VERSION: 2

PROCEDIMIENTO CODIGO: PR-

MJ-005.
IDENTIFICACIÓN DE AMENAZAS,RIESGOS Y FECHA:
OPORTUNIDADES 18/Sep/2018

0. LISTA DE VERSIONES
VERSION FECHA RAZON DE LA ACTUALIZACION
Se crea procedimiento para identificación de
01 18/Sep/2018 amenazas, riesgos y oportunidades de acuerdo a
lo establecido en la norma ISO 9001:2015
Se actualiza Matriz de riesgos y se adopta nueva
02 18/Sep/2018
en probabilidades y consecuencias.

1. OBJETO
Establecer el método que permite la identificación, análisis, valoración,
tratamiento, monitoreo y comunicación de los principales riesgos y
oportunidades, reales y potenciales a las cuales se ve expuesta la empresa, de
tal manera que ayude a la organización a establecer acciones de control
conforme al alcance identificado.

2. ALCANCE
Este procedimiento aplica a todas las actividades vinculadas en el mapa de
procesos de Gilpa Impresores S.A.

3. DEFINICIONES
•CONTEXTO EXTERNO

•Entorno legal: proporciona las bases sobre las cuales las instituciones
construyen y determinan el alcance y naturaleza de la participación política.

•Tecnológico: Conjunto de los conocimientos propios de una técnica. Conjunto de

instrumentos, recursos técnicos o procedimientos empleados en un determinado
campo o sector.

•Competitivo: Que es capaz de competir con otros que aspiran a un mismo

objetivo o a la superioridad en algo.

•Mercadeo: Conjunto de operaciones por las que ha de pasar una mercancía del
productor al consumidor.

•Cultura: Conjunto de conocimientos e ideas no especializados adquiridos gracias

al desarrollo de las facultades intelectuales, mediante la lectura, el estudio y el
trabajo.

• Social: Que repercute beneficiosamente en toda la sociedad o en algún grupo

social.

•Económico: Ciencia que estudia los recursos, la creación de riqueza y la

producción, distribución y consumo de bienes y servicios, para satisfacer las
necesidades humanas.
•CONTEXTO INTERNO

•Valores: Son principios que nos permiten orientar el comportamiento en función

de realizarse como personas.

•Cultura: Conjunto de conocimientos, ideas, tradiciones y costumbres que

caracterizan a un pueblo, a una clase social, a una época, etc.

•Conocimientos: Facultad del ser humano para comprender por medio de la

razón la naturaleza, cualidades y relaciones de las cosas

•Desempeño: Realizar [una persona] las labores o las funciones que

corresponden a su cargo, profesión, papel o empleo.

OTROS SIGNIFICADOS

a. Análisis del Riesgo: uso sistemático de la información disponible, para

determinar la frecuencia con la que pueden ocurrir eventos especificados y la
magnitud de sus consecuencias.

b. Consecuencia: resultado de un evento expresado cualitativa o

cuantitativamente, como por ejemplo una pérdida, lesión, desventaja o
ganancia. Puede haber una serie de resultados posibles asociados con un evento.

c. Control del Riesgo: parte de la gestión del riesgo que involucra la

implementación de políticas, normas, procedimientos y cambios físicos a fin de
eliminar o minimizar los riesgos adversos.

d. Valoración del Riesgo: proceso usado para determinar las prioridades de

gestión del riesgo mediante la comparación del nivel de riesgo contra normas
predeterminadas, niveles de riesgo objeto u otros criterios.

e. Evento: incidente o situación que ocurre en un lugar particular durante un

intervalo de tiempo particular.

f. Identificación del Riesgo: proceso para determinar lo que puede suceder, por
qué y cómo.

g. Probabilidad: posibilidad de que ocurra un evento o resultado específico,

medida cualitativa y cuantitativamente por la relación entre los eventos o
resultados específicos y el número total de eventos o resultados posibles.

h. Severidad: es el valor asignado al daño más probable que produciría si se

materializase.

i. Reducción del Riesgo: aplicación selectiva de técnicas apropiadas y principios

de gestión a fin de reducir la posibilidad de una ocurrencia o sus consecuencias,
o ambas.

j. Riesgo: posibilidad de que suceda algo que tendrá impacto en la organización.

