Añadir a la recogida (s) Añadir a salvo
  1. Negocios
Subido por Luis Codoceo

doc22 (1)

Anuncio 
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
GCRC-P-004
Procedimiento para la
Gestión Integral de Riesgos
REVISIÓN N° 00
VIGENCIA 15-10-2019
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
1 de 30
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
2 de 30
ÍNDICE
1
INFORMACIÓN GENERAL.................................................................................................................... 3
1.1
OBJETIVO ....................................................................................................................................................... 3
1.2
ALCANCE ........................................................................................................................................................ 3
1.3
CAMPO DE APLICACIÓN ............................................................................................................................... 3
1.4
MARCO NORMATIVO Y REFERENCIAS ....................................................................................................... 3
1.5
DEFINICIONES ................................................................................................................................................ 3
2
PROCESO DE GESTIÓN DE RIESGOS ........................................................................................... 4
2.1
DEFINICIÓN DEL CONTEXTO ........................................................................................................................ 4
2.2
IDENTIFICACIÓN DEL RIESGO ..................................................................................................................... 5
2.3
ANÁLISIS DE RIESGO .................................................................................................................................... 7
2.4
EVALUACIÓN DE RIESGO ............................................................................................................................. 8
2.5
TRATAMIENTO ............................................................................................................................................. 11
2.6
MONITOREO Y REVISIÓN ............................................................................................................................ 13
2.7
COMUNICACIÓN Y REPORTE ..................................................................................................................... 14
3
ELEMENTOS PARA EL REGISTRO DEL PROCESO DE GESTIÓN DE RIESGOS ...... 16
3.1
CATEGORIZACIÓN DE RIESGOS ................................................................................................................ 16
3.2
MATRIZ DE EVALUACIÓN DE RIESGOS .................................................................................................... 17
3.3
MAPA DE RIESGO ........................................................................................................................................ 17
4
VERIFICACIÓN DE CUMPLIMIENTO .............................................................................................. 18
5
ANEXOS ..................................................................................................................................................... 19
5.1
ANEXO I – Matriz Corporativa de Frecuencia/Probabilidad ...................................................................... 19
5.2
ANEXO II – Matriz Corporativa de Impacto por ámbito ............................................................................. 20
5.3
ANEXO III – Mapa de Riesgos...................................................................................................................... 26
5.4
ANEXO IV - Herramientas Metodológicas para la identificación de riesgos ........................................... 27
5.5
ANEXO V – Criterio de identificación del control crítico .......................................................................... 29
6
CONTROL DE CAMBIOS ..................................................................................................................... 30
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
3 de 30
1 INFORMACIÓN GENERAL
1.1
OBJETIVO
Describir el proceso de gestión de riesgo del Modelo Integral de Gestión de Riesgo y Control
(MIGRC) según lo establecido en la NCC N°47 Gestión Integral de Riesgos.
1.2
ALCANCE
Toda la Corporación
1.3
CAMPO DE APLICACIÓN
El proceso descrito en este procedimiento aplica a todos los procesos, áreas productivas,
administrativas, y de proyectos de la Corporación Nacional del Cobre, en adelante Codelco o la
Corporación. Y es desde el cual la Administración reportará los riesgos críticos de la Corporación al
Directorio, por medio su revisión trimestral en el Comité de Auditoría, Compensación y Ética (CACE).
Este procedimiento podrá ser complementado por normativa específica de los Sistemas
Especializados de Gestión de Riesgo, alineados con las directrices definidas en la NCC N°47 Gestión
Integral de Riesgos.
1.4
1.5
MARCO NORMATIVO Y REFERENCIAS
x
Política Corporativa de Gestión Integral de Riesgos
x
NCC N°47 Gestión Integral de Riesgos
DEFINICIONES
Remitirse al punto 1.5 de “Definiciones”, de la NCC N°47 Gestión Integral de Riesgos.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
4 de 30
2 PROCESO DE GESTIÓN DE RIESGOS
El MIGRC establece el proceso de gestión de riesgos como una actividad dinámica y de permanente
mejora continua busca asegurar, de manera razonable, el logro de los objetivos de la Corporación.
El proceso se compone de las siguientes etapas:
Ilustración 1: Basado en proceso de gestión de riesgo ISO 31.000:2009
Es recomendable que la ejecución de este proceso sea por medio de equipos multidisciplinarios, y
que incluya al responsable del diseño de los procesos, ya sea dueños de proceso o líderes
funcionales, o quienes este delegue, alineado a las definiciones de roles y responsabilidades
presentes en la NCC N°47 Gestión Integral de Riesgos.
A continuación se describe cada una de las etapas del proceso.
2.1
DEFINICIÓN DEL CONTEXTO
Al definir el contexto, externo e interno, se define a su vez el alcance de la planificación del proceso
de gestión de riesgo, lo que ayuda a identificar los procesos que pueden estar sujetos a riesgos
críticos y, como tal, establecer los criterios contra los cuales se identificarán, analizarán y evaluarán
los riesgos.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
5 de 30
Para definir el contexto se debe tener en cuenta un conjunto de circunstancias o reglas internas y
externas dentro de las cuales opera la Corporación.
Entre todos estos factores pueden surgir fortalezas, debilidades, oportunidades y amenazas, en el
caso de ser necesaria la documentación de este primer análisis, como práctica recomendada se
propone el uso de la matriz FODA.
El contexto interno es en el que la Corporación funciona y busca alcanzar sus objetivos, y donde se
debe considerar:
x
x
x
x
x
Los objetivos y estrategias establecidas
El gobierno, estructura, roles y responsabilidades
Personas, sistemas y procesos
Los cambios en los procesos u obligaciones de cumplimiento (interno)
La tolerancia y apetito al riesgo
El contexto externo es el entorno en el que opera la Corporación y donde busca alcanzar sus
objetivos. Para establecer el contexto externo se deben considerar:
x
x
El entorno social, regulatorio, legislativo, cultural, competitivo, económico, financiero y político.
Las relaciones, percepciones y valores de las partes interesadas, tales como las comunidades,
el dueño, la opinión pública, entre otros.
Producto de que los riesgos corresponden a aquellos eventos potenciales de fuente interna o
externa, que afectan negativamente el logro de los objetivos, el alcance del proceso de gestión de
riesgo debe determinarse dentro del contexto de los objetivos definidos por la organización,
alineados con la estrategia. Por lo tanto, ante la falta del establecimiento de objetivos y el
entendimiento de la estrategia, la calidad de la identificación de los riesgos puede verse afectada.
