PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIEGOS … · La información Contenida en este documento es de...

La información Contenida en este documento es de carácter confidencial y de uso exclusivo de Caja de Compensación La Araucana.

PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIEGOS OPERACIONALES

Cód.: PR-AERO-004

Versión 003

ELABORADO REVISADO REVISADO REVISADO APROBADO

Jorge Viveros Marcelo Aguilera C. Ma. Loreto Fierro Alexis Silva Meza Mauricio Orleans C.

Jefe División Riesgo Subgerente

Cumplimiento y Normativa

Subgerente de Fiscalía Subgerente Corporativo de Riesgo Gerente General

Fecha: 17-03-2015 Fecha: 18-03-2015 Fecha: 30-03-20 15 Fecha: 30-03-2015 Fecha: 31-03-2015

NOMBRE DOCUMENTO

PROCEDIMIENTO DE

CÓDIGO FECHA DE REALIZACIÓN

PR-AERO-004 Marzo

VERSION FECHA APROBACIÓN

003 31-03-2015 (Sesión Directorio N°56

I. Introducción

La Caja de Compensación de Asignación Familiar Riesgo Operacional se ha preocupado de implementar un Proceso de Autoevaluación de Riesgo en las áreas críticas del negocio, con el objeto de detectar los principales riesgos que puedan afectar a Araucana C.C.A.F., tanto internos como externos.

El presente documento se apoya en los lineamientos de la Política de describe el procedimiento formal, las etapas del proceso de gestión, los requerimientos de documentación, el tipo de reporte, además de las unidades responsables de desarrollar, implementar e impulsar el cumplimiento de la gestión

II. Objetivos

El propósito del procedimiento aspectos necesarios para poner en práctica la gestión del riesgo operacional. Además entrega una metodología para que las unidades de la organización puedan procesos, permitiendo identificar, medir y monitorear los principales ries gos y debilidades existentes dentro de la organizaciónavanzar en una cultura organizacional basadentorno de control.

III. Alcance

El presente procedimiento consideraAraucana C.C.A.F. Seguido a lo anterioraplicación general y comprende a todas las áreas de la organización,hasta las últimas dependencias involucradas en los procesos, productos, servicios y sistemas.

IV. Definiciones

La definición de Riesgo está directamente relacionada con la definición general del Riesgo Operacional indicada por Basilea II, la cual dice:

“El riesgo operativo se define como el riesgo de pé rdida debido a la inadecuación o a fallos de los procesos, el personal y los sistemas definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.”

Sin embargo, el riesgo como tal puede ser contemplado bajo 4 enfoques claves, los cuales son:

- Evitarlo: No realizar las actividades que generan el riesgo. - Reducirlo: tomar medidas para reducir el riesgo o el impacto relacionado- Compartirlo : transferir o compartir una porción del riesgo para reducirlo- Aceptarlo : no tomar ninguna acción, debido a una decisión

Por lo tanto es importante identificar como primera medida de que manera enfrentaremos el riesgo.

PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIESGO

OPERACIONAL

FECHA DE REALIZACIÓN ELABORADO REVISADO

Marzo – 2015 División Riesgo

Subgerencia Corporativa de

RiesgosAPROBACIÓN

2015 (Sesión Directorio N°56 5)

de Asignación Familiar La Araucana, en el marco de las buenas prácticas del Riesgo Operacional se ha preocupado de implementar un Proceso de Autoevaluación de Riesgo en las áreas críticas del negocio, con el objeto de detectar los principales riesgos que puedan afectar a

, tanto internos como externos.

El presente documento se apoya en los lineamientos de la Política de Gestión del Riesgo Operacional y describe el procedimiento formal, las etapas del proceso de gestión, los requerimientos de documentación, el tipo de reporte, además de las unidades responsables de desarrollar, implementar e impulsar el cumplimiento de la gestión del riesgo operacional en la Caja.

consiste en proporcionar una guía técnica que contenga todos los aspectos necesarios para poner en práctica la gestión del riesgo operacional. Además entrega una metodología para que las unidades de la organización puedan auto gestionar

dentificar, medir y monitorear los principales ries gos y debilidades existentes dentro de la organización , asegurando así, una optimización de los controles, además de avanzar en una cultura organizacional basada en el monitoreo y mejora continua

considera los procesos y actividades críticas desarrolladas al interior de Seguido a lo anterior, es necesario considerar que el presente

aplicación general y comprende a todas las áreas de la organización, desde el más alto nivel jerárquico hasta las últimas dependencias involucradas en los procesos, productos, servicios y sistemas.

está directamente relacionada con la definición general del Riesgo Operacional II, la cual dice:

“El riesgo operativo se define como el riesgo de pé rdida debido a la inadecuación o a fallos de los procesos, el personal y los sistemas internos o bien a causa de acontecimientos externos . Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.”


realizar las actividades que generan el riesgo. tomar medidas para reducir el riesgo o el impacto relacionado: transferir o compartir una porción del riesgo para reducirlo

: no tomar ninguna acción, debido a una decisión costo/beneficio.


Página | 2

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

La Araucana, en el marco de las buenas prácticas del Riesgo Operacional se ha preocupado de implementar un Proceso de Autoevaluación de Riesgo en las áreas críticas del negocio, con el objeto de detectar los principales riesgos que puedan afectar a La

del Riesgo Operacional y describe el procedimiento formal, las etapas del proceso de gestión, los requerimientos de documentación, el tipo de reporte, además de las unidades responsables de desarrollar, implementar e

consiste en proporcionar una guía técnica que contenga todos los aspectos necesarios para poner en práctica la gestión del riesgo operacional. Además entrega una

auto gestionar los riesgos de sus dentificar, medir y monitorear los principales ries gos y debilidades

segurando así, una optimización de los controles, además de ejora continua de los procesos y su

desarrolladas al interior de La presente procedimiento es de

esde el más alto nivel jerárquico hasta las últimas dependencias involucradas en los procesos, productos, servicios y sistemas.

está directamente relacionada con la definición general del Riesgo Operacional

“El riesgo operativo se define como el riesgo de pé rdida debido a la inadecuación o a fallos de los internos o bien a causa de acontecimientos externos . Esta

definición incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación.”


tomar medidas para reducir el riesgo o el impacto relacionado

costo/beneficio.


NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



Riesgo Inherente:

Es aquel riesgo que por su naturaleza no puede ser separado del proceso o subproceso en que éste se presenta. Corresponde al riesgo que debe asumir cada entidad de acuerdo al ámbito de desarrollo de sus actividades.

Riesgo Residual:

Es aquel riesgo remanente luego de completar la efectividad de las acciones mitigantes existentes o luego de la aplicación de controles destinad

Dueño de Procesos:

Corresponde a aquel colaborador de La Araucana designado para hacerse responsable de la administración de un proceso y propiciar las mejoras a implementar sobre éste.

V. Responsabilidades

�� Subgerencia Corporativa de Riesgos

- Será la encargada de desarrollar e impulsar la gestión de riesgo operacional en C.C.A.F.

- La responsabilidad de la mitigación y control del riesgo operacional recae en todos los funcionarios de La Araucana

�� Las responsabilidades del Directorio, Gerencia General, Comité de Riesgose encuentran detalladas en la

VI. Referencias

- PO-GROP-001 Política Gestión de Riesgo Operacional

VII. Procedimiento

1. Metodología de Autoevaluación d

La Araucana C.C.A.F. ha acogido un Marco Metodológico que entrega los lineamientos para la Gestión del Riesgo Operacional de la instituciónDicho Marco Metodológico se encuentra fundamentado en la Norma Internacional ISO 31000:2009 para la Gestión Integral del Riesgo, adoptando de esta forma las mejores prácticas internacionales en este tema.

El Marco Metodológico de la ISO 31000:2009 plantea un proceso definido para la Gestión del Riesgo que consta de siete etapas, según se observa en la siguiente figura:


OPERACIONAL




RiesgosAPROBACIÓN


Es aquel riesgo que por su naturaleza no puede ser separado del proceso o subproceso en que éste se al riesgo que debe asumir cada entidad de acuerdo al ámbito de desarrollo de sus

Es aquel riesgo remanente luego de completar la efectividad de las acciones mitigantes existentes o luego de la aplicación de controles destinados a minimizar dichos riesgos.

