GESTION DEL RIESGO

DE LA CALIDAD
ISO 9001:2015
SESION N° 3: MATRIZ DE RIESGO

Objetivos generales: interpretar la norma ISO 31000:2018, en el marco de la

auditoría de un sistema de gestión de la CALIDAD

Objetivo 01 Objetivo 02
Gestionar los riesgos de forma
integral, tomando como norma de
1 2 Comprender los principios de la
Gestión de riesgos para aumentar
referencia la ISO 31000. la efectividad de la gestión de
riesgos en los sistemas de gestión
de la SGC

Objetivo 03
Establecer un marco de referencia
Objetivo
3 4
para gestionar los riesgos.
Aplicar la metodología para
identificar, evaluar y controlar los
riesgos del SGC
2

2
1
 REPASO

GESTION DEL RIESGO Ejemplos de Riesgos

No cumplir con los requisitos del

cliente (9001)

Ventas sin identificar la capacidad

de planta (vender mas de lo que se
produce) (9001)

Modificar el Programa de Auditorías

Efecto de la incertidumbre o
desviación (positiva o negativa)
Frente al resultado del proceso
esperado y los objetivos de la
organización
en beneficio de una Unidad
(amistad)
Durante la auditoría, no
inspeccionar un proceso crítico
coludiéndose con el responsable

Permitir el ingreso a la organización

Probabilidad Impacto o Severidad sin la debida identificación y registro
Indice
Que suceda un x Consecuencia si =
de Riesgo Calidad: No cumplir con los
Evento sucede el evento Riesgo plazos de entrega

Riesgo Soborno: Coludirse con el

despachador
El riesgo positivo es llamado OPORTUNIDAD 6
Riesgo SST: Sin recursos para Plan
COVID-19
Ver. 20 / 20-11-2020 2
CONTEXTO
Factores y tendencias claves con CONTEXTO EXTERNO
impacto en los objetivos de la
organización

Estrategia
Entorno natural
Objetivos
Tecnología
Recursos y
conocimiento

Entorno social, cultu ral y Responsabilidades

Partes interesadas
político y funciones
internas:
Entorno económico percepciones, valores

Cultura de la
organización
Comunicación
Partes interesadas externas:
Entorno legal y reglamentario relación, percepción, valores. CONTEXTO INTERNO
7

FUENTES PARA IDENTIFICAR EL RIESGO

1 Del Contexto Externo e Interno

3 Alcance Sistema Gestión

2 Requisitos de Partes Interesadas

4 Requisitos Legales y otros requisitos

8
3
MATRIZ DE RIESGO

Contexto
Interno

Contexto
EXterno

Partes
Interesadas

TRATAMIENTO DEL RIESGO

OP CIONES PARA EL
Formular y seleccionar TRATAMIENTO DEL RIESGO

Planificar e implementar

Evaluar la eficacia
Decidir si el riesgo residual
es aceptable
No aceptable, acciones
complementarias

4
EVALUACION DEL RIESGO Y RIESGO RESIDUAL
EVALUACION DEL RIESGO RIESGO RESIDUAL

CALIFICACION PLAN DE CALIFICACION

EVALUACION DEL TRATA- NIVEL DE RIESGO EVALUACION DEL
NIVEL DE RIESGO MIENTO PROBABI
PROBABI RIESGO RESIDUAL RIESGO RESIDUAL
LIDAD IMPACTO
IMPACTO SI / NO
LIDAD

4 3 12 MODERADO

11

EFICACIA DE LA ACCION TOMADA

EFICACIA ACCION TOMADA

Ex iste n m anuale s En e l tie m po que lle va La fre cuencia de la

Están definidos los
Pose e una instructivos o re sponsables de la e je cución de l control
la he rramienta ha
he rramienta para proce dimientos para Próx ima
de m ostrado se r e je cución del control y se guimiento e s Eficacia del control Re sponsable Fe cha Obse rvacios Estado
e je rcer e l control e l m ane jo de la Ev aluación
e fe ctiv a y de l se guimiento ade cuada
15 he rramienta
30 15 25
15

Gerente General Ejecutado Dic-18

Director SIG Ejecutado Dic-18

Gerente General Ejecutado Dic-18

12
5
 OPCIONES TRATAMIENTO DEL RIESGO

•No se identifican controles o no se pueden aplicar

RETENER
• Vivir con las consecuencias
•Asumir y aceptar las consecuencias que tenga
ACEPTAR
• No pone en riesgos la organización

COMPARTIR •Transferir cuando no se puede controlar

• Aseguradoras etc.
•Eliminación de la fuente
EVITAR
• Modificación sustancial de la fuente

PLANES DE TRATAMIENTO DEL RIESGO

• Cómo se SEGUIMIENTO • Orden de

implementarán implementación
• Involucrados • A los avances del tratamiento
comprendan las planificados
disposiciones