2.2
IDENTIFICACIÓN DEL RIESGO
Una vez establecido el contexto, alcance y criterios a utilizar, se procederá a preparar la etapa de
identificación, para lo cual se deberán realizar las siguientes actividades:
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
6 de 30
1. Verificar el catálogo de riesgos: Mediante el catálogo de riesgos, proporcionado por la
Gerencia Corporativa de Riesgo y Control (GCRC) a través de su sistema información, se deberá
verificar si otros centros de trabajo han realizado la identificación de riesgos en el mismo
contexto. De existir un análisis previo (por otros centros de trabajo), se deberá examinar los
riesgos que hayan sido identificados, con el fin de aprovechar las sinergias y lecciones
aprendidas presentes en la Corporación.
2. Definir la metodología de identificación: La etapa de identificación debe ocurrir en el marco
metodológico que más se adecue a la situación. Así como puede ser suficiente con el
establecimiento del contexto del riesgo, también puede ser de ayuda la aplicación de
metodologías más efectivas o específicas del área funcional. En el ANEXO IV - Herramientas
Metodológicas para la identificación de riesgo se proponen distintas metodologías que
pueden ser utilizadas para la identificación del riesgo.
La aplicación de la metodología de identificación deberá buscar responder ¿Cuál es el evento
indeseado o que se tiene que evitar dado los objetivos existentes?, considerando que los riesgos
pueden surgir de causas internas o externas.
3. Identificar el riesgo: Corresponde las actividades de entendimiento, investigación,
reconocimiento de los riesgos específicos (RE). Para su ejecución es recomendable la
realización de una o más sesiones en formato de talleres, reuniones, entrevistas u otro tipo de
instancia que permita la aplicación de la metodología de identificación seleccionada.
La identificación del riesgo es más efectiva al integrar grupos multidisciplinarios, considerando
con especial cuidado la elección de los participantes que tienen por rol proveer información,
entregar criterio experto, representar a los Sistemas Especializados de Gestión de Riesgo
involucrados y al Área funcional de Riesgo y Control, siendo este último el que entrega apoyo
técnico en la aplicación del proceso.
Se recomienda diferenciar los riesgos de acuerdo con su origen, identificado los que son de
fuente interna y externa, dado que la forma de gestionar puede variar de uno a otro.
x
Los riesgos de fuente interna son exposiciones que se derivan de los procesos, los
objetivos, el uso de recursos (internos y externos) y la toma de decisiones, y son
gestionables ya que la Corporación puede influir directamente sobre estos.
x
Los riesgos de fuente externa son exposiciones que resultan de las condiciones del
entorno al que la Corporación no puede influir, como por ejemplo el entorno regulatorio,
fenómenos de la naturaleza, condiciones del mercado, entre otras.
4. Registrar el riesgo: El o los riesgos específicos identificados deben ser registrados en el registro
de los riesgos del sistema de información entregado por la GCRC, procurando que el nombre
del riesgo (o evento indeseado) no incluya causas o consecuencias.
Al momento de realizar el registro, el riesgo deberá ser asociado a un Evento de Riesgo Crítico
(ERC)1. En caso de no existir un ERC adecuado al riesgo específico, se deberá solicitar al área
1
Para mayor detalle dirigirse al punto 3 del presente documento
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
7 de 30
de riesgo y control el correspondiente análisis para catalogar el riesgo adecuadamente. Una vez
asociado el riesgo específico a un ERC, éste automáticamente se categorizará.
La etapa de análisis de riesgos puede ser ejecutada inmediatamente después de la identificación,
dicha etapa puede generar retroalimentación al proceso de identificación y por tanto mejorar el
proceso.
2.3
ANÁLISIS DE RIESGO
La metodología de análisis definida como estándar para la aplicación del MIGRC es el Bowtie, la que
consiste en un análisis del evento indeseado, identificando sus causas y consecuencias, así como
los controles asociados. Para complementar o proveer de la información necesaria para desarrollar
esta metodología, es posible realizar otros análisis utilizando metodologías que, por el contexto del
riesgo, sean más adecuadas y eficaces. Se sugiere buscar la recomendación de expertos en la
materia o recurrir a los estándares establecidos en los Sistemas Especializados de Gestión de
Riesgo, así como también utilizar las metodologías referidas en el Anexo IV de este documento.
Independiente a la metodología utilizada para el análisis, el resultado deberá ser registrado en
formato bowtie del sistema de información de la GCRC.
Para ejecutar y documentar el análisis de riesgo, se deberán considerar las siguientes actividades:
1. Identificar las causas: Las causas del riesgo pueden ser eventos externos o internos, que
pueden generar que el riesgo se materialice. Se debe evitar el uso de nombres de procesos (ej.
procesamiento de concentrado), fallas o negaciones de controles (ej. falta de monitoreo).
Además de las causas del evento indeseado, también se pueden registrar factores de
escalamiento2 de los controles.
2. Identificar las consecuencias: Las consecuencias son eventos internos o externos que
suceden producto de la materialización del evento indeseado.
3. Identificar los controles: Los controles pueden ser de tipo preventivos, detectivos o correctivos.
Se debe evitar registrar como controles los planes de acción que no se han implementado.
4. Asociar los controles a las causas y consecuencias: Como parte del registro de los riesgos,
los controles deben ser asociados a una o más causas u consecuencias del evento indeseado
según corresponda. En caso de que un control se asocie a una causa y el mismo sea asociado
a una consecuencia, se deberá realizar el análisis correspondiente para separar las actividades
de control, diferenciando las actividades preventivas de aquellas correctivas, que ocurren antes
y después del evento indeseado correspondientemente.
2
El factor de escalamiento o “escalada” es el evento, amenaza, debilidad o vulnerabilidad que puede tener un control,
el cual lo hace menos efectivo, lo degrada o impide su ejecución según lo establecido en su diseño.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
8 de 30
Ilustración 2: Diagrama Bowtie (referencial)
2.4
EVALUACIÓN DE RIESGO
La evaluación de riesgo consiste en el uso de las matrices de evaluación de impacto y
probabilidad/frecuencia para priorizar los riesgos, que comprende las siguientes actividades:
1. Evaluar la magnitud inherente de riesgo: Para determinar la magnitud inherente del riesgo,
se deberán aplicar las matrices de impacto y probabilidad/frecuencia con criterio experto, sin
considerar el efecto de los controles. Esta evaluación se desarrolla a través de un análisis
cuantitativo/cualitativo del riesgo, utilizando la Matriz Corporativa de Probabilidad/Frecuencia y
la Matriz Corporativa de Impacto (anexos II y III de este documento). Esta última debe ser
analizada en cada uno de los ámbitos, siendo descartados los que no apliquen.
