Código: PR-SG-02

PROCEDIMIENTO PARA LA GESTION

DE RIESGOS Versión: 01
Vigencia:
25/03/2025

1. OBJETIVOS
Establecer las directrices y el mecanismo por el cual se realice la
identificación, el análisis, evaluación, análisis, tratamiento, monitoreo, control
y comunicación de los riesgos presentes en CROMA MEDICAL IPS S.A.S. así
como las oportunidades que se generen a partir de la identificación de los
riesgos, fortaleciendo las estratégicas de la organización y la mejora de todos
los procesos.
2. ALCANCE
Todos los riesgos que se identifiquen en los diferentes procesos de la
organización cumpliendo con las directrices y etapas establecidas en el
procedimiento.
3. TÉRMINOS
 Actividad Sospechosa: Son aquellas operaciones inusuales que, de
acuerdo con razones objetivas, son identificadas como sospechosas.
 Amenaza: Elementos o factores que tienen la capacidad de causar un
daño significativo (materialización de un riesgo).
 Análisis de riesgo: proceso para comprender la naturaleza del riesgo y
determinar el nivel de riesgo.
 Áreas de impacto: Parte de la infraestructura de la Organización que
pueden ser afectadas por el desarrollo de los riesgos.
 Consecuencia: los resultados más probables y esperados del riesgo que
se evalúa, incluyendo los daños a los materiales.
 Contexto externo: Combinación de elementos ajenos a la empresa que
puede tener impacto sobre la eficacia del SGC y sobre los cuales no tiene
control. Por ejemplo: elementos sociales, políticos, económicos y
tecnológicos, entre otros.
 Contexto interno: Combinación de elementos propios de la empresa
que puede tener impacto sobre la eficacia del SGC y sobre los cuales sí
tiene control o influencia. Por ejemplo: clima organizacional, financieros,
infraestructura y estructura organizacional, entre otros.
 Contexto: Combinación de elementos internos o externos que pueden
tener impacto en la eficacia del SGC.
 Control operacional: Conjunto de disposiciones documentadas e
implementadas que se enfocan en evitar que un riesgo se materialice, o
en caso de que se materialice, su impacto sea menor.
 Corrección: Acción inmediata que busca eliminar el efecto de una
desviación. Nota: no requiere análisis de causa.
 Debe: Requisito de carácter obligatorio para demostrar la conformidad,
por medio de evidencia objetiva, con el alcance del SGC.
 Ejercicios Prácticos: Trabajo práctico que permite la comprobación de la
enseñanza teórica.
 Evaluación del riesgo: proceso de comparación de los resultados del
análisis de riesgos con los criterios del riesgo, para determinar si el riesgo,
 Código: PR-SG-02
PROCEDIMIENTO PARA LA GESTION
DE RIESGOS Versión: 01
Vigencia:
25/03/2025
su magnitud o ambos son aceptables o intolerables.
 Fuente de riesgo: elemento que solo o en combinación tiene el
potencial intrínseco de originar un riesgo.
 Gestión del riesgo. Proceso sistemático y documentado para gestionar
la identificación, análisis y evaluación, tratamiento, seguimiento,
actualización y comunicación de los riesgos.
 Identificación del riesgo: proceso para encontrar, reconocer y describir
el riesgo.
 Impacto: Magnitud del daño que puede causar la materialización de un
riesgo.
 Inspección: Evaluación de la conformidad por medio de observación y
dictamen, acompañado cuando sea apropiado de medición, ensayos o
comparación con patrones.
 Lavado de Activos. El Blanqueo de capitales, también llamado Lavado
de dinero o Lavado de Activos, es una actividad ilegal que consiste en
disimular el origen de fondos procedentes de actividades ilícitas o de
naturaleza criminal, con la finalidad de darle una apariencia legal.
 Metodología: Conjunto de métodos que se siguen en una investigación
científica o en una exposición doctrinal.
 Nivel de riesgo: magnitud de un riesgo o de una combinación de
riesgos, expresada en términos de la combinación de las consecuencias y
su probabilidad.
 Objetivo: Resultado a lograr en un período determinado, congruente con
los compromisos de la política y que debe ser medible, concreto, claro,
realizable y plantear un cambio que represente un reto para la empresa.
 Oportunidad: Beneficio o mejora que puede obtener la Organización
mediante la identificación de un riesgo.
 Probabilidad de ocurrencia: Estimación de la frecuencia con la que
puede materializarse un riesgo.
 Procedimiento: Una manera especificada de efectuar una actividad. Un
procedimiento escrito o documentado, generalmente contiene, el objeto y
el alcance de una actividad; lo que se debe hacer y quién lo debe hacer,
cuando, en donde y como se debe hacer, que materiales, equipos y
documentos se debe usar, y como se controlará y se registrará dicho
procedimiento.
 Proceso crítico: Los procesos vitales para la empresa que requieren
medidas especiales de control y seguridad.
 Registro: Documento que representa resultados obtenidos o proporciona
evidencia de actividades desempeñadas.
 Requisito: Condición que debe cumplir una empresa para demostrar
conformidad frente a su SGC.
 Responsable: Indica el funcionario de la organización que debe
garantizar la elaboración, revisión, actualización e implementación del
proceso, procedimiento o la actividad especificada.
 Código: PR-SG-02
PROCEDIMIENTO PARA LA GESTION
DE RIESGOS Versión: 01
Vigencia:
25/03/2025
 Revisión: Actividad emprendida para asegurar la conveniencia, la
adecuación y eficacia del tema objeto de revisión, para alcanzar unos
objetivos establecidos. Por ejemplo, Revisión por la Gerencia, Revisión de
los requisitos del cliente, Revisión de No conformidades, entre otros.
 Riesgo: Probabilidad de ocurrencia de un evento originada por la
exposición a una amenaza que genera un impacto o severidad.
 Severidad: Cualidad de que algo es o pueda ser nocivo.
 Simulacros: Acción(es) que se realiza(n) imitando un suceso real para
determinar la eficacia de las medidas de seguridad implementadas para
responder en caso de que se materialice un riesgo.
 Sistema de Gestión: Conjunto de elementos mutuamente relacionados
para establecer la política y los objetivos y su cumplimiento.
 Soborno: Acto por el que una persona ofrece o entrega dinero (o algún
otro bien) a otra persona, con el objetivo de persuadir y conseguir que esa
otra persona le haga un favor determinado.
 Tratamiento del riesgo: proceso para modificar el riesgo.
 Valoración Del Riesgo: Proceso global de identificación del riesgo,
análisis del riesgo y evaluación del riesgo.
 Verificación: Confirmación mediante la aportación de evidencia objetiva
de que se han cumplido los requisitos especificados.
 Vulnerabilidad: Grado de exposición frente a la amenaza. Medida del
impacto que pueda generar la materialización de un riesgo.