PROPÓSITO IDENTIFICAR

6
RIESGO RESIDUAL
Es el riesgo remanente después de aplicar
los controles

Por estimación Por medición

El que se espera co mo resultado de la

eficacia de los controles El medido en función a la eficacia
comprobada de los controles
10

SEGUIMIENTO Y REVISIÓN

Mejorar la
Mejorar la apreciación
delaprecira iec
sgioón del
Asegurar que los
controles son eficaces
riesgo

PROPÓSITO

Analizar y sacar Cambios en el

Cambios en el contexto
conclusiones contexto

11

7
 MATRIZ
DE
RIESGOS

14

CARATULA DE LA MATRIZ DE RIESGOS

DATOS GENERALES DE LA EMPRESA

Razón Social RUC
Dirección Elaborado por
Dirección Actualizado
Actividad Principal Trabajadores

0 CARATULA
1 MATRIZ DE RIESGO
2 TIPOS DE RIESGOS
3 PROBABILIDAD
4 IMPACTO
5 NIVELES DE RIESGO
6 ESTRATEGIA TRATAMIENTO
7 EFICACIA CONTROLES

8
TIPOS DE RIESGO
TIPO DESCRIPCION
Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se
Riesgo enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos
Estratégico estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por
parte de la alta gerencia.
Riesgos de Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la
Imagen institución
Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de
Riesgos
Operativos
información institucional, de la definición de los procesos, de la estructura de la entidad, de
la articulación entre dependencias
Se relacionan con el manejo de los recursos de la entidad que incluyen: la ejecución
Riesgos
Financieros
presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes
de tesorería y el manejo sobre los bienes
Riesgos de Se asocian con la capacidad de la entidad para cumplir con los requisitos legales,
Cumplimiento contractuales y en general con su compromiso ante la comunidad

Riesgos de Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus
Tecnología necesidades actuales y futuras y el cumplimiento de la misión.

NIVEL DE RIESGO
Nivel Criterio Descripción (NEGATIVO) Descripción (POSITIVO)
Genera un alto impacto (legal, imagen, económico, operativo) a la
organización y es muy probable que ocurran. Aquel riesgo que al Es aquel riesgo que al presentarse puede generar
20-25 CRÍTICO presentarse puede causar una afectación directa a la estrategia, no grandes beneficios para la oranización para el
se debe continuar con las actividades hasta que se realicen cumplimiento de los objetivos institucionales.
acciones que aporten a la mitigación del mismo.
Genera un impacto (legal, imagen, económico, operativo) a la
organización, y es más probable que ocurran. Aquel riesgo que al Es aquel riesgo que al presentarse potenciaría los
presentarse puede originar una afectación a los procesos de procesos de negocio, se debe analizar el costo del
15-19 IMPORTANTE
negocio, se debe realizar acciones correctivas a corto o mediano aprovechamiento y el beneficio que daría a la
plazo a fin de mitigar el nivel de riesgo e iniciar acciones preventivas institución aprovecharlo.
con el fin que el riesgo no se manifieste.
Genera un impacto (legal, imagen, económico, operativo) a la
Es aquel riesgo que al presentarse potenciaría los
organización, y es probable que ocurran ocasionalmente. Aquel
procesos de soporte, se debe analizar el costo del
9-14 MODERADO riesgo que al presentarse puede orginar una afectación a los
aprovechamiento y el beneficio que daría a la
procesos de soporte, se debe tomar acciones a mediano o largo
institución aprovecharlo.
plazo a fin de que el riesgo no se manifieste.
Genera bajo impacto a la organización y es poco probable que Es aquel riesgo que al presentarse genera
ocurran. Aquel riesgo que al presentarse no genera afectación en oportunidades en la prestación del servicio de la
5-8 TOLERADO
prestación de servicio de la organización. Se recomienda organización, las cuales no impacta sustancialmente
actividades de retención del riesgo. en los requisitos de las partes interesadas.
No generan impacto a la organización y es improbable que ocurran
Es aquel riesgos que al presentarse, su
NO Aquel riesgo que al presentarse no afecta el funcionar de la
1-4 aprovechamiento no afecta sustancialmente los
SIGNIFICATIVO organización. Se pueden continuar con las actividades sin llevar a
objetivos institucionales.
cabo controles adicionales.

