PROCEDIMIENTO GESTION DE RIESGOS Y OPORTUNIDADES 4. OBJETIVO Establecer los tineamientos y directrices para la identificacién, valoracién, evaluacién, andlisis y tratamiento de los riesgos y oportunidades de la Entidad. ALCANCE El presente documento aplica desde identificaci de riesgos y oportunidades hasta la toma de acciones para el tratamiento de los mismos. 3. RESPONSABILIDAD we ACTIVIDAD” RESPONSABLE Definir el contexto del proceso Lideres de proceso Identificar oportunidades Lideres de proceso Analizar oportunidades Vicepresidencia Corporativa Coordinador de Sistemas de Gestién y Control Interna Establecer y documentar las acciones Necesarias Para abordar ‘oportunidades Vicepresidencia Corporativa Coordinador de Sistemas de Gestién y Control Interno Lideres de proceso Tdentificar (os riesgos del proceso Lideres de proceso ‘Analizar los riesgos identificados Lideres de proceso Valorar los riesgos Lideres de proceso Definir los controles a aplicar a cada tuno de los riesgos Alta direccion Lideres de proceso Documentar las acciones necesarias para abordar riesgos Lideres de Proceso Seguimiento y revision de las acciones definidas para abordar riesgos y oportunidades, asi como de la eficacia de los controles definidos para los riesgos Lideres de Proceso Coordinacién de Sistemas de Gestién y Control Interno 0 quien esta delegue Actualizacién de ta matriz de riesgos Lideres de Proceso Coordinacién de Sistemas de Gestion y Control Intemno o quien esta delegue ‘Actualizacién de la matriz de oportunidades Vicepresidencia Corporativa Coordinador de Sistemas de Gestion y | Control Interno TREVADO FOR: CAROUNA SOUANO, [APROBADD, FepPeNR KOT OTOYA CARGO: Coordnadara de Satara Ge Gestion y Control ec ree Beat G Escaneado con CamScanner¢ Seago: PERO PROCEDIMIENTO GESTION DE RIESGOS Y Verein 04 SKGSA Vee waned OPORTUNIDADES | 4, DEFINICIONES Riesgo: efecto de la incertidumbre sobre los objetivos. Un efecto es una desviacién de aquello que se espera, sea positivo, negativo o ambos. Oportunidad: posible accién que influya de manera positiva en las operaciones de la Entidad, las oportunidades pueden llevar a la adopcién de nuevas practicas, lanzamiento de nuevos servicios, atencién a nuevos segmentos, creacién de alianzas, uso de nuevas tecnologias y otras posibilidades deseables y viables, Matriz de riesgo: herramienta que permite clasificar y visualizar los riesgos, mediante la definicién de categorias de consecuencias y de su probabilidad. Matriz de oportunidades: herramienta que permite clasificar y visualizar las oportunidades. Analisis del riesgo: proceso para comprender ta naturaleza del riesgo y determinar el nivel del riesgo. Consecuencia / Impacto: resultado de un evento que afecta los objetivos. Una consecuencia puede ser cierta o incierta y puede tener efectos positivos 0 negativos en los objetivos. Probabilidad de ocurrencia: oportunidad de que algo suceda. Nivel de riesgo: magnitud de un riesgo 0 de una combinacién de riesgos, expresada en términos de la combinacién de las consecuencias y su probabilidad. Evaluacién del riesgo: proceso de comparacién de los resultados del andlisis del riesgo con los criterios del riesgo, para determinar si el riesgo, su magnitud ‘0 ambos son aceptables 0 tolerables. Valoracién del riesgo: es el proceso total de identificacion del riesgo, analisis del riesgo y evaluacian del riesgo. Tratamiento del riesgo: proceso para modificar el riesgo. Riesgo residual: riesgo remanente después del tratamiento del riesgo. ( REVSADO POR: CAROUNA SOLAN [APROBKDO PORE TDL WUNY OTOVA CARGO: Coorcradora de Sinteras ce GOHTen y Control] CARGO: Presidente Fea Linterno Escaneado con CamScanner~ ene iad PROCEDIMIENTO GESTION DE RIESGOS Y | exoeR Mere me OPORTUNIDADES | 5. DESCRIPCION 5.1. Gestion de oportunidades Teniendo en cuenta el resultado del proceso de identificacién de expectativas, que se realiza en el marco de los ejercicios de planeacién de la Camara, los lideres de proceso deben identificar cuales de esas expectativas pueden ser aprovechadas por la Entidad para el fortalecimiento del Sistema de Gestion de Calidad; a partir de la expectativa se debe indicar cual seria la oportunidad asociada. Una vez se cuenta con la informacién de las expectativas aprovechables, desde la Vicepresidencia Corporativa y la Coordinacién de Sistemas de Gestion y Control interno procedera a definir cuales de las oportunidades identificadas sern abordadas por la Entidad, para esto se tendran en cuenta los criterios descritos a continuacién. 