4. CONSIDERACIONES
4.1. Aplicación.
 Para efectos del presente procedimiento se establece como frecuencia
mínima de realización de análisis de riesgos como mínimo una vez al año.
 También se establece para que la evaluación sea desarrollada
satisfactoriamente, se realizará por los líderes de los procesos de la
Organización.

4.2. Etapas de la gestión del riesgo.

Para realizar una buena gestión de los riesgos se requiere poder realizar
varias etapas que garantizan la prevención de los mismos en los diferentes
contextos y procesos.
Para adelantar esta actividad se debe:
4.2.1.Identificación del riesgo.
En la gestión de riesgos se requiere identificar en que proceso se puede
materializar el riesgo.
Así mismo, se requiere identificar riesgos tanto internos como los externos
que pueden aparecer como resultado del análisis del contexto de la
 Código: PR-SG-02
PROCEDIMIENTO PARA LA GESTION
DE RIESGOS Versión: 01
Vigencia:
25/03/2025
Organización.
También en el proceso de identificación, se deben tener en cuenta el servicio
que presta la Organización, el alcance del Sistema integral de gestión, las
partes interesadas y los compromisos establecidos en los objetivos
organizacionales.
4.2.2.Análisis y evaluación de los riesgos.
La gestión de riesgos debe contener un análisis y evaluación, teniendo en
cuenta aspectos como: la probabilidad de ocurrencia, y el impacto que puede
generar para la organización y la prestación del servicio.
4.2.3.Establecer controles operacionales.
Teniendo en cuenta la valoración de los riesgos y su prioridad, el grupo de
trabajo establece los controles, documentando los métodos que la
organización implementa para evitar que el riesgo se materialice.
4.2.4.Seguimiento.
El seguimiento a los resultados de la gestión de riesgos se realiza por medio
de los indicadores de gestión midiendo la eficacia.
4.3. Revisión.
La gestión de riesgos como parte fundamental del Sistema de gestión de la
calidad, requiere de una revisión que garantice el cumplimiento de los
objetivos. Durante el año se realizará como mínimo una vez o cuando se
identifique cambios sustanciales en los procesos y la prestación del servicio,
el contexto de la organización y el alcance del Sistema de gestión.
4.4. Comunicación.
La comunicación de los riesgos es un proceso fundamental y de suma
importancia para garantizar que todo el personal aporte a la prevención de
riesgos como parte de sus responsabilidades; Por tal motivo todo el personal
se integrará a la gestión de riesgos que se realizará como mínimo una vez al
año.

