La información Contenida en este documento es de carácter confidencial y de uso exclusivo de Caja de Compensación La Araucana.
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIEGOS OPERACIONALES
Cód.: PR-AERO-004
Versión 003
ELABORADO REVISADO REVISADO REVISADO APROBADO
Jorge Viveros Marcelo Aguilera C. Ma. Loreto Fierro Alexis Silva Meza Mauricio Orleans C.
Jefe División Riesgo Subgerente
Cumplimiento y Normativa
Subgerente de Fiscalía Subgerente Corporativo de Riesgo Gerente General
Fecha: 17-03-2015 Fecha: 18-03-2015 Fecha: 30-03-20 15 Fecha: 30-03-2015 Fecha: 31-03-2015
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
I. Introducción
La Caja de Compensación de Asignación Familiar Riesgo Operacional se ha preocupado de implementar un Proceso de Autoevaluación de Riesgo en las áreas críticas del negocio, con el objeto de detectar los principales riesgos que puedan afectar a Araucana C.C.A.F., tanto internos como externos.
El presente documento se apoya en los lineamientos de la Política de describe el procedimiento formal, las etapas del proceso de gestión, los requerimientos de documentación, el tipo de reporte, además de las unidades responsables de desarrollar, implementar e impulsar el cumplimiento de la gestión
II. Objetivos
El propósito del procedimiento aspectos necesarios para poner en práctica la gestión del riesgo operacional. Además entrega una metodología para que las unidades de la organización puedan procesos, permitiendo identificar, medir y monitorear los principales ries gos y debilidades existentes dentro de la organizaciónavanzar en una cultura organizacional basadentorno de control.
III. Alcance
El presente procedimiento consideraAraucana C.C.A.F. Seguido a lo anterioraplicación general y comprende a todas las áreas de la organización,hasta las últimas dependencias involucradas en los procesos, productos, servicios y sistemas.
IV. Definiciones
La definición de Riesgo está directamente relacionada con la definición general del Riesgo Operacional indicada por Basilea II, la cual dice:
“El riesgo operativo se define como el riesgo de pé rdida debido a la inadecuación o a fallos de los procesos, el personal y los sistemas definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.”
Sin embargo, el riesgo como tal puede ser contemplado bajo 4 enfoques claves, los cuales son:
- Evitarlo: No realizar las actividades que generan el riesgo. - Reducirlo: tomar medidas para reducir el riesgo o el impacto relacionado- Compartirlo : transferir o compartir una porción del riesgo para reducirlo- Aceptarlo : no tomar ninguna acción, debido a una decisión
Por lo tanto es importante identificar como primera medida de que manera enfrentaremos el riesgo.
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
de Asignación Familiar La Araucana, en el marco de las buenas prácticas del Riesgo Operacional se ha preocupado de implementar un Proceso de Autoevaluación de Riesgo en las áreas críticas del negocio, con el objeto de detectar los principales riesgos que puedan afectar a
, tanto internos como externos.
El presente documento se apoya en los lineamientos de la Política de Gestión del Riesgo Operacional y describe el procedimiento formal, las etapas del proceso de gestión, los requerimientos de documentación, el tipo de reporte, además de las unidades responsables de desarrollar, implementar e impulsar el cumplimiento de la gestión del riesgo operacional en la Caja.
consiste en proporcionar una guía técnica que contenga todos los aspectos necesarios para poner en práctica la gestión del riesgo operacional. Además entrega una metodología para que las unidades de la organización puedan auto gestionar
dentificar, medir y monitorear los principales ries gos y debilidades existentes dentro de la organización , asegurando así, una optimización de los controles, además de avanzar en una cultura organizacional basada en el monitoreo y mejora continua
considera los procesos y actividades críticas desarrolladas al interior de Seguido a lo anterior, es necesario considerar que el presente
aplicación general y comprende a todas las áreas de la organización, desde el más alto nivel jerárquico hasta las últimas dependencias involucradas en los procesos, productos, servicios y sistemas.
está directamente relacionada con la definición general del Riesgo Operacional II, la cual dice:
“El riesgo operativo se define como el riesgo de pé rdida debido a la inadecuación o a fallos de los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos . Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.”
Sin embargo, el riesgo como tal puede ser contemplado bajo 4 enfoques claves, los cuales son:
realizar las actividades que generan el riesgo. tomar medidas para reducir el riesgo o el impacto relacionado: transferir o compartir una porción del riesgo para reducirlo
: no tomar ninguna acción, debido a una decisión costo/beneficio.
Por lo tanto es importante identificar como primera medida de que manera enfrentaremos el riesgo.
Página | 2
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
La Araucana, en el marco de las buenas prácticas del Riesgo Operacional se ha preocupado de implementar un Proceso de Autoevaluación de Riesgo en las áreas críticas del negocio, con el objeto de detectar los principales riesgos que puedan afectar a La
del Riesgo Operacional y describe el procedimiento formal, las etapas del proceso de gestión, los requerimientos de documentación, el tipo de reporte, además de las unidades responsables de desarrollar, implementar e
consiste en proporcionar una guía técnica que contenga todos los aspectos necesarios para poner en práctica la gestión del riesgo operacional. Además entrega una
auto gestionar los riesgos de sus dentificar, medir y monitorear los principales ries gos y debilidades
segurando así, una optimización de los controles, además de ejora continua de los procesos y su
desarrolladas al interior de La presente procedimiento es de
esde el más alto nivel jerárquico hasta las últimas dependencias involucradas en los procesos, productos, servicios y sistemas.
está directamente relacionada con la definición general del Riesgo Operacional
“El riesgo operativo se define como el riesgo de pé rdida debido a la inadecuación o a fallos de los internos o bien a causa de acontecimientos externos . Esta
definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.”
Sin embargo, el riesgo como tal puede ser contemplado bajo 4 enfoques claves, los cuales son:
tomar medidas para reducir el riesgo o el impacto relacionado
costo/beneficio.
Por lo tanto es importante identificar como primera medida de que manera enfrentaremos el riesgo.
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
Riesgo Inherente:
Es aquel riesgo que por su naturaleza no puede ser separado del proceso o subproceso en que éste se presenta. Corresponde al riesgo que debe asumir cada entidad de acuerdo al ámbito de desarrollo de sus actividades.
Riesgo Residual:
Es aquel riesgo remanente luego de completar la efectividad de las acciones mitigantes existentes o luego de la aplicación de controles destinad
Dueño de Procesos:
Corresponde a aquel colaborador de La Araucana designado para hacerse responsable de la administración de un proceso y propiciar las mejoras a implementar sobre éste.
V. Responsabilidades
���� Subgerencia Corporativa de Riesgos
- Será la encargada de desarrollar e impulsar la gestión de riesgo operacional en C.C.A.F.
- La responsabilidad de la mitigación y control del riesgo operacional recae en todos los funcionarios de La Araucana
���� Las responsabilidades del Directorio, Gerencia General, Comité de Riesgose encuentran detalladas en la
VI. Referencias
- PO-GROP-001 Política Gestión de Riesgo Operacional
VII. Procedimiento
1. Metodología de Autoevaluación d
La Araucana C.C.A.F. ha acogido un Marco Metodológico que entrega los lineamientos para la Gestión del Riesgo Operacional de la instituciónDicho Marco Metodológico se encuentra fundamentado en la Norma Internacional ISO 31000:2009 para la Gestión Integral del Riesgo, adoptando de esta forma las mejores prácticas internacionales en este tema.
El Marco Metodológico de la ISO 31000:2009 plantea un proceso definido para la Gestión del Riesgo que consta de siete etapas, según se observa en la siguiente figura:
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
Es aquel riesgo que por su naturaleza no puede ser separado del proceso o subproceso en que éste se al riesgo que debe asumir cada entidad de acuerdo al ámbito de desarrollo de sus
Es aquel riesgo remanente luego de completar la efectividad de las acciones mitigantes existentes o luego de la aplicación de controles destinados a minimizar dichos riesgos.
Corresponde a aquel colaborador de La Araucana designado para hacerse responsable de la administración de un proceso y propiciar las mejoras a implementar sobre éste.
