Pdo-n-001 Compendio De Buenas Prácticas P-la Gestión Y Control Integral Por Procesos-marco De Requisitos 2012-v-1.pdf

  • Uploaded by: Luisa Caranton
  • 0
  • 0
  • December 2019
  • PDF

This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA


Overview

Download & View Pdo-n-001 Compendio De Buenas Prácticas P-la Gestión Y Control Integral Por Procesos-marco De Requisitos 2012-v-1.pdf as PDF for free.

More details

  • Words: 41,625
  • Pages: 93
COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

TABLA DE CONTENIDO TABLA DE CONTENIDO .......................................................................................................... 1 I.

INTRODUCCIÓN ............................................................................................................. 3

II. OBJETO Y CAMPO DE APLICACIÓN .................................................................................. 6 III. REFERENCIAS NORMATIVAS ........................................................................................... 6 IV. 1.

ELEMENTOS DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRAL .................................... 7 ESTRATEGIA Y DIRECCIONAMIENTO ............................................................................. 7

1.1

ESTRATEGIA Y ALINEACIÓN EMPRESARIAL ..................................................................... 7

1.1.11 ............................................................................................................................. 10 1.1.12 ............................................................................................................................. 10 1.1.13 ............................................................................................................................. 10

2.

3.

4.

5.

6.

1.2

REQUISITOS LEGALES ASOCIADOS A LOS ESTÁNDARES NORMATIVOS ............................ 12

1.3

INTELIGENCIA COMPETITIVA ..................................................................................... 13

1.4

GRUPOS DE INTERÉS ................................................................................................ 14

1.5 DEFINICIÓN DE RECURSOS ........................................................................................ 17 GENTE .......................................................................................................................... 18 2.1

ESTRUCTURA ORGANIZACIONAL................................................................................. 18

2.2

CULTURA Y TOMA DE CONCIENCIA .............................................................................. 23

2.3

DESARROLLO DE LA GENTE........................................................................................ 24

2.4

AMBIENTE Y RELACIONAMIENTO LABORAL ................................................................... 27

2.5 CALIDAD DE VIDA .................................................................................................... 28 INFORMACIÓN Y CONOCIMIENTO ................................................................................ 29 3.1

CALIDAD DE LA INFORMACIÓN ................................................................................... 29

3.2

SEGURIDAD DE LA INFORMACIÓN .............................................................................. 30

3.3

DOCUMENTACIÓN ..................................................................................................... 31

3.4 CONOCIMIENTO ....................................................................................................... 35 OPERACIONES .............................................................................................................. 36 4.1

REQUISITOS DEL CLIENTE ......................................................................................... 36

4.2

PROYECTOS ............................................................................................................. 38

4.3

ACTIVIDADES, PRODUCTOS Y SERVICIOS .................................................................... 39

4.4 CONTINUIDAD DE LOS PROCESOS .............................................................................. 49 RECURSOS ................................................................................................................... 55 5.1

APROVISIONAMIENTO DE RECURSOS .......................................................................... 55

5.2

MANTENIMIENTO DE RECURSOS ................................................................................. 58

5.3 DISPOSICIÓN FINAL DE RECURSOS ............................................................................ 65 RIESGOS Y CONTROLES ................................................................................................ 67 1/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 6.1 7.

Elaborado 22/02/2012

Versión: 1

RIESGOS ................................................................................................................. 67

6.2 CONTROLES ............................................................................................................. 72 MONITOREO Y MEJORA ................................................................................................ 74 7.1

INNOVACIÓN EMPRESARIAL ....................................................................................... 74

7.2

EVALUACIÓN DE LA ESTRATEGIA ................................................................................ 76

7.3

REVISIÓN DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRAL .......................................... 77

7.4

EVALUACIÓN DE LA SATISFACCIÓN ............................................................................ 79

7.5

EVALUACIÓN INDEPENDIENTE .................................................................................... 81

7.6

MONITOREO A LAS OPERACIONES, RIESGOS Y CONTROLES ........................................... 83

7.7 PLANES DE MEJORAMIENTO ....................................................................................... 87 BIBLIOGRAFIA ................................................................................................................... 91

2/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

I.

Elaborado 22/02/2012

Versión: 1

INTRODUCCIÓN

La Alta Dirección, convencida de los beneficios de gestionar integralmente los procesos y consciente de la necesidad de consolidar en un solo Sistema de Gestión y Control las diferentes normas y estándares de gestión aplicadas en Ecopetrol S.A. y sus subordinadas, destinó los recursos y su permanente compromiso para el diseño del Sistema de Gestión y Control Integral (SGCI) basado en procesos. Este documento se estructura por elementos y subelementos de gestión y control que integran requisitos relacionados con una temática transversal a los referentes integrados. Esto permite su compatibilidad e integración con otras normas y estándares de gestión y control diferentes a las consideradas inicialmente en su diseño. La Figura 1 proporciona una visión general de la estructura del Marco de Requisitos del SGCI y su finalidad es ayudar a Ecopetrol S.A. y sus subordinadas a comprender cómo se utiliza este marco. El documento se estructura por capítulos: capítulo I, Introducción; capítulo II, Objeto y campo de aplicación; capítulo III, Referencias normativas; capítulo IV, presenta por elementos y subelementos, los requisitos de gestión y control que se deben cumplir en la organización. El documento Marco de requisitos del SGCI se complementa con el documento anexo que contiene: Glosario, Tablas de correspondencia entre los Elementos y Subelementos y los diferentes referentes integrados, Tablas de mejores prácticas de objetivos de control y control para la seguridad de la información, Cuadro consolidado de objetivos de Elementos y Subelementos. Los elementos se identifican en la Figura 1 dentro del ciclo PHVA (Planear-Hacer-Verificar-Actuar) para una mejor comprensión de la intención pretendida de los Elementos de gestión y control integral. Este marco se estructura en lenguaje ISO. Por lo tanto, la palabra debe indica un requisito. Las recomendaciones o aclaraciones están incorporadas como notas.

3/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Figura 1. Visión esquemática del Marco de requisitos del SGCI. La orientación de este marco de requisitos promueve la adopción de un enfoque integral basado en procesos. Consiste en determinar, gestionar y controlar de manera eficaz una serie de actividades relacionadas entre sí. Una ventaja que proporciona este enfoque es el control continuo sobre los vínculos entre los procesos individuales que forman parte de un sistema conformado por procesos, así como sobre su combinación e interacción. Este marco adopta y adapta los principios de gestión de la calidad para la rama ejecutiva del poder público y otras entidades prestadoras de servicios, contemplados en la Norma Técnica Colombiana de la Gestión Pública (NTCGP1000) que se enmarcan, integran, complementan y desarrollan dentro de los principios constitucionales. Pueden ser utilizados por la Alta Dirección de Ecopetrol S.A. y sus subordinadas, con el fin de conducir a la organización hacia una mejora en su desempeño: 1. Enfoque hacia los grupos de interés: La razón de ser de las organizaciones es prestar un servicio dirigido a satisfacer a sus grupos de interés. Por lo tanto, es fundamental que las organizaciones comprendan cuáles son las necesidades actuales y futuras de los grupos de interés, que cumpla con sus requisitos y que se esfuercen por exceder sus expectativas. 2. Liderazgo: Desarrollar una conciencia hacia la calidad implica que la Alta Dirección de cada organización es capaz de lograr la unidad de propósito, generar y mantener un ambiente interno favorable, en el que los colaboradores puedan llegar a involucrarse totalmente en el logro de los objetivos de la organización. 4/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

3. Participación activa de los colaboradores: Es el compromiso de los colaboradores, en todos los niveles. Permite el logro de los objetivos de la organización. 4. Enfoque basado en procesos: En las organizaciones, existe una red de procesos. Es claro que, al trabajar articuladamente, permite generar valor. Un resultado deseado se alcanza más eficientemente cuando las actividades y los recursos relacionados se gestionan como un proceso. 5. Enfoque del sistema para la gestión: El hecho de identificar, entender, mantener, mejorar y, en general, gestionar los procesos y sus interrelaciones como un sistema contribuye a la eficacia, eficiencia y efectividad de las organizaciones en el logro de sus objetivos. 6. Mejora continua: Siempre es posible implementar maneras más prácticas y mejores para entregar los productos o prestar servicios en las organizaciones. Es fundamental que la mejora continua del desempeño global de las organizaciones sea un objetivo permanente para aumentar su eficacia, eficiencia y efectividad. 7. Enfoque basado en hechos y datos para la toma de decisiones: En todos los niveles de la organización, las decisiones eficaces se basan en el análisis de los datos y la información y no simplemente en la intuición. 8. Relaciones mutuamente beneficiosas con los proveedores de bienes o servicios: Las organizaciones y sus proveedores son interdependientes. Una relación beneficiosa, basada en el equilibrio contractual, aumenta la capacidad de ambos para crear valor. 9. Coordinación, cooperación y articulación: El trabajo en equipo en y entre organizaciones es importante para el desarrollo de relaciones que beneficien a sus clientes porque permiten emplear de una manera racional los recursos disponibles. 10. Transparencia: La gestión de los procesos se fundamenta en las actuaciones y las decisiones claras. Por lo tanto, es importante que las organizaciones garanticen el acceso a la información pertinente de sus procesos para facilitar así el control social. Los requisitos presentados son genéricos con énfasis en la gestión y control. Es decir, define qué debe hacer la organización para establecer, implementar, operar, mantener y mejorar un Sistema de Gestión y control integral, pero no específica cómo la organización dará cumplimiento a estos requisitos. La especificidad técnica de cada temática deberá ser complementada con los estándares específicos respectivos. Este marco de requisitos no pretende remplazar, modificar o cambiar de ninguna forma los requisitos legales o reglamentarios aplicables. Es importante entender que los requisitos establecidos en este marco, por sí solos, no aseguran la gestión integral de los procesos, ni el mantenimiento de las certificaciones obtenidas sobre los diferentes sistemas de gestión en Ecopetrol. Es necesario que los requisitos aquí establecidos se incorporen e implementen en los diferentes procesos y niveles pertinentes del PHVA empresarial para asegurar el cumplimiento de los referentes normativos nacionales, internacionales y los definidos por la organización. Este marco fue diseñado a solicitud y para uso exclusivo de Ecopetrol S.A. y sus subordinadas en atención a su compromiso con la excelencia y no pretende ser distribuida ni comercializada con otros fines. Para su elaboración, se contó con el aporte permanente de los colaboradores de Ecopetrol S.A., consultoría de empresas expertas en diseño, implementación, mantenimiento y mejora de Sistemas de Gestión Integral por procesos y consultores especialistas nacionales e internacionales en las diferentes temáticas integradas.

