H. AYUNTAMIENTO CONSTITUCIONAL DE ACAPULCO DE JUÁREZ. Contraloría General, Transparencia y Modernización Administrativa

Transcripción

1 H. AYUNTAMIENTO CONSTITUCIONAL DE ACAPULCO DE JUÁREZ Contraloría General, Transparencia y Modernización Administrativa Dirección de Calidad y Modernización Administrativa ANÁLISIS Y EVALUACIÓN DE RIESGOS Y CONTROL OPERACIONAL

2 1. Objetivo. Establecer las Directrices para la identificación, valoración, evaluación, análisis tratamiento y control de riesgos de los macroprocesos y procedimientos operativos del H. Ayuntamiento Constitucional de Acapulco de Juárez, Con estas acciones el H. Ayuntamiento mantiene dentro de límites tolerables y/o aceptables, las operaciones, procesos, servicios, y actividades que pudieren representar un peligro para la consecución de los objetivos de la organización. 2. Alcance. Este procedimiento aplica a los macroprocesos certificados del Sistema de Gestión de Calidad del H. Ayuntamiento Constitucional de Acapulco de Juárez; incluyendo (cuando sea viable), los bienes y servicios usados. El diseño y establecimiento de la gestión de riesgos en el H. Ayuntamiento Constitucional de Acapulco de Juárez dependerá de las diversas necesidades de cada macroproceso, sus objetivos determinados, su contexto, su estructura, los procedimientos operativos, proyectos, servicios, etc. Las oportunidades generales del sistema de gestión de la calidad son determinadas en el análisis DOFA determinada en la visión estratégica del SGC las cuales son manejadas y aprovechadas como estrategias en el plan Municipal de Desarrollo , En los casos donde se detecten oportunidades particulares en los procedimientos operativos, serán colocadas en el formato IACR-04 Acciones para abordar las oportunidades para su manejo y análisis posterior por el responsable del procedimiento operativo. Una vez identificados los riesgos y oportunidades, se comunican al Comité de Calidad de manera continua para su conocimiento médiate el procedimiento de RCSP-01 Revisión por el comité del sistema de gestión de calidad. 3. Actividades. 3.1 Identificación del riesgo. Los titulares responsables del seguimiento al macroproceso y titulares de los procedimientos de soporte, y operativos identifican las características del riesgo, utilizando las siguientes opciones: 2/14

3 a) Tipo de riesgo: Determinan el tipo de riesgo de un grupo de riesgos relacionados al macroproceso; por tal razón, varían de acuerdo a cada contexto. b) Factores de la amenaza: Externo: Son los elementos externos que inciden y/o afectan el cumplimiento de los objetivos y metas del H. Ayuntamiento Constitucional de Acapulco de Juárez y sus macroprocesos. Interno: Son los elementos internos en los que el H. Ayuntamiento Constitucional de Acapulco de Juárez, se basa para alcanzar sus objetivos, y éstos deben estar alineados con la cultura de la Administración, procedimientos de soporte, estructura y estrategias. Mixto: Es la combinación de los factores internos, externos. Grupal: Concentra el manejo de grupos específicos que inciden y/o afectan el cumplimiento de los objetivos y metas del H. Ayuntamiento Constitucional de Acapulco de Juárez y sus macroprocesos. c) Características del riesgo: Determinan el potencial del daño del riesgo que se analiza dentro del contexto: CRÍTICO; MAYOR; IMPORTANTE; ORDINARIO; INSIGNIFICANTE. Para documentar esta información se utiliza el formato Análisis y Evaluación de Riesgos IACR-01. Los titulares responsables del seguimiento a los macroprocesos y titulares de los procedimientos de soporte, identifican el impacto del riesgo de acuerdo a su contexto; realizando el análisis y evaluación, basados en los siguientes criterios: FACTORES DE LA AMENAZA CARACTERÍSTICAS DEL RIESGO EXTERNA 5 CRÍTICO 5 INTERNA 4 MAYOR 4 MIXTA 3 IMPORTANTE 3 GRUPAL 2 ORDINARIO INSIGNIFICANTE 1 N/A 0 N/A 0 3/14