El nivel de impacto inherente que se considerará para el riesgo será el mayor nivel de impacto
entre todos los ámbitos analizados, y que apliquen al riesgo evaluado, lo cual se considerará
como el “ámbito dominante”. El impacto se mide de acuerdo con las consecuencias medibles,
cuantitativa o cualitativamente, del evento indeseado.
La probabilidad dependerá de qué tan frecuente o con qué probabilidad pueden manifestarse
las causas del riesgo, considerando además el nivel de correlación de dichas causas con el
evento indeseado. Actualmente, estas consideraciones se realizan a criterio experto, y por eso
la importancia de realizar el proceso con un equipo multidisciplinario, preparado y validado con
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
9 de 30
anterioridad, además de involucrar a la segunda línea de defensa en su rol de asesor.
A través del par ordenado de Impacto y Probabilidad/Frecuencia se definirá su ubicación en el
mapa de riesgo inherente. Quedando el nivel de riesgo como alto (rojo), medio (medio) o bajo
(verde).
2. Completar la ficha del control: Una vez identificados los controles, se deberán registrar la
información básica y de atributos del control. Para facilitar este proceso se recomienda aplicar
la metodología de las 5W (Porqué y Para qué, Quien, Cómo, Cuándo), esta metodología permite
asegurar que la información vertida en la ficha de control es completa.
3. Evaluar los controles: La evaluación de los controles permite establecer un nivel de efectividad.
Esta evaluación se realiza por juicio experto (autoevaluación), tomando en consideración la
eficacia y eficiencia de los controles de acuerdo con los siguientes criterios cualitativos:
Nivel
de
Eficacia
Efectividad
Eficiencia
Alta
El control cumple con el objetivo
El beneficio del control es
propuesto. Se considera que es eficaz y
mayor al costo de este.
confiable en todo momento.
Media
El control no cumple con el objetivo
El beneficio del control es
propuesto, sin embargo, sí reduce la
igual al costo de este.
magnitud del riesgo. Puede mejorarse.
Baja
El control no cumple con el objetivo
El beneficio del control es
propuesto. El control se considera
menor al costo de este.
ineficaz y es necesario mejorarlo.
Luego, la efectividad del control se define según la combinación de eficacia y eficiencia, de
acuerdo con lo siguiente:
Eficacia
Eficiencia
Alta
Alta
Alta
Media
Media
Alta
Alta
Baja
Media
Media
Baja
Alta
Media
Baja
Baja
Media
Baja
Baja
Efectividad
Alta
Media
Baja
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
10 de 30
Esta metodología podrá ser complementada por definiciones del Sistema Especializado de
Gestión de Riesgo. La evaluación de los controles deberá ser certificada, esta instancia tiene por
objetivo dar un mayor nivel de certeza con respecto al control, realizando una revisión del diseño
e implementación del control. Esta actividad, así como la etapa de Monitoreo y Revisión de los
controles, tienen por objetivo evitar la degradación de los controles, ya que de ocurrir puede
exponer a la Corporación a la materialización de un riesgo inherente potencialmente indeseado.
4. Evaluar la magnitud residual de riesgo: Habiendo evaluado la efectividad de los controles,
corresponde determinar la magnitud residual del riesgo, de la misma forma que la evaluación
inherente, pero esta vez considerando el efecto de los controles sobre la probabilidad (controles
preventivos) y los impactos (controles correctivos).
Al igual que la evaluación inherente, el nivel de impacto residual que se considerará para el
riesgo, será el mayor nivel de impacto entre todos los ámbitos para el riesgo evaluado, lo cual
se considerará como el “ámbito dominante”.
Luego, a través del par ordenado de Impacto y Probabilidad/Frecuencia se definirá su ubicación
en el mapa de riesgo residual.
Si bien la evaluación residual sigue siendo por criterio experto, se debe considerar en esta etapa,
los siguientes aspectos:
-
La efectividad de los controles: controles con alta efectividad disminuirán en mayor grado
la evaluación inherente, respecto de controles con efectividad media o baja. Controles con
baja efectividad no necesariamente disminuirán la evaluación inherente.
-
Tipo de control: los controles preventivos permiten disminuir sólo la probabilidad/frecuencia
del riesgo, mientras que los controles correctivos mitigan (disminuyen) los impactos del
riesgo materializado. Por otra parte, los controles detectivos son acciones que de manera
independiente no previenen ni mitigan los riesgos, sino cuando se complementan con
controles preventivos y correctivos.
5. Determinar los controles críticos: Para focalizar los esfuerzos de monitoreo y revisión, el
MIGRC define una serie de criterios para identificar el control crítico (Ver anexo V). Estos
controles son relevantes al momento de priorizar el uso de los recursos.
6. Identificar al Dueño del Riesgo: Uno de los aspectos importantes del proceso de evaluación
de los riesgos, es determinar el dueño del riesgo, por el rol que debe cumplir dentro del proceso.
Para definir el dueño del riesgo, se tomará en consideración la evaluación inherente del riesgo,
donde se han definido 4 zonas, como se muestra en la siguiente ilustración.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
11 de 30
Ilustración 3 Zonas de criticidad para la asignación de Dueños de Riesgo
En función de esto, los dueños de cada riesgo se deberán definir de acuerdo con la siguiente
tabla:
Zona
Dueños Riesgos
Corporativo
Dueños Riesgos
Divisiones
Dueños Riesgos
Vicepresidencia Proyectos
1
Vicepresidentes
Gerentes Generales (1)
Gerentes Operaciones
2
Gerentes Corporativos
Gerentes Divisionales
Gerentes de Proyectos
3
Directores
Superintendentes / Directores
Directores
4
Jefaturas
Jefaturas
Jefaturas
(2)
Vicepresidente de Proyectos
(3)
(4 )
(1) Para la Vicepresidencia de Operaciones Norte, se considerarán la Gerencia Desarrollo Distrito Norte, Gerencia
Asuntos Comunitarios y Sustentabilidad Distrito Norte, Gerencia Mantenimiento Distrito Norte y Consejería Jurídica,
como dueños de riesgos nivel 1, en aquellos casos que corresponda, lo cual deberá ser validado por el Vicepresidente
de Operaciones.
(2) Para las Divisiones que tienen Gerentes Operacionales, ellos serán los dueños de los riesgos nivel 1 Operacionales.