4.5. Proceso interno (Descripción de la Matriz)

En la matriz construida se identifican los riesgos clasificándolos por el
proceso que se involucra teniendo en cuenta el mapa de procesos.
 Contexto. Se establece en qué contexto se puede presentar o
materializar el riesgo teniendo un marco de referencia
 Nombre del Riesgo Se determina el nombre del riesgo identificado.
 Código: PR-SG-02
PROCEDIMIENTO PARA LA GESTION
DE RIESGOS Versión: 01
Vigencia:
25/03/2025
 Descripción del Riesgo. Se detalla el riesgo y su forma de
materializarse.
 Causas potenciales del Riesgo. Corresponde a la identificación de
causas que provocaron la materialización del riesgo.
 Consecuencias del Riesgo. Describen los efectos que reflejan las
consecuencias de cada riesgo identificado.
 Evaluación de la Vulnerabilidad: El total de la vulnerabilidad de
cada uno de los riesgos de la Organización está compuesto por la
multiplicación de la probabilidad y la severidad siendo clasificadas
mediante las siguientes variables.
 Probabilidad:
1. Muy baja: Podría ocurrir cada tres años o más.
2. Baja: Podría ocurrir cada año
3. Media: Podría ocurrir cada seis meses
4. Alta: Podría ocurrir cada mes
5. Muy Alta: Podría ocurrir cada semana.

 Severidad o impacto
Corresponde al nivel de los aspectos de acuerdo con la valoración dada
donde se toma en cuenta la que tenga mayor valoración.

NIVEL DE SEVERIDAD O IMPACTO

ECONOMICO OPERACIONAL IMAGEN

AFECTACIÓN EN AFECTACIÓN DE VALO

NIVEL AFECTACIÓN DEL R
LAS IMAGEN DEL
PATRIMONIO
OPERACIONES SINIESTRO

Conocido solo por la

Leve Igual o menor al 1% 1 día 1
gerencia.

Conocido solo en la
Moderado Igual a menor al 2% Entre 2 y 3 días 2
empresa

Medio Igual o menor al 5% Entre 4 y 5 días Conocido por los clientes 5

Conocido por el sector

Severo Igual o menor 10% Entre 6 y 10 días 10
empresarial.
Conocido a nivel
Catastrófico Mas del 10% Mas de 11 días 20
nacional

 Nivel del Riesgo inherente

Se obtiene de multiplicar la probabilidad de ocurrencia por el impacto
de riesgo.
Convenciones
Riesgo Muy Alto: Se requiere acción y controles inmediatos y hacer
seguimiento constante.
 Código: PR-SG-02
PROCEDIMIENTO PARA LA GESTION
DE RIESGOS Versión: 01
Vigencia:
25/03/2025
Riesgo Alto: Es necesario asignar controles y hacer seguimiento
permanente.
Riesgo Medio: Es necesario hacer seguimiento y trazabilidad.
Riesgo Bajo: Se deben aplicar procedimientos y efectuar acciones de
control.
Riesgo Muy bajo: Se deben aplicar procedimientos de rutina.
MATRIZ CUALITATIVA
PROBABILIDA CONSECUENCIAS
D/
IMPACTO Muy Bajo Bajo Medio Alto Muy alto

Catastrófico Bajo Medio Medio Alto Muy Alto

Severo Muy bajo Bajo Medio Alto Muy Alto

Medio Muy bajo Bajo Medio Alto Muy Alto

Moderado Muy bajo Muy bajo Bajo Medio Alto

Leve Muy bajo Muy bajo Bajo Bajo Medio

5 Catastrófi 10 25 50
5 100
co

4 Severo 4 8 20 40 80

3 Medio 3 6 15 30 60

2 Moderado 2 4 10 20 40

1 Leve 1 2 5 10 20

Muy Bajo Bajo Medio Alto Muy alto

IMPACTO/
PROBABILID 1 2 5 10 20
AD

 Controles Actuales.
Los controles se definen como mecanismos, políticas, u otras acciones
existentes que actúan para minimizar el riesgo o potenciar oportunidades en
la gestión del riesgo, con el fin de garantizar el desarrollo y cumplimiento de
las actividades acorde a los requisitos tanto normativo como de las normas
implementadas en la empresa.
Los controles se evalúan teniendo en cuenta los siguientes aspectos y
se asigna la variable correspondiente a: SI, No
Definido: se valida si el control está establecido en la Empresa.
Implementado: se valida si el control está o no está implementado.
Capacidad de detección: se valida si el control es efectivo para
 Código: PR-SG-02
PROCEDIMIENTO PARA LA GESTION
DE RIESGOS Versión: 01
Vigencia:
25/03/2025
minimizar el riesgo.