Subgerencia Corporativa de Riesgos
erá la encargada de desarrollar e impulsar la gestión de riesgo operacional en
La responsabilidad de la mitigación y control del riesgo operacional recae en todos los La Araucana C.C.A.F.
responsabilidades del Directorio, Gerencia General, Comité de Riesgo yse encuentran detalladas en la Política de Gestión del Riesgo Operacional.
Política Gestión de Riesgo Operacional
Autoevaluación d e Riesgos Operacionales (AERO).
ha acogido un Marco Metodológico que entrega los lineamientos para la Gestión institución, de forma estructurada y consistente c
Dicho Marco Metodológico se encuentra fundamentado en la Norma Internacional ISO 31000:2009 para la Gestión Integral del Riesgo, adoptando de esta forma las mejores prácticas internacionales en este
la ISO 31000:2009 plantea un proceso definido para la Gestión del Riesgo que consta de siete etapas, según se observa en la siguiente figura:
Página | 3
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
Es aquel riesgo que por su naturaleza no puede ser separado del proceso o subproceso en que éste se al riesgo que debe asumir cada entidad de acuerdo al ámbito de desarrollo de sus
Es aquel riesgo remanente luego de completar la efectividad de las acciones mitigantes existentes o
Corresponde a aquel colaborador de La Araucana designado para hacerse responsable de la
erá la encargada de desarrollar e impulsar la gestión de riesgo operacional en La Araucana
La responsabilidad de la mitigación y control del riesgo operacional recae en todos los
y Subgerencia de Riesgo
ha acogido un Marco Metodológico que entrega los lineamientos para la Gestión on las buenas prácticas.
Dicho Marco Metodológico se encuentra fundamentado en la Norma Internacional ISO 31000:2009 para la Gestión Integral del Riesgo, adoptando de esta forma las mejores prácticas internacionales en este
la ISO 31000:2009 plantea un proceso definido para la Gestión del Riesgo que
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
1.1. Comunicación y Consulta
Esta etapa es transversal al modelo, nos permitirá tener en consideración lo siguiente:
- Establecer adecuadamente el contexto definido para la gestión de los riesgos- Garantizar el entendimiento de las políticas y procedimientos para la gestión del riesgo
operacional. - Fomentar la gestión adecuada del cambio
proceso para la gestión del riesgo.
1.2. Establecer el Contexto
Considera el contexto externo e Operacional, algunos de los elementos a
� Contexto Externo
• El ambiente legal, regulatorio, financiero, tecnológico, económico, y de• Los impulsores clave
que tienen impacto en lo• Las relaciones con las partes involucradas externas
si fuese necesario.
� Contexto Interno
• Gobierno Corporativo, estructura de la organización, funciones y responsabilidades.
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
y Consulta
ransversal al modelo, nos permitirá tener en consideración lo siguiente:
stablecer adecuadamente el contexto definido para la gestión de los riesgosGarantizar el entendimiento de las políticas y procedimientos para la gestión del riesgo
Fomentar la gestión adecuada del cambio (cambio cultural en la línea de proceso para la gestión del riesgo.
Establecer el Contexto
xterno e interno de la organización para el Proceso de Gestión del Riesgo peracional, algunos de los elementos a tener presente podrían ser los siguientes:
legal, regulatorio, financiero, tecnológico, económico, y des (organismos reguladores o entidades internacionales)
que tienen impacto en los objetivos de la organización. relaciones con las partes involucradas externas (otras cajas), sus percepciones y valores
orporativo, estructura de la organización, funciones y responsabilidades.
Página | 4
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
ransversal al modelo, nos permitirá tener en consideración lo siguiente:
stablecer adecuadamente el contexto definido para la gestión de los riesgos. Garantizar el entendimiento de las políticas y procedimientos para la gestión del riesgo
(cambio cultural en la línea de proceso) durante el
l Proceso de Gestión del Riesgo ser los siguientes:
legal, regulatorio, financiero, tecnológico, económico, y de la industria. (organismos reguladores o entidades internacionales) y las tendencias
, sus percepciones y valores,
orporativo, estructura de la organización, funciones y responsabilidades.
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
• Políticas, objetivos y las estrategias imple• Capacidades, entendidas en términos de recursos y conocimientos (por ejemplo capital,
tiempo, personas, procesos, sistemas y tecnologías).• Las relaciones con las partes involucradas internas, sus percepciones y valores.• La cultura de la organización.• Los sistemas de información, flujos de la información y procesos de toma de decisiones (tanto
formales como informales).• Normas, directrices y modelos adoptados por la organización.
1.3. Identificar los Riesgos
Esta etapa considera lo siguiente
• Identificar las fuentes de riesgo, las áreas de impacto, los eventos, sus causas y consecuencias potenciales.
• La identificación debería incluir los riesgos independientemente de si su origen está o no bajo control de la organización.
• La identificación de lo que podría suceder. Es necesario considerar las causas y los escenarios posibles que demuestran las consecuencias que se podrían presentar.
1.3.1. Gestión de procesos
� Mapa de Procesos
Incluye un mapa de proceso conSuperintendencia de Seguridad Sidentificado como proceso “Nivel 1” y un proceso “N3”, de acuerdo a los subprocesos que siguiente, según los niveles sugeridos por la SUSESO:
Código Empresa Institución Código Proceso
Nivel I
� Codificación
Todos los procesos que se el “01”, el segundo nivel continuarmodo de ejemplo):
Código Proceso Nivel I NIVEL I
01 Fondos Nacionales y Subsidio Incapacidad Laboral
01 Fondos Nacionales y Subsidio Incapacidad Laboral
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
Políticas, objetivos y las estrategias implementadas para lograrlos. Capacidades, entendidas en términos de recursos y conocimientos (por ejemplo capital, tiempo, personas, procesos, sistemas y tecnologías). Las relaciones con las partes involucradas internas, sus percepciones y valores.
de la organización. Los sistemas de información, flujos de la información y procesos de toma de decisiones (tanto formales como informales). Normas, directrices y modelos adoptados por la organización.
Identificar los Riesgos
siguiente:
Identificar las fuentes de riesgo, las áreas de impacto, los eventos, sus causas y consecuencias potenciales. La identificación debería incluir los riesgos independientemente de si su origen está o no bajo control de la organización.
identificación de lo que podría suceder. Es necesario considerar las causas y los escenarios posibles que demuestran las consecuencias que se podrían presentar.
Gestión de procesos
mapa de proceso con aquellos más críticos, conforme a lo requerido por la Superintendencia de Seguridad Social en la Circular N° 2966 de 2013; luego, cada proceso seidentificado como proceso “Nivel 1” y un proceso “Nivel 2” y se espera identificar (deseable) un “N
de acuerdo a los subprocesos que se puedan identificar. El modelo de mapa de procesos es el iveles sugeridos por la SUSESO:
digo Proceso Nivel I
NIVEL I – Circular N°. 2966 SUSESO
Código Proceso Nivel II
Nombre del Proceso Nivel
que se levantarán tendrán un código único, cuyo primer nivel comenzaráel “01”, el segundo nivel continuará con “01”, y así sucesivamente, luego tendremos lo siguiente (a
NIVEL I – Circular N° 2966 SUSESO
Código Proceso Nivel II Nombre del Proceso Nivel II
Fondos Nacionales y Subsidio Incapacidad Laboral 0101 Administrar SIL y Maternal
Fondos Nacionales y Subsidio Incapacidad Laboral
0102 Administrar Asignación Familiar
Página | 5
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
Capacidades, entendidas en términos de recursos y conocimientos (por ejemplo capital,
Las relaciones con las partes involucradas internas, sus percepciones y valores.
