Guia Metodologica Elaboracion Mapa de Riesgos Dnp

GRUPO DE PLANEACION

GUÍA METODOLÓGICA PARA LA ELABORACIÓN DEL MAPA DE RIESGOS DEL DNP

Departamento Nacional de Planeación Bogotá, 2007

FECHA:2007-11-08VERSION: 1 GUIA METODOLÓGICA PARA LA ELABORACIÓN DEL

MAPA DE RIESGOS DEL DNP Página 2 de 12

GRUPO DE PLANEACION

TABLA DE CONTENIDO

Pág.

1 OBJETIVO ............................................................................................................................................................ 3 1.1 General........................................................................................................................................................ 3 1.2 Específicos .................................................................................................................................................. 3

2 ALCANCE............................................................................................................................................................. 3 3 REFERENCIAS NORMATIVAS............................................................................................................................ 3 4 DEFINICIONES .................................................................................................................................................... 3 5 IDENTIFICACIÓN DEL RIESGO .......................................................................................................................... 4

5.1 Estructura del formato de Identificación de riesgos-F-GP-07...................................................................... 4 6 ESTRUCTURA DE LA MATRIZ DE PRODUCTO O SERVICIO NO CONFORME-F-GP-21 ............................... 7 7 ESTRUCTURA DEL FORMATO DOCUMENTACIÓN DE CONTROLES, POLÍTICAS Y ACCIONES PARA ADMINISTRAR EL RIESGO-F-GP-18............................................................................................................................ 7 8 CALIFICACIÓN Y EVALUACIÓN DE RIESGOS .................................................................................................. 8

8.1 Priorización de riesgos ................................................................................................................................ 9 8.2 Matriz de respuesta a riesgos ..................................................................................................................... 9

9 POLÍTICA DE RIESGOS A ADOPTAR............................................................................................................... 11 9.1 Acciones para administrar los riesgos documentados .............................................................................. 11

10 MAPA DE RIESGOS .......................................................................................................................................... 12



GRUPO DE PLANEACION

1 OBJETIVO

1.1 General Proporcionar una herramienta que permita unificar los criterios para fortalecer la identificación, análisis, valoración y definición de las alternativas de acciones de mitigación de riesgos, que pueden afectar los productos o servicios generados para el cumplimiento de la misión y objetivos institucionales del DNP.

1.2 Específicos Generar una visión sistémica acerca de la administración y evaluación de riesgos, consolidado en un Ambiente de Control adecuado a la entidad y un Direccionamiento Estratégico que fije la orientación clara la gestión dando las bases para el adecuado desarrollo de las Actividades de Control.

2 ALCANCE Estos lineamientos deben ser aplicados por todas las dependencias que hacen parte del Departamento Nacional de Planeación y que son responsables de la actualización y elaboración de los documentos del Modelo Estándar de Control Interno, el Sistema de Gestión de Calidad.

3 REFERENCIAS NORMATIVAS

• Ley 87 de 1993, por la cual se establecen normas para el establecimiento del control interno en las entidades y organismos del Estado y se dictan otras disposiciones, articulo 2 literal a). Proteger los recursos de la organización, buscando su adecuada administración ante posibles riesgos que los afectan. Artículo 2 literal f). Definir y aplicar medidas para prevenir los riesgos, detectar y corregir las desviaciones que se presenten en la organización y que puedan afectar el logro de los objetivos.

• Decreto 1599 de 2005, por el cual se adopta el Modelo Estándar de Control Interno para el Estado Colombiano.

• Decreto 4110 de 2004, Por el cual se reglamenta la Ley 872 de 2003 y se adopta la Norma Técnica de Calidad en la Gestión Pública.

• Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004.

4 DEFINICIONES

• Administración de Riesgos: Rama de la administración que aborda las consecuencias del riesgo. • Análisis de Riesgos: Determinar el impacto y la probabilidad del riesgo. Dependiendo de la información

disponible pueden emplearse desde modelos de simulación, hasta técnicas colaborativas. • Categoría: Cada uno de los grupos básicos en que puede incluirse o calificarse el riesgo identificado. • Causa: Son los medios, circunstancias y agentes que generan los riesgos. • Control: Aspectos críticos que se deben tener en cuenta durante la ejecución del proceso o subproceso para

obtener los resultados esperados. Los controles están asociados a una o más de las actividades descritas, pueden definirse como controles los siguientes: Revisión o aprobación de un documento mediante firma o Vo.Bo. de la persona competente, verificación de cumplimiento de términos legales, etc.; estando directamente relacionados con los mapas de riesgo del DNP.