(3) Para Proyectos que no tienen Gerentes de Proyectos, el dueño del riesgo será el Director de Proyecto
(4) Para Proyectos que no tienen Directores de Proyectos, el dueño del riesgo será el Jefe de Proyecto
2.5
TRATAMIENTO
Como resultado de la evaluación de riesgo residual, corresponde decidir cuál será la estrategia de
respuesta tendrá que ser aplicada de acuerdo con el apetito al riesgo. Para eso se deberá considerar
el nivel de riesgo residual en el mapa de riesgos. El mapa de riesgos se divide en 3 niveles de
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
12 de 30
riesgos: Alto, Medio, Bajo, lo que ayuda a priorizar las acciones necesarias para la gestión de
estos. A continuación se presenta la descripción y criterios asociados a cada nivel de riesgo:
Nivel de Riesgo Descripción
Críterio
Para estos casos, se deberá evaluar la estrategia de tratamiento
considerando:
- Si la estrategia elegida es practicable
- Los costos de la estrategia son alcanzables o factibles
- Si existen aspectos legales, regulatorios o de compromisos
Riesgo indeseable
internos a los que la Corporación esté obligada a cumplir.
o tolerable
Ante el resultado de dicho análisis se deberá justificar la estrategia de
tratamiento, la cual puede incluir la aceptación del riesgo.
Alto
Riesgo intolerable
Medio
Riesgo aceptable o No es necesario generar nuevas medidas de control, este tipo de
apetito de riesgo
riesgos se deben mantener en el monitoreo
Bajo
Ilustración 4: Criterio para definir estrategia de tratamiento del riesgo
A continuación se describen las actividades de la etapa de tratamiento:
1. Establecer una estrategia: De acuerdo con el nivel de riesgo en el mapa de riesgo residual y
el criterio corporativo, el Dueño del Riesgo deberá determinar la estrategia de tratamiento a
seguir, las cuales pueden ser:
Estrategia de
tratamiento
Descripción
Aceptar
Se decide aceptar el riesgo sin realizar otras acciones
Reducir
Transferir
Eliminar
Se decide establecer planes de acción que pueden influir en la
probabilidad/frecuencia de ocurrencia y/o el impacto del riesgo
Se decide compartir o transferir completamente el riesgo a un tercero,
manteniendo las acciones de monitoreo del riesgo
Se decide evitar o eliminar el riesgo mediante la modificación de las
condiciones originales (riesgo inherente)
2. Definir el riesgo objetivo: Para determinar el alcance del plan de acción, el dueño del riesgo
debe establecer un nivel de riesgo objetivo, para esto se deberá revisar el riesgo objetivo
establecido previamente o definirlo de acuerdo con el apetito al riesgo. Si el riesgo objetivo ya
se encuentra definido, este deberá ser revisado y de ser necesario actualizado.
3. Definir el plan de acción: Para el diseño del plan de acción, el Dueño del Riesgo y el Gerente
del Área o Dueño del Proceso (ad hoc) o, en su defecto, a quien delegue esta función, debe
realizar las siguientes actividades:
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
13 de 30
x
Identificar el objetivo del plan de acción.
x
Valorizar el plan de acción, de tal forma de solicitar los recursos necesario para su
ejecución, ya sea vía presupuesto de inversiones (CAPEX) o vía presupuesto de
operaciones (OPEX)
x
La definición del plan de acción deberá contar con un análisis costo-beneficio que
fundamente la toma de decisión con respecto a la gestión de riesgo. En caso de que
este análisis indique que se debe aceptar un nivel de exposición en zona alta, esta
decisión deberá ser validada por el Presidente Ejecutivo y el Directorio, con
recomendación del CACE.
x
Definir el Dueño del Plan de Acción y responsables de actividades.
x
Registrar la información del plan de acción según lo indicado en el instructivo GR-I001 Registro de Riesgos.
x
Definir la fecha en la cual el riesgo alcanzará su evaluación objetivo, lo cual es de
responsabilidad del Dueño del Riesgo.
Estas actividades podrán ser realizadas con el apoyo de asesores del área de Riesgo y Control o
asesores del Sistema Especializado de Gestión de Riesgo.
4. Ejecutar el plan de acción:
x El o los responsables de las actividades contenidas en el plan de acción deben registrar los
avances y respaldos en el medio que sea provisto por la Corporación para estos fines.
x El Dueño del Plan de Acción, debe velar porque éste se ejecute en la calidad y plazos definidos.
Además, debe reportar problemas y atrasos de la implementación del plan de acción al dueño
del riesgo.
x Una vez ejecutado el plan de acción, corresponde realizar una nueva evaluación del riesgo
inherente o residual, de acuerdo con el objetivo que tenga el plan de acción.
2.6
MONITOREO Y REVISIÓN
El monitoreo y revisión es una de las actividades que busca evitar la degradación de los controles
y la implementación de los planes de acción de manera oportuna. Las actividades a continuación
son conducidas por la Gerencia Corporativa de Riesgo y Control y Direcciones Divisionales
correspondientes.
2.6.1 MONITOREO Y REVISIÓN DE LOS RIESGOS
Cada dueño de riesgo será responsable de monitorear sus riesgos, para lo cual deberá generar o
participar en las instancias correspondientes (ej. Comité Divisional de Riesgo). Este monitoreo y
revisión contempla las siguientes actividades:
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
14 de 30
1. Revisar la evolución y el estado de los riesgos
2. Revisar las acciones que se están realizando con respecto al riesgo (estado de los controles,
avance de planes de acción, monitoreo y revisión de los controles y planes de acción).
3. De ser necesario, evaluar las alternativas o estrategias de tratamiento de acuerdo con el
proceso de gestión de riesgo.
2.6.2 MONITOREO Y REVISIÓN DE CONTROLES
El monitoreo y revisión de controles comprende el levantamiento y revisión de las evidencias de
los controles críticos que han sido certificados. Para esto se deben realizar las siguientes
actividades:
1.
2.
3.
4.
5.
6.