5/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

II.

Elaborado 22/02/2012

Versión: 1

OBJETO Y CAMPO DE APLICACIÓN

Este documento especifica los requisitos para el Sistema de Gestión y Control Integral (SGCI) de Ecopetrol S.A. y sus subordinadas y establece un marco para la gestión integral de sus procesos, soportado en un conjunto de principios fundamentales, que orientan el cumplimiento de los objetivos, metas y compromisos con los diferentes grupos de interés. Los requisitos para el Sistema de Gestión y Control Integral se expresan a través de elementos y subelementos, que indican con sus debes lo que es obligatorio cumplir. Sin embargo, no establecen la manera de hacerlo. Cada proceso, en sus diferentes niveles, dará cumplimiento a los requisitos (“debes”) según su objetivo y alcance dentro de la organización, en conjunto con las disposiciones legales que le sean aplicables. Este marco de requisitos aplica a Ecopetrol S.A. y sus subordinadas, sin importar el tipo, tamaño y naturaleza de las mismas. Sin embargo, cuando alguno de los requisitos establecidos en este marco no apliquen por la naturaleza de la organización, de sus procesos o por decisión de la Alta Dirección, la justificación de la no aplicabilidad del o los requisito(s) se debe documentar y comunicar. III.

REFERENCIAS NORMATIVAS

Para el diseño de este documento, se tuvieron en cuenta las referencias normativas, estándares y buenas prácticas citados a continuación: NTC GP 1000:2009 Norma técnica de Calidad de la Gestión pública; NTC ISO 9001:2008 Sistema de gestión de la calidad; NTC ISO 9000:2005 Sistemas de Gestión de la Calidad. Fundamentos y Vocabulario; NTC ISO 14001:2004 Sistemas de gestión ambiental; NTC ISO/IEC 17025:2005 Requisitos generales para la competencia de los laboratorios de ensayo y de calibración; NTC OHSAS 18001:2007 Sistemas de gestión de Seguridad y Salud Ocupacional; BS 25999-2:2007 Sistemas de gestión de la continuidad del negocio; ASIS SPC.1-2009 Organizational Resilience: Security, Preparedness and Continuity Management Systems-Requirements with Guidance for Use ; NTC ISO/IEC 27001:2006 Sistemas de gestión de la Seguridad de la información; NTC ISO 28000:2008 Sistemas de gestión de la Seguridad de la cadena de suministro; OSHA 1910.119 Process Safety Management of Highly Hazardous Chemicals; COBIT 4.1 Objetivos de control para el gobierno TI y COSO-ERM Control interno y Gestión del riesgo corporativo. Este marco de requisitos se encuentra alineado con los requerimientos de la Ley Sarbanes Oxley (SOX) y con la Guía de Administración de Seguridad de Procesos vigente. Este marco de requisitos del SGCI se actualizará a intervalos planificados dependiendo de las actualizaciones de los estándares integrados ó la incorporación de otros estándares, previo análisis y estudio de la pertinencia de sus modificaciones por parte de la Vicepresidencia de Estrategia y Crecimiento de Ecopetrol S.A.

6/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

IV.

Elaborado 22/02/2012

Versión: 1

ELEMENTOS DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRAL

1. ESTRATEGIA Y DIRECCIONAMIENTO El elemento Estrategia y Direccionamiento tiene como finalidad agrupar y correlacionar las referencias normativas nacionales, internacionales y las propias de Ecopetrol, para asegurar el direccionamiento empresarial y la alineación de la organización y sus líderes, hacia el logro de sus objetivos estratégicos. Todo esto con el fin de garantizar la generación de valor y contribuir con el desarrollo sostenible de la empresa y el país. Para esto, se debe considerar también el entorno y las ventajas competitivas. 1.1 ESTRATEGIA Y ALINEACIÓN EMPRESARIAL El subelemento Estrategia y Alineación Empresarial tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con el establecimiento de la estrategia (Misión, Visión, Megas, lineamientos estratégicos, objetivos estratégicos, valores y competencias organizacionales, política integral de gestión y plan de negocios), la alineación organizacional a través del despliegue de objetivos relacionados a los procesos, la definición del Sistema de Gestión y Control Integral, programas, proyectos y planes sobre los que se toman las decisiones para el cumplimiento de las metas establecidas. 1.1.1 FORMULACIÓN DE LA ESTRATEGIA Ecopetrol S.A. y sus subordinadas deben establecer, implementar y documentar la estrategia, que incluya la Misión, Visión, Megas, lineamientos estratégicos, objetivos estratégicos, valores y competencias organizacionales, política integral de gestión y plan de negocios. La organización debe asegurar que la estrategia sea comunicada y entendida en los diferentes niveles de la organización y sea revisada y actualizada cuando sea necesario. (Véase 7.2) La organización debe: a) b) c) d) e)

Establecer los objetivos estratégicos según la Misión y Visión de la organización. Reflejar la forma como se crea valor para los grupos de interés. Desplegar los objetivos estratégicos en los procesos. Definir objetivos relacionados a la estrategia. Medir los objetivos, Identificar los riesgos relacionados con la consecución de la estrategia.(Véase 6.1.2)

NOTA: Los objetivos relacionados son los que apoyan la consecución de la estrategia de la organización. categorías para establecer objetivos relacionados a la estrategia son:

Algunas

Objetivos operacionales: Corresponden a la efectividad y eficiencia de las operaciones de la organización, incluidos los objetivos de rendimiento y rentabilidad y de salvaguarda de recursos frente a pérdidas. Varían según las opciones de la dirección respecto a estructura y rendimiento. Objetivos de reporte: Son los relativos a la confiabilidad de reportes. Incluyen reportes internos y externos y deben involucrar la información financiera y no financiera. Objetivos de cumplimiento: Se refieren al cumplimiento de requisitos legales, de los grupos de interés y otros que la organización suscriba.

7/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

1.1.2 MARCO ESTRATÉGICO Y PLANES TÁCTICOS Ecopetrol S.A. y sus subordinadas deben crear un Marco estratégico que defina, en cooperación con las unidades organizativas, cómo contribuyen a los objetivos estratégicos, así como los costos y riesgos relacionados. El Marco estratégico debe incluir, entre otros aspectos: a) b)

Cómo se cumplen y miden los objetivos. El presupuesto de la inversión, las fuentes de financiamiento, la estrategia de obtención, la estrategia de adquisición y los requerimientos legales y regulatorios. c) El suficiente detalle para permitir la definición de planes tácticos. d) Incorporar decisiones con respecto a la tecnología para lograr los objetivos. Se deben considerar factores, objetivos estratégicos, necesidades del mercado y exigencias competitivas. Ecopetrol S.A. y sus subordinadas deben crear unos planes tácticos y plurianuales que se deriven del Marco Estratégico. Estos planes tácticos y plurianuales deben describir las iniciativas y las necesidades de recursos requeridos por las unidades organizativas establecer cómo el uso de los recursos y el logro de los beneficios son monitoreados y administrados. Los planes tácticos y plurianuales deben tener el detalle suficiente para permitir la definición de proyectos. 1.1.3 ESTABLECIMIENTO DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRAL (SGCI) Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar, operar, monitorear y mantener un Sistema de Gestión y Control Integral (SGCI) y mejorar continuamente su eficacia, eficiencia y efectividad, según los requisitos de esta norma. Este sistema incluye de manera integral todos los procesos de la organización que le permiten desarrollar su estrategia y gestionar los riesgos y controles. Para esto la organización debe: a) b) c) d)

Determinar los procesos necesarios para el SGCI y su aplicación a través de la organización. Determinar la secuencia e interacción de estos procesos. Formular los objetivos de los procesos. Determinar y documentar, los criterios y métodos necesarios para asegurarse de que tanto la operación como el control de estos procesos sean eficaces y eficientes. e) Asegurarse de la disponibilidad de recursos e información necesarios para apoyar la operación y el seguimiento de estos procesos. f) Documentar, desarrollar, implementar, mantener y mejorar continuamente la gestión de continuidad del negocio e identificar los productos y servicios clave. g) Determinar el alcance del SGCI, teniendo en cuenta que para los laboratorios, el SGCI debe cubrir el trabajo realizado en las instalaciones permanentes de los laboratorios, en sitios fuera sus instalaciones permanentes o en instalaciones temporales o móviles asociadas; h) Asegurar que la planificación del SGCI se realiza para cumplir los requisitos y los objetivos para la gestión y que se mantiene su integridad cuando se planifican e implementan cambios. (Véase 1.1.5). i) Obtener autorización de la dirección para implementar y operar el SGCI.

8/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA: Los procesos necesarios para el SGCI a los que se ha hecho referencia anteriormente incluyen los procesos para las actividades de la dirección, la definición de recursos, la realización del producto, la medición, el análisis y la mejora, sean ejecutados de manera directa o contratados externamente. (Véase 4.3.10)

El SGCI establecido debe ser coherente con la filosofía de gestión de riesgos y controles. Por lo tanto, Ecopetrol S.A. y sus subordinadas deben: j)

Desarrollar y comunicar la filosofía de gestión de riesgos y controles en todos los niveles de la organización. k) Demostrar su integridad y compromiso con los valores éticos, a través del ejemplo de la Alta Dirección y la formulación de lineamientos, Código de Ética, Código de Buen Gobierno, que deben ir más allá del cumplimiento de la ley y el establecimiento de factores organizacionales, que minimicen la probabilidad de que existan prácticas fraudulentas o no éticas, por un énfasis indebido sobre los resultados, particularmente a corto plazo. l) Fijar las tolerancias al riesgo, relacionadas con los niveles aceptables de desviación relativa a la consecución de los objetivos. m) Definir el apetito de riesgo y alinearlo con la estrategia y n) Alinear la organización, el personal, los procesos y la infraestructura para facilitar la implantación de la estrategia con éxito. De igual forma, capacitar a la organización para que se mantenga dentro de los límites de su riesgo aceptado. NOTA: Ecopetrol S.A. y sus subordinadas pueden expresar su apetito de riesgo como un equilibrio adecuado entre crecimiento, riesgo y rendimiento o como una medida para agregar valor para el accionista, ajustadas a su propio nivel de riesgo. El apetito de riesgo es el riesgo aceptado formalmente por una organización.