Corresponde a aquel colaborador de La Araucana designado para hacerse responsable de la administración de un proceso y propiciar las mejoras a implementar sobre éste.

Subgerencia Corporativa de Riesgos

erá la encargada de desarrollar e impulsar la gestión de riesgo operacional en

La responsabilidad de la mitigación y control del riesgo operacional recae en todos los La Araucana C.C.A.F.

responsabilidades del Directorio, Gerencia General, Comité de Riesgo yse encuentran detalladas en la Política de Gestión del Riesgo Operacional.

Política Gestión de Riesgo Operacional

Autoevaluación d e Riesgos Operacionales (AERO).

ha acogido un Marco Metodológico que entrega los lineamientos para la Gestión institución, de forma estructurada y consistente c

Dicho Marco Metodológico se encuentra fundamentado en la Norma Internacional ISO 31000:2009 para la Gestión Integral del Riesgo, adoptando de esta forma las mejores prácticas internacionales en este

la ISO 31000:2009 plantea un proceso definido para la Gestión del Riesgo que consta de siete etapas, según se observa en la siguiente figura:

Página | 3

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

Es aquel riesgo que por su naturaleza no puede ser separado del proceso o subproceso en que éste se al riesgo que debe asumir cada entidad de acuerdo al ámbito de desarrollo de sus

Es aquel riesgo remanente luego de completar la efectividad de las acciones mitigantes existentes o

Corresponde a aquel colaborador de La Araucana designado para hacerse responsable de la

erá la encargada de desarrollar e impulsar la gestión de riesgo operacional en La Araucana

La responsabilidad de la mitigación y control del riesgo operacional recae en todos los

y Subgerencia de Riesgo

ha acogido un Marco Metodológico que entrega los lineamientos para la Gestión on las buenas prácticas.

Dicho Marco Metodológico se encuentra fundamentado en la Norma Internacional ISO 31000:2009 para la Gestión Integral del Riesgo, adoptando de esta forma las mejores prácticas internacionales en este

la ISO 31000:2009 plantea un proceso definido para la Gestión del Riesgo que

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



1.1. Comunicación y Consulta

Esta etapa es transversal al modelo, nos permitirá tener en consideración lo siguiente:

- Establecer adecuadamente el contexto definido para la gestión de los riesgos- Garantizar el entendimiento de las políticas y procedimientos para la gestión del riesgo

operacional. - Fomentar la gestión adecuada del cambio

proceso para la gestión del riesgo.

1.2. Establecer el Contexto

Considera el contexto externo e Operacional, algunos de los elementos a

� Contexto Externo

• El ambiente legal, regulatorio, financiero, tecnológico, económico, y de• Los impulsores clave

que tienen impacto en lo• Las relaciones con las partes involucradas externas

si fuese necesario.

� Contexto Interno

• Gobierno Corporativo, estructura de la organización, funciones y responsabilidades.


OPERACIONAL




RiesgosAPROBACIÓN


y Consulta

ransversal al modelo, nos permitirá tener en consideración lo siguiente:

stablecer adecuadamente el contexto definido para la gestión de los riesgosGarantizar el entendimiento de las políticas y procedimientos para la gestión del riesgo

Fomentar la gestión adecuada del cambio (cambio cultural en la línea de proceso para la gestión del riesgo.

Establecer el Contexto

xterno e interno de la organización para el Proceso de Gestión del Riesgo peracional, algunos de los elementos a tener presente podrían ser los siguientes:

legal, regulatorio, financiero, tecnológico, económico, y des (organismos reguladores o entidades internacionales)

que tienen impacto en los objetivos de la organización. relaciones con las partes involucradas externas (otras cajas), sus percepciones y valores

orporativo, estructura de la organización, funciones y responsabilidades.

Página | 4

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

ransversal al modelo, nos permitirá tener en consideración lo siguiente:

stablecer adecuadamente el contexto definido para la gestión de los riesgos. Garantizar el entendimiento de las políticas y procedimientos para la gestión del riesgo

(cambio cultural en la línea de proceso) durante el

l Proceso de Gestión del Riesgo ser los siguientes:

legal, regulatorio, financiero, tecnológico, económico, y de la industria. (organismos reguladores o entidades internacionales) y las tendencias

, sus percepciones y valores,

orporativo, estructura de la organización, funciones y responsabilidades.

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



• Políticas, objetivos y las estrategias imple• Capacidades, entendidas en términos de recursos y conocimientos (por ejemplo capital,

tiempo, personas, procesos, sistemas y tecnologías).• Las relaciones con las partes involucradas internas, sus percepciones y valores.• La cultura de la organización.• Los sistemas de información, flujos de la información y procesos de toma de decisiones (tanto

formales como informales).• Normas, directrices y modelos adoptados por la organización.

1.3. Identificar los Riesgos

Esta etapa considera lo siguiente

• Identificar las fuentes de riesgo, las áreas de impacto, los eventos, sus causas y consecuencias potenciales.

• La identificación debería incluir los riesgos independientemente de si su origen está o no bajo control de la organización.

• La identificación de lo que podría suceder. Es necesario considerar las causas y los escenarios posibles que demuestran las consecuencias que se podrían presentar.

1.3.1. Gestión de procesos

� Mapa de Procesos

Incluye un mapa de proceso conSuperintendencia de Seguridad Sidentificado como proceso “Nivel 1” y un proceso “N3”, de acuerdo a los subprocesos que siguiente, según los niveles sugeridos por la SUSESO:

Código Empresa Institución Código Proceso

Nivel I

� Codificación

Todos los procesos que se el “01”, el segundo nivel continuarmodo de ejemplo):

Código Proceso Nivel I NIVEL I

01 Fondos Nacionales y Subsidio Incapacidad Laboral

01 Fondos Nacionales y Subsidio Incapacidad Laboral


OPERACIONAL




RiesgosAPROBACIÓN


Políticas, objetivos y las estrategias implementadas para lograrlos. Capacidades, entendidas en términos de recursos y conocimientos (por ejemplo capital, tiempo, personas, procesos, sistemas y tecnologías). Las relaciones con las partes involucradas internas, sus percepciones y valores.

de la organización. Los sistemas de información, flujos de la información y procesos de toma de decisiones (tanto formales como informales). Normas, directrices y modelos adoptados por la organización.

Identificar los Riesgos

siguiente:

Identificar las fuentes de riesgo, las áreas de impacto, los eventos, sus causas y consecuencias potenciales. La identificación debería incluir los riesgos independientemente de si su origen está o no bajo control de la organización.

identificación de lo que podría suceder. Es necesario considerar las causas y los escenarios posibles que demuestran las consecuencias que se podrían presentar.

Gestión de procesos

mapa de proceso con aquellos más críticos, conforme a lo requerido por la Superintendencia de Seguridad Social en la Circular N° 2966 de 2013; luego, cada proceso seidentificado como proceso “Nivel 1” y un proceso “Nivel 2” y se espera identificar (deseable) un “N

de acuerdo a los subprocesos que se puedan identificar. El modelo de mapa de procesos es el iveles sugeridos por la SUSESO:

digo Proceso Nivel I

NIVEL I – Circular N°. 2966 SUSESO

Código Proceso Nivel II

Nombre del Proceso Nivel

que se levantarán tendrán un código único, cuyo primer nivel comenzaráel “01”, el segundo nivel continuará con “01”, y así sucesivamente, luego tendremos lo siguiente (a

NIVEL I – Circular N° 2966 SUSESO

Código Proceso Nivel II Nombre del Proceso Nivel II

Fondos Nacionales y Subsidio Incapacidad Laboral 0101 Administrar SIL y Maternal

Fondos Nacionales y Subsidio Incapacidad Laboral

0102 Administrar Asignación Familiar

Página | 5

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

Capacidades, entendidas en términos de recursos y conocimientos (por ejemplo capital,

Las relaciones con las partes involucradas internas, sus percepciones y valores.