Establecer el tipo de monitoreo (permanente o planificado)
Establecer el periodo a monitorear
Determinar la muestra
Recoger las evidencias
Revisar las evidencias
Generar reporte de monitoreo y revisión
2.6.3 MONITOREO Y REVISIÓN DE PLANES DE ACCIÓN
La actividad de monitoreo de planes de acción tiene las siguientes actividades:
1. Seguimiento del estado de los planes de acción
2. Aviso del estado de planes de acción a los dueños de riesgo
3. Generar reporte de monitoreo de planes de acción
2.7
COMUNICACIÓN Y REPORTE
Esta etapa ocurre en paralelo a las etapas anteriores buscando mantener una comunicación
constante en cada una de las etapas del proceso. Específicamente se busca:
x Comunicar los riesgos identificados, para todas las partes interesadas, en busca de sinergias y
de posibles riesgos no detectados.
x Levantar y/o comunicar riesgos emergentes identificados para alertar a otras posibles áreas
afectadas.
x Comunicar la evaluación de los riesgos para que sean comparables con las de algún riesgo
relacionado de otra Gerencia, División o Vicepresidencia.
x Comunicar la matriz de riesgo residual del periodo en análisis, como resultado de la gestión de
riesgo.
x Consolidar resultados y desarrollar los reportes y presentaciones requeridas para cada uno de
los comités y reuniones de trabajo realizando las validaciones necesarias para la presentación de
los reportes.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
15 de 30
x Desarrollar y/o consolidar reportes de gestión de riesgo y controles, solicitados por auditoría y
entidades regulatorias.
Las instancias de reporte y comunicación se darán, a lo menos, en los comités que se encuentran
normados en la NCC N°47 Gestión Integral de Riesgos.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
16 de 30
3 ELEMENTOS PARA EL REGISTRO DEL PROCESO DE
GESTIÓN DE RIESGOS
3.1
CATEGORIZACIÓN DE RIESGOS
El MIGRC establece que los riesgos deben ser agrupados en categorías, con el fin de reducir su
granularidad hasta lograr que sean gestionables, habilitando a la Corporación a especializarse y
focalizar los recursos necesarios en gestionar los riesgos de una manera efectiva. El modelo
establece una categorización en 5 niveles, lo que se esquematiza en la siguiente figura:
La Corporación se expone a 4 familias de riesgos, estos son:
x
Estratégico: Riesgos de la planificación y las decisiones estratégicas que la Corporación realiza
para lograr sus objetivos.
x
Operacional: Riesgos o eventos de pérdida producto de fallas de los procesos, personas,
sistemas o eventos externos.
x
Financiero: Riesgos de la planificación, gestión y reporte en materia de recursos financieros.
x
Cumplimiento: Riesgos con respecto al cumplimiento de leyes, normas y estándares aplicables
a Codelco, ya sea internos o externos.
Estas familias (nivel 1) a su vez se componen de categorías (nivel 2), subcategorías (nivel 3) y
eventos de riesgo (nivel 4), siendo éstos últimos los que corresponden a riesgos genéricos que
permiten consolidar los riesgos específicos (nivel 5) a un nivel Corporativo y de reporte.
El riesgo específico corresponde al evento indeseado, con sus causas y consecuencias, al cual se
le aplica el proceso de gestión de riesgo.
La categorización de riesgos se realiza mediante el proceso de gestión de catálogo, el que genera
un registro correlativo en un “Catálogo de Riesgos”.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
17 de 30
Las actualizaciones del catálogo de riesgos quedan reflejadas en Directic RM, sistema de
información que actualmente utiliza la Corporación para registrar el proceso de gestión de riesgos,
y que administra la Gerencia Corporativa de Riesgo y Control.
3.2
MATRIZ DE EVALUACIÓN DE RIESGOS
Las matrices de probabilidad/frecuencia y de impacto son herramientas de evaluación cuantitativa y
cualitativa sobre la probabilidad/frecuencia de ocurrencia de un riesgo y el impacto que éste
ocasionaría en caso de su materialización.
Estas matrices corresponden a una métrica común, que debe aplicarse a todos los riesgos, y que
reflejan el apetito al riesgo del Directorio de Codelco, y por lo tanto del dueño, y que obedecen a las
leyes, normativas y regulaciones a los que están afectos los procesos de Codelco (Ver Anexos I y
II).
3.3
MAPA DE RIESGO
Para asegurar el correcto uso de los recursos de la Corporación, se define un mapa de riesgo que
representa de manera gráfica la priorización del conjunto de los riesgos. En este mapa se identifican
zonas de criticidad: roja (alta); amarilla (media); verde (baja) y que puede ser revisada en el Anexo
III.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
4
VERIFICACIÓN DE CUMPLIMIENTO
4.1
Monitoreo a las modificaciones en la evaluación de riesgo
18 de 30
Semanalmente la Gerencia Corporativa de Gestión de Riesgo, en su rol de asesor,
revisará la justificación de los riesgos que entren o salgan de un nivel de riesgo alto (ya
sea inherente, residual u objetivo). Dicha revisión será realizada en las reuniones
semanales de la Gerencia, la que de no realizarse se postergará para una siguiente
sesión, y no más allá de un mes de haber realizada la modificación. Esta revisión será de
responsabilidad del Gestor Senior de Riesgo y Control con aprobación del Gerente
Corporativo de Riesgo y Control o en quién delegue dicha responsabilidad.
4.2
Monitoreo de adherencia al proceso
Trimestralmente la Gerencia Corporativa de Riesgo y Control emitirá indicadores clave de
desempeño (KPI) los cuales darán cuenta del nivel de adherencia al proceso de gestión
de riesgo, estos indicadores serán emitidos por el Gestor Senior de Riesgo y Control y
revisados por el Gerente Corporativo de Riesgo y Control para generar las acciones
pertinentes en cuanto a lograr la adherencia al proceso.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
19 de 30
5 ANEXOS
5.1
ANEXO I – Matriz Corporativa de Frecuencia/Probabilidad
Nivel
Descripción
Frecuencia/Probabilidad
7
Casi Seguro
Puede ocurrir más de 4 veces
por año
Se considera que ha ocurrido en
más del 90% de los API.
6
Muy Probable
Puede ocurrir hasta 4 veces por
año
Se considera que ha ocurrido
entre el 76% y 89% de los API.
5
Probable
Puede ocurrir 1 vez por año
Se considera que ha ocurrido
entre el 56% y 75% de los API.
4
Posible
Puede ocurrir 1 vez cada 2 años
Se considera que ha ocurrido
entre el 46% y 55% de los API.
3
Poco Probable
Puede ocurrir 1 vez cada 5 años
Se considera que ha ocurrido
entre el 26% y 45% de los API.
2
Remoto
Puede ocurrir 1 vez cada 10
años
Se considera que ha ocurrido
entre el 11% y 25% de los API.
