CODIGO P.

04

VERSIÓN 01

FECHA 23/03/2021

P.04 GESTION DE RIESGOS Y

OPORTUNIDADES

RESPONSABLE FIRMA

CONSULTOR EXTERNO
ELABORADO
Ing. Luis Salazar Huari

REVISADO COORDINADOR SIG

Karen Aguilar

GERENCIA GENERAL
APROBADO
Josue Godoy

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 2 de 10

1. Propósito:

Identificar eventos potenciales que puedan afectar a la organización de forma positiva o negativa para su
eliminación y/o gestión dentro de los rangos aceptables, asociados a los procesos, satisfacción al cliente
teniendo en cuenta el contexto de la organización y de las partes interesadas que puedan afectar al sistema
de gestión de calidad y el cumplimiento de sus objetivos.

2. Alcance:

Todos los procesos que forman parte del Sistema de Gestión de Calidad conformado por la norma
internacional ISO 9001:2015.

3. Responsables:

 Coordinador SIG
 Dueños de proceso
 Consultor externo de procesos.
 Gerente general

4. Definiciones:
4.1 Riesgo: Efecto de la incertidumbre sobre los objetivos
4.2 Probabilidad: Probabilidad de ocurrencia de la amenaza
4.3 Factibilidad: Disponibilidad de los recursos necesarios para llevar a cabo los objetivos, metas o
acciones señalados.
4.4 Oportunidad: Circunstancia, momento o medio que se presenta para conseguir un fin. (Las
oportunidades pueden llevar a la adopción de nuevas prácticas, lanzamiento de nuevos productos,
apertura de nuevos mercados, contacto con nuevos clientes, establecimiento de asociaciones, uso de
nuevas tecnologías y otras posibilidades deseables y viables para abordar las necesidades de la
organización o las de sus clientes).
4.5 Eficacia: Grado en el que se realiza las actividades planificadas y se logran los resultados planificados.
4.6 Consecuencia: Magnitud del riesgo identificado.
4.7 Contexto de la organización: Combinación de cuestiones internas y externas que pueden tener un
efecto en el enfoque de la organización para el desarrollo y logro de sus objetivos.
4.8 Parte interesada: Persona u organización que puede afectar, verse afectada o percibirse como afectada
por una decisión o actividad.
4.9 Contexto interno: Ambiente interno en el cual la organización busca alcanzar sus objetivos
4.10 Valoración del riesgo: Proceso global de identificación del riesgo, análisis del riesgo y evaluación del
riesgo.
4.11 Identificación del riesgo: Proceso para encontrar, reconocer y describir el riesgo.

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 3 de 10

4.12 Análisis del riesgo: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
4.13 Criterios del riesgo: Términos de referencia frente a los cuales se evalúa la importancia de un riesgo.
4.14 Nivel de riesgo: Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de la
combinación de las consecuencias y su probabilidad.
4.15 Evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios
del riesgo, para determinar si el riesgo, su magnitud o ambos son aceptables o tolerables.
4.16 Tratamiento del riesgo: Proceso para modificar el riesgo.
4.17 Riesgo residual: Riesgo remanente después del tratamiento del riesgo.
Fuente: ISO 31000:2018

ISO 9000:2015

5. Procedimiento:

5.1 Introducción: Relación incertidumbre – valor

Todas las empresas existen para generar valor a sus grupos de interés (partes interesadas) y todas se
enfrentan a la incertidumbre por la tanto se debe establecer cuál es el grado de incertidumbre que se puede
permitir mientras genera valor. Vamos a establecer que la generación de valor es el cumplimiento de
requisitos de las partes interesadas a través del sistema integrado de gestión.

Misión: (agregar valor)

Procesos que aseguren la satisfacción del cliente y la mejora en

Sistema de gestión de calidad los procesos que estén dentro del alcance del sistema de

gestión de calidad

La incertidumbre presenta riegos y oportunidades que pueden afectar la generación de valor, es por eso que
en el presente procedimiento estableceremos la forma de gestionar la incertidumbre con la finalidad de
mejorar la capacidad de generar valor.

5.2 Contexto de la organización y la Gestión del Riesgo:

Se debe establecer como primer paso, cual es el contexto de la organización, conformado por las cuestiones
internas y externas.

La alta dirección en sesiones de planeamiento estratégico generará un análisis del contexto de la

organización M.01-02 Análisis FODA y M.01-03 Matriz de partes interesadas.

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 4 de 10

Durante la sesión de planeamiento estratégico la alta dirección determinara que riesgos, oportunidades y
partes interesadas son pertinentes a la organización y de qué manera estos pueden afectar el cumplimiento
de la misión y los objetivos.

La alta dirección tomara acciones para reducir los riesgos identificados y acciones para aprovechar las
oportunidades.