GRUPO DE PLANEACION

• Factores de Riesgo: Manifestaciones o características medibles u observables de un proceso que indican la presencia de riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad.

• Indicador: Es una expresión cuantitativa o cualitativa que permite establecer el estado del objeto a evaluar en un momento determinado.

• Mapa de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias.

• Modelo de operación por procesos: Es la ruta de navegación que armoniza la misión y visión de la entidad en una gestión por procesos. En el DNP el modelo, se representa gráficamente e ilustra los cuatro niveles de macroprocesos, como son: estratégicos, misionales, apoyo y evaluación los cuales están sistemáticamente relacionados.

• Responsables: Son las dependencias o funcionarios encargados de adelantar las acciones propuestas. • Riesgo: Es toda aquella posibilidad de ocurrencia de un hecho que puede afectar la calidad de los

productos o servicios ofrecidos por la Entidad, o el logro de los objetivos institucionales. • Seguimiento: Establecer el estado de avance en un momento determinado de las acciones formuladas.

5 IDENTIFICACIÓN DEL RIESGO El proceso de la identificación del riesgo debe estar en permanente revisión y actualización, de acuerdo a la dinámica de los procesos de la entidad. Esta etapa se documenta en el formato F-GP-07 “Identificación de riesgos” Nota: Es importante que los funcionarios responsables de suministrar la información, tengan conocimiento previo del modelo de operación por procesos de la entidad, y de los macroprocesos y procesos en los que interviene la dependencia.

5.1 Estructura del formato de Identificación de riesgos-F-GP-07

• Riesgo: Se define mediante una frase corta, que identifique claramente el suceso indeseable (que está sucediendo o puede suceder), seguido de la palabra “por” de acuerdo con las siguientes categorías establecidas:

Decisiones Erróneas: Pérdidas ocasionadas por errores en la información que soportan las

decisiones, errores de juicio, aplicación errónea de criterios ó instrucciones para la realización de negocios que producen pérdidas a la Entidad.

Sanciones Legales: Esta categoría resulta de las multas que debe pagar la Entidad cuando: Se ejecutan operaciones por fuera del marco legal establecido. Se violan los derechos a la intimidad o privacidad de la información de los clientes o empleados y no se produce a tiempo la información exigida por normas legales. Este riesgo se puede presentar en forma accidental o malintencionada.

Pérdida de Credibilidad: Se presenta cuando: los negocios no se hacen, actos accidentales o mal intencionados de los funcionarios o de terceros, se ofrece mal un servicio a los clientes. Este riesgo puede ocurrir por cusas accidentales y mal intencionados.

Daño y destrucción de activos: Se presenta por causas derivadas de desastres naturales o provocados por el hombre, que producen daños o la destrucción de los recursos que soportan la prestación del servicio.

Hurto / Fraude: Es la apropiación indebida, por parte de un funcionario o de terceros de los activos de la Entidad. Conduce a pérdidas de dinero o de activos de la Entidad, causadas por la alteración de la información que representan operaciones de los negocios o servicios de la entidad.

A continuación se presentan algunos ejemplos de riesgos identificados:



GRUPO DE PLANEACION

· Decisiones erróneas por emitir conceptos financieros con análisis inadecuados. · Decisiones erróneas por diferencias e inconsistencias en la información primaria. · Decisiones erróneas por diferencias e inconsistencias en la información sectorial. · Decisiones erróneas al definir el Plan Estratégico Informática desarticulado del Plan Institucional. · Decisiones erróneas por inconsistencias en la información financiera del Departamento. · Decisiones erróneas por inexactitud en los informes de seguimiento. · Sanciones legales por vencimiento de términos en la emisión de conceptos. · Sanciones legales por ejecución de los procesos financieros incumplimiento las normas

establecidas. · Sanciones legales por presentación de informes con observaciones no sustentadas o soportadas. · Sanciones legales por incumplimiento total o parcial de la normatividad aplicable a la planeación

institucional o sectorial. · Pérdida de credibilidad por elaboración de documentos con información no sustentada. · Pérdida de credibilidad por inadecuada prestación de servicios. · Pérdida de credibilidad por inconsistencias en la información suministrada. · Pérdida de credibilidad por inconsistencias en la información suministrada a los medios de

comunicación. · Pérdida de credibilidad por inoportunidad y falta de calidad en la prestación del servicio solicitado. · Pérdida de credibilidad por ajustes errados en la programación del presupuesto del Departamento. · Pérdida de credibilidad por inoportunidad en la ejecución de los Recursos Financieros. · Daño o destrucción de activos por pérdida total o parcial de la información soporte. · Fraude por cambios o manipulación intencionada de la información. · Fraude por cambiar u omitir datos en las actividades de seguimiento y evaluación.

Nota: Priorizar los riesgos de mayor impacto para la entidad (colocar máximo 5).

• Descripción: Se refiere a las características generales o las formas en que se observa o manifiesta el riesgo

identificado. Ejemplo:

Riesgo: Decisiones erróneas por suministrar información equivocada. Descripción: El DNP suministra información errónea ya que no es producida directamente por la

Entidad, sino que es procesada de otras entidades y fuentes primarias.

• Causas: Son los medios, circunstancias y agentes generadores del riesgo. Estos pueden ser personas, materiales, instalaciones, el entorno, entre otros. Ejemplo:

Riesgo: Decisiones erróneas por suministrar información equivocada. Causas:

- La información no la produce el DNP, se toma de distintas fuentes. - Idoneidad del personal a los temas específicos o requeridos. - No está claramente definida la competencia de las entidades en el suministro de la información. - La información recibida es incompleta e inconsistente. - Imposibilidad de validar la información. - Criterios no unificados entre entidades. - Herramientas de validación insuficientes. - Cambios en metodologías de recolección y procesamiento de información. - Personal y tiempo insuficiente para la depuración de la información.



GRUPO DE PLANEACION

• Efectos: Son las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente

se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: fallecimiento, daños físicos, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad, de confianza, interrupción del servicio y daño ambiental. Ejemplo:

Riesgo: Decisiones erróneas por suministrar información equivocada. Causas:

- Generar respuestas que no corresponden a la política actual. - Pérdida de credibilidad. - Pérdida de imagen. - Pérdida de confianza. - Perdida de capacidad de negociación. - Desgaste administrativo.

• Clase de riesgo: Se clasifican los riesgos teniendo en cuenta los siguientes tipos:

Riesgo estratégico: Se enfoca al cumplimiento de la misión, objetivos estratégicos y definición de políticas.

Riesgos operativos: Comprenden los relacionados con la parte operativa y técnica de la entidad. Incluye los riesgos provenientes de deficiencias en los sistemas de información, definición de los procesos, en la estructura de la entidad, la desarticulación entre dependencias.

Riesgos financieros: Se relacionan con el manejo de recursos en la entidad, incluyendo la ejecución presupuestal, elaboración de los estados financieros, los pagos, manejo de excedentes de tesorería y manejo sobre los bienes de la entidad. Eficiencia y transparencia en el manejo de los recursos.

Riesgos de cumplimiento: Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general de su compromiso con la comunidad.

Riesgos de tecnología: Se asocian con la capacidad de la entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad. Soportan el cumplimiento de la misión.

Nota: A un riesgo puede asociarse más de una clasificación al mismo tiempo.

• Probabilidad de ocurrencia: Puede ser medida con criterios de frecuencia, si el riesgo se ha materializado (ejemplo: número de veces en un tiempo determinado) o de factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se haya materializado). Se definió una escala cualitativa que establece las siguientes categorías:

Alta: Es muy factible que el hecho se presente o se ha presentado frecuentemente. Media: Es factible que el hecho se presente o se ha presentado con regularidad. Baja: Es muy poco factible que el hecho se presente o se ha presentado muy pocas veces.