1
Improbable
Puede ocurrir 1 vez en un plazo
mayor a 10 años
Se considera que ha ocurrido en
menos del 10% de los API.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
5.2
ANEXO II – Matriz Corporativa de Impacto por ámbito
Métrica para evaluación de riesgos con impacto Económico:
Descripción
Nivel Criterio de evaluación: Económico
Crítico
7
Mayor a US 100 Millones
Muy Alto
6
Menor a US 100 Millones
Alto
5
Menor a US 50 Millones
Significativo
4
Menor a 25 Millones
Medio
3
Menor a 5 Millones
Bajo
2
Menor a 1 Millones
Muy Bajo
1
Menor a 0,5 Millones
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
20 de 30
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
21 de 30
Métrica para evaluación de riesgos con impacto en Seguridad y Salud Ocupacional
Descripción
Nivel Criterio de evaluación: Seguridad y Salud Ocupacional
Crítico
7
Fatalidad de más de 2 o más personas o incapacidad permanente de 2 o más personas
(accidente grave de acuerdo con la legislación).
Muy Alto
6
Fatalidad de 1 persona o incapacidad permanente de 1 persona (accidente grave de
acuerdo con la legislación).
Alto
5
Lesión con incapacidad temporal de 2 o más personas (accidentes CTP).
Significativo
4
Lesión con incapacidad temporal de 1 persona (accidente CTP).
Medio
3
Lesiones no incapacitantes (accidentes STP).
Bajo
2
Incidentes que requieren de primeros auxilios.
Muy Bajo
1
Cuasi incidentes, sin personas lesionadas.
Nota: La aplicación de este ámbito de impacto deberá considerar la aplicación de la metodología de
integración, la que traduce las evaluaciones realizadas con la matriz utilizada en el SIGO al modelo
corporativo. Dicha metodología deberá ser comunicada y mantenida vigente por la Gerencia Corporativa
de Seguridad y Salud Ocupacional en común acuerdo con la Gerencia Corporativa de Riesgo y Control.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
22 de 30
Métrica para evaluación de riesgos con impacto Medio Ambiental
Descripción
Nivel Criterio de evaluación: Medio Ambiental
Crítico
Muy Alto
Alto
Significativo
Medio
Bajo
Muy Bajo
7
x Se afecta de forma permanente a la salud de la población o a las condiciones
originales del medio, o
x Aumento de valores límites de emisiones, ruido, concentraciones o periodos
establecidos, implicando una falta que puede suspender o paralizar las operaciones
o revocar la Resolución de Calificación Ambiental.
6
x Se afecta a la salud de la población implicando un daño puntual prolongado, o la
alteración de las condiciones originales del medio son reversibles en un tiempo mayor
a 5 años.
x Aumento de valores límites de emisiones, ruido, concentraciones y periodos
establecidos, implicando una falta grave o gravísima.
5
x Se afecta a la salud de la población implicando un daño temporal, o la alteración de
las condiciones originales del medio son reversibles en un tiempo entre 6 meses a 5
años.
x Se superan los valores límites de emisiones, ruido, concentraciones y periodos
establecidos, implicando una falta leve.
4
x La alteración de las condiciones originales del medio es reversible en un tiempo entre
3 a 6 meses, o
x Se llega al 80 % respecto de los límites de emisiones, ruido, concentraciones y
periodos establecidos.
3
x La alteración de las condiciones originales del medio es reversible en un tiempo entre
1 a 3 meses, o
x Se llega al 50 % respecto de los límites de emisiones, ruido, concentraciones y
periodos establecidos en normas.
2
x La alteración de las condiciones originales del medio es reversible en un tiempo menor
a 1 mes, o.
x Valores mínimos de emisiones, ruido, concentraciones y periodos establecidos, no se
presenta un incumplimiento.
1
x La alteración de las condiciones originales del medio prácticamente no ha manifestado
cambios, o
x Se originan o se podrían originar alteraciones que son minimizadas hasta un nivel
imperceptible.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
23 de 30
Métrica para evaluación de riesgos con impacto en Comunidades
Descripción
Crítico
Muy Alto
Alto
Significativo
Medio
Bajo
Muy Bajo
Nivel
Criterio de evaluación: Comunidades
7
Permanente.
x Intervención, uso o restricción del acceso a recursos naturales de sustento para la comunidad.
x Restricción a la conectividad de la comunidad (desplazamiento).
x Daño a la infraestructura individual, social o comunitaria.
x Traslado de la población.
x Limitación al ejercicio de sus manifestaciones culturales y tradicionales.
x Daño a la salud de la población (aire, agua).
6
Mayor a 5 años.
x Intervención, uso o restricción del acceso a recursos naturales de sustento para la comunidad.
x Restricción a la conectividad de la comunidad (desplazamiento).
x Daño a la infraestructura individual, social o comunitaria.
x Traslado de la población.
x Limitación al ejercicio de sus manifestaciones culturales y tradicionales.
x Daño a la salud de la población (aire, agua).
5
Entre 1 y 5 años.
x Intervención, uso o restricción del acceso a recursos naturales de sustento para la comunidad.
x Restricción a la conectividad de la comunidad (desplazamiento).
x Daño a la infraestructura individual, social o comunitaria.
x Traslado de la población.
x Limitación al ejercicio de sus manifestaciones culturales y tradicionales.
x Daño a la salud de la población (aire, agua).
4
Entre 6 y 12 meses.
x Intervención, uso o restricción del acceso a recursos naturales de sustento para la comunidad.
x Restricción a la conectividad de la comunidad (desplazamiento).
x Daño a la infraestructura individual, social o comunitaria.
x Traslado de la población.
x Limitación al ejercicio de sus manifestaciones culturales y tradicionales.
x Daño a la salud de la población (aire, agua).
3
Entre 3 y 6 meses.
x Intervención, uso o restricción del acceso a recursos naturales de sustento para la comunidad.
x Restricción a la conectividad de la comunidad (desplazamiento).
x Daño a la infraestructura individual, social o comunitaria.
x Traslado de la población.
x Limitación al ejercicio de sus manifestaciones culturales y tradicionales.
x Daño a la salud de la población (aire, agua).
2
Menor a 3 meses.
x Intervención, uso o restricción del acceso a recursos naturales de sustento para la comunidad.
x Restricción a la conectividad de la comunidad (desplazamiento).
x Daño a la infraestructura individual, social o comunitaria.
x Traslado de la población.
x Limitación al ejercicio de sus manifestaciones culturales y tradicionales.
x Daño a la salud de la población (aire, agua).
1
Puntual.
x Intervención, uso o restricción del acceso a recursos naturales de sustento para la comunidad.
x Restricción a la conectividad de la comunidad (desplazamiento).
x Daño a la infraestructura individual, social o comunitaria.
x Traslado de la población.
x Limitación al ejercicio de sus manifestaciones culturales y tradicionales.
x Daño a la salud de la población (aire, agua).