Los sistemas de información, flujos de la información y procesos de toma de decisiones (tanto

Identificar las fuentes de riesgo, las áreas de impacto, los eventos, sus causas y

La identificación debería incluir los riesgos independientemente de si su origen está o no bajo

identificación de lo que podría suceder. Es necesario considerar las causas y los escenarios posibles que demuestran las consecuencias que se podrían presentar.

aquellos más críticos, conforme a lo requerido por la ; luego, cada proceso se ha

era identificar (deseable) un “Nivel puedan identificar. El modelo de mapa de procesos es el

Nombre del Proceso Nivel II

primer nivel comenzará desde con “01”, y así sucesivamente, luego tendremos lo siguiente (a

Nombre del Proceso Nivel II

Administrar SIL y Maternal

Administrar Asignación Familiar

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



De la misma forma, cada etapa del procedimiento contarcon el documento que se está realizado, por ejemplo:

Etapa del proceso Sigla asociada + numero asociado con la etapa

Riesgos R + 01 (N

Controles C + 01 (N

Indicadores de Riesgo I + 01 (N

Planes de Acción P + 01 (N

� Levantar Situación Actual

Preparar Levantamiento

Objetivo

Estructurar en forma más precisa las entrevistas que deben realizarse con aquellos participantes de los procesos en estudio que mayor aporte pueden hacer para recoger los detalles del ciclo operativo y las problemáticas presentes en lsituación actual. Asimismo, se busca determinar cuáles serán los requerimientos documentales preliminares a cubrir de modo de anticipar la búsqueda y preparación de antecedentes por parte de las áreas de negocio.

Actividades

- Recopilar antecedentes: proceso. Ejemplo: informes de auditoría, normativa, procedimientos, etc.).

- Identificar personas claves del proceso:

• Identificar las áreas que participan del proceso para definir en primerpodrían ser entrevistados (entrevistados claves).

• El superior directo de la división se comunicará con las jefaturas de las áreas a entrevistar para informar del levantamiento y pedir el permiso y apoyo correspondientes.

• Coordinar entrevistas: se identificará qudeterminar qué funcionario del área será el primer entrevistado.

Analizar Antecedentes

Objetivo

La primera actividad de análisis se basa en la revisión de toda la documentación recopilada respecto de los procesos en estudio, con el fin de establecer un marco de acción global para el trabajo de levantamiento, en términos de determinar, a alto nivel, las fronteras de investigación (hasta dónde llegar) y los pun

Formular Modelo Preliminar del Proceso

Objetivo

A partir del análisis preliminar, el equipo de trabajo puede estructurar una hipótesis inicial respecto de los procesos estudiados, contextualizándolos dentro de la caden


OPERACIONAL




RiesgosAPROBACIÓN


De la misma forma, cada etapa del procedimiento contará con una codificación única asociada con el documento que se está realizado, por ejemplo:

Sigla asociada + numero asociado con la etapa

+ Código subproceso

R + 01 (N° del riesgo) 0101

C + 01 (N° del control) 0101

I + 01 (N° del indicador) 0101

P + 01 (N° del plan de acción) 0101

Levantar Situación Actual

Estructurar en forma más precisa las actividades de la fase de levantamiento, en particular las entrevistas que deben realizarse con aquellos participantes de los procesos en estudio que mayor aporte pueden hacer para recoger los detalles del ciclo operativo y las problemáticas presentes en lsituación actual. Asimismo, se busca determinar cuáles serán los requerimientos documentales preliminares a cubrir de modo de anticipar la búsqueda y preparación de antecedentes por parte de

Recopilar antecedentes: Reunir toda la información que pueda ser utilidad para describir el Ejemplo: informes de auditoría, normativa, procedimientos, etc.).

Identificar personas claves del proceso:

dentificar las áreas que participan del proceso para definir en primerpodrían ser entrevistados (entrevistados claves). El superior directo de la división se comunicará con las jefaturas de las áreas a entrevistar para informar del levantamiento y pedir el permiso y apoyo correspondientes.

vistas: se identificará qué área tiene la mayor influencia en el proceso para determinar qué funcionario del área será el primer entrevistado.

La primera actividad de análisis se basa en la revisión de toda la documentación recopilada respecto de los procesos en estudio, con el fin de establecer un marco de acción global para el trabajo de levantamiento, en términos de determinar, a alto nivel, las fronteras de

nde llegar) y los puntos de atención (en qué profundizar).

Formular Modelo Preliminar del Proceso

A partir del análisis preliminar, el equipo de trabajo puede estructurar una hipótesis inicial respecto de los procesos estudiados, contextualizándolos dentro de la cadena de valor de

Página | 6

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

con una codificación única asociada

Código Final

R010101

C010101

I010101

P010101

actividades de la fase de levantamiento, en particular las entrevistas que deben realizarse con aquellos participantes de los procesos en estudio que mayor aporte pueden hacer para recoger los detalles del ciclo operativo y las problemáticas presentes en la situación actual. Asimismo, se busca determinar cuáles serán los requerimientos documentales preliminares a cubrir de modo de anticipar la búsqueda y preparación de antecedentes por parte de

Reunir toda la información que pueda ser utilidad para describir el Ejemplo: informes de auditoría, normativa, procedimientos, etc.).

dentificar las áreas que participan del proceso para definir en primera instancia quienes

El superior directo de la división se comunicará con las jefaturas de las áreas a entrevistar para informar del levantamiento y pedir el permiso y apoyo correspondientes.

área tiene la mayor influencia en el proceso para

La primera actividad de análisis se basa en la revisión de toda la documentación física y electrónica recopilada respecto de los procesos en estudio, con el fin de establecer un marco de acción global para el trabajo de levantamiento, en términos de determinar, a alto nivel, las fronteras de

profundizar).

A partir del análisis preliminar, el equipo de trabajo puede estructurar una hipótesis inicial respecto a de valor de La Araucana

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



C.C.A.F., identificando las grandes etapas del ciclo operativo y especificando las entradas y salidas conceptuales que constituyen los nexos entre esas grandes etapas.

Actividades

- Analizar cadena de valor (a modo de referencia): pertenece el proceso a levantar.

- Identificar subprocesos - Identificar entradas y salidas

Realizar Entrevistas

Objetivo

Recopilar información presencial sobre aspectos específicos del proceso analizado, en base areuniones con personal clave que aportará descripciones en primera persona del ciclo dese llevan a cabo (aún cuando no las realicen directamente) y de las principales dificultades con que se topan en la práctica.

Actividades

- Preparar entrevistas - Entrevistar a personal clave.

Documentar Proceso Actual

Objetivo

El objetivo de la documentación es describir de modo estructurado, preciso y completo el escenario actual en que se desenvuelve

Actividades

Elaborar levantamiento de procesos

- Diagramar proceso - Describir proceso - Identificar roles participantes- Identificar soporte tecnológico.- Identificar reglas de proceso.- Identificar procesos de apoyo. Ejemplo: contable, tesorería, - Identificar procesos externalizados.

El documento Flujograma (Flujo) o algoritmo, permite identificar la cadena de actividades y controles que se ejecutan para una transacción, proceso o subproceso. Este documento permite comprender e identificar las actividades y controles asociados a un área, sección o proceso. Los flujogramas muestran a cada unidad involucrada en el desarrollo de un procedimiento u operación además de los sistemas y documentos utilizados.

Cada documento cuenta con una serie de figurefectivo al momento de analizarlo y dibujarlo. Estas figuras son:


OPERACIONAL




RiesgosAPROBACIÓN


, identificando las grandes etapas del ciclo operativo y especificando las entradas y salidas conceptuales que constituyen los nexos entre esas grandes etapas.

Analizar cadena de valor (a modo de referencia): identificar a qué parte de la cadena de valor pertenece el proceso a levantar.

entradas y salidas

Recopilar información presencial sobre aspectos específicos del proceso analizado, en base areuniones con personal clave que aportará descripciones en primera persona del ciclo de

n cuando no las realicen directamente) y de las principales dificultades con que

Entrevistar a personal clave.

Proceso Actual

El objetivo de la documentación es describir de modo estructurado, preciso y completo el escenario actual en que se desenvuelven los procesos en estudio.

levantamiento de procesos, representando el proceso en BIZAGI:

Identificar roles participantes ecnológico.

roceso. Identificar procesos de apoyo. Ejemplo: contable, tesorería, etc. Identificar procesos externalizados.