Se mide en términos de probabilidad de ocurrencia y consecuencias. Puede
impedir el logro de los objetivos

k. Oportunidad: Situación que se puede aprovechar

 l. Significancia: Grado del riesgo detectado, obtenido a partir de los valores
asignados a la severidad y probabilidad correspondientes a dicho riesgo, según la
ecuación Grado de Riesgo = Severidad x Probabilidad

m. Parte Interesada: Persona u organización que puede afectar, verse afectada o

percibirse como afectada por una decisión o actividad.

4. CONDICIONES GENERALES
RESPONSABILIDAD

Velar por la aplicación de este procedimiento es responsabilidad de todos los

procesos.

5. DOCUMENTOS RELACIONADOS

FR-MJ-05 Identificación contexto externo e interno

FR-MJ-06 Matriz para abordar riesgos y oportunidades

FR-MJ-07 Matriz partes interesadas

6. DESARROLLO
6.1. DETERMINACIÓN DEL CONTEXTO ESTRATÉGICO

Define la relación entre la organización y su entorno, identificando las fortalezas,

debilidades, oportunidades y amenazas, el cual incluye los aspectos financieros,
operacionales, competitivos, políticos (percepciones/imagen ante el público),
sociales, culturales y legales de las funciones de la organización.

Para la determinación del contexto es necesario analizar la situación actual de la

empresa y el entorno en el que se encuentra ubicada, a fin de conocer
acertadamente los tipos de riesgos a los cuales se encuentra expuesta. Para el
desarrollo del análisis es necesario identificar algunos aspectos generales de la
Empresa, del País, Ciudad y Áreas Circunvecinas en donde se encuentra o presta
sus servicios la organización

6.1.1 DETERMINACIÓN DE LAS PARTES INTERESADAS

Identificar las partes interesadas ya sean internas o externas por proceso con el
fin de determinar sus necesidades y expectativas para realizar un seguimiento y
cumplir sus requerimientos.

La identificación de las partes interesadas quedara consignada en la matriz de

partes interesadas.

6.2 MATRIZ PARA ABORDAR RIESGOS Y OPORTUNIDADES

Cada una de las etapas desarrolladas a lo largo de la identificación del contexto y

los y análisis de riesgos son registradas en el formato FR-MJ-06 Matriz para
abordar riesgos y oportunidades Este formato se encuentra conformado por los
siguientes elementos:

IDENTIFICACION DEL RIESGO

• Amenaza/oportunidad: En este ítem es donde se identifican los diferentes

factores a los cuales se encuentra expuesta la organización.

• Descripción: Es el listado global de eventos, es decir, el “como” se materializa

o podría materializarse la amenaza en la organización, hablando de hechos
potenciales o reales.

• Controles Existentes: Son los diferentes controles operacionales dispuestos por

la organización para minimizar la posibilidad de ocurrencia de eventos que
afecten la seguridad de la misma, estos se evaluados para conocer sus fortalezas
y debilidades.

ANALISIS DEL RIESGO

• Probabilidad: Posibilidad de que ocurra un evento o resultado específico,

medido cualitativa y cuantitativamente por la relación entre los eventos o
resultados específicos y el número total de eventos o resultados posibles. Esta
depende en gran medida de la eficacia de los controles internos en los procesos.
Dentro de éste concepto se manejan cinco tipos de probabilidades, a las cuales
se le designaron valores de medida en una frecuencia de tiempo.

• Consecuencia: Resultado de un evento expresado cualitativa o

cuantitativamente, como por ejemplo una pérdida, lesión, desventaja o
ganancia. Puede haber una serie de resultados posibles asociados con un evento.

