de prevención y protección
debidamente documentados y probados,
para disminuir la Probabilidad del riesgo, o
5 5 25 100% Casi seguro Casi seguro Extremo compartir o transferir el riesgo si es posible
a través de pólizas de seguros u otras
opciones que estén disponibles. Siempre
que el riesgo sea calificado con Impacto
Muy Alto la organización debe tener sus
planes de continuidad del negocio,
protegerse en caso de su ocurrencia, y
asegurarse de seguir funcionando.
COMBINACIONES
Prob VS Nivel de riesgo
Probabilidad Impacto (Prob VS Impac Probabilidad Impacto Resultado Opciones de tratamiento
Impac /25)
NOTAS IMPORTANTES: Cuando las acciones preventivas se cierren, se debe valorar y evaluar nuevamente
el nivel de riesgo. Muy posiblemente, los planes de acción cerrados se convierten en los nuevos controles
existentes, lo que se verá reflejado en una disminución de nivel de riesgo con respecto a la evaluación
anterior.
Para los riesgos que se le implementaron los controles eficaces y no son permanentes, se elimina del mapa
de riesgo o se convierten en fortalezas en la matriz DOFA.
Las oportunidades son abordadas con acciones de mejora, siguiendo el PR-017-SIG Procedimiento de
Acciones Correctivas, Preventivas y de Mejora
El análisis de contexto, matriz DOFA y Mapa de riesgos, se deben revisar y si se requiere actualizar, por lo
menos una vez al año, antes del ciclo de auditorias internas del Sistema Integrado de Gestión