El documento Flujograma (Flujo) o algoritmo, permite identificar la cadena de actividades y controles que se ejecutan para una transacción, proceso o subproceso. Este documento permite comprender

actividades y controles asociados a un área, sección o proceso. Los flujogramas muestran a cada unidad involucrada en el desarrollo de un procedimiento u operación además de los sistemas y documentos utilizados.

Cada documento cuenta con una serie de figuras las cuales tienen su significado específico para serefectivo al momento de analizarlo y dibujarlo. Estas figuras son:

Página | 7

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

, identificando las grandes etapas del ciclo operativo y especificando las entradas y salidas

parte de la cadena de valor

Recopilar información presencial sobre aspectos específicos del proceso analizado, en base a reuniones con personal clave que aportará descripciones en primera persona del ciclo de tareas que

n cuando no las realicen directamente) y de las principales dificultades con que

El objetivo de la documentación es describir de modo estructurado, preciso y completo el escenario

El documento Flujograma (Flujo) o algoritmo, permite identificar la cadena de actividades y controles que se ejecutan para una transacción, proceso o subproceso. Este documento permite comprender

actividades y controles asociados a un área, sección o proceso. Los flujogramas muestran a cada unidad involucrada en el desarrollo de un procedimiento u operación además de los

as las cuales tienen su significado específico para ser

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



Simbología


OPERACIONAL




RiesgosAPROBACIÓN


Descripción

Evento de inicio de proceso.

Tarea simple de un proceso, representa la actividad que es ejecutada por una acción humana.

Tarea automática de un proceso, representa la actividad que es ejecutada por un sistema.

Subproceso, representa la contención de varias actividades del flujo.

Compuerta de decisión, representa la elección de uno u otro camino disponible, este es utilizado también como punto de unión dentro del proceso (divergencia

Compuerta paralela, representa la ejecución de dos tareas o subprocesos paralelamente.

En un punto de bifurcación, al menos un flujo es un punto de convergencia, espera a todos los flujos que fueron activados para activar al saliente.

Indica algo que ocurre o puede ocurrir dentro del proceso. Sólo se pueden utilizar dentro de la secuencia del flujo.

Indica una espera dentro del proceso. Este tipo de evento puede utilizarse dentro del flujo de secuencia indicando una espera entre las actividades o adjunto a los límites de una actividad indicando un flujo de excepción.

Objeto de dato, representa la información que una actividad necesita en la entrada o salida.

Página | 8

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

Descripción

Tarea simple de un proceso, representa la actividad que es

Tarea automática de un proceso, representa la actividad que

Subproceso, representa la contención de varias actividades

Compuerta de decisión, representa la elección de uno u otro disponible, este es utilizado también como punto de

unión dentro del proceso (divergencia-convergencia).

Compuerta paralela, representa la ejecución de dos tareas o

En un punto de bifurcación, al menos un flujo es activado. En un punto de convergencia, espera a todos los flujos que fueron activados para activar al saliente.

Indica algo que ocurre o puede ocurrir dentro del proceso. Sólo se pueden utilizar dentro de la secuencia del flujo.

dentro del proceso. Este tipo de evento puede utilizarse dentro del flujo de secuencia indicando una espera entre las actividades o adjunto a los límites de una actividad indicando un flujo de excepción.

la información que una actividad

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



Esta herramienta permite conocer los riesgos particulares asociados al responsable deberá reconocer los riesgos asociados a su proceso y su(s) controles mitigantes.

Documento Final : Diagrama de Flujo.

Validar Proceso Actual

Objetivo

Una vez completado el levantamiento de la situación actual, es clave contarde los responsables de las áreas de negocios. Para ello, se requiere exponer a estas instancias los principales elementos y conclusiones del levantamiento, así como también hacerles llegar la documentación detallada.

1.4. Analizar los Riesgos

El análisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del riesgo, el propósito del análisis y la información, datos y recursos disponibles. El análisis puede ser cualitativo, semicuantitativo o cuantitativo, o una comLa Araucana C.C.A.F., el modelo de análisis será semicuantitativo para en el futuro migrar a cualitativo.


OPERACIONAL




RiesgosAPROBACIÓN


Esta herramienta permite conocer los riesgos particulares asociados al responsable deberá reconocer los riesgos asociados a su proceso y su(s) controles mitigantes.

: Diagrama de Flujo.

Una vez completado el levantamiento de la situación actual, es clave contar de los responsables de las áreas de negocios. Para ello, se requiere exponer a estas instancias los principales elementos y conclusiones del levantamiento, así como también hacerles llegar la

El análisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del riesgo, el propósito del análisis y la información, datos y recursos disponibles. El análisis puede ser cualitativo, semicuantitativo o cuantitativo, o una combinación de ellos, dependiendo de las circunstancias.

, el modelo de análisis será semicuantitativo para en el futuro migrar a

Pool, representa un participante en el proceso. Un participante podrá ser una entidad de negocio (Ecompañía) o un rol de negocio (Ej.: un comprador).

Un Depósito de Datos permite almacenar o descargar información de un repositorio de datos disponible en el proceso.

Evento de fin de proceso, representa el término del proceso.

Indica que el proceso es terminado, es decir, cuando algún camino del flujo llega a este fin, el proceso termina completamente, sin importar que existan más caminos del flujo pendientes.

Permite identificar los puntos de control en el flujograma.

Página | 9

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

Esta herramienta permite conocer los riesgos particulares asociados al proceso donde cada responsable deberá reconocer los riesgos asociados a su proceso y su(s) controles mitigantes.

con la aprobación formal de los responsables de las áreas de negocios. Para ello, se requiere exponer a estas instancias los principales elementos y conclusiones del levantamiento, así como también hacerles llegar la

El análisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del riesgo, el propósito del análisis y la información, datos y recursos disponibles. El análisis puede ser cualitativo,

binación de ellos, dependiendo de las circunstancias. Para , el modelo de análisis será semicuantitativo para en el futuro migrar a

Pool, representa un participante en el proceso. Un rá ser una entidad de negocio (Ej.: una

: un comprador).

Un Depósito de Datos permite almacenar o descargar información de un repositorio de datos disponible en el

Evento de fin de proceso, representa el término del proceso.

Indica que el proceso es terminado, es decir, cuando algún flujo llega a este fin, el proceso termina

completamente, sin importar que existan más caminos del

Permite identificar los puntos de control en el flujograma.

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



Casi Cierta

Muy Probable

Probable

Poco Probable

Rara Vez

Probabilidad

Para el enfoque definido se considera realizar el análisis utilizando una Matriz de a la realidad de La Araucana y que consta de los siguientes elementos:

� Matriz de Riesgos

• Se entenderá como mriesgo y el impacto probable que é

• La magnitud del riesgo se determinará en base a la siguiente matriz que combina el del riesgo y la probabilidad de que

¿Qué se evaluará?

Evaluación de los riesgos

La metodología consta de tres etapas fundamentales para la obtención de resultados, mediante una encuesta estándar realizada a los responsables de cada área consultada, en base a las siguientes actividades:

a) Identificar riesgos particulmapeados a los niveles de pérdida línea con los niveles establecidos por Basi

Fraude Interno

Fraude Externo

Prácticas de empleo, salud y seguridad en el trabajo.