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
24 de 30
Métrica para evaluación de riesgos con impacto Reputacional
Descripción Nivel Criterio de evaluación: Reputacional
x
Crítico
7
x
x
x
Muy Alto
6
x
x
x
Alto
5
x
x
x
Significati
vo
4
x
x
x
Medio
3
x
x
x
Bajo
2
Muy Bajo
1
x
x
x
x
x
Evento grave que causa un rechazo generalizado, provoca movilizaciones sociales y/o
protestas por el daño generado a las personas, el medioambiente o al patrimonio
económico, el que incluso puede no estar bien identificado.
El daño en la reputación es permanente afectando a la Corporación.
La cobertura se desarrolla en los principales medios y plataformas a nivel nacional e
internacional con intensa interacción de las redes sociales.
Evento grave que genera conmoción pública por el daño generado a las personas, el
medioambiente o al patrimonio económico.
El daño en la reputación es de largo plazo afectando a la Corporación.
La cobertura se desarrolla en algunos medios y plataformas de alcance nacional e
internacionales con intensa interacción de las redes sociales.
Evento grave que causa alto interés de la opinión pública por el daño generado a las
personas, el medioambiente o al patrimonio económico.
El daño en la reputación es de mediano plazo afectando a la Corporación o varias
Divisiones.
La cobertura se desarrolla en los principales medios y plataformas de alcance nacional
con intensa interacción de las redes sociales.
Evento negativo que causa la atención de los medios nacionales y de las redes sociales
porque se aleja de los parámetros aceptados – normativa o socialmente – de
comportamiento de la Corporación.
El daño en la reputación es relevante en el corto plazo.
La cobertura se desarrolla en todos los medios y plataformas de alcance nacional.
Evento negativo que causa la atención de los medios nacionales y de las redes sociales
porque se aleja de los parámetros aceptados – normativa o socialmente – de
comportamiento de la Corporación.
El daño en la reputación es Divisional y puntual.
La cobertura se desarrolla en varios medios de alcance nacional.
Evento negativo local, acotado y circunscrito a quienes lo conocen, sin lograr instalarse
en la agenda pública.
El daño en la reputación es Divisional y puntual.
La cobertura se desarrolla en un medio de alcance nacional sin generar interacciones
relevantes en las redes sociales.
Evento que concita rechazo local.
No genera daño en la reputación de la Corporación.
La cobertura se desarrolla por medios a nivel local sin generar interacciones relevantes
en las redes sociales.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
25 de 30
Métrica para evaluación de riesgos con impacto Legal
Descripción Nivel Criterio de evaluación: Legal
Crítico
Muy Alto
7
6
x
Infracciones o falta o invalidez de algún título o permiso necesario que impliquen el cierre
permanente de alguna operación o destitución de algún miembro del Directorio o
Presidente Ejecutivo.
x
Infracciones o falta o invalidez de algún título o permiso necesario para la operación de
una o más Divisiones por parte de la autoridad.
Multas o infracciones por actos de corrupción asociados a la responsabilidad penal de la
empresa. (Detención prolongada entre 5 a 7 meses).
x
x
Alto
5
Significati
vo
4
Medio
x
Multas y procesos judiciales por conductas delictuales que puedan resultar en condenas
a Ejecutivos; Investigaciones por alguna comisión del Congreso.
Investigaciones por actos de corrupción asociados a la responsabilidad penal de la
empresa. (Detención prolongada entre 3 a 5 meses en un área acotada).
x
Incumplimiento de leyes y reglamentos que regulan las actividades de Codelco con
consecuencias en las operacionales (detención prolongada entre 1 a 3 meses en un área
acotada).
3
x
Incumplimiento de leyes y reglamentos que regulan las actividades de Codelco con
consecuencias menores en las operacionales (detención temporal en un área acotada).
Bajo
2
x
Incumplimiento de leyes y reglamentos que regulan las actividades de Codelco sin
consecuencias operacionales.
Muy Bajo
1
x
Temas legales de nulo o mínimo impacto.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
5.3
26 de 30
ANEXO III – Mapa de Riesgos
Tanto para la matriz de probabilidad como para la de impacto se han definido 7 niveles, donde el par
ordenado de Impacto-Frecuencia/Probabilidad define una ubicación en el mapa de riesgo, en el cual
cada “celda” representa una magnitud de riesgo.
Así, las magnitudes de riesgo entre 12 y 19 se encuentran en la zona de exposición alta; las
magnitudes entre 7 y 11, en la zona amarilla; y las magnitudes entre 1 y 6, en la zona verde.
El nivel de impacto que se graficará en el mapa de riesgos será el peor escenario que se dé entre
todos los ámbitos para el riesgo evaluado, lo cual se considerará como el “ámbito dominante”.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
5.4
27 de 30
ANEXO IV - Herramientas Metodológicas para la identificación de riesgos
Las metodologías utilizadas en la gestión de riesgo poseen características que permiten
diferenciarlas y establecer a cuál de ellas recurrir, cuándo deben utilizarse, los resultados esperables
de cada una y la necesidad de complementación con otras metodologías.
Las metodologías se realizan junto con equipos multidisciplinarios y la presencia de un especialista
de riesgos con experiencia en el uso de la metodología que se aplicará, que coordina y que guía las
reuniones de trabajo. Esto facilita la canalización de la experiencia personal de los trabajadores, el
conocimiento de aspectos específicos de los procesos o activos, sus riesgos, controles, posibles
mejoras y lecciones aprendidas.
A continuación, se presenta una tabla con el resumen de algunas de las metodologías más utilizadas
para la identificación de riesgos, incluyendo una breve descripción, su alcance, ventajas, desventajas
y sus requerimientos:
Metodología Descripción
Ventajas
Desventajas
Check List
- Requiere tiempo para desarrollar
listas de comprobación adecuadas
- Deductiva y cualitativa.
para el proceso o activo en análisis.
- No
se requiere
de mucha
- Lista con detalles de los aspectos
- No es recomendable para nuevos
experiencia para su ejecución.
relacionados con la seguridad que
- Se puede utilizar a pesar de no
diseños o proyectos greenfield.
se espera de un proceso o activo
contar con mucha información - Solo examina el proceso o activo
basada en experiencia del
desde el punto de vista de
disponible.
pasado.
cumplimiento
de
una
norma,
- Es útil para procesos o activos
- Determina la adecuación del
reglamento
o
procedimiento
sencillos por su facilidad de
proceso o activo a un determinado
deducción.
determinado.
procedimiento o reglamento.