 Mecanismo de Control.
Establece las actividades requeridas para monitorear los controles
existentes, establecidos e implementados e incluye responsables y
periodicidad.

 Nivel de Prioridad del riesgo residual. Corresponde a la valoración

del riesgo después de ser monitoreado y validar la efectividad de los
controles que permitan reducir al riesgo al mínimo y establecer su
aceptación.
Después de haber definido los controles y evaluarlos, debe volver a la
matriz de valoración para considerar el nivel del riesgo después de la
asignación, implementación y efectividad de los controles. Para logar el
valor del nivel del riesgo residual se vuelve a valorar el riesgo de
acuerdo con las tablas de probabilidad * impacto definidas

 Respuesta a eventos.
Se establece en la matriz las acciones principales para abordar, aun
cuando el riesgo se materialice evitando que las consecuencias sean
mayores.

 Seguimiento:
Esta etapa corresponde a la efectividad de las acciones tomadas donde
se valida aspectos como:
¿Durante el último periodo se materializó el riesgo?
¿Los controles definidos son coherentes con las causas que generan el
riesgo?
¿Los controles son aplicados de acuerdo a la periodicidad establecida?

 Comunicación:
en este apartado se identifican las partes interesadas que conocen el
riesgo tanto en contexto interno como externo.

5. DESCRIPCIÓN DEL PROCEDIMIENTO

El procedimiento comienza con el requerimiento de establecer mecanismos
para la gestión de los riesgos que se identifican en CROMA MEDICAL IPS S.A.S.
dentro del desarrollo de sus actividades y alineado con el contexto de la
organización.
Con este requerimiento el personal de la empresa acompañados del
coordinador de calidad aplica las consideraciones para la evaluación a la
matriz de riesgos MT-SG-02, con el fin de dar la valoración a los riesgos
existentes y su respectivo tratamiento e identificar oportunidades para la
 Código: PR-SG-02
PROCEDIMIENTO PARA LA GESTION
DE RIESGOS Versión: 01
Vigencia:
25/03/2025
mejora.
De manera siguiente el personal de la empresa y el coordinador de calidad
comienzan la determinación del contexto interno y externo, la identificación
del riesgo en cada uno de los procesos establecidos en la organización.
Posteriormente se identifican los riesgos, así como se detallan la descripción,
las causas y el impacto que puede causar a la organización y se asignan los
valores cuantitativos de severidad y probabilidad, para que con estos
combinados se establezca el nivel de vulnerabilidad al tiempo que se analiza
la valoración asignada.
La siguiente actividad consiste en que el personal de la empresa y el
coordinador de calidad identifiquen los controles actualmente existentes para
mitigar o minimizar los riesgos identificados, así como para evitar o prevenir
su materialización, o deciden si se pueden mejorar o implementar nuevos
controles de acuerdo con su viabilidad.
Una vez se verifican los controles, el grupo de trabajo entrega una valoración
para verificar la capacidad de detección de acuerdo con las variables
importantes en los controles como identificar si se encuentra definido e
implementado.
Esta actividad entrega una valoración final del riesgo que se llama riesgo
residual donde finalmente se verifica en qué nivel se encuentra el riesgo
después de los controles implementados.
Según los términos previstos para el tratamiento de los riesgos, el grupo de
trabajo determina las actividades de verificación que permitan identificar
evidencia objetiva de estado de ellos; Posteriormente se valida la eficacia de
las medidas tomadas y presenta a la Alta dirección en la revisión gerencial
informes el análisis de los riesgos gestionados y la eficacia de medidas
implementadas para mitigar su efecto.

6. CONTROL DE REGISTROS
Código Título del Almacenamiento Recuperación
registro
MT-SG-02 Matriz de riesgos Magnético: Proceso del Por nombre o código
sistema integral de
gestión
Conservación Retención Uso Disposición
Magnético 5 años Gestión de riesgos por Backups
procesos

8. NATURALEZA DE LOS CAMBIOS

Versión Fecha Descripción
01 25/03/2025 Primera versión en el sistema de gestión.
 Código: PR-SG-02
PROCEDIMIENTO PARA LA GESTION
DE RIESGOS Versión: 01
Vigencia:
25/03/2025

Elaborado por: Revisado por: Aprobado por:

Coordinador de calidad Gerente general Gerente general