Los sistemas de información, flujos de la información y procesos de toma de decisiones (tanto
Identificar las fuentes de riesgo, las áreas de impacto, los eventos, sus causas y
La identificación debería incluir los riesgos independientemente de si su origen está o no bajo
identificación de lo que podría suceder. Es necesario considerar las causas y los escenarios posibles que demuestran las consecuencias que se podrían presentar.
aquellos más críticos, conforme a lo requerido por la ; luego, cada proceso se ha
era identificar (deseable) un “Nivel puedan identificar. El modelo de mapa de procesos es el
Nombre del Proceso Nivel II
primer nivel comenzará desde con “01”, y así sucesivamente, luego tendremos lo siguiente (a
Nombre del Proceso Nivel II
Administrar SIL y Maternal
Administrar Asignación Familiar
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
De la misma forma, cada etapa del procedimiento contarcon el documento que se está realizado, por ejemplo:
Etapa del proceso Sigla asociada + numero asociado con la etapa
Riesgos R + 01 (N
Controles C + 01 (N
Indicadores de Riesgo I + 01 (N
Planes de Acción P + 01 (N
� Levantar Situación Actual
Preparar Levantamiento
Objetivo
Estructurar en forma más precisa las entrevistas que deben realizarse con aquellos participantes de los procesos en estudio que mayor aporte pueden hacer para recoger los detalles del ciclo operativo y las problemáticas presentes en lsituación actual. Asimismo, se busca determinar cuáles serán los requerimientos documentales preliminares a cubrir de modo de anticipar la búsqueda y preparación de antecedentes por parte de las áreas de negocio.
Actividades
- Recopilar antecedentes: proceso. Ejemplo: informes de auditoría, normativa, procedimientos, etc.).
- Identificar personas claves del proceso:
• Identificar las áreas que participan del proceso para definir en primerpodrían ser entrevistados (entrevistados claves).
• El superior directo de la división se comunicará con las jefaturas de las áreas a entrevistar para informar del levantamiento y pedir el permiso y apoyo correspondientes.
• Coordinar entrevistas: se identificará qudeterminar qué funcionario del área será el primer entrevistado.
Analizar Antecedentes
Objetivo
La primera actividad de análisis se basa en la revisión de toda la documentación recopilada respecto de los procesos en estudio, con el fin de establecer un marco de acción global para el trabajo de levantamiento, en términos de determinar, a alto nivel, las fronteras de investigación (hasta dónde llegar) y los pun
Formular Modelo Preliminar del Proceso
Objetivo
A partir del análisis preliminar, el equipo de trabajo puede estructurar una hipótesis inicial respecto de los procesos estudiados, contextualizándolos dentro de la caden
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
De la misma forma, cada etapa del procedimiento contará con una codificación única asociada con el documento que se está realizado, por ejemplo:
Sigla asociada + numero asociado con la etapa
+ Código subproceso
R + 01 (N° del riesgo) 0101
C + 01 (N° del control) 0101
I + 01 (N° del indicador) 0101
P + 01 (N° del plan de acción) 0101
Levantar Situación Actual
Estructurar en forma más precisa las actividades de la fase de levantamiento, en particular las entrevistas que deben realizarse con aquellos participantes de los procesos en estudio que mayor aporte pueden hacer para recoger los detalles del ciclo operativo y las problemáticas presentes en lsituación actual. Asimismo, se busca determinar cuáles serán los requerimientos documentales preliminares a cubrir de modo de anticipar la búsqueda y preparación de antecedentes por parte de
Recopilar antecedentes: Reunir toda la información que pueda ser utilidad para describir el Ejemplo: informes de auditoría, normativa, procedimientos, etc.).
Identificar personas claves del proceso:
dentificar las áreas que participan del proceso para definir en primerpodrían ser entrevistados (entrevistados claves). El superior directo de la división se comunicará con las jefaturas de las áreas a entrevistar para informar del levantamiento y pedir el permiso y apoyo correspondientes.
vistas: se identificará qué área tiene la mayor influencia en el proceso para determinar qué funcionario del área será el primer entrevistado.
La primera actividad de análisis se basa en la revisión de toda la documentación recopilada respecto de los procesos en estudio, con el fin de establecer un marco de acción global para el trabajo de levantamiento, en términos de determinar, a alto nivel, las fronteras de
nde llegar) y los puntos de atención (en qué profundizar).
Formular Modelo Preliminar del Proceso
A partir del análisis preliminar, el equipo de trabajo puede estructurar una hipótesis inicial respecto de los procesos estudiados, contextualizándolos dentro de la cadena de valor de
Página | 6
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
con una codificación única asociada
Código Final
R010101
C010101
I010101
P010101
actividades de la fase de levantamiento, en particular las entrevistas que deben realizarse con aquellos participantes de los procesos en estudio que mayor aporte pueden hacer para recoger los detalles del ciclo operativo y las problemáticas presentes en la situación actual. Asimismo, se busca determinar cuáles serán los requerimientos documentales preliminares a cubrir de modo de anticipar la búsqueda y preparación de antecedentes por parte de
Reunir toda la información que pueda ser utilidad para describir el Ejemplo: informes de auditoría, normativa, procedimientos, etc.).
dentificar las áreas que participan del proceso para definir en primera instancia quienes
El superior directo de la división se comunicará con las jefaturas de las áreas a entrevistar para informar del levantamiento y pedir el permiso y apoyo correspondientes.
área tiene la mayor influencia en el proceso para
La primera actividad de análisis se basa en la revisión de toda la documentación física y electrónica recopilada respecto de los procesos en estudio, con el fin de establecer un marco de acción global para el trabajo de levantamiento, en términos de determinar, a alto nivel, las fronteras de
profundizar).
A partir del análisis preliminar, el equipo de trabajo puede estructurar una hipótesis inicial respecto a de valor de La Araucana
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
C.C.A.F., identificando las grandes etapas del ciclo operativo y especificando las entradas y salidas conceptuales que constituyen los nexos entre esas grandes etapas.
Actividades
- Analizar cadena de valor (a modo de referencia): pertenece el proceso a levantar.
- Identificar subprocesos - Identificar entradas y salidas
Realizar Entrevistas
Objetivo
Recopilar información presencial sobre aspectos específicos del proceso analizado, en base areuniones con personal clave que aportará descripciones en primera persona del ciclo dese llevan a cabo (aún cuando no las realicen directamente) y de las principales dificultades con que se topan en la práctica.
Actividades
- Preparar entrevistas - Entrevistar a personal clave.
Documentar Proceso Actual
Objetivo
El objetivo de la documentación es describir de modo estructurado, preciso y completo el escenario actual en que se desenvuelve
Actividades
Elaborar levantamiento de procesos
- Diagramar proceso - Describir proceso - Identificar roles participantes- Identificar soporte tecnológico.- Identificar reglas de proceso.- Identificar procesos de apoyo. Ejemplo: contable, tesorería, - Identificar procesos externalizados.
El documento Flujograma (Flujo) o algoritmo, permite identificar la cadena de actividades y controles que se ejecutan para una transacción, proceso o subproceso. Este documento permite comprender e identificar las actividades y controles asociados a un área, sección o proceso. Los flujogramas muestran a cada unidad involucrada en el desarrollo de un procedimiento u operación además de los sistemas y documentos utilizados.
Cada documento cuenta con una serie de figurefectivo al momento de analizarlo y dibujarlo. Estas figuras son:
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
, identificando las grandes etapas del ciclo operativo y especificando las entradas y salidas conceptuales que constituyen los nexos entre esas grandes etapas.
Analizar cadena de valor (a modo de referencia): identificar a qué parte de la cadena de valor pertenece el proceso a levantar.
entradas y salidas
Recopilar información presencial sobre aspectos específicos del proceso analizado, en base areuniones con personal clave que aportará descripciones en primera persona del ciclo de
n cuando no las realicen directamente) y de las principales dificultades con que
Entrevistar a personal clave.
Proceso Actual
El objetivo de la documentación es describir de modo estructurado, preciso y completo el escenario actual en que se desenvuelven los procesos en estudio.
levantamiento de procesos, representando el proceso en BIZAGI:
Identificar roles participantes ecnológico.
roceso. Identificar procesos de apoyo. Ejemplo: contable, tesorería, etc. Identificar procesos externalizados.
El documento Flujograma (Flujo) o algoritmo, permite identificar la cadena de actividades y controles que se ejecutan para una transacción, proceso o subproceso. Este documento permite comprender
actividades y controles asociados a un área, sección o proceso. Los flujogramas muestran a cada unidad involucrada en el desarrollo de un procedimiento u operación además de los sistemas y documentos utilizados.