5.3 Identificación de riesgo:

Durante la identificación de riesgos la alta dirección y aquellos participantes en el planeamiento estratégico

procederán a relacionar los factores internos y externos en eventos no deseado y sus consecuencias posibles.

- Identificación de riesgos proveniente de los factores internos y externos.

Para su identificación se realizará la siguiente pregunta para determinar el EVENTO NO DESEADO:

¿Qué evento no deseado (Riesgo) puede suceder bajo el contexto de la organización (Factor interno
o externo)?

De igual manera se realizará la siguiente pregunta para determinar la CONSECUENCIA del evento no
deseado:

¿Qué consecuencia puede traerme la ocurrencia del evento no deseado?

- Identificado de riesgos relacionados a las Partes interesadas pertinentes.

Para su identificación se realizará la siguiente pregunta para determinar el EVENTO NO DESEADO:

¿Qué evento no deseado (Riesgo) puede suceder si no se cumple con satisfacer las necesidades
de las partes interesadas pertinentes para la organización?

De igual manera se realizará la siguiente pregunta para determinar la CONSECUENCIA del evento no
deseado:

¿Qué consecuencia puede traerme la ocurrencia del evento no deseado?

La evaluación de riesgo por procesos se identificará respondiendo las siguientes preguntas:

¿Qué evento no deseado puede suceder que no permita alcanzar los objetivos de nuestros
procesos?

Y de igual manera se realizará la siguiente pregunta para determinar la CONSECUENCIA del evento no
deseado:

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 5 de 10

¿Qué consecuencia puede traerme la ocurrencia del evento no deseado?

5.4 Identificación de los CONTROLES ACTUALES o ACCIONES TOMADAS:

Culminada la identificación del riesgo se procederá a relacionar los controles actuales relacionados al riesgo
identificado.

5.5 Análisis y evaluación de riesgos

La evaluación de riesgo nos permite saber en qué medida la naturaleza del riesgo puede afectar al logro de
los objetivos por medio de la determinación el nivel de riesgo.

Para los riesgos identificados se evaluará por medio de la probabilidad del evento no deseado y las
consecuencias o impacto negativos

RIESGOS (-)
5.6 Probabilidad (RIESGOS):

Asociada evento no deseado identificado, se refiere a la posibilidad aparente de que se suscite u ocurra el
riesgo asociado en el caso de que persista el evento. Para establecerla hay que seleccionar la opción que
mejor se ajuste a la realidad actual y que responda a la siguiente interrogante:

¿Qué tan posible es que ocurra el(los) riesgo(s) si no se toma una medida sobre el evento no
deseado o amenaza?
La calificación de la probabilidad obedece a los siguientes criterios:

PROBABILIDAD Gestión de calidad Historial de ocurrencia

Ocurre Frecuentemente (Se ha presentado más de 1 vez durante la semana)
FRECUENTE 5
Probablemente ocurriría en la mayoría
(Se ha presentado 3 a 5 veces al mes)
PROBABLE 4 de las circunstancias

Podría ocurrir en algún momento (Se ha presentado 1a 2 veces al mes)

POSIBLE 3
Ocurriría excepcionalmente (Se ha presentado1 a 3 veces durante el año)
POCO PROBABLE 2
Casi nunca va a ocurrir o puede (En los últimos dos años solo se ha presentado una
REMOTO 1 ocurrir solo en Excepciones vez)

5.4.1 Impacto, Consecuencia o Severidad:

Esta referida al grado del daño que puede generar, por sí misma, la ocurrencia del riesgo identificado. Para
establecer la consecuencia, severidad o grado de daño hay que seleccionar la opción que mejor se ajuste a la
realidad y que responda a la siguiente interrogante:

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 6 de 10

¿Qué tan grave(s) seria(n) la(s) consecuencia(s) de producirse el(los) riesgo(s)?

La calificación de la consecuencia o severidad obedece a los siguientes criterios:

IMPACTO DE LA
CONSECUENCIA Sistema de Gestión de calidad
El impacto supone una pérdida económica que podrían llevar a la empresa a la
MUY ALTO 5
banca rota o cierre definitivo, el cierre definitivo puede ser por incumplimiento legal.
ALTO 4 El impacto supone la pérdida de clientes, demanda legal del cliente.
Rechazo de la compra, castigos económicos (penalidades) por demora en la
MEDIO 3 entrega del producto causado por: perdida del producto y/o daño del producto y/o
demora en aduana.
Gastos administrativos por devolución del producto sin penalidades económica,
TOLERADO 2 gastos por reproceso administrativo, pérdidas económicas. Las operaciones sufren
interrupción y su reanudación puede llevar algunas horas.
BAJO 1 Insatisfacción y queja del cliente por servicio o producto no conforme.

5.4.2 Valor y Nivel del riesgo:

El evaluador asigna un nivel de riesgo relacionado con la probabilidad de ocurrencia del riesgo y su
impacto o consecuencia identificada.