• Riesgo: Posibilidad de materialización de una amenazas a la seguridad y sus

consecuencias.

6.3. IDENTIFICACIÓN DEL RIESGO

En esta etapa del proceso se busca identificar los riesgos y oportunidades que se
van a gestionar, a los cuales puede verse expuesta la empresa en sus procesos o
en la prestación de servicios.

Es esencial realizar una identificación de conjunto usando un proceso sistemático

bien estructurado, debido a que un riesgo potencial no identificado durante esta
etapa será excluido del análisis posterior. La identificación debe incluir todos los
riesgos, sea que estén o no bajo el control de la organización.

Entre los métodos empleados en Gilpa Impresores S.A Para la identificación de

posibles causas y escenarios se encuentran los juicios basados en experiencia y
registros, lluvia de ideas y análisis de escenarios.

Las posibles causas y escenarios identificados para la empresa fueron registrados

en el formato FR-MJ-06 Matriz para abordar riesgos y oportunidades.

6.3.1 DETERMINACIÓN DE CONTROLES EXISTENTES

Es necesario conocer qué tipo de gestión, sistemas técnicos y procedimientos
existentes posee la organización para controlar los diferentes riesgos y
oportunidades presentes. Los diferentes controles deben ser evaluados para
conocer sus fortalezas y debilidades.

6.4. ANÁLISIS DEL RIESGO

Los objetivos del análisis consisten en separar los riesgos aceptables menores de
los mayores, y proporcionar datos que sirvan para la valoración y el tratamiento
de riesgos. El análisis del riesgo incluye considerar las consecuencias y la
posibilidad de que estas consecuencias ocurran. El riesgo se analiza mediante la
combinación de estimaciones de consecuencias y posibilidad en el contexto de
las medidas de control existentes.

6.4.1. Probabilidad, Consecuencias y Tipo de Análisis

Se evalúa la magnitud de las consecuencias de un evento, si ocurriera, y la

probabilidad del evento y sus consecuencias asociadas, en el contexto de los
controles existentes. Las consecuencias y la probabilidad se combinan para
producir un nivel de riesgo.

Las consecuencias y la probabilidad se pueden determinar a partir de análisis y

cálculos estadísticos.

El método escogido para la valoración del riesgo es el análisis semicuantitativo,

en el cual se asignan valores a escalas cualitativas. El objetivo es producir una
priorización más detallada de la que se logra generalmente en el análisis
cualitativo, y no sugerir cualquier valor realista del riesgo tal como se intenta en
el análisis cuantitativo.

A continuación se presentan las diferentes medidas de probabilidad y

consecuencias utilizadas para el análisis de riesgos.

PROBABILIDAD
CONSECUENCIA
6.5 VALÓRACIÓN DEL RIESGO

Una manera de controlar estos riesgos es determinar la aceptabilidad del mismo,

de acuerdo a su impacto sobre el proceso, la imagen de la compañía, etc.

RIESGO: Probabilidad x Consecuencia

Esta valoración debe considerar la probabilidad de un evento y de todas las

consecuencias que debe incluir:
a) Amenazas a riesgos de fallas físicas, como físicas, como fallas funcionales,
daño incidental, daño malicioso, terrorista ó acción criminal.
b) Amenazas y riesgo operacional, incluyendo el control de la seguridad, los
factores humanos y otras actividades que afectan el desempeño, la condición o
la seguridad de la organización.
c) Eventos ambientales naturales (tormenta, inundación, etc.) que pueden hacer
que las medidas y equipos de seguridad resulten ineficaces.
d) Factores ajenos al control de la organización, tales como fallas en equipos y
servicios suministrados externamente.
e) Amenazas y riesgos de las partes interesadas, tales como fallas para cumplir
con los requisitos reglamentarios o daño a la reputación o marcas.
f) Diseño e instalaciones del equipo de seguridad, incluyendo su reemplazo,
mantenimiento, etc.
g) Gestión de datos e información y comunicaciones
h) Una amenaza a la continuidad de las operaciones.