Cada documento cuenta con una serie de figuras las cuales tienen su significado específico para serefectivo al momento de analizarlo y dibujarlo. Estas figuras son:
Página | 7
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
, identificando las grandes etapas del ciclo operativo y especificando las entradas y salidas
parte de la cadena de valor
Recopilar información presencial sobre aspectos específicos del proceso analizado, en base a reuniones con personal clave que aportará descripciones en primera persona del ciclo de tareas que
n cuando no las realicen directamente) y de las principales dificultades con que
El objetivo de la documentación es describir de modo estructurado, preciso y completo el escenario
El documento Flujograma (Flujo) o algoritmo, permite identificar la cadena de actividades y controles que se ejecutan para una transacción, proceso o subproceso. Este documento permite comprender
actividades y controles asociados a un área, sección o proceso. Los flujogramas muestran a cada unidad involucrada en el desarrollo de un procedimiento u operación además de los
as las cuales tienen su significado específico para ser
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
Simbología
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
Descripción
Evento de inicio de proceso.
Tarea simple de un proceso, representa la actividad que es ejecutada por una acción humana.
Tarea automática de un proceso, representa la actividad que es ejecutada por un sistema.
Subproceso, representa la contención de varias actividades del flujo.
Compuerta de decisión, representa la elección de uno u otro camino disponible, este es utilizado también como punto de unión dentro del proceso (divergencia
Compuerta paralela, representa la ejecución de dos tareas o subprocesos paralelamente.
En un punto de bifurcación, al menos un flujo es un punto de convergencia, espera a todos los flujos que fueron activados para activar al saliente.
Indica algo que ocurre o puede ocurrir dentro del proceso. Sólo se pueden utilizar dentro de la secuencia del flujo.
Indica una espera dentro del proceso. Este tipo de evento puede utilizarse dentro del flujo de secuencia indicando una espera entre las actividades o adjunto a los límites de una actividad indicando un flujo de excepción.
Objeto de dato, representa la información que una actividad necesita en la entrada o salida.
Página | 8
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
Descripción
Tarea simple de un proceso, representa la actividad que es
Tarea automática de un proceso, representa la actividad que
Subproceso, representa la contención de varias actividades
Compuerta de decisión, representa la elección de uno u otro disponible, este es utilizado también como punto de
unión dentro del proceso (divergencia-convergencia).
Compuerta paralela, representa la ejecución de dos tareas o
En un punto de bifurcación, al menos un flujo es activado. En un punto de convergencia, espera a todos los flujos que fueron activados para activar al saliente.
Indica algo que ocurre o puede ocurrir dentro del proceso. Sólo se pueden utilizar dentro de la secuencia del flujo.
dentro del proceso. Este tipo de evento puede utilizarse dentro del flujo de secuencia indicando una espera entre las actividades o adjunto a los límites de una actividad indicando un flujo de excepción.
la información que una actividad
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
Esta herramienta permite conocer los riesgos particulares asociados al responsable deberá reconocer los riesgos asociados a su proceso y su(s) controles mitigantes.
Documento Final : Diagrama de Flujo.
Validar Proceso Actual
Objetivo
Una vez completado el levantamiento de la situación actual, es clave contarde los responsables de las áreas de negocios. Para ello, se requiere exponer a estas instancias los principales elementos y conclusiones del levantamiento, así como también hacerles llegar la documentación detallada.
1.4. Analizar los Riesgos
El análisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del riesgo, el propósito del análisis y la información, datos y recursos disponibles. El análisis puede ser cualitativo, semicuantitativo o cuantitativo, o una comLa Araucana C.C.A.F., el modelo de análisis será semicuantitativo para en el futuro migrar a cualitativo.
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
Esta herramienta permite conocer los riesgos particulares asociados al responsable deberá reconocer los riesgos asociados a su proceso y su(s) controles mitigantes.
: Diagrama de Flujo.
Una vez completado el levantamiento de la situación actual, es clave contar de los responsables de las áreas de negocios. Para ello, se requiere exponer a estas instancias los principales elementos y conclusiones del levantamiento, así como también hacerles llegar la
El análisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del riesgo, el propósito del análisis y la información, datos y recursos disponibles. El análisis puede ser cualitativo, semicuantitativo o cuantitativo, o una combinación de ellos, dependiendo de las circunstancias.
, el modelo de análisis será semicuantitativo para en el futuro migrar a
Pool, representa un participante en el proceso. Un participante podrá ser una entidad de negocio (Ecompañía) o un rol de negocio (Ej.: un comprador).
Un Depósito de Datos permite almacenar o descargar información de un repositorio de datos disponible en el proceso.
Evento de fin de proceso, representa el término del proceso.
Indica que el proceso es terminado, es decir, cuando algún camino del flujo llega a este fin, el proceso termina completamente, sin importar que existan más caminos del flujo pendientes.
Permite identificar los puntos de control en el flujograma.
Página | 9
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
Esta herramienta permite conocer los riesgos particulares asociados al proceso donde cada responsable deberá reconocer los riesgos asociados a su proceso y su(s) controles mitigantes.
con la aprobación formal de los responsables de las áreas de negocios. Para ello, se requiere exponer a estas instancias los principales elementos y conclusiones del levantamiento, así como también hacerles llegar la
El análisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del riesgo, el propósito del análisis y la información, datos y recursos disponibles. El análisis puede ser cualitativo,
binación de ellos, dependiendo de las circunstancias. Para , el modelo de análisis será semicuantitativo para en el futuro migrar a
Pool, representa un participante en el proceso. Un rá ser una entidad de negocio (Ej.: una
: un comprador).
Un Depósito de Datos permite almacenar o descargar información de un repositorio de datos disponible en el
Evento de fin de proceso, representa el término del proceso.
Indica que el proceso es terminado, es decir, cuando algún flujo llega a este fin, el proceso termina
completamente, sin importar que existan más caminos del
Permite identificar los puntos de control en el flujograma.
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
Casi Cierta
Muy Probable
Probable
Poco Probable
Rara Vez
Probabilidad
Para el enfoque definido se considera realizar el análisis utilizando una Matriz de a la realidad de La Araucana y que consta de los siguientes elementos:
� Matriz de Riesgos
• Se entenderá como mriesgo y el impacto probable que é
• La magnitud del riesgo se determinará en base a la siguiente matriz que combina el del riesgo y la probabilidad de que
¿Qué se evaluará?
Evaluación de los riesgos
La metodología consta de tres etapas fundamentales para la obtención de resultados, mediante una encuesta estándar realizada a los responsables de cada área consultada, en base a las siguientes actividades:
a) Identificar riesgos particulmapeados a los niveles de pérdida línea con los niveles establecidos por Basi
Fraude Interno
Fraude Externo
Prácticas de empleo, salud y seguridad en el trabajo.
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
5
4
3
2
1
1Insignificante
2Menor
3Moderado
4Mayor
Impacto
Para el enfoque definido se considera realizar el análisis utilizando una Matriz de a la realidad de La Araucana y que consta de los siguientes elementos:
magnitud del riesgo la combinación de la probabilidad de ocurrencia de un impacto probable que éste genera en la organización cuando se materializa.
iesgo se determinará en base a la siguiente matriz que combina el robabilidad de que éste se materialice.
riesgos inherentes
metodología consta de tres etapas fundamentales para la obtención de resultados, mediante una encuesta estándar realizada a los responsables de cada área consultada, en base a las
Identificar riesgos particulares presentes en cada área evaluada, cuyos riesgos deben mapeados a los niveles de pérdida señalados en la Circular N° 2línea con los niveles establecidos por Basilea II), que son los siguientes:
EVENTOS/TIPOS DE RIESGOActividades no autorizadas Robo y Fraude Robo y Fraude Seguridad de los sistemas
Prácticas de empleo, salud y Relaciones Laborales Higiene y Seguridad en el TrabajoDiversidad y Discriminación
Página | 10
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
Mayor5
Catastrófico
Para el enfoque definido se considera realizar el análisis utilizando una Matriz de Riesgos adaptada
robabilidad de ocurrencia de un organización cuando se materializa.
iesgo se determinará en base a la siguiente matriz que combina el impacto
metodología consta de tres etapas fundamentales para la obtención de resultados, mediante una encuesta estándar realizada a los responsables de cada área consultada, en base a las
rea evaluada, cuyos riesgos deben ser 2.966 de la SUSESO (en
lea II), que son los siguientes:
EVENTOS/TIPOS DE RIESGO
Higiene y Seguridad en el Trabajo
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
Prácticas con clientes, productos y de negocio.