1.1.4 POLÍTICA INTEGRAL DE GESTIÓN Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar y mantener una política integral de gestión, la cual debe: a) b) c) d) e) f) g) h)

i)

Ser adecuada al propósito de la organización. Ser apropiada a la naturaleza y magnitud de los impactos ambientales de sus actividades, productos y servicios. Ser apropiada a la naturaleza y magnitud de los riesgos de seguridad y salud ocupacional para las personas vinculadas a sus actividades. Ser coherente con la estructura de la gestión de amenazas y riesgos de la seguridad de la cadena de suministro. Incluir o hacer referencia a los objetivos y metas específicas para la gestión. (Véase 1.1.5) promoviendo la implementación y sostenibilidad de la administración de seguridad de procesos operacionales, Incluir o hacer referencia al alcance, incluidas las limitaciones y exclusiones de la continuidad del negocio. Ser coherente con el plan de desarrollo, los planes sectoriales y de desarrollo administrativo del Gobierno Nacional, el Sistema de Control Interno y el marco estratégico establecido (Véase 1.1.2). Ser consistente con el marco de desarrollo sostenible que promueve la organización (Resultados económicos, sociales y ambientales). 9/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

j)

Incluir un compromiso con la resiliencia, la sostenibilidad y la mejora continua de los procesos del SGCI, el cumplimiento de los requisitos de sus grupos de interés, la prevención de la contaminación, la prevención de lesiones y enfermedades, la preservación de la seguridad de la información, la prevención de incidentes que puedan interrumpir los procesos y los requisitos legales aplicables y otros requisitos que suscriba la organización. k) Incluir la filosofía de gestión de riesgos y controles. l) Proporcionar un marco de referencia para establecer y revisar los objetivos, metas y programas de gestión. Debe ser comunicada a todos los grupos de interés y estar disponible para ellos. m) Ser comunicada y entendida dentro de la organización y n) Ser revisada para su continua adecuación. Por ejemplo, en caso de adquisición o fusión con otra organización u otros cambios en el alcance del negocio de la organización. Adicionalmente, para los laboratorios de ensayo y calibración, debe especificarse lo siguiente: o)

El compromiso de la Dirección de los laboratorios con la buena práctica profesional y con la calidad de sus ensayos y calibraciones durante el servicio a sus clientes. p) Una declaración de la dirección con respecto al tipo de servicio ofrecido por los laboratorios. q) El propósito del sistema de gestión concerniente a la calidad. r) Un requisito de que todo el personal relacionado con las actividades de ensayo y de calibración dentro de los laboratorios se familiarice con la documentación de la calidad e implemente los lineamientos y procedimientos en su trabajo y s) El compromiso de la Dirección de los laboratorios de cumplir con los requisitos del SGCI y mejorar continuamente su eficacia. NOTA: Cuando la política integral de gestión de la organización no cumpla los requisitos establecidos para las diferentes temáticas de gestión y control, tales requisitos adicionales pueden detallarse o complementarse en otros documentos.

1.1.5 OBJETIVOS Y METAS ESPECÍFICAS PARA LA GESTIÓN Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar y mantener objetivos y metas de la calidad (incluidos cuando corresponda, los objetivos generales de los laboratorios), objetivos y metas de seguridad industrial, seguridad de procesos operacionales, salud ocupacional y medioambiente; objetivos para la continuidad de negocio, objetivos de la seguridad de la información, objetivos de gestión de la seguridad de la cadena de suministro en las funciones y niveles pertinentes, dentro de la organización. Los objetivos deben ser medibles y coherentes con la estrategia (Misión, Visión, Megas, lineamientos estratégicos, objetivos estratégicos, valores y competencias organizacionales, política integral de gestión, entre otros) de la organización. Para establecer y revisar los objetivos y metas se debe tener en cuenta, cuando sea apropiado: a) b)

Los requisitos legales, reglamentarios, del producto y otros que la organización suscriba. Los recursos financieros, humanos y operacionales con los que cuenta incluyendo sus opciones tecnológicas. c) Las opiniones de los grupos de interés. d) El compromiso de prevenir las lesiones, enfermedades. e) Sus aspectos e impactos ambientales significativos. f) Las amenazas y riesgos relacionados con la seguridad. 10/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 g) h)

Elaborado 22/02/2012

Versión: 1

Los requisitos para la continuidad de negocio. El nivel de apetito y tolerancia al riesgo.

1.1.6 PROGRAMAS DE GESTIÓN Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar, mantener y liderar uno o varios programas de gestión para alcanzar sus objetivos y metas específicos para la gestión. Estos programas deben incluir: a) Actividades para el logro de los objetivos y metas específicos de gestión relacionados con la calidad, el medio ambiente, seguridad y salud ocupacional, continuidad de negocio, seguridad de la información, seguridad de la cadena de suministro, en las funciones y niveles pertinentes, dentro de la organización. b) La asignación de responsabilidades para llevar a cabo estas actividades. c) Los recursos, medios y plazos establecidos para el logro de los objetivos y metas específicos para la gestión. El(los) programa(s) de gestión se debe(n) revisar a intervalos planificados y se deben ajustar, si es necesario, para asegurar que los objetivos se logren. 1.1.7 MANUAL DEL SGCI Ecopetrol S.A. y sus subordinadas deben establecer, documentar y mantener un manual de SGCI que incluya: a)

El alcance del SGCI, incluidos los detalles y la justificación de cualquier excepción de aplicabilidad de los requisitos de los subelementos, siempre y cuando tales excepciones no afecten la capacidad o responsabilidad de la organización para proporcionar productos y/o servicios y cumplir con el marco estratégico establecido, con los requisitos de los grupos de interés y los legales que le son aplicables. b) Contener la política integral de gestión, los objetivos y metas para la gestión o hacer referencia a los mismos. c) Los procedimientos documentados establecidos para el SGCI o referencia a los mismos y d) Una descripción de la interacción entre los procesos del SGCI. Para los laboratorios que requieren acreditar sus ensayos y calibraciones, se debe definir un manual de calidad independiente que incluya lo siguiente: e) f)

La política de calidad de los laboratorios. Contener o hacer referencia a los procedimientos de apoyo, incluidos los procedimientos técnicos. g) Descripción de la estructura de la documentación utilizada en el SGCI. h) Definición de las funciones y responsabilidades de la dirección técnica y del responsable de la calidad, incluida su responsabilidad para asegurar el cumplimiento de NTC ISO/IEC 17025. 11/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA: El Manual de calidad puede variar en cuanto a detalle y formato para adecuarse al tamaño y complejidad de la organización en particular.

1.1.8 COMPROMISO DE LA DIRECCIÓN La Alta Dirección debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, mantenimiento del SGCI y la mejora continua de su eficacia, eficiencia, efectividad y el logro de los objetivos de la organización: a) b) c) d) e) f) g) h) i)

Comunicando a la organización la importancia de satisfacer tanto los requisitos de los grupos de interés así como los legales y reglamentarios. Manifestando su interés por la gestión efectiva de los riesgos. Estableciendo la política integral de gestión. Estableciendo un marco estratégico, los planes tácticos y plurianuales relacionados. Estableciendo un plan de continuidad de negocio. Estableciendo las instancias necesarias de gestión y control (comités, consejos, etc.)(Véase 2.1.3), para garantizar el logro de los objetivos de la organización. Determinando e implementando las acciones necesarias para establecer objetivos en los diferentes niveles. Asegurando que se realicen las evaluaciones independientes y Llevando a cabo las revisiones por la dirección y asegurando la disponibilidad de los recursos.

Para la gestión de riesgos y controles, Ecopetrol S.A. y sus subordinadas deben conformar un Consejo de Administración u organismo similar activo con la competencia necesaria para llevar a cabo sus responsabilidades de monitoreo y estar preparado para monitorear y evaluar las actividades de la dirección, presentar enfoques alternativos y actuar frente a prácticas ilícitas. (Véase 2.1.3.1) Ecopetrol S.A. y sus subordinadas deben establecer un gobierno de la seguridad de la información, que incluya la definición de estructuras, procesos, liderazgo, roles y responsabilidades organizacionales. (Véase 2.1.4) NOTA El comité de responsabilidad integral de la organización es una instancia de gestión y control en temas de Seguridad industrial, seguridad de procesos operacionales, salud ocupacional y medioambiente. Su función principal es la aprobación y despliegue de lineamientos relacionados.

1.2 REQUISITOS LEGALES ASOCIADOS A LOS ESTÁNDARES NORMATIVOS Consolidar los requisitos y lineamientos emanados de los estándares normativos adoptados por Ecopetrol S.A, relacionados con identificación, cumplimiento o control de requerimientos legales. Ecopetrol S.A. y sus subordinadas deben establecer, documentar, implementar y mantener uno o varios procedimientos para: a)

Definir los lineamientos para asegurar el cumplimiento de los requisitos legales aplicables y otros requisitos que la organización suscriba.

12/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 b) c) d) e) f) g)

Elaborado 22/02/2012

Versión: 1

Establecer los lineamientos para generar, gestionar, controlar y divulgar las normas y estándares de Ecopetrol S.A., con el fin de aplicar y asegurar las mejores prácticas. Identificar y tener acceso a los requisitos legales aplicables, otros requisitos que la organización suscriba. Determinar cómo se aplican estos requisitos a los aspectos relacionados con el SGCI, las amenazas y riesgos de la organización. Mantener actualizada esta información. Comunicar sobre requisitos legales aplicables y otros requisitos que la organización suscriba, relacionados con el SGCI a todos los grupos de interés, según aplique. Hacer seguimiento al cumplimiento de los requisitos legales y otros requisitos que la organización suscriba. (Véase 7.6.7).