El resultado de una valoración del riesgo es una lista priorizada de riesgos, para
tomar acciones posteriores. A continuación aparecen descritos los criterios que
definen la importancia de cada riesgo:
• Aceptable: Quiere decir que la consecuencia no implica una gravedad
significativa, por lo que no amerita la inversión de recursos generalmente y no
requiere acciones adicionales para la gestión sobre el contexto evaluado.
considerado, diferentes a las ya aplicadas en el escenario. Sin embargo deben
seguir monitoreándose para garantizar que siguen siendo aceptables. (Asociado
con el color Verde)

• Tolerable: Significa que, aunque deben desarrollarse actividades para la

gestión sobre el riesgo, pudiendo ser a mediano plazo, generalmente amerita la
inversión de recursos. (Asociado con el color amarillo)

• Inaceptable: Se requiere siempre desarrollar acciones prioritarias a corto plazo

para su gestión, debido al alto impacto que tendrían sobre la empresa. Requiere
la inversión de recursos. (Asociados con el color rojo)

6.6. PLAN DE TRATAMIENTO DEL RIESGO

El tratamiento del riesgo incluye la identificación de las opciones a tratar el

riesgo, el establecimiento de objetivos, metas, indicadores, fechas de
cumplimiento y responsables con el propósito de facilitar el seguimiento a las
actividades planteadas.

6.6.1. Identificación de Opciones para el Tratamiento del Riesgo y oportunidad

Existen una serie de opciones que permiten el tratamiento del riesgo, pero hay
que tener en cuenta que no necesariamente son mutuamente excluyentes o
apropiadas en todas las circunstancias. Dentro de las diversas opciones
tenemos:

• No afrontar el riesgo y oportunidad, al decidir no proceder con la actividad que

tiene posibilidad de generar riesgo (siempre que esto sea aplicable). Puede
ocurrir que el riesgo y la oportunidad no se enfrente debido a una actitud de
aversión hacia él, la cual es una tendencia de muchas personas (con frecuencia
influenciadas por un sistema interno de una organización). El hecho de no
afrontar el riesgo y oportunidad puede incrementar la importancia de otros
riesgos y oportunidades.

• Reducir la probabilidad de la ocurrencia. Existen una variada cantidad de

acciones que permiten reducir o controlar la probabilidad de ocurrencia, entre las
cuales se encuentran: inspección y procesos de control; mantenimiento
preventivo; inversiones; supervisión, entre otros.

• Reducir las consecuencias. Al igual que ocurre con la probabilidad, las

consecuencias tienen una variada cantidad de acciones que permiten su
reducción, entre las cuales se encuentran: planes de contingencia, separación o
reubicación de una actividad y recursos, reducción de exposición a fuentes de
riesgo, entre otros.

• Transferir el riesgo. Aquí participa otra parte que asume o comparte algún
porcentaje del riesgo y oportunidades. Entre los mecanismos para esto se
encuentran el uso de contratos, acuerdos de seguros y estructuras
organizacionales tales como sociedades o alianzas estratégicas. Cuando los
riesgos y oportunidades se transfieren en su totalidad o parcialmente, la
organización que transfiere el riesgo y oportunidad ha adquirido un nuevo riesgo
y nuevas oportunidades el de que la organización a la cual le ha transferido el
riesgo y oportunidad no pueda manejarlo en forma efectiva.

• Retener el riesgo y oportunidad. Después de haber reducido o transferido los

riesgos y oportunidades, puede haber riesgos y oportunidades residuales que se
han retenido. Es recomendable implementar planes para manejar las
consecuencias de estos riesgos y oportunidades , si ocurrieran, incluida la
identificación de un medio de financiación del riesgo y oportunidad.