Daños en activos físicos. Interrupción del negocio y fallos en los sistemas.
Ejecución, entrega y gestión de los procesos.
NOTA: Todo riesgo identificado dentro de la categoría de “Fcategorizado en su impacto como
Evaluar los riesgos identificados en la primera etapa, a los 5 niveles de probabilidad de ocurrencia, según lo indicado en el cuadro siguiente:
Escala
BAJO
Rara vez El nivel de ocurrencia se operaciones del año, o ha pasado a lo más 5 veces en los últimos 5 años(tipos de riesgos con impacto relevante)
Poco Probable
El nivel de ocurrencia se encuentra entre un 21% y 40% sobre el total de operac(tipos de riesgos con impacto relevante).
MEDIO Probable El nivel de ocurrencia se encuentra entre un 41% y 60% sobre el total de operaciones del año, o ha pasado hasta 50 veces en los últimos 24 (tipos de riesgos con impacto relevante).
ALTO
Muy Probable
El nivel de ocurrencia se encuentra entre un 61% yoperaciones del año(tipos de riesgos con impacto relevante).
Casi Cierta El nivel de ocurrencia se encuentra entre un 81% y 100% sobre el total del año
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
productos y
Adecuación, divulgación de información y confianza.Prácticas empresariales o de mercado improcedentes. Productos defectuosos. Selección, patrocinio y riesgos.Administración Fondos del Estado
Desastres y otros acontecimientos.gocio y fallos en
Sistemas.
Ejecución, entrega y gestión de los
Recepción, ejecución y mantenimiento de operaciones. Seguimiento y presentación de informes.Aceptación de clientes y documentación.Gestión de cuentas de clientes.Contrapartes comerciales. Distribuidores y proveedores.
Todo riesgo identificado dentro de la categoría de “Fraude Interno o Externocategorizado en su impacto como “Catastrófico”
Evaluar los riesgos identificados en la primera etapa, a los 5 niveles de probabilidad de ocurrencia, según lo indicado en el cuadro siguiente:
PROBABILIDAD DE RIESGO INHERENTE
Descripción
El nivel de ocurrencia se encuentra entre un 0% y 20%, sobre el total de operaciones del año, o ha pasado a lo más 5 veces en los últimos 5 años(tipos de riesgos con impacto relevante).
El nivel de ocurrencia se encuentra entre un 21% y 40% sobre el total de operaciones del año, o ha pasado máximo 50 veces en los últimos 5 años(tipos de riesgos con impacto relevante).
El nivel de ocurrencia se encuentra entre un 41% y 60% sobre el total de operaciones del año, o ha pasado hasta 50 veces en los últimos 24 (tipos de riesgos con impacto relevante).
El nivel de ocurrencia se encuentra entre un 61% yoperaciones del año, o ha pasado hasta 50 veces en los últimos 12 meses (tipos de riesgos con impacto relevante).
El nivel de ocurrencia se encuentra entre un 81% y 100% sobre el total del año (tipos de riesgos con impacto relevante).
Página | 11
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
Adecuación, divulgación de información y confianza. Prácticas empresariales o de mercado
Selección, patrocinio y riesgos. Administración Fondos del Estado Desastres y otros acontecimientos.
Recepción, ejecución y mantenimiento de
Seguimiento y presentación de informes. clientes y documentación.
Gestión de cuentas de clientes.
raude Interno o Externo”; por defecto será
Evaluar los riesgos identificados en la primera etapa, a los 5 niveles de probabilidad de ocurrencia, según
encuentra entre un 0% y 20%, sobre el total de operaciones del año, o ha pasado a lo más 5 veces en los últimos 5 años
El nivel de ocurrencia se encuentra entre un 21% y 40% sobre el total de iones del año, o ha pasado máximo 50 veces en los últimos 5 años
El nivel de ocurrencia se encuentra entre un 41% y 60% sobre el total de operaciones del año, o ha pasado hasta 50 veces en los últimos 24 meses
El nivel de ocurrencia se encuentra entre un 61% y 80% sobre el total de , o ha pasado hasta 50 veces en los últimos 12 meses
El nivel de ocurrencia se encuentra entre un 81% y 100% sobre el total del
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
b) Al final, se analizarevaluados, bajo la siguiente lista
Escala
Insignificante El evento tendrSe incluirá$10.000.
Menor El evento tendrá efectos de menor envergadura que pueden ser asumidos sin mayores problemas por materializadas, casi pé
Moderado El evento tendrá efectos importantes en los resultados de la línea de negocio, que generan daños o dejar de ganar hasta $1.000.000.
Mayor
En evento tendrá efectos considerable para la entidad (pérdidas significativas,incluirá las pérdidas materializadas, casi pé$10.000.000riesgo el funcionamiento de las líneas de negocio).
Catastrófico
El evento tendrá un efecto catastrófico que podría significar la desaparición de la línea de negocio o producto e incluso producir la incluirá las pé$10.000.000
Documento Final : Planilla de identificación de riesgos i
1.5. Evaluación de los Riesgos
Previo a la determinación del riesgo residual se deben identificar y evaluar los controles.
� Controles
Para evaluar la efectividad de los utiliza el documento evaluación de Controles, que describe cada control e indica su efectividadacuerdo a la clasificación indicada en el cuadro inferior.
La Evaluación de Controles sparticular. La definición debe ser clara y especifica, precisando:
• ¿QUÉ hace el control• ¿CÓMO lo hace?
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
l final, se analizará el nivel de impacto para de cada uno de los ámbitos de riesgos evaluados, bajo la siguiente lista :
IMPACTO DEL RIESGO INHERENTE
Descripción
El evento tendrá efectos poco significativos y/o con pérdidas muy insSe incluirá las pérdidas materializadas, casi pérdidas o dejar de ganar
El evento tendrá efectos de menor envergadura que pueden ser asumidos sin mayores problemas por las líneas de negocio. Se incluirá las pérdidas materializadas, casi pérdidas o dejar de ganar menores de $100.000
El evento tendrá efectos importantes en los resultados de la línea de negocio, que generan daños moderados. Se incluirá las perdidas materializadas, casi péo dejar de ganar hasta $1.000.000.
En evento tendrá efectos considerable para la entidad (pérdidas significativas,incluirá las pérdidas materializadas, casi pérdidas o dejar de ganar $10.000.000 con un impacto importante a nivel de la organización y poniendo en riesgo el funcionamiento de las líneas de negocio).
El evento tendrá un efecto catastrófico que podría significar la desaparición de la línea de negocio o producto e incluso producir la liquidación de la instituciónincluirá las pérdidas materializadas, casi pérdidas o dejar de ganar$10.000.000
a de identificación de riesgos inherentes
los Riesgos (Riesgo Residual)
Previo a la determinación del riesgo residual se deben identificar y evaluar los controles.
Para evaluar la efectividad de los controles que mitigan cada riesgo particular según su criticidad, se utiliza el documento evaluación de Controles, que describe cada control e indica su efectividadacuerdo a la clasificación indicada en el cuadro inferior.
La Evaluación de Controles se utiliza para describir los controles asociados para mitigar un riesgo particular. La definición debe ser clara y especifica, precisando:
hace el control?
Página | 12
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
para de cada uno de los ámbitos de riesgos
rdidas muy insignificantes. rdidas o dejar de ganar menores a
El evento tendrá efectos de menor envergadura que pueden ser asumidos sin egocio. Se incluirá las pérdidas
menores de $100.000.