Ecopetrol y sus subordinadas deben identificar pronunciamientos judiciales y decisiones administrativas respecto de la aplicación e interpretación de sus requisitos legales con el fin de establecer y divulgar lecciones aprendidas, implementar planes de mejoramiento y determinar la necesidad de creación o modificación de sus lineamientos. NOTA 1: Dentro de los otros requisitos que la organización suscriba se encuentran contemplados los mecanismos de autorregulación, entendidos como los estándares adoptados voluntariamente por Ecopetrol S.A. y sus subordinadas, que exceden los requisitos reglamentarios y que se constituyen de obligatorio cumplimiento para la organización (ejemplo: Normas ISO, COSO ERM,OSHA 1910.119, entre otras). NOTA 2: Los entes legisladores y reguladores pueden intervenir en la organización a través de requisitos para la gestión de riesgos y controles y el control interno, mediante auditorías. NOTA 3: La organización debería identificar las entidades gubernamentales competentes para la expedición de normas y las asociaciones profesionales técnicas de su sector, a efecto de propiciar espacios de discusión y concertación sistemáticos, que busquen la mejora de su marco jurídico y regulatorio (Véase 1.3.1)

1.3 INTELIGENCIA COMPETITIVA El subelemento Inteligencia Competitiva tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con el entendimiento, seguimiento y análisis sistemático del entorno, en relación con aspectos políticos, económicos, financieros, sociales, laborales, legales, tecnológicos, de seguridad y salud, medio ambientales, de mercado y competencia que permitan identificar amenazas y oportunidades, soportar la planificación e implementación de los cambios, así como dar alertas oportunas para la toma de decisiones estratégicas de la organización. 1.3.1 INTELIGENCIA COMPETITIVA Ecopetrol S.A. y sus subordinadas deben establecer un proceso organizado, selectivo y sistemático para la búsqueda de señales de cambio y novedades para transformarlas en conocimiento, así como la observación, captación, selección, análisis y difusión de la información de la propia organización y del exterior, que permita la toma de decisiones. Este proceso debe permitir a la organización: a) Generar capacidad de anticipación. b) Identificar oportunidades para mejorar la capacidad competitiva. c) Aumentar la capacidad de innovación. (Véase 7.1) 13/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

d) Generar mayor valor para trabajar asociativamente. e) Tomar decisiones con menor riesgo. Ecopetrol S.A. y sus subordinadas deben establecer lineamientos para llevar a cabo el análisis externo considerando como mínimo aspectos tales como: f) g) h) i)

Identificar y caracterizar escenarios de evolución de los desarrollos actuales. Identificar casos de éxito y de fracaso, de proyectos. Obtener datos de evolución de los mercados en su sector. Investigar y monitorear en forma permanente la existencia de normas técnicas, regulaciones o recomendaciones, a nivel internacional o nacional, y prever las exigencias futuras de los requisitos legales. j) Realizar estudios comparativos de productos de la competencia. k) Identificar, valorar y proponer las oportunidades de alianzas tecnológicas. Se deben mantener registros de los resultados de la inteligencia competitiva. (Véase 3.3.2) 1.3.2 PLANIFICACIÓN DE CAMBIOS DEL SGCI Ecopetrol S.A. y sus subordinadas deben mantener la integridad del SGCI cuando se planifican e implementan cambios en éste. Estos cambios pueden incluir temas relacionados con requisitos legales y reglamentarios, infraestructura, tecnología, estructura organizacional, introducción de nuevos procesos o actividades, o la entrada a nuevos mercados con las consecuencias de cumplimiento legal que eso implica, entre otros. Para esto debe: a) b)

c) d)

e) f)

Definir, establecer, mantener e implementar uno o varios procedimientos, para la planificación e implementación de cambios del SGCI. Asegurar que todas las solicitudes de cambio se evalúan de una manera adecuada en cuanto a impactos en el SGCI, la operación y los resultados del negocio. Esta evaluación debe incluir la identificación de los riesgos asociados con los cambios y siempre que sea factible, una categorización y priorización de los cambios. Entrenar y desarrollar competencias, cuando sea pertinente, a colaboradores directos e indirectos cuyas actividades sean afectadas por el cambio.(Véase 2.3.1) Comunicar de forma clara y oportuna los cambios fundamentales en el SGCI de tal manera que se facilite la intervención de los comportamientos deseados, relacionados con procesos, procedimientos y responsabilidades. Actualizar, cuando sea pertinente, toda la documentación, incluidos los registros, que sean afectados por el cambio.(Véase 3.3.1 y 3.3.2) Mantener registros de la planificación de cambios. (Véase 3.3.2)

NOTA: En la planificación de cambios es importante tener en cuenta el análisis y desarrollo de la descripción del cambio de manera que ilustre y documente claramente como se modifica el proceso y/o instalaciones, el propósito del cambio, el análisis técnico del cambio y los riesgos asociados.

1.4 GRUPOS DE INTERÉS El subelemento Grupos de Interés tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos relacionados con la identificación de los grupos de interés, el 14/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

establecimiento de los mecanismos de participación y consulta, la definición de compromisos, el respeto por los derechos humanos, el diseño de estrategias de comunicación, su aplicación y la rendición de cuentas.

1.4.1 RELACIONAMIENTO CON LOS GRUPOS DE INTERES Ecopetrol S.A y sus subordinadas deben establecer e implementar lineamientos para el relacionamiento con los grupos de interés de acuerdo con las características de cada uno y el nivel de influencia que estos representen para la organización, los principios y valores y el cumplimiento de las leyes nacionales e internacionales aplicables. Para esto, debe: a) Identificar y clasificar los grupos de interés. b) Priorizar los grupos de interés teniendo en cuenta, entre otros aspectos, su incidencia en la toma de decisiones, la obtención de ingresos, la operación y la estrategia. c) Establecer mecanismos para la participación, consulta y captura de expectativas de los grupos de interés para conocer puntos de vista y generar acciones acordes con sus necesidades. d) Establecer y ejecutar las acciones de relacionamiento con grupos de interés. e) Informar a los grupos de interés sobre las acciones que fueron llevadas a cabo. En este paso, también se le informará a la sociedad en general la gestión adelantada con los grupos; (Véase 1.4.2) f) Realizar revisión de las acciones de relacionamiento con grupos de interés e identificar cualquier falencia en la identificación, clasificación, priorización e información transmitida a los grupos de interés. g) Llevar a cabo planes de mejoramiento.(Véase 7.7) NOTA 1: Son considerados grupos de interés para una organización: los accionistas e inversionistas; los clientes, empleados, pensionados y familiares; sociedad y comunidad; Estado, socios; contratistas y sus empleados, entre otros. NOTA 2: Para la identificación y clasificación de los grupos de interés, conviene tener en cuenta el sector al que pertenece la organización y enmarcar los grupos de interés según la dimensión a la que pertenezca, ya sea económica, social o ambiental. NOTA 3: Son mecanismos para participación, consulta y captura de expectativas de los grupos de interés: las entrevistas, encuestas, cuestionarios, diálogos con grupos focales, entre otros.

1.4.2 COMUNICACIONES Se debe asegurar que se establecen los procesos y /o métodos de comunicación apropiados dentro de la organización y que la información pertinente se comunica hacia y desde los diferentes niveles de la organización y grupos de interés. Se efectúa considerando la eficacia y efectividad del SGCI. Estos procesos deben asegurar una comunicación eficaz con los grupos de interés relativa a: a) El marco estratégico, los principios y valores. b) Información sobre el desempeño de la organización (Cumplimiento de objetivos y metas) c) Manejo de crisis en temas internos y externos que afecten a algún grupo de interés o la reputación de la organización. 15/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

d) Información acerca de sus aspectos ambientales significativos, cuando lo considere pertinente y debe documentar su decisión. e) Administración de la información relevante que, como tal, afecte el valor de la acción en bolsa, f) cultura organizacional g) Factores que apalanquen los procesos de ética, cumplimiento y gestión de riesgos. h) Manejo de la imagen y marca de la organización. i) Información sobre los productos y/o servicios. j) Consultas, contratos o solicitudes, incluidas las modificaciones k) Información sobre comportamientos deseados de proveedores y contratistas. l) Retroalimentación del cliente, incluidas sus peticiones, quejas, reclamos, percepciones, sugerencias y felicitaciones. (Véase 7.4) m) Información de los procedimientos disponibles para la resolución de conflictos, derechos humanos, desacuerdos con los grupos de interés n) Mecanismos de participación ciudadana y canales de información y contacto. Se debe establecer e implementar uno o varios procedimientos para la resolución de peticiones, quejas, reclamos y atención de sugerencias y felicitaciones recibidas de los grupos de interés. Se deben mantener los registros de todas las quejas, las investigaciones y de los planes de mejoramiento emprendidos (Véase 3.3.2 y 7.7). Se deben establecer canales alternativos de comunicación, adicionales a las líneas normales establecidas, que permitan a los colaboradores reportar información sensible de los actos ilegales o inadecuados. Se debe proporcionar lineamientos sobre los temas que deben ser reportados, para lo cual se debe garantizar la confidencialidad. Las comunicaciones hacia los grupos de interés deben regirse por: o) El manejo adecuado de la imagen y política de marca de la organización. p) Los medios corporativos a través de los cuales se comunica con los grupos de interés. q) Los lineamientos de divulgación de información en la que se destacan los temas de información relevante. r) Los canales de atención dispuestos para los diferentes grupos de interés. 1.4.3 RENDICIÓN DE CUENTAS Ecopetrol y sus subordinadas deben establecer lineamientos para rendir cuentas por sus impactos en la sociedad, la economía y el medio ambiente ante quienes controlan los intereses de la organización, los órganos de gobierno, las autoridades competentes, aquellos afectados por sus decisiones y actividades y la sociedad en general. Esto implica un comportamiento transparente y ético que contribuya al desarrollo sostenible, cumpla con la legislación aplicable y sea coherente con la normativa internacional de comportamiento. Estos lineamientos deben incluir la aceptación de responsabilidad cuando se cometen errores, la toma de medidas adecuadas para repararlos y la toma de acciones para prevenir que se repitan. NOTA 1: El grado de rendición de cuentas puede variar, pero debería siempre corresponder con el grado o extensión de la autoridad, asegurar el despliegue del direccionamiento y la rendición de cuentas en los niveles estratégico, táctico y operativo de la organización. NOTA 2: El Informe de Sostenibilidad de una organización puede ser una de las mejores herramientas, porque se da a conocer a todos sus grupos de interés su desempeño a nivel económico, social y ambiental y ser útil como una herramienta de gestión.