4 El Enlace de Calidad responsable del macroproceso, documenta esta información en el formato Análisis y Evaluación de Riesgos IACR Análisis del riesgo. El análisis de riesgo, es el estudio de las posibles amenazas y probables eventos no deseados, daños y consecuencias que pudieran impactan en el macroproceso, para lo cual, se identifican por medio de los siguientes criterios: a) Afectación: La afectación para el H. Ayuntamiento Constitucional de Acapulco de Juárez, y sus macroprocesos; las actividades relacionadas y sus riesgos: TODO EL MUNICIPIO; PARTE DEL MUNICIPIO; TODA UNA DEPENDENCIA; PARTE DE UNA DEPENDENCIA; UNA PERSONA. b) Duración: El tiempo que el evento impactará al macroproceso y/o procedimientos de soporte o actividades relacionadas: PERMANENTE; AÑOS; MESES; DÍAS; HORAS. c) Criterio de Sustitución: En este punto, se analiza la dificultad que representa para el Sistema, los cambios a los procedimientos de soporte y/o actividades que son realizadas: MUY DIFÍCIL; DIFÍCIL; CON DIFICULTAD; FACILMENTE; MUY FÁCIL. d) Vulnerabilidad: Es el grado de vulnerabilidad que presenta el criterio del riesgo y contexto analizado: MUY ALTA; ALTA; NORMAL; BAJA; INSIGNIFICANTE. e) Frecuencia: Se analiza la probabilidad de ocurrencia del riesgo o peligro determinado: FRECUENTE; ALTA; POSIBLE; REMOTO; NULA. f) Gravedad: Es el daño potencial que se presentaría para el H. Ayuntamiento Constitucional de Acapulco de Juárez: CATASTRÓFICA; MAYOR; SERIA; MENOR; INSIGNIFICANTE. El Enlace de Calidad responsable del macroproceso, documenta esta información en el formato Análisis y Evaluación de Riesgo IACR-01. Determinación del impacto. Los titulares responsables del seguimiento y titulares de los procedimientos de soporte, determinan el impacto del riesgo de los macroprocesos certificados, de acuerdo a la metodología de riesgos, asignando el valor a cada criterio para realizar el promedio de los valores correspondientes basados en la siguiente tabla: 4/14

5 AFECTACIÓN DURACIÓN CRITERIO DE SUSTITUCIÓN VULNERABILIDAD PROBABILIDAD O FRECUENCIA DE OCURRENCIA GRAVEDAD, IMPACTO O DAÑO POTENCIAL TODO EL MUNICIPIO 5 PERMANENTE 5 MUY DIFÍCIL 5 MUY ALTA 5 FRECUENTE 5 CATASTRÓFICA 5 PARTE DEL MUNICIPIO 4 AÑOS 4 DIFÍCIL 4 ALTA 4 ALTA 4 MAYOR 4 TODA UNA DEPENDENCIA PARTE DE UNA DEPENDENCIA 3 MESES 3 CON DIFICULTAD 3 NORMAL 3 POSIBLE 3 SERIA 3 2 DÍAS 2 FÁCILMENTE 2 BAJA 2 REMOTO 2 MENOR 2 UNA PERSONA 1 HORAS 1 MUY FÁCIL 1 INSIGNIFICANTE 1 NULA 1 INSIGNIFICANTE 1 N/A 0 N/A 0 N/A 0 N/A 0 N/A 0 N/A Evaluación del riesgo. Mediante la evaluación se determina de manera cuantitativa la severidad del riesgo, de esta evaluación se desprende el NPR (Nivel Potencial de Riesgo), éste servirá como indicador de acción para priorizar las actividades de control a mayor número, mayor atención. Metodología de Evaluación. Utiliza una variación de la Metodología (AMF) modificada, con la metodología de William T. Fine y paralelamente se utiliza el método Mossler. 3.4 Criterio de aceptación del riesgo. El Comité del Sistema de Gestión de la Calidad, por medio de la Dirección de Calidad y Modernización Administrativa, determina para cada tipo de método el criterio de aceptación, considerando: Metodología de William T. Fine, la evaluación de riesgo (severidad) menor o igual a 6, será considerada como Tolerable y no se requiere la elaboración de controles operacionales, en el caso de que la evaluación sea mayor de 6.1 se considerara como No Tolerable y es obligatorio contar con controles operacionales. Metodología Mosler, el criterio de aceptación será de 1 a 200, considerado como Bajo y no se tendrá que contar con un control operacional; si el resultado es de 201 a 600, es Medio; y, de 601 ó más, es Alto, requiriendo controles operacionales. En los casos donde se presente una discrepancia entre un método y otro, se deberá de considerar para elaborar el control el más alto. En algunos casos se realizan controles operacionales con el fin de prevenir desviaciones de nuestra política, y mantener la atención y coherencia con el Sistema. 5/14