El evento tendrá efectos importantes en los resultados de la línea de negocio, que perdidas materializadas, casi pérdidas
En evento tendrá efectos considerable para la entidad (pérdidas significativas, se rdidas o dejar de ganar hasta
con un impacto importante a nivel de la organización y poniendo en
El evento tendrá un efecto catastrófico que podría significar la desaparición de la liquidación de la institución. Se
rdidas o dejar de ganar sobre
Previo a la determinación del riesgo residual se deben identificar y evaluar los controles.
controles que mitigan cada riesgo particular según su criticidad, se utiliza el documento evaluación de Controles, que describe cada control e indica su efectividad de
e utiliza para describir los controles asociados para mitigar un riesgo
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
• Si no pasa el control • Las evidencias del control• Estos pueden ser operativos y/o
Este documento debe ser realizadequipo de Riesgo Operacional de
En caso de aquellos riesgos que no cuentan con controles implementados, el responsable deberá generar un plan de acción el que será acordado con el área de Riesgo Operacional.
Para la evaluación de los controles, se utiliza la siguiente escala:
Escala Gra do de Efectividad
Muy Baja
Baja
Media
Alta
Muy Alta
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
Las evidencias del control que respaldan su ejecución
ser operativos y/o tecnológicos
ste documento debe ser realizado por el responsable de cada área, conequipo de Riesgo Operacional de La Araucana C.C.A.F.
En caso de aquellos riesgos que no cuentan con controles implementados, el responsable deberá generar un plan de acción el que será acordado con el área de Riesgo Operacional.
Para la evaluación de los controles, se utiliza la siguiente escala:
do de Efectividad Descripción
Existe una exposición total al riesgo. El diseño y/o la aplicación del control no existen.
Existe una alta exposición al riesgo. El control existe, pero es insuficiente.
Existe un nivel de exposición al límite de lo aceptable y el control puede mejorar o complementar con otros controles
Existe un nivel de exposición bajo al riesgo bastante aceptable. Aún el control puede ser perfeccionado para alcanzar un nivel de máxima efectividad.
Existe un nivel de exposición óptimo. El riesgo residual alcanza niveles mínimos esperados.
Página | 13
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
por el responsable de cada área, con orientación y apoyo del
En caso de aquellos riesgos que no cuentan con controles implementados, el responsable deberá generar un plan de acción el que será acordado con el área de Riesgo Operacional.
Existe una exposición total al riesgo. El diseño y/o la aplicación
Existe una alta exposición al riesgo. El control existe, pero es
límite de lo aceptable y el control puede mejorar o complementar con otros controles
Existe un nivel de exposición bajo al riesgo bastante aceptable. Aún el control puede ser perfeccionado para alcanzar un nivel de
e un nivel de exposición óptimo. El riesgo residual alcanza
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
Documento Final: Planilla de identificación de controles.
� Riesgo Residual
Los riesgos después de aplicar los controles existentes, serán evaluados de acuerdo a la escala según sus definiciones para establecer el nivel de riesgo residual:
Escala
Muy Bajo
Se entenderá que el riesgo es de magnitud insignificante, cuando se presenten las siguientes situaciones:
- Es de un impacto "Insignificante"; o- Es de un impacto "Menor", pero sólo ocurrirá en circunstancias excepcionales, o como
un resultado de una combinación de eventos inusuales.
Bajo
Se entenderá que el riesgo es de magnitud baja, cuando se presenten las siguientes situaciones:
- Es de impacto "Moderado", pero sólo ocurrirá en circunstancia exresultado de una combinación de eventos inusuales; o
- Es de un impacto "Menor", y se espera que el riesgo se materialice en la mayoría de las situaciones en que se encuentre presente.
Medio
Se entenderá que el riesgo es de magnitud situaciones:
- Es de impacto "Mayor", pero sólo ocurrirá en circunstancias excepcionales, o como resultado de una combinación de eventos inusuales; o
- Es de un impacto "Moderado", y se espera que el riesgo se materialocasiones en el corto plazo.
Alto
Se entenderá que el riesgo es de magnitud alta, cuando se presenten las siguientes situaciones:
- Es de impacto "Mayor" y es razonable esperar que se presenten en el corto plazo; o - Es de un impacto "Moderado" y se espera que el riesgo se mate
de las situaciones en que se encuentra presente.
Muy Alto o Extremo
Se entenderá que el riesgo es de magnitud extrema, cuando se presenten las siguientes situaciones:
- Es de un impacto "Catastrófico"; o- Es de un impacto "Mayor" y se
las situaciones en que se encuentra presente.
Documento Final: Matriz de Riesgos y Controles con Riesgo R
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
Planilla de identificación de controles.
iesgos después de aplicar los controles existentes, serán evaluados de acuerdo a la escala según sus definiciones para establecer el nivel de riesgo residual:
Descripción
Se entenderá que el riesgo es de magnitud insignificante, cuando se presenten las siguientes situaciones:
Es de un impacto "Insignificante"; o Es de un impacto "Menor", pero sólo ocurrirá en circunstancias excepcionales, o como un resultado de una combinación de eventos inusuales.
Se entenderá que el riesgo es de magnitud baja, cuando se presenten las siguientes situaciones:
Es de impacto "Moderado", pero sólo ocurrirá en circunstancia exresultado de una combinación de eventos inusuales; o Es de un impacto "Menor", y se espera que el riesgo se materialice en la mayoría de las situaciones en que se encuentre presente.
Se entenderá que el riesgo es de magnitud media, cuando se presenten las siguientes
Es de impacto "Mayor", pero sólo ocurrirá en circunstancias excepcionales, o como resultado de una combinación de eventos inusuales; o Es de un impacto "Moderado", y se espera que el riesgo se materialocasiones en el corto plazo.
Se entenderá que el riesgo es de magnitud alta, cuando se presenten las siguientes situaciones:
Es de impacto "Mayor" y es razonable esperar que se presenten en el corto plazo; o Es de un impacto "Moderado" y se espera que el riesgo se matede las situaciones en que se encuentra presente.
Se entenderá que el riesgo es de magnitud extrema, cuando se presenten las guientes situaciones:
pacto "Catastrófico"; o Es de un impacto "Mayor" y se espera que el riesgo se materialice en la mayoría de las situaciones en que se encuentra presente.
riz de Riesgos y Controles con Riesgo Residual.
Página | 14
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
iesgos después de aplicar los controles existentes, serán evaluados de acuerdo a la siguiente
Se entenderá que el riesgo es de magnitud insignificante, cuando se presenten las
Es de un impacto "Menor", pero sólo ocurrirá en circunstancias excepcionales, o como
Se entenderá que el riesgo es de magnitud baja, cuando se presenten las siguientes situaciones:
Es de impacto "Moderado", pero sólo ocurrirá en circunstancia excepcionales, o como
Es de un impacto "Menor", y se espera que el riesgo se materialice en la mayoría de
media, cuando se presenten las siguientes
Es de impacto "Mayor", pero sólo ocurrirá en circunstancias excepcionales, o como
Es de un impacto "Moderado", y se espera que el riesgo se materialice en reiteradas
Se entenderá que el riesgo es de magnitud alta, cuando se presenten las siguientes situaciones:
Es de impacto "Mayor" y es razonable esperar que se presenten en el corto plazo; o Es de un impacto "Moderado" y se espera que el riesgo se materialice en la mayoría
Se entenderá que el riesgo es de magnitud extrema, cuando se presenten las
espera que el riesgo se materialice en la mayoría de
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
1.6. Tratar los Riesgos
De acuerdo a la Metodología, una vez evaluados los riesgos se para su tratamiento, las cuales pueden ser:
- Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó- Eliminar la fuente de riesgo- Reducir la probabilidad - Reducir las consecuencias- Transferir el riesgo - Aceptar el riesgo mediante una decisión informada
Como parte fundamental de esta etapa, una vez elegida la opción de tratamiento del todos aquellos riesgos que no fueron aceptadosimplementación de los planplanes debiera incluir al menos lo siguiente:
- Las razones para la selección de las opciones de tratamiento, que incluyan los beneficios que se espera obtener.
- Los responsables de aprobar- Las acciones propuestas.- Los requisitos de recursos, incluyendo las contingencias, medidas y restricciones de desempeño.- Los requisitos de monitoreo y reporte.- El tiempo y el plan de implementación.
Los planes de tratamiento, una vez definidos, se integrarán con los procesos de gestión de La Araucana y se discutirán con las partes involucradas.
