Procedimiento de Gestión de Riesgos Institucionales. INVIMA

ADMINISTRACIÓN SISTEMA DE GESTIÓN INTEGRADO

EVALUACIÓN Y MEJORAMIENTO CONTINUO

PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES INSTITUCIONALES Código: SGI-EMC-PR003 SGI-EMC-PR003

Versión: 03

Fecha de Emisión: 17/05/2017

Página 1 de 9

1. OBJETIVO Definir las actividades requeridas para la administración del riesgo, a partir del desarrollo de una metodología para la identificación, análisis y valoración del riesgo con el fin de definir e implementar planes de acción para mitigar los riesgos que pueden llegar a generar desviaciones de los procesos e incumplir con la Política para la Invima, los objetivos institucionales o los objetivos de los macroprocesos y Gestión Integral del Riesgo del Invima, Invima. procesos que hacen parte del Sistema Sistem a de Gestión Integrado del Invima. 2. ALCANCE Este procedimiento tiene alcance para todos los procesos del Invima y Invima y va desde la identificación de los eventos y riesgos de proceso hasta la implementación de los planes de acción o los controles a que haya lugar, para mitigar los riesgos y su posterior monitoreo. No se consideran dentro de este procedimiento los riesgos sanitarios, sanitarios , que son aquellos asociados a los establecimientos y tipos de productos vigilados por el Invima, Invima, debido a que se identifican y administran con la metodología IVC-SOA. 3. DEFINICIONES Administración de riesgos1: Conjunto de elementos de control que al interrelacionarse, permiten a la entidad pública evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos que permitan identificar oportunidades para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar sus diferentes elementos le permite a la entidad pública autocontrolar aquellos eventos que puedan y la magnitud de sus consecuencias. Activo2: Todo aquello que tiene valor para la organización. Causas: Medios, Causas: Medios, circunstancias y agentes generadores de riesgo. Contexto Estratégico: Estratégico: Insumo básico para la identificación de los riesgos en los procesos y actividades, el análisis se realiza a partir del conocimiento de situaciones del entorno de la institución, tanto de carácter social, económico, cultural, de orden público, político, legal y /o cambios tecnológicos, entre otros. Consecuencia: Son Consecuencia: Son los efectos ocasionados por la ocurrencia de un riesgo que afecta los objetivos o procesos de la entidad. Pueden ser una pérdida, un daño, un perjuicio, un detrimento. La consecuencia se convierte en un insumo de la mayor importancia, toda vez que es la base para para determinar el impacto. Control: Control: Mecanismos o estrategias establecidas para disminuir la probabilidad de ocurrencia del riesgo, el impacto de los riesgos y/o asegurar la continuidad del servicio en caso de llegarse a materializar el riesgo. 

Control detectivo: Identifican detectivo: Identifican los eventos en el momento en que se presentan.



Control preventivo: Anticipan preventivo: Anticipan eventos eventos no deseados antes de que sucedan.



Control correctivo: Aquellos que permiten, después de ser detectado el evento no deseado, el restablecimiento de la actividad.

Evaluación: Nivel Evaluación: Nivel en que se encuentra el riesgo resultado de calificarlo con base a la probabilidad y el impacto de ellos. Evaluación del control: control: Verificación y evaluación del control, determinar la calidad y efectividad de los controles internos a nivel de los procesos y de cada área organizacional responsable, permitiendo emprender las acciones de mejoramiento del control r equeridas. Evento: presencia Evento: presencia o cambio de un conjunto co njunto particular de circunstancias. Frecuencia: Medida Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces que ha ocurrido un evento en un tiempo dado.