6 3.5 Tratamiento de riesgos. Los titulares responsables del seguimiento a los macroprocesos y titulares de los procedimientos de soporte; analizan y priorizan los riesgos basados en los datos arrojados por el análisis de evaluación, seleccionando para cada riesgo, la estrategia de respuesta que tenga mayores posibilidades de éxito, entre los siguientes criterios de aceptación: EVITAR; COMPARTIR; MITIGAR; ACEPTAR. a) EVITAR EL RIESGO: Decidir no iniciar o continuar con la actividad que da lugar al riesgo, a través de las siguientes opciones: CAMBIAR LA ACTIVIDAD; REDUCIR LA EXPANSIÓN; UTILIZAR SERVICIOS COMPRADOS; DEJAR DE REALIZAR LA ACTIVIDAD; MODIFICAR LOS ESQUEMAS DE TRABAJO. b) COMPARTIR EL RIESGO: CONTRATAR SEGUROS CONTRA PÉRDIDAS; PERSONAL OUTSOURCING; REALIZAR ACUERDOS; CONTRATAR EL SERVICIO. c) MITIGAR EL RIESGO: Busca reducir la probabilidad o las consecuencias de sucesos adversos a un límite aceptable antes del momento de activación: CONTROL INTERNO; DESVIACIÓN DEL PRODUCTO O SERVICIO; ESTABLECIMIENTO DE LÍMITES ACEPTABLES; MONITOREO DE LA ACTIVIDAD, REASIGNACIÓN DE RECURSOS. d) ACEPTAR EL RIESGO: Esta estrategia se utiliza cuando se decide no actuar contra el riesgo antes de su activación, o pasiva, es decir, asumiendo el impacto que éste pudiera causar: ACEPTAR EL RESULTADO; AUTO ASEGURARSE; PLANES DE CONTENCIÓN; CONTROL OPERACIONAL. Es importante que los costos de mitigación sean inferiores a la probabilidad del riesgo y sus consecuencias, definiendo las actividades de control que permitan niveles aceptables. Para la definición del tratamiento del riesgo se consideran las oportunidades que pueden conducir a la adopción de nuevas prácticas, actualización de los servicios, utilización de nuevas tecnologías y otras posibilidades para abordar las necesidades del municipio o las de sus clientes y/o partes interesadas, utilizando el formato Análisis y Evaluación de Riesgos IACR-01. 6/14

7 3.7 Monitoreo y revisión. El Comité del Sistema de Gestión de la Calidad, a través de la Contralora General, Transparencia y Modernización Administrativa y/o la Dirección de Calidad y Modernización Administrativa, realiza el monitoreo y revisión de la evaluación de riesgos durante las reuniones trimestrales convocadas para el seguimiento y medición del SGC, de acuerdo al Procedimiento de Medición y Seguimiento POPP-02. El monitoreo y revisión abarca todos los aspectos de la gestión del riesgo de los macroproceso a fin de: Asegurar que los controles son eficaces y eficientes, tanto en el diseño y funcionamiento; La obtención de más información para mejorar la evaluación de riesgos; Analizar y aprender las lecciones de los acontecimientos (incluyendo conatos de accidentes), los cambios, las tendencias, éxitos y los fracasos, etc.; La detección de los cambios en el contexto externo e interno, incluidos los cambios en los criterios de riesgo y el riesgo en sí mismo, que puede requerir una revisión de los tratamientos de riesgos y prioridades. La identificación de riesgos emergentes. Durante el análisis de las situaciones subestándar se realiza el monitoreo constante con miras a la actualización del pensamiento basado en riesgo. Una vez monitoreados y revisados los riesgos, se procede al llenado del formato Análisis y Evaluación de Riesgos IACR-01. Existencia de antecedentes históricos. En este punto, se pretende que el evaluador tenga la mayor información sobre los riesgos y controles operacionales de manera histórica, para que al momento de realizar el control operacional, se cuente con las lecciones aprendidas y experiencias con anterioridad. Número de control operacional. En este punto, se determina si ya existe un control operacional que cubra el aspecto del riesgo. En caso contrario, se procede a realizar los Controles Operacionales utilizando el Procedimiento de Control Operacional IACP La implementación de los controles operacionales para los macroprocesos. El titular responsable del seguimiento al macroproceso y titulares de los procedimientos de soporte, una vez que han adquirido conocimientos sobre los peligros y/o actividades que requieran mantenerse en niveles tolerables, crean y/o actualizan los controles 7/14