16/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

1.5 DEFINICIÓN DE RECURSOS El subelemento Definición de Recursos tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la identificación de necesidades y aseguramiento de la disponibilidad de recursos, para el desarrollo de las actividades que apalancan la estrategia.

Ecopetrol S.A. y sus subordinadas deben establecer y mantener un marco de trabajo financiero para administrar las inversiones y el costo de los activos y servicios de la organización. El marco de trabajo debe incluir cuando sea apropiado lo siguiente: a)

La implementación de un proceso efectivo que facilite la toma de decisiones y la priorización de la asignación de recursos. b) La elaboración y administración de un presupuesto que refleje las prioridades establecidas en el portafolio de inversión empresarial, incluyendo los costos recurrentes de operar y mantener la infraestructura actual. c) El análisis y el reporte de los costos de acuerdo con los sistemas de medición financiera de la organización, que permita soportar un modelo de costos transparente. La Alta Dirección debe asegurar que se distribuyen los recursos entre las unidades de negocio, teniendo en cuenta el marco estratégico y la tolerancia y apetito de riesgo definidos por la organización. Se debe determinar y proporcionar los recursos necesarios para: d)

Establecer, implementar, operar, monitorear, revisar, mantener el SGCI y mejorar continuamente su eficacia, eficiencia y efectividad. e) Asegurar que los procedimientos del SGCI brindan apoyo a los requerimientos de la organización. f) Mantener la seguridad suficiente mediante la aplicación de todos los controles. g) Identificar y atender los requisitos legales, reglamentarios y otros que la organización suscriba. h) Llevar a cabo revisiones cuando sea necesario y reaccionar apropiadamente a los resultados de estas revisiones. i) Aumentar la satisfacción del cliente mediante el cumplimiento de sus requisitos. NOTA: Los recursos incluyen la infraestructura y recursos tecnológicos, los recursos financieros, el talento humano, entre otros.

17/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

2. GENTE El elemento Gente tiene como finalidad agrupar y correlacionar y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A, que orienten la definición de la estructura organizacional y de compensación así como el desarrollo integral de la gente que contribuya de forma efectiva al logro de los objetivos de la organización. 2.1 ESTRUCTURA ORGANIZACIONAL El subelemento Estructura Organizacional tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuada gestión de los procesos, relacionados con la delimitación de roles, responsabilidades, autoridades y relaciones entre el personal, descripción de cargos (incluidas las competencias requeridas) y sistema de compensación para permitir que cada colaborador tenga claridad del alcance del rol en el cual se desempeña, con el fin de apalancar el logro de los objetivos de la organización. 2.1.1 ORGANIZACIÓN Y ESTRUCTURA DE GESTIÓN Ecopetrol S.A. y sus subordinadas deben establecer y mantener una estructura organizacional que proporcione un marco de referencia para planear, ejecutar, controlar y monitorear sus actividades y debe ser pertinente a las necesidades de la organización y la naturaleza de sus actividades. Adicionalmente, los laboratorios deben definir su ubicación dentro de la organización y las relaciones entre la gestión de la calidad, su propia estructura de gestión, las operaciones técnicas y los servicios de apoyo. La estructura organizacional debe incluir la definición de funciones, roles, responsabilidades, autoridades, líneas adecuadas de reporte y protocolos de autorización, de manera coherente con el logro de su política integral de gestión, objetivos, metas y programas específicos para la gestión. La estructura organizacional aprobada debe ser insumo para la definición del sistema de compensación. Deben establecerse mecanismos para evaluar la estructura organizacional de forma periódica, para identificar si cumple con las necesidades de la organización. Cuando la evaluación de la estructura organizacional de como resultado ajustes en los requerimientos de personal y las estrategias internas, se deben establecer lineamientos para afrontar estos cambios. Estos lineamientos deben incluir como mínimo: a) b) c) d)

Análisis de riesgos. (Véase 6.1) Mecanismos de comunicación. (Véase 1.4.2) Desarrollo de competencias necesarias para el desarrollo de las actividades. (Véase 2.3.1) Mecanismos de monitoreo. (Véase 7.6)

2.1.2 FUNCIONES, ROLES, RESPONSABILIDADES Y AUTORIDADES La Alta Dirección debe asumir la máxima responsabilidad por el SGCI y debe asegurarse de que las funciones, roles, responsabilidades, competencias y autoridades están definidas, documentadas y sean comunicadas dentro de Ecopetrol S.A y sus subordinadas, asegurando que el personal realice sólo las tareas autorizadas y relevantes a sus cargos respectivos. Se deben definir las responsabilidades sobre los procedimientos relacionados con el reporte, manejo, monitoreo y resolución de incidentes. Se deben establecer los roles y responsabilidades, de manera que se reduzca la probabilidad de que un solo individuo afecte un proceso crítico. Cuando la organización requiera delegar funciones y responsabilidades debe asegurar que la toma de decisiones se basa en prácticas sólidas de identificación y evaluación de riesgos, segregación adecuada 18/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

de funciones, incluido el dimensionamiento de los riesgos y de las pérdidas potenciales frente a las ganancias para determinar cuáles riesgos se aceptan y cómo se administran. NOTA: La delegación tiene como requisito implícito un mayor nivel de competencia del empleado, además de un aumento de su responsabilidad. También puede exigir procedimientos efectivos para que la dirección controle sus resultados y se asegure de que las decisiones puedan anularse o aceptarse según el caso.

Se debe definir, monitorear y supervisar los roles, responsabilidades y el sistema de compensación del personal, incluido el cumplimiento de adherirse a los lineamientos y procedimientos, al código de ética y prácticas profesionales. El nivel de supervisión debe estar de acuerdo con la sensibilidad del cargo y el grado de responsabilidades asignadas. Deben existir procesos, lineamientos de administración y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la gestión de riesgos y controles, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de funciones. Los laboratorios deben: a) Tener personal directivo y técnico que tenga, además de otras responsabilidades, la autoridad y los recursos para implementar, mantener y mejorar el sistema de gestión, y para identificar los desvíos del mismo e iniciar acciones destinadas a prevenir o minimizar dichos desvíos. b) Tener una dirección técnica con la responsabilidad total por las operaciones técnicas y la provisión de los recursos necesarios para asegurar la calidad requerida de las operaciones del laboratorio. c) Nombrar sustitutos o delegados para el personal directivo clave. d) Definir las responsabilidades del personal clave de la organización que participa o influye en las actividades de ensayo o de calibración de los laboratorios, con el fin de identificar potenciales conflictos de intereses. NOTA 1: Las personas pueden tener más de una función y puede ser impracticable designar sustitutos para cada función. NOTA 2: Es conveniente que las disposiciones de la organización aseguren que los procesos que tengan intereses divergentes no influyan en forma adversa en el cumplimiento de los laboratorios con los requisitos del SGCI. NOTA 3 : La organización debería contar con una matriz de roles y responsabilidades para asegurar que se ejecuten las actividades definidas en la estructura organizacional existente.

2.1.3 ROLES Y RESPONSABILIDADES EN LA GESTIÓN DE RIESGOS Y CONTROLES La gestión de riesgos y controles es responsabilidad de todos los colaboradores de Ecopetrol S.A. y sus subordinadas. Todos los colaboradores deben comunicar a los niveles pertinentes de la organización cualquier problema en las operaciones, incumplimiento del Código de Ética y Código de Buen Gobierno, violación de lineamientos o acto ilegal. Ecopetrol S.A. y sus subordinadas deben definir los roles y responsabilidades de las partes implicadas. Esta estructura debe estar conformada, como mínimo, por: a) b) c) d)

Consejo de Administración. Alta Dirección. Responsable(s) de riesgos y controles. Evaluadores independientes internos y externos. (Véase 7.5.3)

19/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

2.1.3.1 Consejo de Administración El Consejo de Administración tiene como responsabilidades: a) b)

Proporcionar monitoreo, asesoría y orientación de la gestión de riesgos y controles. Monitorear los asuntos relacionados con el cumplimiento efectivo del Código de Ética y de Buen Gobierno. c) Analizar el impacto de la materialización de los riesgos en términos del costo de los incumplimientos legales nacionales e internacionales. d) Asegurar la prevención y descubrimiento de actos de fraude, corrupción, lavado de activos y financiación del terrorismo. e) Participar en la formulación de la estrategia. f) Asegurar que todos sus miembros sean externos e independientes, con el fin de estar preparada para monitorear y evaluar las actividades de la dirección, presentar enfoques alternativos y actuar frente a prácticas ilícitas. NOTA 1: Los comités de auditoría de la Junta Directiva de las organizaciones o quien(es) haga sus veces pueden asumir el rol del Consejo de Administración. NOTA 2: Conviene que el Consejo de Administración cuente con un experto financiero que soporte su función.

2.1.3.2 Alta Dirección La Alta Dirección tiene las siguientes responsabilidades en la gestión de riesgos y controles: a) b) c) d) e) f) g)

Formular la estrategia, establecer los objetivos estratégicos y la asignación de recursos. Formular los lineamientos, desarrollar la cultura de la organización, establecer su filosofía de gestión de riesgos y controles y el nivel de apetito de riesgo. Monitorear la gestión de riesgos y controles de la organización. Revisar periódicamente las responsabilidades de las unidades organizativas y monitorear las actividades y riesgos en relación con el apetito de riesgo de la organización. (Véase 7.3 y 7.6) Tomar las medidas necesarias y la posibilidad de acciones posteriores o de ajustar el apetito de riesgo, en conjunto con el consejo de administración, cuando sea pertinente. Asegurar la prevención y detección de actos de fraude, corrupción, lavado de activos y financiación del terrorismo. Responder por la información financiera reportada ante los organismos de control.

Los responsables de los procesos o unidades organizativas deben formular recomendaciones sobre las actividades de control, monitorear su aplicación y funcionamiento y deben abarcar la autoridad y la rendición de cuentas ante su superior inmediato. Para este efecto, el Presidente de la organización, el responsable último ante el Consejo de Administración. NOTA 1: El Comité Directivo de la organización o quien(es) haga(n) sus veces puede asumir el rol de Alta Dirección. NOTA 2: En la organización, pueden existir estructuras de control de gestión, conformadas entre otros, por comités y subcomités que tienen dentro de sus funciones la gestión de los diferentes tipos de riesgos.