1

Guía para la administración del riesgo, Departamento Administrativo Administrativo de la Función Pública (DAFP). 2011 ISO/IEC 27000:2009, Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la información. Visión General y vocabulario

2

E S T E D O C U ME ME N T O I MP MP R E S O E S U NA NA C O P I A N O C O N TR TR O L A D A

Para ver el documento controlado ingrese a https://www.invima.gov.co/procesos



PROCEDIMIENTO GESTIÓN DE RIESGOS INSTITUCIONALES Código: SGI-EMC-PR003

Versión: 03


Página 2 de 9

Impacto: Grado en que las consecuencias pueden generar pérdidas al Invima si se llega a materializar el riesgo. Plan de contingencia: Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad. Probabilidad: Grado en el cual es probable que ocurra un evento, este se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir. La Probabilidad puede ser medida con criterios de Frecuencia, si se ha materializado o de Factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo, aunque éste no se haya materializado. Riesgo: Es la posibilidad de ocurrencia de toda aquella situación que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos 



Riesgo inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones de control para modificar su probabilidad o impacto. Es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de éste se hagan a su interior. Riesgo residual: Nivel de riesgo que permanece luego de tomar medidas de control y opciones de tratamiento de riesgo.

Valoración: Resultado de confrontar el riesgo con la calidad de los controles existentes. Tipos de riesgos en el Invima: 













Estratégicos (RE): son los riesgos que se generan a partir de las condiciones estratégicas y de soberanía de la empresa. Pueden afectar el logro de los objetivos y las metas de las direcciones misionales, riesgos asociados a disponibilidad de capital y a la continuidad del negocio. Usualmente estos riesgos se identifican en los procesos estratégicos. Corrupción (RC): Son los riesgos que se generan de la posibilidad de que por acción u omisión, mediante el uso indebido del poder, de los recursos o de la información, se lesionen los intereses de una entidad y en consecuencia del Estado, para la obtención de un beneficio particular. Operacionales de Calidad (RO): Son los riesgos que se generan a partir de los procesos y servicios, incluyendo los aspectos relacionados con el funcionamiento y desarrollo de las operaciones. Ambientales (RA): Son los riesgos que se generan a partir de las actividades realizadas y que pueden ocasionar alguna forma de cambio al medio ambiente. Seguridad de la Información (RI): Son los riesgos que se generan a partir de la disponibilidad, protección, integridad y acceso a la información de la organización a través de su infraestructura, métodos y procesos de generación, almacenamiento, transporte, consulta y análisis. Son aquellos riesgos que atenten contra la disponibilidad, confidencialidad e integridad de la información independiente del medio en que esta se encuentre. Este tipo de riesgos serán analizados en conjunto con la Oficina de Tecnologías de la Información y las comunicaciones. Tecnológicos (RT): Son los riesgos que se relacionados con la capacidad tecnológica del Instituto y que le permite soportar la operación y toma de decisiones de cada una de sus área. Generalmente asociadas con los sistemas de información, aplicaciones, programas, plataforma tecnológica y de comunicaciones. Este tipo de riesgos serán analizados en conjunto con la Oficina de Tecnologías de la Información y las comunicaciones. Seguridad y Salud en el Trabajo (RS): Son los riesgos generados en las actividades realizadas y que pueden afectar el bienestar social, mental y físico de los trabajadores. El grupo de Talento Humano será el responsable del manejo de los riesgos laborales, sicosociales, riesgos por accidentes de trabajo y enfermedades laborales bajo las condiciones de organización, a las que pueden estar expuestos sus trabajadores, contratistas, clientes, usuarios o comunidad ubicada en el área de influencia y serán reportados en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles modelo según Norma GTC 45 ICONTEC, publicada en Intranet.

Tratamiento de Riesgos: 

Evitar: tomar las medidas encaminadas a prevenir su materialización. Es siempre la primera alternativa a considerar , se logra cuando al interior de los procesos se genera cambios sustanciales por mejoramiento, rediseño o eliminación, resultado de unos adecuados controles y acciones E S T E D O C U ME N T O I MP R E S O E S U NA C O P I A N O C O N TR O L A D A





Versión: 03


Página 3 de 9

emprendidas. Por ejemplo: el control de calidad, manejo de los insumos, mantenimiento preventivo de los equipos, desarrollo tecnológico, etc. 





Reducir: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Por ejemplo: a través de la optimización de los procedimientos y la implementación de controles. Transferir: reduce su efecto a través del traspaso de las pérdidas a otras organizaciones o dependencias, como en el caso de los contratos de seguros o a través de otros medios que permiten distribuir una porción del riesgo con otra entidad, como en los contratos a riesgo compartido. Por ejemplo, la información de gran importancia se puede duplicar y almacenar en un lugar distante y de ubicación segura, en vez de dejarla concentrada en un solo lugar, la tercerización. Asumir: luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene, en este caso, el líder del proceso simplemente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. No aplica para los riesgos de corrupción.