OPERACIONAL




RiesgosAPROBACIÓN


5

4

3

2

1

1Insignificante

2Menor

3Moderado

4Mayor

Impacto

Para el enfoque definido se considera realizar el análisis utilizando una Matriz de a la realidad de La Araucana y que consta de los siguientes elementos:

magnitud del riesgo la combinación de la probabilidad de ocurrencia de un impacto probable que éste genera en la organización cuando se materializa.

iesgo se determinará en base a la siguiente matriz que combina el robabilidad de que éste se materialice.

riesgos inherentes

metodología consta de tres etapas fundamentales para la obtención de resultados, mediante una encuesta estándar realizada a los responsables de cada área consultada, en base a las

Identificar riesgos particulares presentes en cada área evaluada, cuyos riesgos deben mapeados a los niveles de pérdida señalados en la Circular N° 2línea con los niveles establecidos por Basilea II), que son los siguientes:

EVENTOS/TIPOS DE RIESGOActividades no autorizadas Robo y Fraude Robo y Fraude Seguridad de los sistemas

Prácticas de empleo, salud y Relaciones Laborales Higiene y Seguridad en el TrabajoDiversidad y Discriminación

Página | 10

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

Mayor5

Catastrófico

Para el enfoque definido se considera realizar el análisis utilizando una Matriz de Riesgos adaptada

robabilidad de ocurrencia de un organización cuando se materializa.

iesgo se determinará en base a la siguiente matriz que combina el impacto

metodología consta de tres etapas fundamentales para la obtención de resultados, mediante una encuesta estándar realizada a los responsables de cada área consultada, en base a las

rea evaluada, cuyos riesgos deben ser 2.966 de la SUSESO (en

lea II), que son los siguientes:

EVENTOS/TIPOS DE RIESGO

Higiene y Seguridad en el Trabajo

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



Prácticas con clientes, productos y de negocio.

Daños en activos físicos. Interrupción del negocio y fallos en los sistemas.

Ejecución, entrega y gestión de los procesos.

NOTA: Todo riesgo identificado dentro de la categoría de “Fcategorizado en su impacto como

Evaluar los riesgos identificados en la primera etapa, a los 5 niveles de probabilidad de ocurrencia, según lo indicado en el cuadro siguiente:

Escala

BAJO

Rara vez El nivel de ocurrencia se operaciones del año, o ha pasado a lo más 5 veces en los últimos 5 años(tipos de riesgos con impacto relevante)

Poco Probable

El nivel de ocurrencia se encuentra entre un 21% y 40% sobre el total de operac(tipos de riesgos con impacto relevante).

MEDIO Probable El nivel de ocurrencia se encuentra entre un 41% y 60% sobre el total de operaciones del año, o ha pasado hasta 50 veces en los últimos 24 (tipos de riesgos con impacto relevante).

ALTO

Muy Probable

El nivel de ocurrencia se encuentra entre un 61% yoperaciones del año(tipos de riesgos con impacto relevante).

Casi Cierta El nivel de ocurrencia se encuentra entre un 81% y 100% sobre el total del año


OPERACIONAL




RiesgosAPROBACIÓN


productos y

Adecuación, divulgación de información y confianza.Prácticas empresariales o de mercado improcedentes. Productos defectuosos. Selección, patrocinio y riesgos.Administración Fondos del Estado

Desastres y otros acontecimientos.gocio y fallos en

Sistemas.

Ejecución, entrega y gestión de los

Recepción, ejecución y mantenimiento de operaciones. Seguimiento y presentación de informes.Aceptación de clientes y documentación.Gestión de cuentas de clientes.Contrapartes comerciales. Distribuidores y proveedores.

Todo riesgo identificado dentro de la categoría de “Fraude Interno o Externocategorizado en su impacto como “Catastrófico”

Evaluar los riesgos identificados en la primera etapa, a los 5 niveles de probabilidad de ocurrencia, según lo indicado en el cuadro siguiente:

PROBABILIDAD DE RIESGO INHERENTE

Descripción

El nivel de ocurrencia se encuentra entre un 0% y 20%, sobre el total de operaciones del año, o ha pasado a lo más 5 veces en los últimos 5 años(tipos de riesgos con impacto relevante).

El nivel de ocurrencia se encuentra entre un 21% y 40% sobre el total de operaciones del año, o ha pasado máximo 50 veces en los últimos 5 años(tipos de riesgos con impacto relevante).

El nivel de ocurrencia se encuentra entre un 41% y 60% sobre el total de operaciones del año, o ha pasado hasta 50 veces en los últimos 24 (tipos de riesgos con impacto relevante).

El nivel de ocurrencia se encuentra entre un 61% yoperaciones del año, o ha pasado hasta 50 veces en los últimos 12 meses (tipos de riesgos con impacto relevante).

El nivel de ocurrencia se encuentra entre un 81% y 100% sobre el total del año (tipos de riesgos con impacto relevante).

Página | 11

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

Adecuación, divulgación de información y confianza. Prácticas empresariales o de mercado

Selección, patrocinio y riesgos. Administración Fondos del Estado Desastres y otros acontecimientos.

Recepción, ejecución y mantenimiento de

Seguimiento y presentación de informes. clientes y documentación.

Gestión de cuentas de clientes.

raude Interno o Externo”; por defecto será

Evaluar los riesgos identificados en la primera etapa, a los 5 niveles de probabilidad de ocurrencia, según

encuentra entre un 0% y 20%, sobre el total de operaciones del año, o ha pasado a lo más 5 veces en los últimos 5 años

El nivel de ocurrencia se encuentra entre un 21% y 40% sobre el total de iones del año, o ha pasado máximo 50 veces en los últimos 5 años

El nivel de ocurrencia se encuentra entre un 41% y 60% sobre el total de operaciones del año, o ha pasado hasta 50 veces en los últimos 24 meses

El nivel de ocurrencia se encuentra entre un 61% y 80% sobre el total de , o ha pasado hasta 50 veces en los últimos 12 meses

El nivel de ocurrencia se encuentra entre un 81% y 100% sobre el total del

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



b) Al final, se analizarevaluados, bajo la siguiente lista

Escala

Insignificante El evento tendrSe incluirá$10.000.

Menor El evento tendrá efectos de menor envergadura que pueden ser asumidos sin mayores problemas por materializadas, casi pé

Moderado El evento tendrá efectos importantes en los resultados de la línea de negocio, que generan daños o dejar de ganar hasta $1.000.000.

Mayor

En evento tendrá efectos considerable para la entidad (pérdidas significativas,incluirá las pérdidas materializadas, casi pé$10.000.000riesgo el funcionamiento de las líneas de negocio).

Catastrófico

El evento tendrá un efecto catastrófico que podría significar la desaparición de la línea de negocio o producto e incluso producir la incluirá las pé$10.000.000

Documento Final : Planilla de identificación de riesgos i

1.5. Evaluación de los Riesgos

Previo a la determinación del riesgo residual se deben identificar y evaluar los controles.

� Controles

Para evaluar la efectividad de los utiliza el documento evaluación de Controles, que describe cada control e indica su efectividadacuerdo a la clasificación indicada en el cuadro inferior.

La Evaluación de Controles sparticular. La definición debe ser clara y especifica, precisando:

• ¿QUÉ hace el control• ¿CÓMO lo hace?


OPERACIONAL




RiesgosAPROBACIÓN


l final, se analizará el nivel de impacto para de cada uno de los ámbitos de riesgos evaluados, bajo la siguiente lista :

IMPACTO DEL RIESGO INHERENTE

Descripción

El evento tendrá efectos poco significativos y/o con pérdidas muy insSe incluirá las pérdidas materializadas, casi pérdidas o dejar de ganar

El evento tendrá efectos de menor envergadura que pueden ser asumidos sin mayores problemas por las líneas de negocio. Se incluirá las pérdidas materializadas, casi pérdidas o dejar de ganar menores de $100.000

El evento tendrá efectos importantes en los resultados de la línea de negocio, que generan daños moderados. Se incluirá las perdidas materializadas, casi péo dejar de ganar hasta $1.000.000.

En evento tendrá efectos considerable para la entidad (pérdidas significativas,incluirá las pérdidas materializadas, casi pérdidas o dejar de ganar $10.000.000 con un impacto importante a nivel de la organización y poniendo en riesgo el funcionamiento de las líneas de negocio).

El evento tendrá un efecto catastrófico que podría significar la desaparición de la línea de negocio o producto e incluso producir la liquidación de la instituciónincluirá las pérdidas materializadas, casi pérdidas o dejar de ganar$10.000.000

a de identificación de riesgos inherentes

los Riesgos (Riesgo Residual)


Para evaluar la efectividad de los controles que mitigan cada riesgo particular según su criticidad, se utiliza el documento evaluación de Controles, que describe cada control e indica su efectividadacuerdo a la clasificación indicada en el cuadro inferior.