- No es útil para procesos o activos
complejos.
What If
- Pueden
pasar
desapercibidos
- Simple y fácil de usar.
algunos riesgos al ser poco
- Deductiva y cualitativa.
- Útil para entrenar al personal en la
- Cuestiona la presencia de
sistemática.
identificación de riesgos.
sucesos indeseados que pueden
- Sólo sirve para procesos sencillos.
- Ayuda a formar un registro inicial de
provocar consecuencias adversas
- Es recomendable realizarlo sobre
riesgos en una operación existente
a partir de la pregunta "qué pasa
Check List o sobre una secuencia de
como base para un análisis de
actividades que también requieren
si..."
riesgos más riguroso.
trabajo en construir.
HAZID
- Inductiva y cualitativa.
- Se realiza una lluvia de ideas
guiada
por
palabras
guía
asociadas a familias, categorías
y/o subcategorías de riesgo con el
fin de categorizar y priorizar los
riesgos.
- Detecta en etapas tempranas
riesgos para considerarlos en el - Requiere
de
una
segunda
metodología una vez que se disponga
diseño del proyecto.
de mayor detalle, para completar el
- Entrega recomendaciones para
análisis realizado.
llevar a cabo en las siguientes fases
de del proyecto
- Si bien, las palabras guía tratan de
- Sirve para formar un registro inicial
hacer que la identificación de riesgos
de riesgos en una instalación
adquiera cierta sistematización, ésta
existente.
resulta del desarrollo de una lluvia de
ideas, por lo que se basa en la
- Base para identificar escenarios
experiencia de la mesa de trabajo.
para un análisis de riesgos más
riguroso.
HAZOP
- Inductivo y cualitativo.
- Estructurada y sistemática.
- Requiere personal experto y, por
- Identifica riesgos de operatividad a - Incrementa la probabilidad de
tanto, suele ser más costoso.
través de desviaciones de los
identificar la mayoría de los riesgos. - No es una técnica apropiada para
parámetros
normales
de - Sirve para analizar riesgos de
evaluar los riesgos relacionados con
operación y/o diseño. Estas
procesos complejos y/o de riesgo de
la ubicación de la instalación,
desviaciones
se
analizan
alto impacto.
problemas de mantenimiento de las
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
Metodología Descripción
Ventajas
28 de 30
Desventajas
sistemáticamente, a través de - Forma una base de registro de
todo el proceso, con ayuda de
riesgos para un proceso o activo
palabras guía.
existente.
- Utilizarse de base para identificar
escenarios para un análisis de
riesgos más riguroso.
instalaciones,
las
causas
de
fallas del equipo y componentes de
los sistemas mecánicos y eléctricos.
Cabe destacar que las metodologías para la identificación tienen las siguientes limitaciones:
x
x
x
No aseguran que todos los riesgos sean identificados ni tampoco que todas las causas y
consecuencias hayan sido tomadas en cuenta para los riesgos identificados, solo son de ayuda
para su identificación.
Los resultados son subjetivos por lo que, probablemente, un mismo análisis hecho por distintos
expertos no posea los mismos resultados. Es decir, el mismo estudio en las mismas
condiciones puede dar resultados diferentes.
Los resultados que se obtienen de estas metodologías dependen de la experiencia del
especialista de riesgos en la metodología utilizada, las personas en la mesa de trabajo en
cuestión, y su creatividad en el momento de imaginar los posibles riesgos. Es decir, la
experiencia de los involucrados es más importante que la metodología usada .
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
5.5
29 de 30
ANEXO V – Criterio de identificación del control crítico
Son aquellos que ante su degradación (falla, deficiencia u omisión), la exposición al riesgo asociado se
materializará, impactando a la consecución de los objetivos y/o de la estrategia de la Compañía.
Los siguientes son los criterios para la identificación del control crítico son:
1. El control es crítico si para alguna de estas preguntas la respuesta es afirmativa:
a. ¿De manera independiente reduce o mitiga el riesgo al nivel tolerable o aceptable? Sí,
entonces es un control altamente efectivo.
b. ¿Mejora el desempeño de otro control, hasta hacerlo altamente efectivo? Sí, entonces es
un control complementario.
c. ¿Está presente en más de un riesgo crítico? Sí, entonces es un control transversal;
d. ¿Es el único asociado al riesgo? Sí, entonces es un control único;
e. ¿Es considerado crítico a criterio del evaluador o dueño del proceso? Sí, entonces es un
control prioritario.
Si no cumple ninguna de las condiciones anteriores, entonces no es un control crítico
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Gerencia Corporativa de Riesgo y Control
Código:
GCRC-P-004
Revisión: 00
Procedimiento para la Gestión Integral de Riesgos
Vigencia: 15-10-2019
Página:
30 de 30
6 CONTROL DE CAMBIOS
Revisión
Fecha
Comentarios
0
15-10-2019
Primera Emisión - deroga, deja sin efectos y reemplaza al
procedimiento para la Gestión de Riesgos Corporativos,
Revisión 3 – Versión 4 del año 2012.
Información de Uso Interno – Propiedad de Codelco | 2019
Divulgación a terceros sólo previo consentimiento del Área Coordinadora
Ejemplar Vigente publicado en Intranet ¡Copia impresa es documento no controlado!
Si encuentra un ejemplar impreso de este documento, favor entréguelo a Asistente del área
Documentos relacionados
Términos y condiciones de la promoción El Financiero más El País
Términos y condiciones de la promoción El Financiero más El País
Desde Biblioteca sugerimos se agregue el siguiente texto
Desde Biblioteca sugerimos se agregue el siguiente texto
Arqueología Mexicana. Edición Especial No.39. Consulta las tablas
Arqueología Mexicana. Edición Especial No.39. Consulta las tablas
C O N T
C O N T
SEGUNDO EJEMPLAR DE DIPLOMA Yo, Sol de María Soto
SEGUNDO EJEMPLAR DE DIPLOMA Yo, Sol de María Soto
Composición musical con o sin letra
Composición musical con o sin letra
VIDA EJEMPLAR Se dice que el ciclo de la vida es: nacer, crecer
VIDA EJEMPLAR Se dice que el ciclo de la vida es: nacer, crecer
Comportamiento ciudadano
Comportamiento ciudadano
la importancia de un buen manejo administrativo en base a
la importancia de un buen manejo administrativo en base a
Descargar
Anuncio
Anuncio