5.1.1. Criterios para la evaluacién y seleccién de oportunidades La determinacién del nivel de una oportunidad se realizara a través de la identificacién de la probabilidad de que se requiera por las partes interesadas y del impacto de la oportunidad sobre los resultados esperados del Sistema de Gestién de Calidad; es decir, los objetivos del Sistema. Este impacto se caracteriza como el porcentaje (%) de mejora potencial de la meta definida para el objetivo. De acuerdo con el nivel que alcance la oportunidad, algunas seran seleccionadas para ser “promovidas”, es decir se tomaran acciones para aprovechar las ventajas que pueden ser generadas, y otras, se mantendran en “observacién”, en cuyo caso, dado el contexto vigente, no es relevante tomar acciones sobre la misma necesariamente. Para calificar la probabilidad de ocurrencia se consideraran los siguientes criterios: Nivel Valor Tratamiento de la oportunidad BAJO 4 [Bajo potencial de requerirse en el periodo an a forerate potencial de requerirse en el 8 [Alto potencial de requerirse en el periodo iat i TREVISADO POR:_CAROUNA SOUANO, = oUOTOR ERGO Creda de Saas de Gena Y Col | CARGO: PENT ERAT 77” Es 5 Escaneado con CamScanner¢ tg: ren PROCEDIMIENTO GESTION DE RIESGOS Y Version: 04 SOSA Verde mar091 OPORTUNIDADES Entre tanto, para calificar el impacto se tendra en consideracién lo siguiente: Nivel Valor Tratamiento de la oportunidad BAJO. 4 |Eventual, no genera un impacto significativo en en ta Entidad |Temporal, puede colaborar con los ‘MEDIO 6 |resultados esperados por un tiempo corto, lgenrando una contribucién final menor al 5% ree z Protongado, puede colaborar con los resultados esperados hasta en un 20% Para cada oportunidad se deberd asignar un valor para la probabilidad de su requerimiento y un valor para el impacto, estos datos se multiplicarén para obtener el nivel de la oportunidad. De acuerdo a este nivel se podra determinar si se aborda 0 no una oportunidad. Los criterios de seleccién se indican en la siguiente tabla. Nivel Valor | Tratamiento de la oportunidad| BAJO 0:32 |Observar la oportunidad mevio | 32<=0<48 [observar la oportunidad ‘ALTO | 48<=0<80 |Promover la oportunidad 5.1.2, Plan de accion En atencién al resultado obtenido para el tratamiento de cada oportunidad, desde la Vicepresidencia Corporativa se liderara el proceso de definicion de planes de accidn, el cual estard apoyado por la Coordinacién de Sistemas de Gestién y Control interno, asi como de los lideres de los procesos que puedan llegar a Verse afectados con la oportunidad a analizar. Las acciones definidas para abordar oportunidades podran incluirse en los planes de trabajo de cada rea o registrarse en la herramienta definida por la Entidad para el registros y seguimiento de acciones. REVISADS FOR: CAROUNE SOUANO) [RPROBADO POR: ROTGIOVA CARGO: Coordradora de Seeras ce Geuieh y CoRTTor | CARGO: Presicete Eecitve es = Escaneado con CamScanner 4éatgo:PeP-01 v PROCEDIMIENTO GESTION DE RIESGOS Y OPORTUNIDADES El resultado del proceso de identificacién y anélisis de oportunidades se debe registrar en la matriz de oportunidades. Por lo menos una vez al afio se debe realizar seguimiento a la eficacia de las acciones definidas para abordar oportunidades. El proceso de identificacién y seleccién de oportunidades es un proceso ciclico, por ende, en cualquier momento se pueden llegar a identificar nuevas oportunidades, evento en el cual se deberan seguir los pasos indicados para su evaluacién, 5.2. Gestion de riesgos La gestién del riesgo en a Camara de Comercio del Cauca se desarrolla en diferentes etapas, a partir de las cuales se obtiene como resultado la matriz de riesgos en el software destinado para este fin, herramienta empleada para la gestién del riesgo en la Entidad y en la cual se consolida el analisis realizado y se plantean las intervenciones a ejecutar para tratar os riesgos. ‘A continuacion se describe cada una de las fases que constituyen la gestién del riesgo, las cuales se basan en la norma ISO 31000:2018. 