4. DOCUMENTOS DE REFERENCIA Ver Matriz de Requisitos Legales y Otros Ver Requisitos Normas del Sistema de Gestión Integrado 5. CONTENIDO O DESARROLLO DEL PROCEDIMIENTO ACTIVIDAD

DESCRIPCIÓN

Analizar el entorno estratégico del proceso

Identificar y registrar los eventos

Analizar los factores internos o externos del proceso que pueden generar riesgos que afecten el cumplimiento de sus objetivos; para esto, se debe analizar la plataforma estratégica, las metas, objetivos estratégicos, objetivos asociados a las políticas institucionales y objetivos de cada uno de los procesos. El análisis del contexto estratégico se realiza a partir del conocimiento e identificación de situaciones del entorno tanto de carácter social, económico, cultural, de orden público, ambiental, seguridad y salud en el trabajo, político, legal y /o cambios tecnológicos que afectan o pueden afectar al cumplimiento de los objetivos definidos en el Instituto. Hacer una lluvia de ideas para después listar los eventos que puedan generar desviación en las actividades del proceso en estudio, estos eventos pueden impedir o retrasar el logro de los objetivos del proceso, se debe realizar con la participación de los ejecutores de las actividades de los procesos y el acompañamiento del grupo del Sistema de Gestión Integrado, basados en sus experiencias, registros y análisis del procedimiento y lineamientos del proceso, lluvia de ideas, reunión de expertos, listas de verificación, análisis de peligros, controles de proceso existentes, estudios críticos, análisis de escenarios resultados de indicadores, auditorías internas y externas entre otros.

RESPONSABLE

Servidor Público de todos los procesos

Líder de proceso o servidor público de todos los procesos y Grupo de sistema de gestión integrado.

Las fuentes de información para identificar estos eventos, entre otras son: 1. Análisis de las actividades que agreguen valor y/o que el líder del proceso considere criticas de cada uno de los procedimientos del proceso.

E S T E D O C U ME N T O I MP R E S O E S U NA C O P I A N O C O N TR O L A D A





ACTIVIDAD

Versión: 03


DESCRIPCIÓN 2. Caracterización del proceso y macroproceso: Información general, objetivos, alcance Información relacionada y partes interesadas.

Página 4 de 9

RESPONSABLE

3. Indicadores y Salidas No Conformes: A partir de esta información se puede evidenciar la materialización de los eventos. 4. Matriz de identificación de aspectos y valoración de impactos ambientales y el panorama de riesgos. 5. Controles asociados a los procedimientos. 6. Entorno del proceso. Estos eventos se registran en el Formato Evaluación de Eventos SGI-EMC-FM011, donde se identifican sus posibles causas, posibles consecuencias para determinar cuáles son los eventos que requieren especial atención, los cuales serán priorizados y tratados como riesgos. Nota 1: Si, se identifica un evento de Seguridad de la

Información o Tecnológico se debe informar a la Oficina de Tecnologías de la Información, para tener en cuenta inicialmente el establecimiento de activos de información críticos asociados al proceso en análisis, para determinar si es un proceso crítico para la seguridad y privacidad de la información.

Revisar la redacción de los eventos priorizados para ajustarlos y describirlos como riesgos y las posibles causas y consecuencias, teniendo en cuenta: Descripción del riesgo: 



Estar escrito en un lenguaje común y comprensible para toda la Entidad. Evitar expresiones de negaciones. Ejemplo: No afiliar oportunamente. 



Revisar y ajustar los eventos

Inoportunidad en la afiliación

Responder fácilmente a la pregunta si ocurre el riesgo ¿Qué pérdida se genera? Es decir, permita identificar la pérdida potencial de dinero, imagen institucional, credibilidad, estatus sanitario del país, perdidas de información, etc.