8 operacionales necesarios para contar con anticipación la estratégica, que mitigue y estabilice el macroproceso, garantizando la vuelta a la normalidad, eliminando riesgos y peligros, focalizando las condiciones fuera de control, evaluando la eficiencia operativa; el enlace de calidad responsable del seguimiento al macroproceso, documenta esta información en el formato Control Operacional IACR-02. Nota: En caso de identificar un riesgo particular en los procedimientos operativos, el responsable de cada procedimiento de soporte se encarga de determinar el riesgo, evaluar y aplicar la acción directa al mismo para mitigar sus posibles consecuencias. En caso de realizar adecuaciones y/o modificaciones, las realizan conforme lo señalado en el Procedimiento Emisión y Control de Documentos DCMP Criterios del Control Operacional para Riesgos para los macroprocesos. El Control Operacional marca los aspectos básicos para mantener la actividad dentro de niveles de aceptación tolerables, ya que éstos contienen el esquema de ANTES, DURANTE Y DESPUÉS, son proporcionales al impacto potencial en la conformidad de los productos y los servicios, tomando acciones para mitigar cualquier efecto adverso, según es necesario. ANTES: son todas las actividades planificadas y recursos que son requeridos para enfrentar un posible riesgo (contingencia) que pudiera afectar el cumplimiento de los objetivos del macroproceso o a la continuidad del servicio, previniendo o reduciendo los efectos no deseados. DURANTE: es la forma en que se debe de abordar los riesgos, de actuar en el momento de la contingencia, de acuerdo a lo analizado y planeado para prevenir o reducir los efectos no deseados y lograr la mejora. DESPUÉS: consiste en la evaluación de las acciones realizadas durante la contingencia, la forma en que se enfrentó y los resultados obtenidos contra los esperados, esto para realizar acciones de mejora (ajustes, modificaciones, reevaluaciones etc.). Al elaborar y/o reevaluar el control operacional se consideran los siguientes factores: Los objetivos del macroproceso; Los resultados de las evaluaciones de riesgos; Los requisitos legales y reglamentarios; Los resultados de las auditorías del SGC; La retroalimentación de la participación y consulta a los trabajadores. 8/14

9 Nota: Para el caso de los controles que sean necesarios abordar para los riesgos y oportunidades derivadas de los procedimientos de soporte serán registrados en el formato de Acciones de control para abordar los riesgos de los procedimiento de soporte IACR-03, en donde se describe de manera directa las actividades con las cuales se mitiga, controlan y o eliminan los riesgos. Nota: Para los procedimientos de soporte se analizarán los riesgos más significativos que comprometan el cumplimiento de la operatividad de las actividades Codificación y alta en el sistema. El titular responsable del seguimiento al macroproceso, remite la información del Control Operacional IACR-02, Y las acciones para abordar los riesgos IACR-03, y acciones para abordar las oportunidades IACR-04 a través del enlace de calidad, a la Dirección de Calidad y Modernización Administrativa, para su alta, baja o modificación, de acuerdo a lo señalado en el Procedimiento de Emisión y Control de Documentos DCMP Acciones para abordar los riesgos y oportunidades. El titular responsable del seguimiento al macroproceso y titulares de los procedimientos de soporte y operativos, planifican las acciones del control operacional para abordar los riesgos y oportunidades, manteniendo su actuación dentro de límites tolerables y/o aceptables, que garanticen la conformidad de las exigencias del macroproceso, con anticipación estratégica para: mitigar, estabilizar y garantizar la normalidad, manteniendo el cumplimiento de los objetivos planteados. Las acciones tomadas para abordar los riesgos y oportunidades, son proporcionales al impacto potencial en la conformidad de los servicios. Esta información será documentada por el enlace de calidad responsable del seguimiento al macroproceso, en el formato Control Operacional IACR-02. Para el caso de los procedimientos de soporte para abordar los riesgos será utilizado el registro Acciones de control para abordar los riesgos de los procedimientos de soporte IACR-03, y las acciones tomadas para aprovechar las oportunidades de los procedimientos de soporte, se registrarán en el formato de Acciones para aprovechar las oportunidades de los procedimientos de soporte IACR Numeración de los riesgos y oportunidades. Para dar trazabilidad a las acciones de control para abordar los riesgos de los procedimientos de soporte, éstos se codificarán de la siguiente manera: 9/14