20/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

2.1.3.3 Responsable (s) de Riesgos y controles La Alta Dirección debe nombrar un(os) responsable(s) de riesgos, quien(es) tiene(n) las siguientes responsabilidades en la gestión de riesgos y controles: a)

b) c) d) e) f)

Trabajar en acompañamiento con otros directivos para establecer una gestión efectiva de riesgos y controles en su respectiva área de responsabilidad, monitorear el progreso de dicha gestión y apoyar a los demás directivos a informar sobre los riesgos relevantes y servir como un canal complementario de reporte para la organización. Enmarcar la autoridad y responsabilidad de la gestión de riesgos y controles en los procesos o en las unidades organizativas. Proporcionar apoyo técnico para alinear las respuestas a los riesgos con la tolerancia a ellos y la aplicación de adecuados controles. Apoyar la integración de la gestión de riesgos y controles con otras actividades de planeación y administración de la organización. Establecer un lenguaje común para la gestión de riesgos y controles, que incluya la unificación de medidas de su probabilidad e impacto y de las categorías de riesgo. Proporcionar soporte a los directores, ya que deben asumir la responsabilidad primaria y tener una rendición de cuentas por la gestión de riesgos y controles dentro de sus respectivas unidades organizativas.

NOTA: Este rol puede ser asignado a uno o varios responsables, siempre y cuando se aseguren canales de comunicación eficaces entre ellos, o crear una asignación funcional y recursos definidos, debido a la importancia y amplitud del alcance de este rol en la gestión de riesgos y controles.

2.1.3.4 Evaluadores independientes internos y externos Los evaluadores independientes deben: a)

Evaluar la adecuación y efectividad de la gestión de riesgos y controles y el SGCI, incluida la evaluación de la confiabilidad y razonabilidad de los reportes, la efectividad y eficiencia de las operaciones y el cumplimiento de leyes y regulaciones aplicables. b) Informar los resultados de la evaluación independiente a la instancia correspondiente, c) Formular recomendaciones para la mejora. d) Monitorear y evaluar el cumplimiento y efectividad de las acciones de mejora que se implementen para atender los hallazgos y recomendaciones. NOTA: Las evaluaciones independientes internas pueden ser reportadas al Consejo de Administración, la Alta Dirección, unidades organizativas, entre otros. Todo depende la naturaleza de la evaluación.

2.1.4 ROLES Y RESPONSABILIDADES INFORMACIÓN

EN

EL

GOBIERNO

DE

LA

SEGURIDAD

DE

LA

La organización debe instaurar instancias de gobierno de la seguridad de la información necesarias para: a) b)

Direccionar y hacer cumplir los lineamientos en materia de seguridad de la información. Proteger los flujos de información de la organización en el contexto de sus procesos de negocio. 21/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

c) d)

Asegurar y verificar la infraestructura, las aplicaciones y las operaciones de las TI. Determinar las prioridades de los programas de inversión alineadas con el marco estratégico y prioridades de la organización. e) El seguimiento al estado de los proyectos. f) Revisar los incidentes, resolver los conflictos de recursos y monitorear los niveles de servicio y proponer planes de mejoramiento de ser necesario. g) Establecer el plan de seguridad de la información. h) Orientar el diseño de la arquitectura de la seguridad de la información. NOTA: Las actividades anteriormente descritas pueden llevarse a cabo en la organización, según sea pertinente, a través de alguna de las siguientes instancias: Comité de Seguridad de la Información, Comité de Arquitectura Empresarial o una Dirección Tecnológica. En su defecto, una combinación de estas instancias.

2.1.5 REPRESENTANTE DE LA DIRECCIÓN La Alta Dirección debe designar un(os) miembro(s) de la dirección de Ecopetrol S.A. y sus subordinadas, con la competencia necesaria, quien(es) independientemente de otras responsabilidades, debe(n) tener la responsabilidad y autoridad que incluya: a) b)

Asegurar la implementación de la política integral de gestión; asegurar que se establecen, implementan y mantienen los procesos necesarios para la implementación del SGCI; c) asegurar que se presentan informes a la Alta Dirección sobre el desempeño del SGCI para su revisión y que se usan como base para la mejora; d) asegurar que se promueva la toma de conciencia de los requisitos del SGCI en todos los niveles de la organización; e) cuando aplique, asegurar que el sistema de gestión relativo a la calidad de los laboratorios sea implementado y respetado en todo momento. La identidad del(os) representante(s) de la Alta Dirección se debe informar a todas las personas que trabajan bajo el control de la organización. NOTA 1: La responsabilidad del(os) representante(s) de la dirección puede incluir relaciones con partes externas sobre asuntos relacionados con el SGCI. NOTA 2: El(os) representante(s) de la Alta Dirección puede delegar algunos de sus deberes a un representante de la dirección subordinado, pero conservando la responsabilidad de rendir cuentas. NOTA 3: Los roles y responsabilidades establecidos en este marco de requisitos guardan relación con los documentos de gobierno corporativo.

22/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

2.2 CULTURA Y TOMA DE CONCIENCIA El subelemento Cultura y Toma de conciencia tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuada gestión de los procesos, relacionados con el autocontrol, la vivencia de los principios y valores, así como los comportamientos, costumbres, creencias y actitudes compartidas, para lograr el compromiso con su cumplimiento por parte de los trabajadores directos y trabajadores de contratistas de Ecopetrol S.A. Ecopetrol S.A. y sus subordinadas deben: a)

Comunicar y asegurar que los colaboradores directos e indirectos son conscientes de la pertinencia e importancia de sus actividades, su relación con el trabajo de los demás y de cómo contribuyen al logro de los objetivos, metas, mejoramiento continuo del SGCI y en general al marco estratégico de la organización.

b)

Establecer, implementar y mantener un(os) procedimiento(s) y programa (s) para hacer que las personas tomen conciencia de: 1. Sus funciones y responsabilidades y la importancia de lograr conformidad con la política integral de gestión, procedimientos y requisitos del SGCI, incluidos los requisitos de preparación y respuesta ante emergencias. 2. Los peligros, amenazas y riesgos, aspectos e impactos ambientales reales y potenciales asociados a sus actividades laborales. 3. La importancia de cumplir rigurosa y continuamente con los procedimientos y prácticas seguras establecidas. 4. las consecuencias potenciales de desviarse de los procedimientos especificados para el SGCI. 5. Su comportamiento, identificando, si es considerado aceptable, adecuado, legal, o no, de acuerdo con los lineamientos de ética corporativos y los beneficios obtenidos por un mejor desempeño personal.

c) Tomar medidas para asegurar que su personal está libre de cualquier presión o influencia indebida, interna o externa, comercial, financiera o de otro tipo, que pueda perjudicar la calidad de su trabajo. d)

Establecer lineamientos para evitar que el personal participe en actividades que pueda disminuir la confianza en su competencia, imparcialidad, juicio o integridad operativa.

e)

Establecer mecanismos para hacer consultas o denuncias sobre hechos o situaciones referentes a la ética y la transparencia en la organización.

NOTA 1: Este requisito guarda relación con el Código de Ética vigente de la organización. NOTA 2: Tomar conciencia incluye la interiorización y puesta en práctica de los diferentes temas asociados a su contribución al logro de los objetivos, metas, mejoramiento continúo del SGCI y en general al marco estratégico de la organización.

23/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA 3: Las influencias indebidas externas hacen referencia entre otros aspectos, a factores tales como alcohol y abuso de sustancias psicoactivas, falta de sueño, enfermedades individuales o familiares, muertes en la familia, divorcio, acoso, entre otros. Las medidas para tratar casos donde se presenten algunas de las influencias indebidas, pueden incluir la identificación de actividades en las que las tales influencias podrían contribuir a la generación de situaciones de riesgo, prácticas para detectar casos de influencias al momento de contratar, lineamientos para tratar con casos sospechados, programas de rehabilitación/asistencia apropiados y mecanismos de comunicación a los colaboradores.

2.3 DESARROLLO DE LA GENTE El subelemento Desarrollo de la Gente tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuada gestión de los procesos, relacionados con el desarrollo y aseguramiento de las competencias para lograr que los trabajadores directos se desempeñen de manera efectiva en su cargo y adicionalmente mejoren su empleabilidad que le permita asumir nuevos roles y retos. Así como también controlar que los trabajadores de contratistas tengan el desempeño requerido para llevar a cabo las labores encomendadas. Ecopetrol S.A. y sus subordinadas deben asegurar que cualquier persona que esté bajo su control y que ejecuta tareas que pueden tener impacto sobre la conformidad con los requisitos del producto y/o servicio; ensayo y/o calibraciones, la seguridad industrial, seguridad de procesos operacionales, salud ocupacional y medio, la seguridad de la cadena de suministro, seguridad de la información, la gestión de la continuidad del negocio, sea competente y calificado según su educación, habilidades, formación y experiencia apropiados. Se debe asegurar que el personal sea apto para trabajar (físicamente disponible, mentalmente alertas y capaces de usar buen juicio para seguir adecuadamente las practicas prescritas). Se deben mantener los registros relacionados. (Véase 3.3.2) Se debe proveer una adecuada supervisión al personal, en especial aquellos que están en formación o bajo contrato, esta supervisión debe ser realizada por personas con conocimiento de las actividades, métodos, procedimientos, ensayos o calibraciones objeto de supervisión, de manera que se asegure que dicho personal es competente y que trabaja de acuerdo con los lineamientos de la organización. NOTA 1: En algunas tareas técnicas, puede requerirse que el personal que realiza ciertas tareas posea una certificación. La organización es responsable del cumplimiento de los requisitos especificados para la certificación del personal. Los requisitos para la certificación del personal pueden ser reglamentarios, estar incluidos en las normas para el campo técnico específico, o ser requeridos por el cliente. NOTA 2: Es conveniente que, además de las apropiadas calificaciones, la formación, la experiencia y un conocimiento suficiente del ensayo que lleva a cabo, el personal de los laboratorios, responsable de las opiniones y las interpretaciones incluidas en los informes de ensayo, tenga: a) b) c)

Un conocimiento de la tecnología utilizada para la fabricación de los materiales y/o productos, etc. ensayados, o su modo de uso o de su uso previsto, así como de los defectos o degradaciones que puedan ocurrir durante el servicio. Un conocimiento de los requisitos generales expresados en la legislación y las normas; y Una comprensión de la importancia de las desviaciones halladas con respecto al uso normal de los materiales y/o productos, etc. considerados.