Permitir establecer su ocurrencia e impacto materialización.



probabilidad en caso

Grupo de Sistemas de Gestión integrado

de de

Descripción de las posibles causas: Internas: suficiencia): desmotivación de los servidores, falta de incentivos, carrera administrativa sin posibilidades de ascenso, falta de capacitación para desarrollar proyectos o procesos, alta rotación de

Obra (competencia,



Mano



Materia Prima (información confiable, oportuna,

suficiente): falta de control sobre los canales establecidos, falta de registros de resultados de reuniones, demoras en consecución de E S T E D O C U ME N T O I MP R E S O E S U NA C O P I A N O C O N TR O L A D A





ACTIVIDAD

Versión: 03


DESCRIPCIÓN información): 

Método



Maquinaria (software, hardware): sistemas de

RESPONSABLE

(procedimientos no aplicados o inexistentes): incoherencia entre procesos establecidos y ejecutados, desconocimiento de los procesos y procedimientos por parte de los servidores, desactualización de documentos gestión ineficientes, falta de optimización de sistemas de información y tecnología, falta de coordinación de necesidades de tecnología



y Dirección (Ausencia de políticas, falta de aplicación o desconocimiento de las Políticas): estructura organizacional no acorde con procesos, indicadores mal formulados que no aportan a la gestión para la toma de decisiones, desconocimiento y falta de aplicación de políticas de operación por parte de los servidores.

Administrativa

Externas 

Económicas: Disminución del presupuesto por

prioridades del Gobierno, Austeridad en el gasto. 

Políticas: Cambio de gobierno con nuevos

planes y proyectos de Desarrollo, Falta de continuidad en los programa establecidos, Desconocimiento de la Entidad por parte de otros órganos de gobierno. 

Sociales: Ubicación de la Entidad que dificulta

el acceso al personal y al público, constantes marchas y paros en el centro de la ciudad. 

Tecnológicas: Falta de interoperabilidad con

otros sistemas, fallas en la infraestructura tecnológica, falta de recursos para el fortalecimiento tecnológico. Ambientales: Contaminación por sustancias perjudiciales para la salud, mala práctica de clasificación de residuos.



Medio



Comunicaciones Externas: Múltiples canales e

interlocutores de la Entidad con los usuarios, servicio telefónico insuficiente, falta de coordinación de canales y medios. 

Legales:

Cambios legales y normativos aplicables a la Entidad y a los procesos.

Descripción de la materialización: Posible resultado de la materialización, responder la pregunta ¿en qué caso se puede materializar el riesgo?



Descripción de las posibles consecuencias: 

Página 5 de 9

Precisar los efectos ocasionados en caso de que se materialice el riesgo identificado.

Nota 1: Para los riesgos de seguridad de la información

la oficina de Tecnologías de la información deben determinar las causas desde el punto de vista de identificación de las amenazas y vulnerabilidades. (Ver Anexo 1). Para la identificación de las consecuencias E S T E D O C U ME N T O I MP R E S O E S U NA C O P I A N O C O N TR O L A D A





ACTIVIDAD

Versión: 03


DESCRIPCIÓN

Página 6 de 9

RESPONSABLE

derivadas de los riesgos de seguridad de la información de sebe tener en cuenta adicionalmente: 1.

Listado de activos de información y su relación con cada proceso de la entidad.

2.

Lista de amenazas y vulnerabilidades con respecto a los activos y su pertenencia.

Presentar propuesta de riesgos identificados por el proceso

Una vez descritos los riesgos identificados se transcriben a la Matriz de Identificación y Valoración, Análisis y Tratamiento de Riesgos SGI-EMC-FM006 y se envía a los líderes de proceso para su aprobación y gestión.

Grupo de Sistemas de Gestión integrado

Seleccionar los riesgos a gestionar

Se analizan y se seleccionan los riesgos que a criterio del líder del proceso se deben gestionar diligenciando y reportando la información en la Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos SGIEMC-FM006.

Líder de proceso

Medir el riesgo inherente, que es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de éste se hagan a su interior. El riego inherente se analiza y se evalúa a partir de la identificación de: Analizar y evaluar el riesgo inherente.





La probabilidad, entendida como la posibilidad de ocurrencia del riesgo.

Servidores Públicos de todos los procesos

El impacto, referido al grado en que las consecuencias pueden generar pérdidas al Invima si se llega a materializar el riesgo.