La Evaluación de Controles se utiliza para describir los controles asociados para mitigar un riesgo particular. La definición debe ser clara y especifica, precisando:

hace el control?

Página | 12

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

para de cada uno de los ámbitos de riesgos

rdidas muy insignificantes. rdidas o dejar de ganar menores a

El evento tendrá efectos de menor envergadura que pueden ser asumidos sin egocio. Se incluirá las pérdidas

menores de $100.000.

El evento tendrá efectos importantes en los resultados de la línea de negocio, que perdidas materializadas, casi pérdidas

En evento tendrá efectos considerable para la entidad (pérdidas significativas, se rdidas o dejar de ganar hasta

con un impacto importante a nivel de la organización y poniendo en

El evento tendrá un efecto catastrófico que podría significar la desaparición de la liquidación de la institución. Se

rdidas o dejar de ganar sobre


controles que mitigan cada riesgo particular según su criticidad, se utiliza el documento evaluación de Controles, que describe cada control e indica su efectividad de

e utiliza para describir los controles asociados para mitigar un riesgo

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



• Si no pasa el control • Las evidencias del control• Estos pueden ser operativos y/o

Este documento debe ser realizadequipo de Riesgo Operacional de

En caso de aquellos riesgos que no cuentan con controles implementados, el responsable deberá generar un plan de acción el que será acordado con el área de Riesgo Operacional.

Para la evaluación de los controles, se utiliza la siguiente escala:

Escala Gra do de Efectividad

Muy Baja

Baja

Media

Alta

Muy Alta


OPERACIONAL




RiesgosAPROBACIÓN


Las evidencias del control que respaldan su ejecución

ser operativos y/o tecnológicos

ste documento debe ser realizado por el responsable de cada área, conequipo de Riesgo Operacional de La Araucana C.C.A.F.


Para la evaluación de los controles, se utiliza la siguiente escala:

do de Efectividad Descripción

Existe una exposición total al riesgo. El diseño y/o la aplicación del control no existen.

Existe una alta exposición al riesgo. El control existe, pero es insuficiente.

Existe un nivel de exposición al límite de lo aceptable y el control puede mejorar o complementar con otros controles

Existe un nivel de exposición bajo al riesgo bastante aceptable. Aún el control puede ser perfeccionado para alcanzar un nivel de máxima efectividad.

Existe un nivel de exposición óptimo. El riesgo residual alcanza niveles mínimos esperados.

Página | 13

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

por el responsable de cada área, con orientación y apoyo del


Existe una exposición total al riesgo. El diseño y/o la aplicación

Existe una alta exposición al riesgo. El control existe, pero es

límite de lo aceptable y el control puede mejorar o complementar con otros controles

Existe un nivel de exposición bajo al riesgo bastante aceptable. Aún el control puede ser perfeccionado para alcanzar un nivel de

e un nivel de exposición óptimo. El riesgo residual alcanza

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



Documento Final: Planilla de identificación de controles.

� Riesgo Residual

Los riesgos después de aplicar los controles existentes, serán evaluados de acuerdo a la escala según sus definiciones para establecer el nivel de riesgo residual:

Escala

Muy Bajo

Se entenderá que el riesgo es de magnitud insignificante, cuando se presenten las siguientes situaciones:

- Es de un impacto "Insignificante"; o- Es de un impacto "Menor", pero sólo ocurrirá en circunstancias excepcionales, o como

un resultado de una combinación de eventos inusuales.

Bajo

Se entenderá que el riesgo es de magnitud baja, cuando se presenten las siguientes situaciones:

- Es de impacto "Moderado", pero sólo ocurrirá en circunstancia exresultado de una combinación de eventos inusuales; o

- Es de un impacto "Menor", y se espera que el riesgo se materialice en la mayoría de las situaciones en que se encuentre presente.

Medio

Se entenderá que el riesgo es de magnitud situaciones:

- Es de impacto "Mayor", pero sólo ocurrirá en circunstancias excepcionales, o como resultado de una combinación de eventos inusuales; o

- Es de un impacto "Moderado", y se espera que el riesgo se materialocasiones en el corto plazo.

Alto

Se entenderá que el riesgo es de magnitud alta, cuando se presenten las siguientes situaciones:

- Es de impacto "Mayor" y es razonable esperar que se presenten en el corto plazo; o - Es de un impacto "Moderado" y se espera que el riesgo se mate

de las situaciones en que se encuentra presente.

Muy Alto o Extremo

Se entenderá que el riesgo es de magnitud extrema, cuando se presenten las siguientes situaciones:

- Es de un impacto "Catastrófico"; o- Es de un impacto "Mayor" y se

las situaciones en que se encuentra presente.

Documento Final: Matriz de Riesgos y Controles con Riesgo R


OPERACIONAL




RiesgosAPROBACIÓN


Planilla de identificación de controles.

iesgos después de aplicar los controles existentes, serán evaluados de acuerdo a la escala según sus definiciones para establecer el nivel de riesgo residual:

Descripción

Se entenderá que el riesgo es de magnitud insignificante, cuando se presenten las siguientes situaciones:

Es de un impacto "Insignificante"; o Es de un impacto "Menor", pero sólo ocurrirá en circunstancias excepcionales, o como un resultado de una combinación de eventos inusuales.


Es de impacto "Moderado", pero sólo ocurrirá en circunstancia exresultado de una combinación de eventos inusuales; o Es de un impacto "Menor", y se espera que el riesgo se materialice en la mayoría de las situaciones en que se encuentre presente.

Se entenderá que el riesgo es de magnitud media, cuando se presenten las siguientes

Es de impacto "Mayor", pero sólo ocurrirá en circunstancias excepcionales, o como resultado de una combinación de eventos inusuales; o Es de un impacto "Moderado", y se espera que el riesgo se materialocasiones en el corto plazo.


Es de impacto "Mayor" y es razonable esperar que se presenten en el corto plazo; o Es de un impacto "Moderado" y se espera que el riesgo se matede las situaciones en que se encuentra presente.

Se entenderá que el riesgo es de magnitud extrema, cuando se presenten las guientes situaciones:

pacto "Catastrófico"; o Es de un impacto "Mayor" y se espera que el riesgo se materialice en la mayoría de las situaciones en que se encuentra presente.

riz de Riesgos y Controles con Riesgo Residual.

Página | 14

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

iesgos después de aplicar los controles existentes, serán evaluados de acuerdo a la siguiente

Se entenderá que el riesgo es de magnitud insignificante, cuando se presenten las

Es de un impacto "Menor", pero sólo ocurrirá en circunstancias excepcionales, o como


Es de impacto "Moderado", pero sólo ocurrirá en circunstancia excepcionales, o como

Es de un impacto "Menor", y se espera que el riesgo se materialice en la mayoría de

media, cuando se presenten las siguientes

Es de impacto "Mayor", pero sólo ocurrirá en circunstancias excepcionales, o como

Es de un impacto "Moderado", y se espera que el riesgo se materialice en reiteradas


Es de impacto "Mayor" y es razonable esperar que se presenten en el corto plazo; o Es de un impacto "Moderado" y se espera que el riesgo se materialice en la mayoría

Se entenderá que el riesgo es de magnitud extrema, cuando se presenten las

espera que el riesgo se materialice en la mayoría de

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



1.6. Tratar los Riesgos

De acuerdo a la Metodología, una vez evaluados los riesgos se para su tratamiento, las cuales pueden ser:

- Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó- Eliminar la fuente de riesgo- Reducir la probabilidad - Reducir las consecuencias- Transferir el riesgo - Aceptar el riesgo mediante una decisión informada

Como parte fundamental de esta etapa, una vez elegida la opción de tratamiento del todos aquellos riesgos que no fueron aceptadosimplementación de los planplanes debiera incluir al menos lo siguiente:

- Las razones para la selección de las opciones de tratamiento, que incluyan los beneficios que se espera obtener.

- Los responsables de aprobar- Las acciones propuestas.- Los requisitos de recursos, incluyendo las contingencias, medidas y restricciones de desempeño.- Los requisitos de monitoreo y reporte.- El tiempo y el plan de implementación.

Los planes de tratamiento, una vez definidos, se integrarán con los procesos de gestión de La Araucana y se discutirán con las partes involucradas.