Ecopetrol S.A. y sus subordinadas deben establecer prácticas definidas y aprobadas para el reclutamiento, selección, contratación, inducción, formación, promoción, compensación, evaluación del desempeño, adopción de acciones correctivas y terminación del vínculo laboral. Estas prácticas deben transmitir mensajes a los colaboradores en relación con los comportamientos esperados, niveles de integridad, conducta ética y competencia. 24/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Se deben realizar evaluaciones de desempeño periódicamente. Realizar comparaciones contra los objetivos individuales derivados de las metas organizacionales, estándares establecidos y responsabilidades específicas del puesto. NOTA: Los traslados y ascensos impulsados por evaluaciones periódicas del rendimiento muestran el compromiso de la organización con la promoción de sus colaboradores calificados. Un sistema competitivo de compensación sirve para motivar y potenciar el rendimiento destacable y deberán estar estructurados y debidamente controlados. Es conveniente que la organización monitoree la aplicación de estas buenas prácticas en los trabajadores de sus contratistas.

2.3.1 COMPETENCIA Y FORMACIÓN Ecopetrol S.A. y sus subordinadas deben: a)

b)

c) d) e)

Determinar la competencia necesaria de los colaboradores, que realizan trabajos que afectan la conformidad con los requisitos del producto y/o servicio, ensayos y/o calibraciones, aspectos ambientales, la salud ocupacional y la seguridad industrial, la seguridad de la cadena de suministro, la seguridad de la información, la gestión de la continuidad del negocio. Se debe asegurar la coherencia de la estructura organizacional con las descripciones de cargo y las competencias. Proporcionar formación o tomar otras acciones para lograr la competencia necesaria cuando se requiera, el programa de formación del personal de los laboratorios debe ser pertinente a las tareas presentes y futuras del laboratorio. Evaluar la eficacia de las acciones tomadas para lograr la competencia necesaria. Mantener los registros apropiados de la educación, formación, habilidades y experiencia de los colaboradores. (Véase 3.3.2). La dirección de los laboratorios debe autorizar a miembros específicos del personal para realizar tipos particulares de muestreos, ensayos y/o calibraciones, para emitir informes de ensayos y certificados de calibración, para emitir opiniones e interpretaciones y para operar tipos particulares de equipos. El laboratorio debe mantener registros de las autorizaciones pertinentes (Véase 3.3.2), de la competencia, del nivel de estudios y de las calificaciones profesionales, de la formación, de las habilidades y de la experiencia de todo el personal técnico, incluido el personal contratado. Esta información debe estar fácilmente disponible y debe incluir la fecha en la que se confirma la autorización y/o la competencia.

NOTA 1: Para el personal directivo, técnico y de apoyo clave involucrado en los ensayos y/o las calibraciones, las descripciones de los cargos como mínimo es conveniente que se defina lo siguiente: a) b) c) d) e) f) g)

Las responsabilidades con respecto a la realización de los ensayos y/o de las calibraciones. Las responsabilidades con respecto a la planificación de los ensayos y/o de las calibraciones y a la evaluación de los resultados. Las responsabilidades para comunicar opiniones e interpretaciones. Las responsabilidades con respecto a la modificación de métodos y al desarrollo y validación de nuevos métodos; La especialización y la experiencia requeridas. Las calificaciones y los programas de formación. Las obligaciones de la dirección.

NOTA 2: Las unidades organizativas deberían desarrollar un inventario o matriz de las habilidades básicas necesarias para lograr un desempeño satisfactorio.

25/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA 3: Es conveniente que la divulgación y entrenamiento propios de los documentos dependan de los dueños de los procesos para los que aplican tales documentos.

2.3.2 PROGRAMAS DE FORMACIÓN Ecopetrol S.A. y sus subordinadas deben identificar y analizar las necesidades de formación relacionada con su SGCI e implementar programas que incluyan, entre otros aspectos: a) b) c) d) e) f) g)

Identificación de los grupos objetivo. Competencia y calificación de instructores, Identificación de formación inicial y continua. Frecuencias apropiadas de capacitación y entrenamiento, Mecanismos de aprendizaje eficientes y materiales de entrenamiento. Mecanismos de transferencia del conocimiento, (Véase 3.4.1) Mecanismos para la evaluación de la eficacia de la formación.

Se deben conservar registros relacionados con la asistencia y evaluaciones de formación. (Véase 3.3.2) Los procedimientos de formación deben tener en cuenta los diferentes niveles de responsabilidad, capacidad, habilidades de lenguaje y alfabetismo y riesgo de las actividades. Los resultados de la ejecución de los programas de formación deben ser comunicados durante la revisión del SGCI por la Alta Dirección. (Véase 7.3.1) Ecopetrol S.A. y sus subordinadas deben establecer mecanismos para monitorear y controlar el cumplimiento de los requisitos de competencia y formación en los trabajadores de contratistas. (Véase 4.3.10) NOTA 1: Se consideran mecanismos de aprendizaje eficientes, entre otros: a)

Capacitación en aula: la capacitación en el aula puede incluir capacitación formal dirigida por el instructor, video interactivo, instrucción programada, y otros métodos de capacitación.

b)

Capacitación de campo: complementa la capacitación en aula y muestra cómo y dónde.

c)

Demostración de habilidades por el estudiante: da al estudiante una oportunidad de realizar una tarea dada por el instructor, demostrando así su grado de entendimiento de la capacitación recibida.

NOTA 2: Cuando la organización requiera “certificar las competencias del personal”, debería incluir una combinación de diferentes métodos de evaluación (demostración de habilidades, concepto por parte de la unidad organizativa o línea de negocio de la idoneidad de la persona para desarrollar una tarea, etc.) NOTA 3: Los programas de formación deberían considerar temas tales como procedimientos de respuesta ante emergencia e incidentes, valores corporativos, practicas seguras, entre otros.

26/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

2.4 AMBIENTE Y RELACIONAMIENTO LABORAL El subelemento Ambiente y Relacionamiento laboral tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuada gestión de los procesos, relacionados con el respeto a los derechos humanos incluyendo los derechos laborales, respeto por las personas, camaradería, credibilidad en la gente, confianza en los líderes, orgullo por el trabajo y la organización, para garantizar un ambiente laboral de excelencia y generar relaciones laborales confiables y sostenibles con trabajadores directos y velar por el de los trabajadores de los contratistas para impactar positivamente los resultados de Ecopetrol S.A. Ecopetrol S.A. y sus subordinadas deben establecer mecanismos que aseguren: a) b) c) d)

e) f)

g) h) i) j) k)

El cumplimiento de las condiciones laborales de acuerdo con las leyes y regulaciones nacionales y su coherencia con las normas laborales internacionales aplicables, incluyendo las disposiciones establecidas en los convenios colectivos y acuerdos laborales internos. Promover la estabilidad de empleo, igualdad de oportunidades, condiciones laborales apropiadas para sus colaboradores directos e indirectos. Suministrar niveles salariales justos a sus colaboradores. Pagar de forma cumplida sus obligaciones salariales y pagar los salarios directamente a sus colaboradores con las únicas restricciones o deducciones que permiten las leyes, regulaciones o convenios colectivos. Verificar que sus contratistas tengan condiciones salariales adecuadas para sus colaboradores y se dé cumplimiento a la jornada laboral máxima legal. Cumplir con la jornada laboral máxima legal y controlar las horas de trabajo, incluidas las horas extras, de sus colaboradores tomando en cuenta los intereses, la seguridad y el bienestar de los trabajadores involucrados y cualquier riesgo intrínseco al trabajo. Dar cumplimiento a los períodos de vacaciones de los colaboradores y hacer seguimiento y manejo de los casos de acumulación de vacaciones. Cumplir con las disposiciones legales en cuanto a protección social en salud. Monitorear, proteger y promover las condiciones de salud de sus colaboradores directos e indirectos. El reconocimiento a los trabajadores por sus resultados o méritos en el trabajo y garantizar la imparcialidad en la asignación de premios o reconocimientos. Aplicar las medidas disciplinarias a los trabajadores, de acuerdo con el tipo de desviación cuando sea necesario.

NOTA: Los mecanismos pueden ir más allá del cumplimiento de la ley en estos aspectos y/o promover el respeto por las tradiciones y costumbres culturales o religiosas.

27/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

2.5 CALIDAD DE VIDA El subelemento Calidad de Vida tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuada gestión de los procesos, relacionado con la satisfacción de las necesidades de bienestar físico, mental y social de los trabajadores directos y sus familias y velar por el de los trabajadores de contratistas, que propenda a la conciliación entre la vida laboral y personal. Ecopetrol S.A. y sus subordinadas deben establecer mecanismos para promover la conciliación entre la vida personal y laboral de sus colaboradores directos y la utilización de tiempo para la familia. NOTA: Estos mecanismos pueden incluir por ejemplo permisos remunerados o no remunerados, adecuación de salidas para temporadas navideñas.

Se debe suministrar la protección a la maternidad de sus colaboradoras, de acuerdo con la ley u otras disposiciones internas. Ecopetrol S.A. y sus subordinadas deben establecer programas que contribuyan al bienestar y satisfacción de las necesidades sociales, educativas y culturales de los colaboradores y sus familias. NOTA: Estos programas pueden incluir actividades de recreación, culturales o deportivas y esquemas de beneficios como plan educacional, préstamos para vivienda, subsidio familiar, seguro de vida, planes de ahorro, entre otros.

28/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

3. INFORMACIÓN Y CONOCIMIENTO El elemento Información y Conocimiento, agrupa, integra y correlaciona las normativas locales y estándares internacionales y los definidos por Ecopetrol, mediante las cuales se genera, estructura y mantiene la información. Se incorpora y asegura el conocimiento, transformándolos en activos estratégicos que estén a disposición de una comunidad de usuarios, garantice su seguridad, para orientarlos a la toma de decisiones con el propósito de apalancar el cumplimiento del marco estratégico corporativo. 3.1 CALIDAD DE LA INFORMACIÓN El subelemento Calidad de la Información agrupa e integra las normativas locales y estándares internacionales y los definidos por Ecopetrol S.A., con el fin de establecer las responsabilidades, principios, criterios, directrices y conductas para asegurar el adecuado tratamiento de los atributos de calidad de la información interna y externa, soportada o no en la tecnología de la información.