1.7. Monitoreo y Revisión
Los Procesos de Monitoreo y Revisión de La Araucana comprenden todos los aspectos del Proceso de Gestión del Riesgo con el fin de:
- Garantizar que los controles son eficaces y eficientes en el diseño y en la operación- Obtener información adicional para mejorar la valoración del riesgo- Analizar y aprender lecciones a partir de los eventos.- Detectar cambios en el contexto externo e interno (cambios en los criterios del riesgo y en el
riesgo mismo) que puedan exigir una revisión de los tratamientos del riesgo y las prioridades
� Identificación de Indicadores Claves de R
Los indicadores de riesgo se obtienen a través del análisis de los transcurso de las reuniones. Los responsables deben definir y describir los indicadores clavepermitirán monitorear el riesgoAlta o Extrema), según el comportamiento de los mismos. Ante un cambio brusco en el indicador, es posible hacer las gestiones oportunas para minimizar las posibles pérdidas.
Cada indicador debe a lo menos establecer:
- Nombre del Indicador.
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
De acuerdo a la Metodología, una vez evaluados los riesgos se procederá a establecer opciones para su tratamiento, las cuales pueden ser:
Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó Eliminar la fuente de riesgo
Reducir las consecuencias
Aceptar el riesgo mediante una decisión informada
Como parte fundamental de esta etapa, una vez elegida la opción de tratamiento del todos aquellos riesgos que no fueron aceptados, se debe proceder a la preparación e implementación de los planes para el tratamiento del riesgo. La información suministrada en los planes debiera incluir al menos lo siguiente:
Las razones para la selección de las opciones de tratamiento, que incluyan los beneficios que se
Los responsables de aprobar el plan y los responsables de implementarlo.Las acciones propuestas. Los requisitos de recursos, incluyendo las contingencias, medidas y restricciones de desempeño.Los requisitos de monitoreo y reporte. El tiempo y el plan de implementación.
de tratamiento, una vez definidos, se integrarán con los procesos de gestión de La Araucana y se discutirán con las partes involucradas.
Los Procesos de Monitoreo y Revisión de La Araucana comprenden todos los aspectos del Proceso estión del Riesgo con el fin de:
Garantizar que los controles son eficaces y eficientes en el diseño y en la operaciónObtener información adicional para mejorar la valoración del riesgo.
cciones a partir de los eventos. cambios en el contexto externo e interno (cambios en los criterios del riesgo y en el
riesgo mismo) que puedan exigir una revisión de los tratamientos del riesgo y las prioridades
Identificación de Indicadores Claves de R iesgo (KRI)
iesgo se obtienen a través del análisis de los riesgos inherentestranscurso de las reuniones. Los responsables deben definir y describir los indicadores clavepermitirán monitorear el riesgo (se gestionarán indicadores sólo para riesgos inherentes de categoría
, según el comportamiento de los mismos. Ante un cambio brusco en el indicador, es posible hacer las gestiones oportunas para minimizar las posibles pérdidas.
Cada indicador debe a lo menos establecer:
Página | 15
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
procederá a establecer opciones
Como parte fundamental de esta etapa, una vez elegida la opción de tratamiento del riesgo, para se debe proceder a la preparación e
es para el tratamiento del riesgo. La información suministrada en los
Las razones para la selección de las opciones de tratamiento, que incluyan los beneficios que se
el plan y los responsables de implementarlo.
Los requisitos de recursos, incluyendo las contingencias, medidas y restricciones de desempeño.
de tratamiento, una vez definidos, se integrarán con los procesos de gestión de La
Los Procesos de Monitoreo y Revisión de La Araucana comprenden todos los aspectos del Proceso
Garantizar que los controles son eficaces y eficientes en el diseño y en la operación.
cambios en el contexto externo e interno (cambios en los criterios del riesgo y en el riesgo mismo) que puedan exigir una revisión de los tratamientos del riesgo y las prioridades.
inherentes y/o dentro del transcurso de las reuniones. Los responsables deben definir y describir los indicadores claves que
s inherentes de categoría , según el comportamiento de los mismos. Ante un cambio brusco en el indicador, es
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
- Fórmula de medición - Periodicidad de medición- Responsables - Umbrales de medición (Verde - Planes de mitigación para umbrales fuera de norma.Una vez definido y descrito el indicador clave, la recopilación y entrega de laresponsabilidad directa de las Áreas consultadas, Operacional, para su análisis y gestión.
Documento Final : Formulario Indicadores Claves de Riesgo
� Generación de planes de acción
Los planes de acción son una medida de mejora de los controleslos riesgos particulares que afectan a los distintos procesos analizados.
Existen tres causales por las cuales podríamos generar un plan de acción, estas son:
- Que un riesgo particular identificado no tenga control.- Que según los análisis al control este sea insu- Para los riesgos residuales, sean calificados como “alto” o “muy alto/extremo”
Estos planes deben ser formalizados a través del Operacional. En general, el plan de acción debe contener la siguiente información:
a. Fallas encontradas en el controlb. Definición de la mejora ac. Responsable y plazo límite de implement
El Nivel de Riesgo Aceptable por
Riesgo Residual
Extremo
Alto
Medio
Bajo
Insignificante
Es importante destacar que el seguimiento, revisión y validación de la efectividad de la implementación y mitigación de los riesgos a través de estos planes, será realizada por la C.C.A.F.
Documento Final : Formulario Planes de Acci
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
Periodicidad de medición
Umbrales de medición (Verde – Amarillo – Rojo o Si / No) Planes de mitigación para umbrales fuera de norma.
Una vez definido y descrito el indicador clave, la recopilación y entrega de laresponsabilidad directa de las Áreas consultadas, así como su entregaOperacional, para su análisis y gestión.
: Formulario Indicadores Claves de Riesgo – KRI
Generación de planes de acción
acción son una medida de mejora de los controles o indicadoreslos riesgos particulares que afectan a los distintos procesos analizados.
Existen tres causales por las cuales podríamos generar un plan de acción, estas son:
particular identificado no tenga control. Que según los análisis al control este sea insuficiente para mitigar el riesgoPara los riesgos residuales, sean calificados como “alto” o “muy alto/extremo”
Estos planes deben ser formalizados a través del “Formulario de Plan de Acción” definido por Riesgo Operacional. En general, el plan de acción debe contener la siguiente información:
Fallas encontradas en el control asociada (Plan de Acción)
lazo límite de implementación
El Nivel de Riesgo Aceptable por La Araucana C.C.A.F. se define en el siguiente cuadro
Tratamiento
Sí Dueño proceso /
Apoya Riesgo Operacional
Sí Dueño proceso /
Apoya Riesgo Operacional
Sí Dueño
Aquellos sin control o control deficiente Dueño proceso
Aquellos sin control o control deficiente
Dueño proceso
Es importante destacar que el seguimiento, revisión y validación de la efectividad de la implementación y mitigación de los riesgos a través de estos planes, será realizada por la Auditoría de
: Formulario Planes de Acción
Página | 16
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
Una vez definido y descrito el indicador clave, la recopilación y entrega de la información es u entrega al área de Riesgo
o indicadores que ayudan a mitigar
Existen tres causales por las cuales podríamos generar un plan de acción, estas son:
ficiente para mitigar el riesgo. Para los riesgos residuales, sean calificados como “alto” o “muy alto/extremo”
“Formulario de Plan de Acción” definido por Riesgo Operacional. En general, el plan de acción debe contener la siguiente información:
se define en el siguiente cuadro:
Responsable
Dueño proceso / Apoya Riesgo Operacional
Dueño proceso / Apoya Riesgo Operacional
Dueño proceso
Dueño proceso
Dueño proceso
Es importante destacar que el seguimiento, revisión y validación de la efectividad de la implementación y Auditoría de La Araucana
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
2. Informe de Autoevaluación
Al finalizar el proceso de autoevaluación, se pasos asociados al proceso de Autoevaluación y estará acompañado de todos los resultados obtenidos durante este proceso.
Se generará un informe ejecutivo con el fin de hacerlo llegar a la alta gerencia para su respectivo conocimiento y toma de decisiones, según él o los casos que correspondan.