Los riesgos y oportunidades también pueden retenerse por defecto, es decir,

cuando existe fracaso en la identificación y/o transferencia apropiada u otro
tratamiento de estos.

• Eliminar el Riesgo y oportunidades : Es aplicar una estrategia de seguridad

para que ni vuelva o no se materialice el riesgo y oportunidad detectado

6.6.2. Valoración de Opciones de Tratamiento de Riesgo y oportunidad.

Se aconseja evaluar las opciones sobre la base del grado de reducción del riesgo
y el alcance de cualquier beneficio adicional u oportunidades creadas. Se pueden
considerar varias opciones y aplicarse ya sea de forma individual o en
combinación. La selección de la opción más apropiada incluye el equilibrio del
costo de la implementación de cada opción contra los beneficios derivados de
ella. En general, el costo de la gestión de riesgos y oportunidades debe ser
proporcional a los beneficios obtenidos.

6.6.3. Definición de Objetivos, Metas, Indicadores, Fechas de Cumplimiento y

Responsables

Para el plan de tratamiento se deben identificar y establecer objetivos, metas,

indicadores, fechas de cumplimiento y responsables, de acuerdo a la priorización
realizada para cada uno de los riesgos y oportunidades detectados
anteriormente.

Como primera medida se debe definir un único objetivo para cada descripción del
evento y con base en el definir la meta que la organización busca con la
aplicación de las acciones de control.

Se deben definir indicadores que permitan medir la gestión de la empresa frente

a las diferentes amenazas detectadas en la Valoración de Riesgos y
oportunidades.

Los responsables del cumplimiento de las acciones de control y las fechas en que
serán implementadas deben ser determinados en conjunto con la dirección de la
organización.

6.7. SEGUIMIENTO Y REVISIÓN

Deben monitorearse los riesgos y las oportunidades y la eficacia de las medidas

de control a fin de garantizar que las circunstancias cambiantes no alteren las
prioridades del riesgo y oportunidad. (Pocos riesgos permanecen estáticos) y así
asegurar que la metodología es proactiva y no reactiva.

Resulta esencial el seguimiento permanente para asegurarse de que el plan de

gestión continúa siendo pertinente y se implementa oportunamente. Los factores
que pueden afectar la probabilidad y las consecuencias de un resultado pueden
cambiar, al igual que los factores que afectan la conveniencia o el costo de las
diferentes opciones de tratamiento. Por consiguiente, es necesario repetir
regularmente el ciclo de gestión de riesgo y oportunidades .La revisión es una
parte integral del plan de tratamiento de gestión del riesgo y oportunidades por
parte del Representante de la Dirección, la cual se hace semestralmente o
cuando ocurran fallas relacionadas con seguridad (incidentes, no conformidades
y antes de implementar acciones correctivas )

Cuando se actualice la matriz existente o se introduzcan nuevas actividades que

puedan causar impacto en las operaciones y actividades de gestión se debe
considerar los siguientes criterios:

a) Estructura organizacional, funciones o responsabilidades revisadas y

actualizadas.
b) La Política, metas, objetivos y programa revisados y actualizados.
c) Procedimientos y procesos revisados y actualizados
d) La inducción de una nueva infraestructura, equipo o tecnología de seguridad
(Hardware y/o Software)
e) Introducción de nuevos contratistas proveedores o personal
f) Marco legal y normativo aplicable

6.8 COMUNICACIÓN

Teniendo en cuenta la información de la Matriz para abordar riesgos y

oportunidades FR-MJ-06 se sensibilizara semestralmente a los colaboradores con
el fin de concientizarlos respecto a los riesgos, oportunidades, controles
existentes, funciones y responsabilidades, y consecuencias del no cumplimiento
de los procedimientos.
Se establecen como fuentes de comunicación de los riesgos a través:

- Inducción y reinducción
- Comités
- Publicaciones en cartelera/ email