5.2.1 Contexto de los riesgos Previo a la identificacién de riesgos se debe realizar el establecimiento del contexto para ello es pertinente que exista claridad de la misién y objetivos organizacionales, @ inicia con la identificacion de los factores internos y externos que pueden originar riesgos que afecten el cumplimiento de los mismos. El establecimiento del contexto implica la determinacién de situaciones del entorno de la Cémara: social, econémico, politico, ambiental, tecnolégico, entre otros; lo anterior se puede hacer a través de: reuniones de Presidencia, lluvia de ideas, cuestionarios, entrevistas con personal externo, uso de registros histéricos e informes de auditoria que provean informacién para identificar los factores externos e internos que contribuyan con la construccién del mapa de riesgos de la Entidad. Entre los factores externos se pueden consideran factores econémicos, sociales, culturales, politicos, legales y cambios tecnolégicos entre otros. Entre los factores internos se pueden considerar: la naturaleza de las actividades de la Entidad, el recurso humano, los sistemas de informacién, los procesos y procedimientos y los recursos economicos, la situacién estratégica (fidelidad de los clientes), la situacion financiera, etc. TEVISADO POR CAROUNA SOUND, (APROBADO POR: AVA FED Presidente Hecate ( Escaneado con CamScanner CARGO: Coordiadara de Scene Ge Gestion y Contr Interne© Senter 04 PROCEDIMIENTO GESTION DE RIESGOS Y exaea vm irons OPORTUNIDADES Para la valoracién de factores se tiene en cuenta lo siguient + Factores internos: + Fortalezas: actividades y atributos internos, que contribuyen y apoyan el logro de los objetivos de la Entidad. + Debilidades: actividades o atributos internos que obstaculizan el logro de los objeticos de la Entidad. + Factores externos: + Oportunidades: son los potenciales acciones y actividades que se pueden desarrollar en busca de satisfacer las expectativas de las partes interesadas. + Amenazas: Son aquellos factores que pueden poner en riesgo la continuidad de nuestra Entidad, ya sean por cambios en los necesidades / expectativas de los clientes, cambios en la legislacién, etc. 5.2.2. Evaluacion de riesgos Teniendo en cuenta los resultados de la primera etapa y conociendo el comportamiento de los procesos, se procede a evaluar los riesgos. Esta es una fase compuesta por varias etapas, entre las que se encuentra: la identificacién, cel andlisis y la valoracién de los riesgos, estas son descritas a continuacién. 5.2.2.1. Identificacion de riesgos Cada lider, con el apoyo de su equipo de trabajo realiza la identificacién de los riesgos que pueden afectar el desempefio del proceso negativamente. La identificacién de riesgos tiene los siguientes componentes, que se encuentran consolidados a través del software destinado por la Entidad para el registro de esta informacién: FETAGO FO CRRA TEFRORROS POR: FRNNSRTNOT OTOH) | 2 sm a fase 0 Escaneado con CamScanner& ware PROCEDIMIENTO GESTION DE RIESGOS Y eeepc Vseneas 2021-09-14 OPORTUNIDADES A partir de la informacién recolectada en esta etapa, se obtiene una descripcién mas detallada del riesgo, que permite realizar su andlisis con mayor precision. 5.2.2.2. Andlisis del riesgo A continuacién se procede a realizar el analisis del riesgo en el cual se incluyen aspectos como las consecuencias (positivas 0 negativas) y la probabilidad de que tales consecuencias puedan ocurrir, de igual manera se consideran los controles existentes y su eficacia. Para la construccién de la matriz de riesgos y con el objetivo de manejar criterios uniformes para la calificacién, se definieron diferentes escalas aplicables al analisis de consecuencias o a la probabilidad de ocurrencia. Los criterios antes indicados se describen a continuacién: REVISADO POR: CAROL SOUNO, [RPROBADO FOF > A > HRSG Ge TETAS Ge GOIN ConRTeCHERRE: Pree ecave inten Escaneado con CamScanner© Nentono4 PROCEDIMIENTO GESTION DE RIESGOS Y exGeg Were iron OPORTUNIDADES | lad de ocurrencia + Criterios para evaluar probabil aaa Se eee | 5 | irate [ara crane a Pasrnmonts Sai care