Nota: Se debe tener en cuenta el análisis de los controles existentes (numeral 7).

• Impacto si se materializa: Son las consecuencias (magnitud de sus efectos) que puede ocasionar a la entidad la materialización del riesgo.

Se definió una escala cualitativa que establece las siguientes categorías:

Leve: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad.



GRUPO DE PLANEACION

Moderado: Si el hecho llegara a presentarse tendría medio impacto o efecto en la entidad. Catastrófico: Si el hecho llegara a presentarse tendría bajo impacto o efecto en la entidad.

Nota: Se debe tener en cuenta el análisis de los controles existentes (numeral 7).

• Procesos donde aplica: El riesgo se asocia al proceso o grupo de procesos que afecta, de acuerdo con el macroproceso.

6 ESTRUCTURA DE LA MATRIZ DE PRODUCTO O SERVICIO NO CONFORME-F-GP-21

• Procesos donde aplica: Nombre del proceso del cual se genera el producto o servicio. • Producto: Resultado obtenido de la ejecución del proceso. • Cliente: Organización, entidad o persona que recibe un producto y/o servicio. • Responsable de liberación: Persona que autoriza la entrega del producto al cliente. • Riesgo: Relaciona el riesgo o riesgos identificados en el formato de identificación de riesgos-F-GP-07

asociados al proceso. • Registro: Corresponde a la forma de evidenciar la naturaleza de la no conformidad y de cualquier acción

tomada posteriormente. Ejemplo:

Comunicación dirigida a la entidad que genera la información solicitando la aclaración de datos que presenten inconsistencias.

Correo electrónico, solicitando ajustes al documento técnico. Nota: La no conformidad que se presenta en un producto o servicio prestado por el DNP, esta directamente asociada con la materialización de los riesgos identificados para el proceso que genera el producto o servicio.

7 ESTRUCTURA DEL FORMATO DOCUMENTACIÓN DE CONTROLES, POLÍTICAS Y ACCIONES PARA ADMINISTRAR EL RIESGO-F-GP-18

• Riesgo: Relaciona el riesgo identificado en el formato F-GP-07. • Control: Referencia los controles que se están aplicando con respecto a las causas. • Tipo de control: Identifica la clase de control que se aplica y pueden ser:

Preventivos: Aquellos que actúan para eliminar las causas del riesgo, para prevenir su ocurrencia o materialización.

Correctivos: Aquellos que permiten el restablecimiento de la actividad después de acciones que propiciaron su ocurrencia.

• ¿Esta documentado?: Indica si el control esta relacionado en algún documento. • Fuente de documentación: Es el documento en el que se identifica el control.

Ejemplo:

Si esta en un proceso: Indique el nombre del proceso con su respectivo código (debe pertenecer al macroproceso objeto de análisis).

Subproceso: Indique el nombre del subproceso con su respectivo código (debe pertenecer al macroproceso objeto de análisis).

Otros: identifique el nombre de la fuente en la cual esta documentado el control (requisito legal, lineamientos, contratos, entre otros).



GRUPO DE PLANEACION

VALOR ZONA DE RIESGO ZONA DE RIESGO ZONA DE RIESGO15 30 60

3 MODERADO IMPORTANTE INACEPTABLE

10 20 40

2 TOLERABLE MODERADO IMPORTANTE

5 10 20

1 ACEPTABLE TOLERABLE MODERADO

LEVE MODERADO CATASTRÓFICO5 10 20

PRO

BA

BIL

IDA

D

ALTA

MEDIA

BAJA

IMPACTO

• ¿Se esta aplicando actualmente?: Indique si el control identificado esta siendo aplicado en la actualidad. • ¿Es efectivo para minimizar el riesgo?: indique si el control minimiza los efectos producidos por la

materialización del riesgo. • Análisis de controles: Indica porcentualmente el grado de documentación, aplicación y efectividad de los

controles identificados. Este análisis proporciona criterios para definir la probabilidad de impacto. Ejemplo

Si para un riesgo identificado el 100% de los controles esta documentado, el 0% se esta aplicando y el 0% es efectivo; la probabilidad de ocurrencia actual es alta.