Identificar los mecanismos, políticas, prácticas u otras acciones actuales que se aplican para minimizar el riesgo o potenciar oportunidades, con el fin de garantizar el desarrollo y cumplimiento de las actividades acorde a los requisitos institucionales. Se debe seleccionar el tipo de control: Preventivo: Anticipan eventos no deseados antes de que sucedan. Detectivo: Identifican los eventos en el momento en que se presentan. Identificar y valorar los controles

Correctivo: Aquellos que permiten, después de ser detectado el evento no deseado, el restablecimiento de la actividad. Este aplica para los Riesgos de Seguridad


de la Información y Riesgos Tecnológicos.

Este se debe describir teniendo en cuenta: 



Valorar Riesgo Residual

Su objetivo: ¿Qué busca hacer el control? Procedimiento: ¿Cómo se lleva a cabo el control?



Responsable: ¿Quién lleva a cabo el control?



Frecuencia: ¿Cada cuánto se realiza?



Evidencia: Registro de la ejecución del control.

Determinar la probabilidad y el impacto del riesgo después de la ejecución de los controles, es decir el riesgo residual. Para esto se debe evaluar el funcionamiento del control, su adecuada ejecución y diseño para calcular de nuevo la zona de riesgo residual, mediante las







ACTIVIDAD

Versión: 03


DESCRIPCIÓN preguntas establecidas en la pestaña Ev_Del Control de la Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos SGI-EMC-FM006.

Establecer las opciones de Manejo del Riesgo

Se debe decidir la opción para tratar los riesgos: Evitar, reducir, asumir o transferir el riesgo, estableciendo las acciones económicas, jurídicas y operativas viables para confrontar el riesgo, las cuales son acciones tendientes a reducir su probabilidad de ocurrencia o impacto de los riesgos. Evitar

Página 7 de 9

RESPONSABLE


Reducir Transferir Asumir De acuerdo con la zona del riesgo residual obtenida se tendrán en cuenta los siguientes criterios para reportar la acción de mejora: Si la zona de riesgo residual es media, alta o extrema: se debe reportar la Acción Preventiva, en el Formato de Acciones Correctivas, Preventivas y de Optimización Definir acciones para SGI-EMC-FM001 de acuerdo con el Procedimiento Acciones Correctivas, Preventivas y de Optimización tratar el riesgo o SGI-EMC-PR001. mejorar el control Los riesgos de zona baja se asumirán, a excepción de los riesgos de corrupción los cuales se deben seguir tratando.


Se debe identificar el plan de contingencia con el fin de dar continuidad a los objetivos de la entidad si el riesgo llegase a materializarse. Cada vez que se identifique o modifique un riesgo se debe enviar la Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos código SGI-EMCFM006 al correo electrónico [email protected]. El Grupo Sistema de Gestión Integrado consolida la información en el Mapa de Riesgos, la cual es publicada en el link https://www.invima.gov.co/procesos/.

Reportar Matriz de Riesgos

En el caso de que el riesgo reportado sea de Corrupción, este se debe publicar además en el Plan de Anticorrupción y Atención al Ciudadano, ubicado en el enlace de Transparencia y Acceso a la Información Pública de la página Web del Invima. Nota 1: Los

riesgos contenidos en la Matriz de identificación de peligros, valoración de riesgos y determinación de controles de Riesgos de Seguridad y Salud en el Trabajo, se pueden visualizar en la caracterización del proceso Seguridad y Salud en el trabajo o el anexo del presente procedimiento y su tratamiento se realizará de acuerdo al procedimiento Seguridad y Salud en el Trabajo GTH-SST-PR001.

Líder del Proceso Grupo Sistema de Gestión Integrado

Nota 2: La matriz de riesgos de los proyectos que se

creen en el procedimiento Formulación y Seguimiento al Plan Estratégico del Invima GDI-DIE-PR006 , estarán descritos en las hojas de vida de los proyectos y se gestionaran según la metodología del instituto. Nota 3: Los riesgos de seguridad de la información se E S T E D O C U ME N T O I MP R E S O E S U NA C O P I A N O C O N TR O L A D A





ACTIVIDAD

Versión: 03


DESCRIPCIÓN

Página 8 de 9

RESPONSABLE

reportaran en el proceso de gestión de la seguridad informática.