Tor 2] en | Re emoapar pancreas erat TO ayo En este caso se construyé una escala de calificacion basada en la frecuencia de ocurrencia del evento, es decir, si nunca se ha presentado, si se ha presentado al menos una vez en cierto periodo de tiempo y asi sucesivamente. De acuerdo con el histérico de eventos, se procederd a realizar la calificacién de este aspecto. TEVISADO POR CAROUNASOLANO. ‘APROBADO POR: ANA FERUENOAMUMGY OTD TCHAGO! Conranadora Ge Sitermas de Genion y COAUaT| CARGO: Presidente Eecutva 7 interno Escaneado con CamScanner¢ cetuesrer: | PROCEDIMIENTO GESTION DE RIESGOS Y exaea ven ion ‘OPORTUNIDADES + Criterios para evaluar impacto Gama Sa Fcaraor seca a eon nna ie avon Para realizar la asignacién de valores, se debe considerar el peor escenario para la Entidad frente a la materializacion del riesgo, es decir, aquel en el que no se cuenta con ningiin control para mitigar 0 eliminar el evento identificado. Esta informacién se toma como punto de referencia para dimensionar el impacto del riesgo en la Camara. 5.2.2.3. Valoracién del riesgo Una vez culminada la anterior etapa, se procede a realizar la calificacién de los riesgos segin los criterios del numeral 5.2.2, lo anterior permite conocer cual es el nivel de riesgo. 5.2.2.3.1. Primera valoracién del nivel de riesgo A partir de las calificaciones asignadas a la consecuencia y a la probabilidad de ocurrencia, se obtiene un primer nivel de riesgo, el cual se halla al multiplicar el valor asignado a la probabitidad, por el valor del impacto, operacién que realiza el software automaticamente. Los niveles de riesgo que se han definido en la organizacién se presentan a continuacion: TEVISADO PORE CAROLINA SOUANO, CARGO! Coorainadera Ge Sistemas de Gestion y Control Interna Escaneado con CamScanner@ Vigenca: 2021-09-14 CAGCA PROCEDIMIENTO GESTION DE RIESGOS Y OPORTUNIDADES MAGNITUD i frase EL RIESGO El resultado obtenido brinda un punto dé el que se puede presentar un riesgo. ie partida para conocer el panorama en 5.2.2.3.2.Revisin de la eficacia de los controles De acuerdo con la informacién obteni jida, se procede a definir con cuales controles cuenta la Camara, que permitan mitigar 0 eliminar los rlesgos identificados. Los controles pueden ser procedimientos, politicas, instructivos, procesos de auditorias, planes de trabajo, capacitaciones, entre otros. Una vez establecidos los controles se procede a evaluar su nivel de eficacia, para lo cual se tienen los siguientes criterios: > iNT ——— easel Con esta informacién, el lider de proces los resultados que se han obtenido a partir dé so analiza el estado actual del control y fe su implementacién y procede a calificarlo. De acuerdo con las opciones seleccionadas, el software, de forma automaticé se puede mantener, disminuir en el ej consecuencias. ‘a re calcula el nivel de riesgo, como consecuencia, el nivel de riesgo je de la probabilidad o en el eje de las TEVISADO POR: CAROUNK SOLAN, Zo TANGO: Coardinadore de Siemans de Cesion y Comal om ene Fjecatve J Escaneado con CamScanner¢ bel peel PROCEDIMIENTO GESTION DE RIESGOS Y Versi GAUCA Teoma OPORTUNIDADES El nuevo nivel de riesgo, que se obtiene con la calificacién antes indicada, se conace como riesgo residual y es finalmente sobre el cual se debe intervenir seguin lo siguiente: tarancs [representa oecpctn drsccen ec a sal 1 ETS eon prWGREE aT] STROMA NO ecnc bis peste sae owas mens. ejorinia ccc weber] sousnu neve gr sv exact eect weed Setanta os de reitng| ec crete ee dtr rao strc ems a vad Conon ravi beer ewe en lt pe aan ms post acer tele ows [mre ene nedare te scene pal ect tne Jonccon pas opr wr ten evans. eben cet 5.2.3. Tratamiento de riesgos El tratamiento del riesgo involucra la seleccién de una o mas opciones para modificar los riesgos y la implementacién de tales opciones. Para esto se consideran los niveles obtenidos para cada riesgo y se acta segin lo que se indica a continuacién: ‘+ Aceptar el riesgo: No requiere tratamiento. Solo fortalecer controles si es econémico y facil de implementar. ‘+ Prevenir mediante controles: Riesgo no prioritario. Requiere fortalecer controles como accién preventiva, aquello que sea econdmicamente viable. + Reducir, compartir 0 