Si para un riesgo identificado el 100% de los controles esta documentado, el 100% se esta aplicando y el 0% es efectivo; la probabilidad de ocurrencia actual es alta.

Si para un riesgo identificado el 100% de los controles esta documentado, el 100% se esta aplicando y el 100% es efectivo; la probabilidad de ocurrencia actual es baja.

Si para un riesgo identificado el 100% de los controles esta documentado, el 50% se esta aplicando y el 50% es efectivo; la probabilidad de ocurrencia actual es media.

8 CALIFICACIÓN Y EVALUACIÓN DE RIESGOS Se basa en los resultados obtenidos de la probabilidad e impacto de los riesgos, para establecer el grado de exposición de la entidad al riesgo y de esta manera fijar las acciones requeridas para su tratamiento. Se utiliza la información obtenida en el formato F-GP-07 “Identificación de riesgos” y la calificación de los riesgos en el formato F-GP-18 “Documentación de controles, políticas y acciones para la administración de riesgos”, y se desarrolla en el formato F-GP-08 “Matriz de calificación y evaluación de riesgos”. Esta matriz (figura 1) ubica el riesgo (zona) mediante el cruce de su calificación (probabilidad vs impacto), de acuerdo con los siguientes criterios:

• Zona de riesgo aceptable (verde esmeralda): Significa que su probabilidad es baja e impacto leve. • Zona de riesgo tolerable (verde claro): Significa que su probabilidad es media e impacto leve, o su

probabilidad es baja e impacto moderado. • Zona de riesgo moderado (amarillo): Significa que su probabilidad es alta e impacto leve, o su probabilidad

es media e impacto moderado o su probabilidad es baja e impacto catastrófico. • Zona de riesgo importante (naranja): Significa que su probabilidad es alta e impacto moderado, o su

probabilidad es media e impacto catastrófico. • Zona de riesgo inaceptable (rojo): Significa que su probabilidad es alta e impacto catastrófico.

Figura 1 Matriz de zonas de riesgos



GRUPO DE PLANEACION

8.1 Priorización de riesgos Cuando se ubican los riesgos en el formato F-GP-08 “Matriz de calificación y evaluación de riesgos” se define cuáles de ellos requieren acciones inmediatas (figura 2). La priorización en el tratamiento de riesgos viene dada por:

• Color: pasando por la secuencia de rojo (inaceptable) – naranja (importante) – amarillo (moderado) – verde claro (tolerable) – verde esmeralda (aceptable).

• Impacto en orden decreciente: catastrófico – moderado – leve.

VALOR ZONA DE RIESGO ZONA DE RIESGO ZONA DE RIESGO15 30 60

3 MODERADO IMPORTANTE INACEPTABLE

10 20 40

2 TOLERABLE MODERADO IMPORTANTE

5 10 20

1 ACEPTABLE TOLERABLE MODERADO

LEVE MODERADO CATASTRÓFICO5 10 20

PRO

BA

BIL

IDA

D

ALTA

MEDIA

BAJA

IMPACTO

1

2

3

4

5

6

7

8

9

Figura 2 Priorización de riesgos

8.2 Matriz de respuesta a riesgos Partiendo de la matriz de riesgos ubicada en el formato F-GP-08 “Matriz de calificación y evaluación de riesgos”, verificamos las acciones sugeridas para el tratamiento de los riesgos con miras a la fijación de políticas para la administración de riesgos con ayuda del formato F-GP-09 “Matriz de respuesta a riesgos” (Figura 3).



GRUPO DE PLANEACION

FECHA DE ELABORACIÓN:00-ene-00

DEPENDENCIA(S): 0NOMBRE DEL

MACROPROCESO (PROCESOS):

ZONA DE RIESGO PROBABILIDAD OCURRENCIA IMPACTO RIESGO RESPUESTA DE LA ENTIDAD

(Según Matríz de Evaluación y Calificación de Riesgos)