Realizar revisión y control sobre el comportamiento del riesgo identificado con el objetivo de: 







Monitoreo y Control de los riesgos identificados en el proceso



Asegurar que los controles sean eficaces y eficientes en el diseño y funcionamiento. Obtener más información para mejorar la evaluación de riesgos Aprender lecciones a partir de los eventos, los cambios, las tendencias, los éxitos y los fracasos. Detectar cambios en el contexto interno y externo. Valorar de nuevo el riesgo con base en la implementación de las mejoras o nuevos controles

Líder del proceso

Adicionalmente, se debe revisar el cumplimiento del plan de acción que haya sido definido si fuere el caso, de acuerdo con lo establecido en el Procedimiento Acciones Correctivas, Preventivas y de Optimización SGI-EMC-PR001, lo que permite verificar que ejecuten las actividades planeadas. Nota 1: En caso que se materialice un riesgo, se debe

generar y reportar una acción correctiva, de acuerdo Procedimiento Acciones Correctivas, Preventivas y de Optimización SGI-EMC-PR001 y se debe iniciar este procedimiento desde la actividad “ Analizar y Evaluar el Riesgo Inherente” .

Adelantar seguimiento a la Matriz de Riesgos Institucional, para vigilar el comportamiento de los riesgos, sus controles y la ejecución de las acciones de mejora. Seguimiento a la Nota 1: Las auditorías internas son una de las formas Matriz de de seguimiento a los riesgos institucionales donde se Identificación, pueden revisar los controles asociados a los riesgos y Valoración, Análisis y el tratamiento de los mismos y además permiten Tratamiento de detectar nuevos riesgos. Riesgos

Servidor Público asignado de la Oficina de Control Interno

Nota 2: El seguimiento a los riesgos de corrupción se

realiza de acuerdo con la estrategia para la construcción del plan anticorrupción y de atención al ciudadano.

6. TIEMPO MÁXIMO DEL PROCEDIMIENTO Lo establecido en el plan de acción de cada riesgo identificado 7. PUNTOS DE CONTROL Control Evaluar los eventos identificados para determinar su priorización Revisar y ajustar los eventos y describirlos

Responsable

Frecuencia

Evidencia

Líder de proceso y Servidor Público de todos los procesos

Cada vez que se requiera

Formato Diligenciado de Evaluación de Eventos SGI-EMC-FM011

Grupo Sistema de Gestión Integrado


Matriz de Identificación, Valoración, Análisis y






Versión: 03


como riesgos.

Página 9 de 9

Tratamiento de Riesgos”

Visto bueno del líder del proceso a los riesgos identificados Realizar seguimiento a las acciones preventivas generadas a partir de los riesgos identificados Seguimiento a la Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos publicada. Realizar el monitoreo de los riesgos

Líder de Proceso


SGI-EMC-FM006 entregada a cada líder de proceso Correo electrónico enviando a publicar la matriz de riesgos

Grupo Sistema de Gestión Integrado

Mensual

Matriz de seguimientos grupo Sistema de gestión integrado

Jefe de Oficina de Control Interno

Semestral

Informe de control interno.

Líder de proceso


Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos”

SGI-EMC-FM006

8. REGISTROS O DOCUMENTOS ASOCIADOS Procedimiento Acciones Correctivas, Preventivas y de Optimización SGI-EMC-PR001 Formato de Acciones Correctivas, Preventivas y de Optimización SGI-EMC-FM001 Plan de Mejoramiento - Consolidado Acciones Correctivas, Preventivas y de Optimización SGI-EMC-FM002 Matriz de Identificación, Valoración, Análisis y Tratamiento de Riesgos SGI-EMC-FM006 Formato Evaluación de Eventos SGI-EMC-FM011 9. ANEXOS Anexo 1. Amenazas y Vulnerabilidad para el análisis de los Riesgos de Seguridad de Información y Riesgos Tecnológicos. Matriz de identificación de peligros, valoración de riesgos y determinación de controles de Riesgos de Seguridad y Salud en el Trabajo.



Procedimiento de Gestión de Riesgos Institucionales. INVIMA

Recommend Documents