10 Código del procedimiento operativo que genere el riesgo a controlar - CR - Número consecutivo a partir del último control de riesgos aplicable para el procedimiento Operativo. Para dar trazabilidad a las acciones para aprovechar las oportunidades de los procedimientos de soporte, éstos se codificarán de la siguiente manera: Código del procedimiento operativo que genere la oportunidad. - OP - Número consecutivo a partir de la última acción para aprovechar las oportunidades registradas en el Procedimiento operativo 3.13 Activación del Control Operacional y acciones para abordar los riesgos El titular responsable del seguimiento al macroproceso y titulares de los procedimientos de soporte, podrán activan el Control Operacional en los siguientes casos: Cuando ocurra una situación de emergencia, descontrol, riesgo, que ponga en peligro la integridad del macroproceso y el SGC. Situaciones potenciales que pudieran incidir de manera negativa para la continuidad del servicio. Cuando se ponga en riesgo o atente contra la integridad de la satisfacción de la ciudadanía (clientes) y las partes interesadas (turismo, contraloría interna y/o entes fiscalizadores externos). Durante simulacros o evaluaciones y mejoras de los controles. Cualquier persona que detecte la condición de riesgo deberá de comunicarla y activar el control operacional respectivo Recursos necesarios para lograr la conformidad. Los recursos solicitados para este fin, son claros, transparentes, objetivos y realistas; estableciendo las prioridades que permitan el cumplimiento y consecución de los objetivos de los macroprocesos. 10/14

11 Todos los recursos solicitados, están alineados a las directrices de Transparencia, Disciplina y Austeridad Presupuestaria, contempladas en el Plan Municipal de Desarrollo vigente Procesos contratados externamente. El titular responsable del seguimiento al macroproceso y titulares de los procedimientos de soporte, se aseguran de que los procesos contratados externamente estén considerados y evaluados como riesgosos, dentro del macroproceso correspondiente, y cuentan con controles operacionales que garanticen la conformidad de las exigencias del macroproceso, con anticipación estratégica para: mitigar, estabilizar y garantizar la normalidad del macroproceso y/o la condición fuera de control Mantenimiento, trazabilidad y conservación de la información. El titular responsable del seguimiento al macroproceso y titulares de los procedimientos de soporte, y operativos realizan la evaluación de los controles operacionales y de las acciones de control de los riesgos que surgen de los procedimientos operativos, de manera anual, durante los tres primeros meses del año, o cuando se requiera. Si necesita crear un control operacional o una acción para abordar los riesgos se procede de acuerdo a lo señalado en el Procedimiento de Emisión y Control de Documentos DCMP-01. A continuación, se relacionan los casos en los que se tendrá que realizar ajustes o modificaciones al control operacional: Simulacros fallidos. Nuevos riesgos o cambio del contexto. Cambio en el tratamiento del riesgo. Cambios que afecte de manera significativa al macroproceso. Evaluación de los controles actuales. Modificaciones a los requisitos legales y reglamentarios aplicables. Los resultados de las auditorías y de las inspecciones. La retroalimentación de la participación y consulta a los trabajadores. Para actualizar o modificar un control operacional, es necesario realizar la evaluación del riesgo en el formato Análisis y Evaluación de Riesgos IACR-01 y continuar con el Procedimiento de Emisión y Control de Documentos DCMP-01 para su alta en el Sistema. 11/14