9
 NIVEL DESCRIPCIÓN CONCEPTO FRECUENCIA
PROBABILIDAD Casi Se espera que ocurra en la mayoría de
5 DEFINIR FRECUENCIA
siempre circunstancias
Muy Puede ocurrir en la mayoría de
4 DEFINIR FRECUENCIA
Frecuente circunstancias
Probablemente ocurriria en la mayoría
3 Frecuente DEFINIR FRECUENCIA
de circunstancias
Puede ocurrir solo en circunstancias
2 Ocacional excepcionales DEFINIR FRECUENCIA
1 Rara vez Puede ocurrir en algún momento DEFINIR FRECUENCIA

SEVERIDAD
NEGATIVO
NIVEL DESCRIPCIÓN
Si el evento llegara a presentarse, tendría un trágico impacto,
5 Muy Alto comprometiendo los objetivos de la empresa o la continuidad
de las operaciones por paralización de los principales procesos.
Si el evento llegara a presentarse, tendría un alto impacto,
4 Alto comprometiendo los objetivos de la Empresa o la continuidad
de las operaciones por paralización de los procesos de soporte.
Si el evento llegara a presentarse, tendría un moderado
3 Medio impacto o efecto sobre los objetivos de la Empresa,
comprometiendo varias actividades.
Si el evento llegara a presentarse, tendría un bajo impacto o
2 Bajo
efecto sobre algunas actividades de la Empresa.
Si el evento llegara a presentarse, no representa un impacto
1 Muy Bajo
importante para la Empresa.
POSITIVO
Si el evento llegara a presentarse, tendría un impacto positivo en el
desempeño de los procesos principales de la organizaión, permitiendo el
logro de los objetivos de la empresa.
Si el evento llegara a presentarse, tendría un impacto positivo en el
desempeño de los procesos de soporte de la organizaión, permitiendo el
logro de los objetivos de la empresa.
Si el evento llegara a presentarse, tendría un impacto positivo de menor
prioridad ya que el efecto de la oportunidad es sobre actividades críticas
de la empresa
Si el evento llegara a presentarse, tendría un impacto positivo de menor
prioridad ya que el efecto de la oportunidad es sobre algnas actividades
de la empresa
Si el evento llegara a presentarse, no representa un impacto positivo
para la empresa

ESTRATEGIAS PARA EL TRATAMIENTO

RIESGOS OPORTUNIDADES
Estrategia Descripción Estrategia Descripción
El nivel del riesgo se debería reducir mediante la selección de Eliminar la incertidumbre que no suceda y potenciarlo para
Explotar
Reducir controles, de manera tal que el riesgo residual se pueda que suceda
revaluar como aceptable. Compartir un riesgo positivo con terceros aumenta la
Compartir
capacidad que salga adelantes
La decisión sobre aceptar el riesgo sin acción posterior se
Mejorar Aumenta la posibilidad de la oportunidad, potenciándola
Aceptar debería tomar dependiendo de la expectativa de riesgo de la
Aceptar que viene una oportunidad, cuando se presente
organización. Aceptar
veremos como abordarla
Se debería evitar la actividad o la acción que da origen al
Evitar riesgo particular.

El riesgo se debería transferir o compartir a otra de las partes

Transferir o
que pueda manejar de manera más eficaz el riesgo particular
Compartir
dependiendo de la evaluación del riesgo.

10
EFICACIA DE LA ACCION TOMADA
PUNTA
PARÁMETROS CRITERIO Factor de Evaluación
JES
Herramienta está elaborada 5
Posee una herramienta para ejercer el
Herramienta en uso 5
control
Herramienta Eficaz 5
Existe manuales instructivos o Información documentada elaborada 5
Herramientas
para ejercer el procedimientos para el manejo de la Información documentada distribuida/publicada 5
control herramienta, y se utilizan Información documentada conocida y aplicada por el personal 5
En el tiempo que lleva la herramienta Se presentó a los 30 días 10
ha demostrado ser eficaz. No se ha Se presentó a los 60 días 10
vuelto a presentar la deficiencia. Se presentó a los 90 días o no se presento 10
Responsables idetificados 5
Están definidos los responsables de la Responsables ejerciencio liderazgo para la gestión del control 5
ejecución del control y del seguimiento Eficacia en la responsabilidad no se vuelto a presentar el
Seguimiento al 5
escenario
control
La frecuencia de la ejecución del una vez por mes 5
control y seguimiento es adecuada. Se Dos veces por mes 10
cuenta con evidencia. Tres a as veces por mes 10
TOTAL 100

Indicaciones: TALLER 2
1. Evalúe las opciones de tratamiento del riesgo Matriz de gestión de riesgos (parte 2)
2. Defina las acciones para el tratamiento de los riesgos
3. Estime el riesgo residual

15

11
 CONCLUSIONES

El marco de gestión de riesgos es una decisión estratégica

de la Alta Dirección.

Clave para el cumplimiento de los objetivos de las

organizaciones

Se requiere el involucramiento y compromiso de la Alta

Dirección y toda la organización

16

Expositor: Licenciado César Díaz Rodríguez

Auditor Líder ISO 9001:2015, ISO 14001:2015, ISO 22301:2014
ISO 27001:2014, ISO 37001:2016, ISO 45001:2018
Auditor Internacional BASC Versión 5
Auditor ISO 26000(2012), ISO 28000(2014), ISO 50001:2018, BGC, ControI
Interno, HACCP

34 12