1.7. Monitoreo y Revisión

Los Procesos de Monitoreo y Revisión de La Araucana comprenden todos los aspectos del Proceso de Gestión del Riesgo con el fin de:

- Garantizar que los controles son eficaces y eficientes en el diseño y en la operación- Obtener información adicional para mejorar la valoración del riesgo- Analizar y aprender lecciones a partir de los eventos.- Detectar cambios en el contexto externo e interno (cambios en los criterios del riesgo y en el

riesgo mismo) que puedan exigir una revisión de los tratamientos del riesgo y las prioridades

� Identificación de Indicadores Claves de R

Los indicadores de riesgo se obtienen a través del análisis de los transcurso de las reuniones. Los responsables deben definir y describir los indicadores clavepermitirán monitorear el riesgoAlta o Extrema), según el comportamiento de los mismos. Ante un cambio brusco en el indicador, es posible hacer las gestiones oportunas para minimizar las posibles pérdidas.

Cada indicador debe a lo menos establecer:

- Nombre del Indicador.


OPERACIONAL




RiesgosAPROBACIÓN


De acuerdo a la Metodología, una vez evaluados los riesgos se procederá a establecer opciones para su tratamiento, las cuales pueden ser:

Evitar el riesgo al decidir no iniciar o continuar la actividad que lo originó Eliminar la fuente de riesgo

Reducir las consecuencias

Aceptar el riesgo mediante una decisión informada

Como parte fundamental de esta etapa, una vez elegida la opción de tratamiento del todos aquellos riesgos que no fueron aceptados, se debe proceder a la preparación e implementación de los planes para el tratamiento del riesgo. La información suministrada en los planes debiera incluir al menos lo siguiente:

Las razones para la selección de las opciones de tratamiento, que incluyan los beneficios que se

Los responsables de aprobar el plan y los responsables de implementarlo.Las acciones propuestas. Los requisitos de recursos, incluyendo las contingencias, medidas y restricciones de desempeño.Los requisitos de monitoreo y reporte. El tiempo y el plan de implementación.

de tratamiento, una vez definidos, se integrarán con los procesos de gestión de La Araucana y se discutirán con las partes involucradas.

Los Procesos de Monitoreo y Revisión de La Araucana comprenden todos los aspectos del Proceso estión del Riesgo con el fin de:

Garantizar que los controles son eficaces y eficientes en el diseño y en la operaciónObtener información adicional para mejorar la valoración del riesgo.

cciones a partir de los eventos. cambios en el contexto externo e interno (cambios en los criterios del riesgo y en el

riesgo mismo) que puedan exigir una revisión de los tratamientos del riesgo y las prioridades

Identificación de Indicadores Claves de R iesgo (KRI)

iesgo se obtienen a través del análisis de los riesgos inherentestranscurso de las reuniones. Los responsables deben definir y describir los indicadores clavepermitirán monitorear el riesgo (se gestionarán indicadores sólo para riesgos inherentes de categoría

, según el comportamiento de los mismos. Ante un cambio brusco en el indicador, es posible hacer las gestiones oportunas para minimizar las posibles pérdidas.

Cada indicador debe a lo menos establecer:

Página | 15

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

procederá a establecer opciones

Como parte fundamental de esta etapa, una vez elegida la opción de tratamiento del riesgo, para se debe proceder a la preparación e

es para el tratamiento del riesgo. La información suministrada en los

Las razones para la selección de las opciones de tratamiento, que incluyan los beneficios que se

el plan y los responsables de implementarlo.

Los requisitos de recursos, incluyendo las contingencias, medidas y restricciones de desempeño.

de tratamiento, una vez definidos, se integrarán con los procesos de gestión de La

Los Procesos de Monitoreo y Revisión de La Araucana comprenden todos los aspectos del Proceso

Garantizar que los controles son eficaces y eficientes en el diseño y en la operación.

cambios en el contexto externo e interno (cambios en los criterios del riesgo y en el riesgo mismo) que puedan exigir una revisión de los tratamientos del riesgo y las prioridades.

inherentes y/o dentro del transcurso de las reuniones. Los responsables deben definir y describir los indicadores claves que

s inherentes de categoría , según el comportamiento de los mismos. Ante un cambio brusco en el indicador, es

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



- Fórmula de medición - Periodicidad de medición- Responsables - Umbrales de medición (Verde - Planes de mitigación para umbrales fuera de norma.Una vez definido y descrito el indicador clave, la recopilación y entrega de laresponsabilidad directa de las Áreas consultadas, Operacional, para su análisis y gestión.

Documento Final : Formulario Indicadores Claves de Riesgo

� Generación de planes de acción

Los planes de acción son una medida de mejora de los controleslos riesgos particulares que afectan a los distintos procesos analizados.

Existen tres causales por las cuales podríamos generar un plan de acción, estas son:

- Que un riesgo particular identificado no tenga control.- Que según los análisis al control este sea insu- Para los riesgos residuales, sean calificados como “alto” o “muy alto/extremo”

Estos planes deben ser formalizados a través del Operacional. En general, el plan de acción debe contener la siguiente información:

a. Fallas encontradas en el controlb. Definición de la mejora ac. Responsable y plazo límite de implement

El Nivel de Riesgo Aceptable por

Riesgo Residual

Extremo

Alto

Medio

Bajo

Insignificante

Es importante destacar que el seguimiento, revisión y validación de la efectividad de la implementación y mitigación de los riesgos a través de estos planes, será realizada por la C.C.A.F.

Documento Final : Formulario Planes de Acci


OPERACIONAL




RiesgosAPROBACIÓN


Periodicidad de medición

Umbrales de medición (Verde – Amarillo – Rojo o Si / No) Planes de mitigación para umbrales fuera de norma.

Una vez definido y descrito el indicador clave, la recopilación y entrega de laresponsabilidad directa de las Áreas consultadas, así como su entregaOperacional, para su análisis y gestión.

: Formulario Indicadores Claves de Riesgo – KRI

Generación de planes de acción

acción son una medida de mejora de los controles o indicadoreslos riesgos particulares que afectan a los distintos procesos analizados.


particular identificado no tenga control. Que según los análisis al control este sea insuficiente para mitigar el riesgoPara los riesgos residuales, sean calificados como “alto” o “muy alto/extremo”

Estos planes deben ser formalizados a través del “Formulario de Plan de Acción” definido por Riesgo Operacional. En general, el plan de acción debe contener la siguiente información:

Fallas encontradas en el control asociada (Plan de Acción)

lazo límite de implementación

El Nivel de Riesgo Aceptable por La Araucana C.C.A.F. se define en el siguiente cuadro

Tratamiento

Sí Dueño proceso /

Apoya Riesgo Operacional

Sí Dueño proceso /

Apoya Riesgo Operacional

Sí Dueño

Aquellos sin control o control deficiente Dueño proceso

Aquellos sin control o control deficiente

Dueño proceso

Es importante destacar que el seguimiento, revisión y validación de la efectividad de la implementación y mitigación de los riesgos a través de estos planes, será realizada por la Auditoría de

: Formulario Planes de Acción

Página | 16

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

Una vez definido y descrito el indicador clave, la recopilación y entrega de la información es u entrega al área de Riesgo

o indicadores que ayudan a mitigar


ficiente para mitigar el riesgo. Para los riesgos residuales, sean calificados como “alto” o “muy alto/extremo”

“Formulario de Plan de Acción” definido por Riesgo Operacional. En general, el plan de acción debe contener la siguiente información:

se define en el siguiente cuadro:

Responsable

Dueño proceso / Apoya Riesgo Operacional

Dueño proceso / Apoya Riesgo Operacional

Dueño proceso

Dueño proceso

Dueño proceso

Es importante destacar que el seguimiento, revisión y validación de la efectividad de la implementación y Auditoría de La Araucana

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



2. Informe de Autoevaluación

Al finalizar el proceso de autoevaluación, se pasos asociados al proceso de Autoevaluación y estará acompañado de todos los resultados obtenidos durante este proceso.

Se generará un informe ejecutivo con el fin de hacerlo llegar a la alta gerencia para su respectivo conocimiento y toma de decisiones, según él o los casos que correspondan.