El informe final se realizará mediante siguiente información:
• Levantamiento de procesos: diagramas de flujos y sus actividades• Identificación y Evaluación de Riesgos Inherentes• Identificación y Evaluación de Controles• Riesgos Residuales • Identificación de Debilidades• Generación de Planes de Mitigación• Indicadores de planes de acción• Conclusiones finales.
Documento Final : Informe de Autoevaluación
3. Seguimiento de Planes de Acción
Mensualmente se enviará un mail a cada responsable de implementación del plan de mitigtodo caso, se enviará el día en que ha vencido el plazo de implementación del plan de mitigaciónquedará formalizado en la matriz de planes de
Por otra parte, una vez informado el cumplimiento del plan de mitigación por parte del responsable del proceso, se informará al área de Auditoría de implementación de dicho plan.
Documento Final: Matriz de planes d
4. Testeo de Controles
Al terminar el proceso, se preparará Nivel 1 y procesos Nivel 2, para ser enviada a verificación de efectividad
Documento Final: Base Consolidada de Controles
VIII. Sanciones por Incumplimiento
El incumplimiento de las obligaciones lo establecido en el Titulo XIV “De las Faltas, Sanciones, Procedimientos para su Reglamento Interno de Orden, Higiene y Seguridad de la Araucana C.C.A.F.
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
Informe de Autoevaluación
Al finalizar el proceso de autoevaluación, se elaborará un informe que debe contener pasos asociados al proceso de Autoevaluación y estará acompañado de todos los resultados obtenidos
generará un informe ejecutivo con el fin de hacerlo llegar a la alta gerencia para su respectivo conocimiento y toma de decisiones, según él o los casos que correspondan.
El informe final se realizará mediante documento en formato Word y PDF, en la cual se
Levantamiento de procesos: diagramas de flujos y sus actividades ficación y Evaluación de Riesgos Inherentes
Identificación y Evaluación de Controles
Identificación de Debilidades Planes de Mitigación
Indicadores de planes de acción KRI.
: Informe de Autoevaluación
Seguimiento de Planes de Acción
un mail a cada responsable de implementación del plan de mitigel día en que ha vencido el plazo de implementación del plan de mitigación
formalizado en la matriz de planes de seguimiento.
una vez informado el cumplimiento del plan de mitigación por parte del responsable del l área de Auditoría de La Araucana C.C.A.F. el (o los) plan (es) para validar la
Matriz de planes de seguimiento y Reporte a Auditoría La Araucana
preparará una base consolidada de controles, la que será ivel 2, para ser enviada a Auditoría de La Araucana C.C.A.F.
Base Consolidada de Controles
Sanciones por Incumplimiento
El incumplimiento de las obligaciones establecidas en este Procedimiento será sancionadlo establecido en el Titulo XIV “De las Faltas, Sanciones, Procedimientos para su Reglamento Interno de Orden, Higiene y Seguridad de la Araucana C.C.A.F.
Página | 17
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
elaborará un informe que debe contener cada uno de los pasos asociados al proceso de Autoevaluación y estará acompañado de todos los resultados obtenidos
generará un informe ejecutivo con el fin de hacerlo llegar a la alta gerencia para su respectivo
en la cual se describirá la
un mail a cada responsable de implementación del plan de mitigación, y en el día en que ha vencido el plazo de implementación del plan de mitigación, el cual
una vez informado el cumplimiento del plan de mitigación por parte del responsable del el (o los) plan (es) para validar la
La Araucana C.C.A.F.
la que será dividida por procesos C.C.A.F. para su respectiva
será sancionado de acuerdo a lo establecido en el Titulo XIV “De las Faltas, Sanciones, Procedimientos para su Aplicación”, del
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
IX. Frecuencia de R evisión
El presente procedimiento será revisado y actualizado al menos una vez al año o cuando por instrucciones de un ente superior externo o interno sea necesario.
X. Tabla Control de Cambios
Versión Fecha Modificación
001 23-08-2012
002 30-12-2013
003 31-03-2015
XI. Anexo.
Anexo I : Fórmulas Probabilidad Residual e Impacto Residual
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
evisión y Actualización
será revisado y actualizado al menos una vez al año o cuando por instrucciones de un ente superior externo o interno sea necesario.
Tabla Control de Cambios
Modificación Aspectos Modificados
- Elaboración del documento. Aprobada por el Directorio sesión N°534
- Actualización del documento. Aprobada por el Directorio
sesión N°551
- Actualización del documento, incorporandocontenidos, formato, metodología, según lo instruido en el Oficio N°69186, de 20 de octubre de 2014, de la SUSESOAprobada por el Directorio sesión N°565
: Fórmulas Probabilidad Residual e Impacto Residual
Página | 18
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
será revisado y actualizado al menos una vez al año o cuando por
Aspectos Modificados
Aprobada por el Directorio sesión
probada por el Directorio
Actualización del documento, incorporando argumentos, lo instruido en el
de 20 de octubre de 2014, de la SUSESO.
: Fórmulas Probabilidad Residual e Impacto Residual
NOMBRE DOCUMENTO
PROCEDIMIENTO DE
CÓDIGO FECHA DE REALIZACIÓN
PR-AERO-004 Marzo
VERSION FECHA APROBACIÓN
003 31-03-2015 (Sesión Directorio N°56
Anexo I : Fórmulas Probabilidad Residual
La relación cualitativa utilizada entre las variables inherentes del Riesgo y la Calidad de los controles y mitigadores está dada por la Probabilidad Residual y el Impacto Residual:
Esta fórmula permite obtener coordenadas manteniendo la visualización en la matriz de Riesgos y pueden ser mapeadas bajo las escalas definidas para los riuna correlación lineal y directa entre el riesgo inherente y residual.
A partir de las valorizaciones cualitativas de la Calidad del Control, se determina los valores de la Probabilidad Residual y el Impacto Resid= Medio, tiene un Control con Calidad = 3 (Aceptable), el Riesgo Residual o Exposición será Insignificante.
PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO
OPERACIONAL
FECHA DE REALIZACIÓN ELABORADO REVISADO
Marzo – 2015 División Riesgo
Subgerencia Corporativa de
RiesgosAPROBACIÓN
2015 (Sesión Directorio N°56 5)
: Fórmulas Probabilidad Residual e Impacto Residual
La relación cualitativa utilizada entre las variables inherentes del Riesgo y la Calidad de los controles y mitigadores está dada por la Probabilidad Residual y el Impacto Residual:
Esta fórmula permite obtener coordenadas manteniendo la visualización en la matriz de Riesgos y pueden ser mapeadas bajo las escalas definidas para los riesgos inherentes y residuales, manteniendo una correlación lineal y directa entre el riesgo inherente y residual.
A partir de las valorizaciones cualitativas de la Calidad del Control, se determina los valores de la Probabilidad Residual y el Impacto Residual. Como ejemplo, si un riesgo inherente con valor de Criticidad = Medio, tiene un Control con Calidad = 3 (Aceptable), el Riesgo Residual o Exposición será
Factor de Corrección, entregando una relación
proporcional entre el riesgo Inherente y el Residual
Factor de Corrección
Módulo del vector de correlación del Impacto residual
Coeficiente de Correlación lineal entre el
inherente y el control
Coeficiente de ajuste y corrección haciendo que el
riesgo no llegue a 0 si el control es demasiado óptimo
Página | 19
REVISADO APROBADO
Subgerencia Corporativa de
Riesgos
Comité de Riesgo/
Directorio
La relación cualitativa utilizada entre las variables inherentes del Riesgo y la Calidad de los controles y
Esta fórmula permite obtener coordenadas manteniendo la visualización en la matriz de Riesgos y esgos inherentes y residuales, manteniendo
A partir de las valorizaciones cualitativas de la Calidad del Control, se determina los valores de la ual. Como ejemplo, si un riesgo inherente con valor de Criticidad
= Medio, tiene un Control con Calidad = 3 (Aceptable), el Riesgo Residual o Exposición será
Factor de Corrección, entregando una relación
proporcional entre el riesgo Inherente y el Residual
Factor de Corrección del Impacto residual
Módulo del vector de correlación del Impacto residual
Coeficiente de Correlación lineal entre el riesgo
inherente y el control
Coeficiente de ajuste y corrección haciendo que el
riesgo no llegue a 0 si el control es demasiado óptimo