Los criterios se encuentran definidos en el siguiente cuadro:

PRINCIPAL Nivel de Riesgo = Probabilidad x Impacto

5-Muy
IMPORTANTE IMPORTANTE ALTO MUY ALTO MUY ALTO
Alto
4-Alto TOLERADO TOLERADO IMPORTANTE ALTO MUY ALTO
IMPACTO

3-Medio BAJO TOLERADO IMPORTANTE IMPORTANTE ALTO

2-
BAJO TOLERADO TOLERADO TOLERADO IMPORTANTE
Tolerado
1-Bajo BAJO BAJO BAJO TOLERADO IMPORTANTE

1-Remoto 2-Poco probable 3-Posible 4-Probable 5-Frecuente

PROBABILIDAD

De acuerdo a la calificación obtenida en el cuadro anterior, se evalúa para determinar la calificación o nivel del
riesgo, según la siguiente tabla:

Nivel Criterio Descripción (NEGATIVO)

Genera un alto impacto (legal, imagen, económico, operativo) a la organización y es
5 MUY ALTO muy probable que ocurran. Aquel riesgo que al presentarse puede causar una
afectación directa a la estrategia de la organización, no se debe continuar con las

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 7 de 10

actividades hasta que se realicen acciones que aporten a la mitigación del mismo.
NIVEL DE RIESGO NO ACEPTABLE REQUIERE LA IMPLEMENTACION DE CONTROLES.
Genera un impacto (legal, imagen, económico, operativo) a la organización, y es más
probable que ocurran. Aquel riesgo que al presentarse puede originar una afectación a
los procesos de negocio, se debe realizar acciones correctivas a corto o mediano plazo
4 ALTO
a fin de mitigar el nivel de riesgo e iniciar acciones preventivas con el fin que el riesgo
no se manifieste. NIVEL DE RIESGO NO ACEPTABLE REQUIERE LA IMPLEMENTACION
DE CONTROLES.
Genera un impacto (legal, imagen, económico, operativo) a la organización, y es
probable que ocurran ocasionalmente. Aquel riesgo que al presentarse puede originar
3 IMPORTANTE una afectación a los procesos de soporte, se debe tomar acciones a mediano o largo
plazo a fin de que el riesgo no se manifieste. NIVEL DE RIESGO NO ACEPTABLE
REQUIERE LA IMPLEMENTACION DE CONTROLES.
Genera moderado impacto a la organización y es poco probable que ocurran. Aquel
riesgo que al presentarse genera afectación moderada en prestación de servicio de la
2 TOLERADO organización. Se recomienda actividades de retención del riesgo. NIVEL DE RIESGO
ACEPTABLE no requiere proponer algún control más debido que los controles
actuales están resultado para disminuir el riesgo.
No generan impacto a la organización y es improbable que ocurran aquel riesgo que al
1 BAJO presentarse no afecta el funcionar de la organización. Se pueden continuar con las
actividades sin llevar a cabo controles adicionales.

TRATAMIENTO DE RIESGOS (-)

5.7 Tratamiento de los Riesgos:

Una vez clasificados los riesgos, es necesario establecer estrategias para el tratamiento, acciones o
respuestas como:
TRATAMIENTO DE RIESGOS
FECHA IMPLEMENTACION
ESTRATEGIA PARA EL

RESPONSABLE
TRATAMIENTO

ACCION A TOMAR
Evitar el riesgo, reducir el riesgo,
compartir el riesgo, asumir el riesgo
o aprovechar la oportunidad.
3/06/2019

Estandarizar un procedimiento de
capacitaciones, proponer un programa de GERENTE
Reducir
capacitaciones y estandarizar una lista de GENERAL
asistencia.

Las acciones a tomar dependerán de cada situación, siendo el responsable del proceso, el
Coordinador SIG o gerencia general el encargado de proponer las acciones pertinentes para los
riesgos y oportunidades.

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 8 de 10

POSIBLES ACCIONES (Ejemplos):

- Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;
- Aceptar o aumentar el riesgo en busca de una oportunidad;
- Modificar la probabilidad o reducir el riesgo.
- Modificar las consecuencias;
- Compartir el riesgo (por ejemplo: a través de contratos, compra de seguros);

5.8 Criterios para la planificación de nuevos controles o acciones a tomar:

RIESGOS “IMPORTANTE”, “ALTO” Y “MUY ALTO”

Para el caso de los Riesgos aquellos que son calificados como “IMPORTANTE”, “ALTO” Y “MUY
ALTO” se colocaran los plazos correspondientes de las acciones (Fecha de implementación) y el
responsable.

RIESGOS “BAJO” Y “TOLERADO”

Los riesgos que son “BAJO” y “TOLERADO”, son aquellos que ya se encuentran controlados
mediante las medidas de control propias de la empresa y no se necesitara realizar alguna acción y
reevaluación del riesgo.