transferir: Requiere acciones de tratamiento de riesgo definiendo y fortaleciendo los controles y analisis de aplicabilidad de acciones de transferencia de riesgo y contingenci Nota: en algunos casos, a pesar de obtener un nivel de riesgo superior al aceptable, ta Camara puede determinar que asumiré el riesgo, para esto debera existir una justificacion documentada sobre la decisién tomada. La eleccién del tratamiento implica la definicién de acciones puntuales a corto, mediano 0 largo plazo, para abordar los riesgos identificados. Estas acciones TEVISADO POR! CAROLINA SOUANO CARGO: Cooreiadare Ge SaLemAT Ge GOHTIOA y COHTOT all Interna Escaneado con CamScanner« Yentowon PROCEDIMIENTO GESTION DE RIESGOS Y SxaeR “se mere OPORTUNIDADES seran definidas por parte del lider de proceso y su equipo de trabajo y se documentaran a través del software. El tratamiento de los riesgos implica equilibrar la inversién de recursos (econémico, humano, de infraestructura, entre otros.) para su implementacién, por lo que en caso de requerir la aplicacién de un control que conlleve un fuerte impacto presupuestal o cuya aprobacién no dependa del lider del proceso, dicha decision debera escalarse a la Presidencia Ejecutiva y si es el caso a la Junta Directiva de la Entidad. A pesar de realizar el tratamiento de los riesgos, en algunos casos puede evidenciarse la presencia de un riesgo residual, el cual a pesar de ser tratado de diferentes formas eficazmente, no puede ser eliminado en su totalidad. 5.2.4. Seguimiento y revision Es necesario monitorear continuamente los riesgos, la eficacia de las acciones definidas para abordarlos y las estrategias que se establecen para controlar su implementacién. Es esencial una revision sobre ta marcha para asegurar que se estan alcanzando los resultados previstos 0 en caso contrario tomar las acciones para corregir las desviaciones. Ademas a lo largo del tiempo pueden cambiar los factores que podrian afectar las probabilidades y consecuencias calificadas inicialmente, como también los factores que afectan la conveniencia o costos de las distintas opciones de tratamiento. De acuerdo a lo anterior, desde ta Coordinacién de Sistemas de Gestién y Control Interno (0 quien esta delegue), se llevard a cabo el seguimiento semestral de los planes de accién y la eficacia de los mismos, dejando evidencia de dicho proceso a través del Binaps. Esta informacion sera un insumo para el acta de revisién por la direccion, Si a partir del seguimiento realizado a los planes de accién o a partir de la ‘operacién de los procesos se identifica que un riesgo se ha materializado, el lider de proceso debera tomar una accién correctiva, toda vez que esto representa una no conformidad, la cual se debe registrar a través del software destinado para tal fin, Ademas de lo anterior la matriz de riesgos debe ser actualizada pues la probabilidad de ocurrencia y el impacto del riesgo pueden haber cambiado. 5.2.5. Revisidn de la matriz de gestién de riesgos Cuando se presenten cambios sustanciales que puedan afectar el Sistema de Gestién de Calidad de la organizacién, se debera revisar la matriz de riesgos, en caso contrario, se debe llevar a cabo al menos una revision de la misma cada [REVSADO POR CAROUNA SOOO TROBADO POR ANA FERNSDCREROT OTA Zn RGD, iB SHOT CIE ¥ CON SSP eT interno ( Escaneado con CamScannerEAUEA o 2: PEPE “ « vineaolt PROCEDIMIENTO GESTION DE RIESGOS Y semnnemcrse Vigencia: 2021-09-14 OPORTUNIDADES afio, esta actividad sera coordinada desde Coordinacién de Sistemas de Gestién y Control Interna, 6. _REGISTROS 0 DOCUMENTOS ASOCIADOS. DEF-01 Matriz de oportunidades CONTROL DE CAMBIOS VERSION | FECHA MOTIVO CAMBIO 13 de agosto de 2019 Se actualiza el documento incluyendo la estructura actual para la gestion del riesgo en la Camara, la cual se basa en la norma ISO 31000:2018 y se soporta a través del software Binaps. 14 de septiembre de 2021 Se actualizan los cargos segin la nueva estructura organizacional. Se incluyen aspectos relacionados con la identificacién de oportunidades, su andlisis y tratamiento. TREVISADO POR: CAFOUNASOLANO ROSES POR: ANE RSET OTE ARGOS Coarnadars Ge Steer de Gestion 7 Conte on a Interne 0 Escaneado con CamScanner