El informe final se realizará mediante siguiente información:

• Levantamiento de procesos: diagramas de flujos y sus actividades• Identificación y Evaluación de Riesgos Inherentes• Identificación y Evaluación de Controles• Riesgos Residuales • Identificación de Debilidades• Generación de Planes de Mitigación• Indicadores de planes de acción• Conclusiones finales.

Documento Final : Informe de Autoevaluación

3. Seguimiento de Planes de Acción

Mensualmente se enviará un mail a cada responsable de implementación del plan de mitigtodo caso, se enviará el día en que ha vencido el plazo de implementación del plan de mitigaciónquedará formalizado en la matriz de planes de

Por otra parte, una vez informado el cumplimiento del plan de mitigación por parte del responsable del proceso, se informará al área de Auditoría de implementación de dicho plan.

Documento Final: Matriz de planes d

4. Testeo de Controles

Al terminar el proceso, se preparará Nivel 1 y procesos Nivel 2, para ser enviada a verificación de efectividad

Documento Final: Base Consolidada de Controles

VIII. Sanciones por Incumplimiento

El incumplimiento de las obligaciones lo establecido en el Titulo XIV “De las Faltas, Sanciones, Procedimientos para su Reglamento Interno de Orden, Higiene y Seguridad de la Araucana C.C.A.F.


OPERACIONAL




RiesgosAPROBACIÓN


Informe de Autoevaluación

Al finalizar el proceso de autoevaluación, se elaborará un informe que debe contener pasos asociados al proceso de Autoevaluación y estará acompañado de todos los resultados obtenidos

generará un informe ejecutivo con el fin de hacerlo llegar a la alta gerencia para su respectivo conocimiento y toma de decisiones, según él o los casos que correspondan.

El informe final se realizará mediante documento en formato Word y PDF, en la cual se

Levantamiento de procesos: diagramas de flujos y sus actividades ficación y Evaluación de Riesgos Inherentes

Identificación y Evaluación de Controles

Identificación de Debilidades Planes de Mitigación

Indicadores de planes de acción KRI.

: Informe de Autoevaluación

Seguimiento de Planes de Acción

un mail a cada responsable de implementación del plan de mitigel día en que ha vencido el plazo de implementación del plan de mitigación

formalizado en la matriz de planes de seguimiento.

una vez informado el cumplimiento del plan de mitigación por parte del responsable del l área de Auditoría de La Araucana C.C.A.F. el (o los) plan (es) para validar la

Matriz de planes de seguimiento y Reporte a Auditoría La Araucana

preparará una base consolidada de controles, la que será ivel 2, para ser enviada a Auditoría de La Araucana C.C.A.F.

Base Consolidada de Controles

Sanciones por Incumplimiento

El incumplimiento de las obligaciones establecidas en este Procedimiento será sancionadlo establecido en el Titulo XIV “De las Faltas, Sanciones, Procedimientos para su Reglamento Interno de Orden, Higiene y Seguridad de la Araucana C.C.A.F.

Página | 17

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

elaborará un informe que debe contener cada uno de los pasos asociados al proceso de Autoevaluación y estará acompañado de todos los resultados obtenidos

generará un informe ejecutivo con el fin de hacerlo llegar a la alta gerencia para su respectivo

en la cual se describirá la

un mail a cada responsable de implementación del plan de mitigación, y en el día en que ha vencido el plazo de implementación del plan de mitigación, el cual

una vez informado el cumplimiento del plan de mitigación por parte del responsable del el (o los) plan (es) para validar la

La Araucana C.C.A.F.

la que será dividida por procesos C.C.A.F. para su respectiva

será sancionado de acuerdo a lo establecido en el Titulo XIV “De las Faltas, Sanciones, Procedimientos para su Aplicación”, del

NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



IX. Frecuencia de R evisión

El presente procedimiento será revisado y actualizado al menos una vez al año o cuando por instrucciones de un ente superior externo o interno sea necesario.

X. Tabla Control de Cambios

Versión Fecha Modificación

001 23-08-2012

002 30-12-2013

003 31-03-2015

XI. Anexo.

Anexo I : Fórmulas Probabilidad Residual e Impacto Residual


OPERACIONAL




RiesgosAPROBACIÓN


evisión y Actualización

será revisado y actualizado al menos una vez al año o cuando por instrucciones de un ente superior externo o interno sea necesario.

Tabla Control de Cambios

Modificación Aspectos Modificados

- Elaboración del documento. Aprobada por el Directorio sesión N°534

- Actualización del documento. Aprobada por el Directorio

sesión N°551

- Actualización del documento, incorporandocontenidos, formato, metodología, según lo instruido en el Oficio N°69186, de 20 de octubre de 2014, de la SUSESOAprobada por el Directorio sesión N°565

: Fórmulas Probabilidad Residual e Impacto Residual

Página | 18

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

será revisado y actualizado al menos una vez al año o cuando por

Aspectos Modificados

Aprobada por el Directorio sesión

probada por el Directorio

Actualización del documento, incorporando argumentos, lo instruido en el

de 20 de octubre de 2014, de la SUSESO.


NOMBRE DOCUMENTO

PROCEDIMIENTO DE


PR-AERO-004 Marzo



Anexo I : Fórmulas Probabilidad Residual

La relación cualitativa utilizada entre las variables inherentes del Riesgo y la Calidad de los controles y mitigadores está dada por la Probabilidad Residual y el Impacto Residual:

Esta fórmula permite obtener coordenadas manteniendo la visualización en la matriz de Riesgos y pueden ser mapeadas bajo las escalas definidas para los riuna correlación lineal y directa entre el riesgo inherente y residual.

A partir de las valorizaciones cualitativas de la Calidad del Control, se determina los valores de la Probabilidad Residual y el Impacto Resid= Medio, tiene un Control con Calidad = 3 (Aceptable), el Riesgo Residual o Exposición será Insignificante.


OPERACIONAL




RiesgosAPROBACIÓN



La relación cualitativa utilizada entre las variables inherentes del Riesgo y la Calidad de los controles y mitigadores está dada por la Probabilidad Residual y el Impacto Residual:

Esta fórmula permite obtener coordenadas manteniendo la visualización en la matriz de Riesgos y pueden ser mapeadas bajo las escalas definidas para los riesgos inherentes y residuales, manteniendo una correlación lineal y directa entre el riesgo inherente y residual.

A partir de las valorizaciones cualitativas de la Calidad del Control, se determina los valores de la Probabilidad Residual y el Impacto Residual. Como ejemplo, si un riesgo inherente con valor de Criticidad = Medio, tiene un Control con Calidad = 3 (Aceptable), el Riesgo Residual o Exposición será

Factor de Corrección, entregando una relación

proporcional entre el riesgo Inherente y el Residual

Factor de Corrección

Módulo del vector de correlación del Impacto residual

Coeficiente de Correlación lineal entre el

inherente y el control

Coeficiente de ajuste y corrección haciendo que el

riesgo no llegue a 0 si el control es demasiado óptimo

Página | 19

REVISADO APROBADO


Riesgos

Comité de Riesgo/

Directorio

La relación cualitativa utilizada entre las variables inherentes del Riesgo y la Calidad de los controles y

Esta fórmula permite obtener coordenadas manteniendo la visualización en la matriz de Riesgos y esgos inherentes y residuales, manteniendo

A partir de las valorizaciones cualitativas de la Calidad del Control, se determina los valores de la ual. Como ejemplo, si un riesgo inherente con valor de Criticidad

= Medio, tiene un Control con Calidad = 3 (Aceptable), el Riesgo Residual o Exposición será

Factor de Corrección, entregando una relación

proporcional entre el riesgo Inherente y el Residual

Factor de Corrección del Impacto residual

Módulo del vector de correlación del Impacto residual

Coeficiente de Correlación lineal entre el riesgo

inherente y el control

Coeficiente de ajuste y corrección haciendo que el

riesgo no llegue a 0 si el control es demasiado óptimo

PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIEGOS … · La información Contenida en este documento es de...

Documents

Transcript of PROCEDIMIENTO DE AUTOEVALUACIÓN DE RIEGOS … · La información Contenida en este documento es de...