RIESGOS “TOLERADOS” Y SIN CONTROLES DE LA ORGANIZACION

Si los riesgos son TOLERADOS y que NO se encuentren con alguna medida de control propia de la
empresa se tomará una acción y planificará su implementación, y la evaluación de la eficacia según el
punto 5.6 del presente procedimiento.

ACTUALIZACION Y EVALUACION DE LA EFICACIA

5.9 Actualización de la matriz de riesgos y oportunidades
Anualmente los evaluadores revisarán y actualizarán la P.04-F.01 Matriz de identificación evaluación de
riesgos y oportunidades. Para identificar si existen nuevos eventos no deseados, riesgos u
oportunidades a considerarse. Ante la creación de nuevas áreas, que implique nuevas actividades
dentro de la organización o se incremente algún tipo de servicio en sus procesos operativos o soporte,
se evaluarán dichas actividades y se actualizará la matriz de evaluación de riesgos y oportunidades.
5.10 Evaluación de la eficacia de RIESGOS:
Una vez implementado la acción propuesta (Según la acción planificada) para mitigar un riesgo, se
evaluará la eficacia después de un mes (Contando después de haber implementado según fecha
planificada) para los riesgos considerados como: muy altos, altos e importante. Para los casos de
los riesgos considerados como: tolerado y no presentan alguna acción propia de la organización, se

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 9 de 10

evaluará la eficacia de las acciones propuestas después de un año, de haber implementado las
acciones.

EVALUACION Y RESULTADOS DE LA EVALUACION DE EFICACIA

5.11 Evaluación de eficacia de los RIESGOS:
La evaluación de eficacia de los riesgos será realizada con los mismos criterios de probabilidad y
consecuencia utilizadas según indica los puntos del procedimiento 5.4.1 y 5.4.2.

5.12 Resultados de evaluación de la eficacia para los RIESGOS:

Los resultados de la evaluación de eficacia serán clasificadas de la siguiente manera:

RIESGO RIESGO DESPUES DE DESCRIPCION DEL RESULTADO DE LA

ACTUAL LA ACCION EVALUACION DE LA EFICACIA
MUY ALTO ALTO ACCION PLANTEADA FUE EFICAZ

ALTO IMPORTANTE ACCION PLANTEADA FUE EFICAZ

IMPORTANTE TOLERADO BAJO ACCION PLANTEADA FUE EFICAZ

ACCIONES PARA APROVECHAR LAS OPORTUNIDADES

5.13 Oportunidades identificadas en el planeamiento estratégico y en los procesos
Los miembros de la alta dirección priorizaran las oportunidades por medio del formato P.04.F.02
Priorización de las oportunidades, esto con el fin de poder hacer seguimiento de su implementación
y la evaluación de la eficacia.
Nota: Cabe resaltar que las acciones a tomar para aprovechar las oportunidades serán decididas por la
alta dirección, tomando la decisión de aprovecharlas o no.
5.14 Evaluación de la eficacia de la acción tomada.
Una vez finalizada la implementación de las acciones, si estas presentan los siguientes efectos en la
organización serán consideras acciones eficaces:

CLASIFICACION DE
DESCRIPCION DEL RESULTADO
LA EFICACIA
0% las acciones no han sido establecida ni ejecutadas. NO EJECUTADO
25% las acciones tomadas fueron ejecutadas EN PROCESO
50% las acciones tomadas ya fueron implementadas, pero no presenta resultado alguno. NO EFICAZ
75% las acciones tomadas presentan resultados como la adopción de nuevas prácticas,
lanzamiento de nuevos productos, mejor rendimiento en los procesos y utilización de EFICAZ
nuevas tecnologías.
100% las acciones tomadas presentan resultados como la apertura de nuevos mercados, EFICAZ

DOCUMENTO APROBADO Y COPIA CONTROLADA

 SISTEMA DE GESTION DE CALIDAD P.04
Versión: 01
PROCEDIMIENTO DE GESTIÓN DE RIESGOS Y Fecha: 09/12/2020
OPORTUNIDADES Página 10 de 10

acercamiento a nuevos clientes, establecimiento de asociaciones y otras posibilidades

deseables y viables para abordar las necesidades de la organización o las del cliente.

5.15 Comunicación:

Finalmente, la matriz de identificación y evaluación de riesgos y la matriz de priorización de

oportunidades estará dispuesto para toda aquella persona involucrada en el sistema ISO de manera
virtual y/o impreso.

6. Registros asociados.
P.04.F.01 Matriz de identificación evaluación de riesgos
P.04.F.02 Priorización de las oportunidades

M.01-02 Análisis FODA

M.01-03 Matriz de partes interesadas

DOCUMENTO APROBADO Y COPIA CONTROLADA