MODERADO ALTA

IMPORTANTE ALTA MODERADO

INACEPTABLE ALTA CATASTRÓFICO

TOLERABLE MEDIA LEVE

MODERADO MEDIA MODERADO

IMPORTANTE MEDIA CATASTRÓFICO

ACEPTABLE BAJA LEVE

TOLERABLE BAJA MODERADO

MODERADO BAJA CATASTRÓFICO

1. Eliminar la actividad que genera el riesgo en la medida que sea posible ó 2. Implementar controles de Prevención para reducir la Probabilidad deriesgo 3. Implementar controles de Protección para disminuir el Impacto ó4. Compartir el riesgo si es posible a través de pólizas de seguros u otrasopciones que estén disponibles 5. Diseñar planes de contingencia, para protegerse la entidad en caso deocurrencia

LEVE

MATRÍZ DE RESPUESTA A RIESGOS

Tratar de compartir el riesgo y proteger la entidad en caso de que éste sepresente

Diseñar planes de contingencia, para protegerse la entidad en caso deocurrencia

Implementar controles de Prevención para reducir la Probabilidad de riesgo

Tratar de compartir el riesgo y proteger la entidad en caso de que éste sepresente

1. Implementar controles de Prevención para reducir la Probabilidad deriesgo 2. Implementar controles de Protección para disminuir el Impacto ó3. Compartir el riesgo si es posible a través de pólizas de seguros u otrasopciones que estén disponibles

1. Implementar controles de Prevención para reducir la Probabilidad deriesgo 2. Implementar controles de Protección para disminuir el Impacto ó3. Compartir el riesgo si es posible a través de pólizas de seguros u otrasopciones que estén disponibles

1. Implementar controles de Prevención para reducir la Probabilidad deriesgo 2. Implementar controles de Protección para disminuir el Impacto ó3. Compartir el riesgo si es posible a través de pólizas de seguros u otrasopciones que estén disponibles 4. Diseñar planes de contingencia, para protegerse la entidad en caso deocurrencia

Puede asumirse sin necesidad de tomar otras medias de control diferentesa las que se poseen

0

Realizar un análisis del costo-beneficio para decidir si prevenir, asumir ocompartir el riesgo

Figura 3 Matriz de respuesta a riesgos



GRUPO DE PLANEACION

9 POLÍTICA DE RIESGOS A ADOPTAR Las políticas identifican las opciones para tratar y manejar los riesgos basadas en la calificación y evaluación de riesgos. Permiten tomar decisiones adecuadas y fijar los lineamientos de la Administración del Riesgo. Para la consolidación de las Políticas de Administración de Riesgos se deben tener en cuenta todas las etapas anteriormente desarrolladas. Se utiliza la información obtenida en el formato F-GP-07 “Identificación de riesgos”, el formato F-GP-21 “Matriz de producto o servicio no conforme”, el formato F-GP-08 “Matriz de calificación y evaluación de riesgos”, el formato F-GP-09 “Matriz de respuesta a riesgos”, y se registra en el formato F-GP-18 “Documentación de controles, políticas y acciones para la administración de riesgos”. Estas políticas tienen en cuenta las siguientes opciones (celdas color azul del formato F-GP-18 “Documentación de controles, políticas y acciones para la administración de riesgos”):

• Evitar el riesgo: Tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar, se logra cuando al interior de los procesos se generan cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Ejemplo: Control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc.

• Reducir el riesgo: Implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de

prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles.

• Compartir o Transferir el riesgo, reduce su efecto a través del traspaso de las pérdidas a otras

organizaciones, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Ejemplo: La información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar.

• Asumir un riesgo, luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que

se mantiene, en este caso el gerente del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo.

9.1 Acciones para administrar los riesgos documentados Indica la forma como a partir de la identificación, definición de controles, valoración de riesgos, definición de políticas de riesgos y asociación de estos al producto o servicio no conforme, se formulan acciones preventivas y correctivas a las causas que originan el riesgo. En esta etapa se utiliza el formato F-GP-18 “Documentación de controles, políticas y acciones para la administración de riesgos” (cuadro rojo). Para el manejo de los riesgos se deben analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como:

• Implementación de las políticas. • Definición de estándares.

eurreo

Rectángulo

Guia Metodologica Elaboracion Mapa de Riesgos Dnp

Documents

Transcript of Guia Metodologica Elaboracion Mapa de Riesgos Dnp