12 3.17 Eficacia de la Acción: El titular responsable del seguimiento y titulares de los procedimientos de soporte y operativos, determinan la eficacia de las acciones de acuerdo a los siguientes criterios: a) Si en el tratamiento del riesgo se determina la aceptación del riesgo, y existe un control operacional robusto que minimice los efectos no deseados, y/o una acción de control para abordar los riesgos, la acción será eficaz. b) Si no existen antecedentes, la evaluación de riesgo es no tolerable y el tratamiento del riesgo es ACEPTAR, la acción será eficaz. c) Si existen antecedentes históricos y la evaluación del riesgo es no tolerable o alto la acción NO será eficaz. d) Cuando en los simulacros el control operacional no cubra con las actividades el espectro del riesgo y sus actuaciones, la acción NO será eficaz. Cuando necesite actualizar un riesgo es necesario, dar de alta este cambio en el Sistema de acuerdo a lo establecido en el Procedimiento de Emisión y Control Documentos DCMP-01, registrar el motivo del cambio, en el formato Solicitud de Alta, Modificación o Baja de Documentos DCMR-02, con el fin de mantener su trazabilidad Actualización mejora y mantenimiento de riesgos, controles operacionales y acciones a abordar los riesgos. El titular responsable del seguimiento al macroproceso y titulares de los procedimientos de soporte, y operativos realizan la evaluación de riesgos de manera anual durante los tres primeros meses del año, llevando a cabo la actualización, mejoras y mantenimiento de riesgos y controles operacionales y/o las acciones de control para abordar los riesgos, en cualquiera de los siguientes casos: 1. Simulacros fallidos. 2. Nuevos riesgos o cambio del contexto. 3. Cambio en el tratamiento del riesgo. 4. Cambios que afecten de manera significativa al macroproceso. 5. Evaluación de los controles actuales. 6. Los requisitos legales y reglamentarios aplicables. 7. Los resultados de las auditorías y de las inspecciones. 8. La retroalimentación de la participación y consulta a los trabajadores. 9. Situaciones subestándar cuyas causas se encuentren relacionadas con los controles operacionales o riesgos. 12/14

13 10. Las situaciones subestándar que reflejen la existencia de un riesgo en el Sistema de Gestión de Calidad y sus macroprocesos. Para los puntos 9 y 10, se debe utilizar el formato Matriz Acumulada de No Conformidad, Corrección y Acción Correctiva CSNR-01, en el cual se encuentra la información ya codificada Riesgos asociados a la auditoría interna. La evaluación de riesgos de auditoría es realizada por el Auditor líder y su equipo auditor, donde evalúan de manera objetiva, los posibles riesgos y se proponen las acciones de contención para cumplir con los objetivos de la auditoría; para este fin se utiliza el formato Evaluación de Riesgos de Auditoría AICR Planificación de los cambios. Cuando se determinen realizar cambios al Sistema, el Comité del Sistema de Gestión de la Calidad, planifica de manera controlada considerando los siguientes puntos: a) El propósito de los cambios y sus consecuencias potenciales; b) La integridad del Sistema de Gestión de la Calidad; c) La disponibilidad de recursos; d) La asignación o reasignación de responsabilidades y autoridades; e) Evaluaciones de riesgos y oportunidades; f) Documentar los cambios de acuerdo al Sistema. 4.- Referencias POPP-02 Procedimiento de Medición y Seguimiento. DCMP-01 Procedimiento Emisión y Control de Documentos. IACR-01 Análisis y Evaluación de Riesgos. IACR-02 Control Operacional. IACR-03 Formato de acciones para abordar los riesgos de los procedimientos de soporte. IACR-04 Acciones para aprovechar las oportunidades de los procedimientos de soporte. CSNR-01 Matriz Acumulada de No Conformidad, Corrección y Acción Correctiva. AICR-01 Evaluación de Riesgos de Auditoría. DCMR-02 Solicitud de Alta, Modificación o Baja de Documentos. 5.- Control de Cambios Revisión Fecha /14

14 6.- Flujograma INICIO a soporte identifican las características del riesgo soporte realizan el análisis del riesgo. Formato de evaluación de riesgo soporte determinan la severidad del riesgo Plan de control derivado del NPR (nivel potencial de riesgo El Comité del SGC, determina para cada tipo el criterio de aceptación del riesgo soporte, determinan el tratamiento del riesgo, d acuerdo a los parámetros establecidos. El Comité del SGC, a través de Contraloría o Calidad, realiza el monitoreo y revisión de los riesgos Determinan criterios del Control Operacional soporte realizan el Alta, Modificación o Baja en el Sistema del Control Operacional soporte planifican las acciones para abordar los riesgos y oportunidades Activación de los Controles Operacionales Realizan la solicitud de recursos necesarios para lograr la conformidad soporte determinan la eficacia de las acciones y evalúan los controles operacionales El Comité del Sistema de G.C., determina la planificación de cambios si es necesario. FIN soporte, realizan la actualización, mejora y mtto., de riesgos y controles operacionales. a 14/14