Ecopetrol S.A. y sus subordinadas deben asegurar que la información sea oportuna, completa, consistente, única y clasificada con el nivel de confidencialidad adecuado, por lo tanto deben: a)

b) c) d)

e)

f)

Definir e implementar procedimientos para garantizar la calidad (unicidad, completitud, oportunidad, consistencia y confidencialidad) de toda la información contenida en formato electrónico y/o impreso. Establecer y mantener mecanismos que permitan un adecuado tratamiento de la información de manera coherente con los flujos de información en los procesos. Establecer responsabilidades claras sobre la calidad de la información y realizar periódicamente evaluaciones de la misma. Establecer tecnologías de información que faciliten la búsqueda, captura, procesamiento, análisis y reporte de la información relevante, interna o externa en un marco de tiempo y de forma que sean útiles para identificar, evaluar, responder a los riesgos (Véase 6.1) y controlar las actividades de la organización. Los sistemas de información deben cambiar cuando se cambien los objetivos o las necesidades de apoyo a estos. (Véase 1.1.5). Integrar los informes de cualquier unidad organizativa sobre requerimientos legales, regulatorios y contractuales con las salidas similares provenientes de otras funciones de la organización. Asegurar que la presentación de informes y de los certificados respondan a cada tipo de ensayo o calibración efectuada, minimizando la posibilidad de la mala interpretación o mal uso. (Véase 4.3.4)

NOTA 1: Es conveniente que la forma de presentar el informe de ensayo o certificado de calibración sea clara respecto a la presentación de los datos para el lector y que los encabezados sean estandarizados, tanto como sea posible. NOTA 2: La organización debería asegurar el flujo de la información adecuado, en la forma adecuada, al nivel de detalle adecuado, a las personas adecuadas y en el momento adecuado.

Ecopetrol y sus subordinadas deben establecer, implementar y mantener lineamientos y procedimientos para la administración efectiva de las transacciones de información con los grupos de interés. Los sistemas de información deben estar integrados con las operaciones, las transacciones se deben registrar y seguir en tiempo real, permitiendo a la organización acceder inmediatamente a la información de forma más efectiva, para controlar las actividades de la organización. 29/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Asimismo, la información de los estados financieros debe ser razonable, clara, veraz, de fácil entendimiento, comparable, pertinente, confiable, oportuna y debe ser emitida o reportada en tiempo real. NOTA: El procesamiento y la gestión de datos debería ser una responsabilidad compartida de las múltiples organizaciones.

3.2 SEGURIDAD DE LA INFORMACIÓN El subelemento Seguridad de la Información agrupa e integra las normativas locales y estándares internacionales y los definidos en Ecopetrol S.A., con el fin de establecer las responsabilidades, principios, criterios, directrices y conductas para asegurar el adecuado tratamiento de la información dentro de los lineamientos de ética y buen gobierno de la organización. Ecopetrol S.A. y sus subordinadas deben asegurar un adecuado tratamiento de la información de manera coherente con los flujos de información en los procesos de negocio. Para lo cual debe: a) b) c)

d)

e)

f)

g)

h)

Preservar la seguridad de los activos de información y disponer de los recursos necesarios para lograrlo. Establecer que existan responsabilidades claramente asignadas en todos los niveles de la organización, para la gestión de la seguridad de los activos de información (Véase 2.1.4) Establecer un plan de seguridad de la información que incluya los requerimientos y riesgos teniendo en consideración la infraestructura de TI, la cultura de seguridad, los informes de entes de control internos y externos y las conclusiones de las actividades de monitoreo. Realizar un inventario de toda la información sensible, así como de los activos dónde ésta se almacena o procesa, asignándoles un responsable y clasificándolos de acuerdo con los requerimientos en materia de seguridad de la información. Los responsables de la información deben tomar las decisiones sobre la clasificación de la información y de los sistemas y sobre cómo protegerlos de acuerdo a esta clasificación. Establecer, a partir de esta clasificación los niveles de protección orientados a determinar, a quién se le permite el manejo de la información, el nivel de acceso a la misma y los procedimientos para su manipulación. La clasificación debe revisarse periódicamente y atender a los cambios que se presenten en la información o la estructura que puedan afectarla. Establecer mecanismos de capacitación e información para los usuarios en materia de seguridad de la información (Véase 2.3.1), así como de reporte de incidentes que puedan afectarla. Establecer instalaciones seguras para la gestión, almacenamiento y procesamiento de la información; éstas deben contar con protecciones físicas y ambientales acordes a los activos que protegen, incluyendo perímetros de seguridad, controles de acceso físicos, controles especiales en áreas de mayor sensibilidad, seguridad de los equipos, seguridad en el suministro eléctrico y cableado, condiciones ambientales de operación y sistemas de contención, detección y extinción de incendios adecuados que preserven el medio ambiente. (Véase 5.2.2) Esta seguridad debe mantenerse en los momentos de mantenimiento, cuando la información o los equipos que la contienen deben salir de la organización o para retirar o dar de baja, para lo cual deben existir procedimientos especiales. Documentar los procedimientos y responsabilidades de administración y seguridad que sean necesarios en cada ambiente tecnológico y físico, garantizando un adecuado control de cambios 30/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

i) j)

k)

l)

m)

n)

o)

Elaborado 22/02/2012

Versión: 1

y el seguimiento a estándares de seguridad que deben definirse, así como el seguimiento a los incidentes de seguridad que puedan presentarse. Garantizar una adecuada planificación y aprobación de los sistemas de información que consideren o provean las necesidades de capacidad futura. Considerar protecciones contra software malicioso y un adecuado mantenimiento y administración de la red, así como un adecuado cuidado de los medios de almacenamiento y seguridad en el intercambio de información. Establecer medidas de control de acceso a las unidades organizativas y a los diferentes niveles de la plataforma tecnológica, tales como la red, sistema operativo y aplicaciones, así como a la información física que tenga un componente de seguridad. Los usuarios serán responsables de realizar un adecuado uso de las herramientas de seguridad que se ponen a su disposición. Asegurar que se haga un adecuado análisis e implementación de los requerimientos de seguridad del software desde su diseño, ya sea interno o adquirido, que incluya garantías de validación de usuarios y datos de entrada y salida, así como de los procesos mismos, de acuerdo con la clasificación de los activos a gestionar en la herramienta.(Véase 5.1.2) Establecer uno o varios procedimiento(s) a seguir en caso de ocurrencia de incidentes que incluya, entre otros aspectos, mecanismos para cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información. Establecer planes de continuidad para aquellos procesos críticos, considerando medidas tanto técnicas como administrativas y de vínculo con los grupos de interés pertinentes (Véase 4.4.2). Dar cumplimiento a la legislación vigente analizando los requisitos legales aplicables a la información que se gestiona incluyendo los derechos de propiedad intelectual, los tiempos de retención de registros, privacidad de la información, uso inadecuado de recursos de procesamiento de información, uso de criptografía y recolección de evidencias.(Véase 3.3.2)

NOTA: Se considera responsable de la información, la unidad organizativa o colaborador al que se le asigne uno o varios activos de información que apoyarán al objeto de su negocio.

3.3 DOCUMENTACIÓN El subelemento Documentación agrupa e integra las normativas locales y estándares internacionales y los definidos en Ecopetrol S.A., con el fin de establecer los principios, lineamientos responsabilidades y conductas garantizando la trazabilidad en el ciclo de vida de la documentación, que sirva como evidencia y prueba de la gestión de los procesos. La documentación del SGCI debe incluir: a) b) c) d)

Declaración de la política integral de gestión, objetivos y metas. El manual del SGCI que incluya la descripción del alcance del SGCI (Véase 1.1.7). Los procedimientos documentados, y los registros requeridos por el SGCI. Los documentos, incluidos los registros, requeridos por la organización para el cumplimiento de sus funciones y que le permitan asegurarse de la eficaz planificación, operación y control de sus procesos. e) Una descripción de la metodología de la identificación y valoración de riesgos y los registros de relacionados (véase 6.2.1). 31/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 f) g) h) i) j) k) l)

m) n) o)

Elaborado 22/02/2012

Versión: 1

La documentación de las bases de diseños de los procesos operacionales y equipos y estándares técnicos, cuando aplique. Planes de tratamiento a los riesgos, (véase 6.1.3) la declaración de aplicabilidad de los objetivos de control para la seguridad de la información, (véase 6.2.1.3) Registro(s) del suministro de recursos. Registro(s) de la competencia y capacitación del personal. Descripción de la estructura de respuesta ante incidentes. La documentación que abarque aspectos relacionados con la continuidad del negocio tales como: el análisis de impacto del negocio (BIA); la estrategia de continuidad de negocio, los planes de continuidad de negocio y de gestión de incidentes; pruebas de los planes de continuidad, contingencia y emergencia; el mantenimiento y revisión de los acuerdos de la gestión de la continuidad del negocio. Los resultados de la evaluación independiente. Los resultados de la revisión del SGCI por la Alta Dirección. Registro(s) de las acciones preventivas, correctivas y de mejora.

La documentación del SGCI debe ser comunicada al personal pertinente, debe ser comprendida por él, debe estar a su disposición y debe ser implementada por él. NOTA 1: Cuando aparece el término procedimiento documentado, significa que hay que establecer, documentar, implementar y mantener el procedimiento. Un solo documento puede incluir los requisitos para uno o más procedimientos. Un requisito relativo a un procedimiento documentado puede cubrirse con más de un documento. NOTA 2: La extensión de la documentación del SGCI depende de: a) b) c)

El tamaño de la organización y el tipo de actividades, La complejidad de los procesos y sus interacciones, peligros y riesgos relacionados y La competencia del personal.

NOTA 3: La documentación puede estar en cualquier formato o tipo de medio. NOTA 4: Cuando se trate de la emisión de estándares técnicos es conveniente conformar una instancia interdisciplinaria (Comité), para la revisión y oficialización de los mismos. NOTA 5: La organización debería asegurar y gestionar toda la documentación e información necesaria para prevenir incidentes y emergencias.

3.3.1 CONTROL DE DOCUMENTOS Y DATOS Todos los documentos y datos que contienen información crítica para SGCI y desempeño de las actividades de la organización deben identificarse y controlarse. Los registros son un tipo especial de documento y se deben controlar. Se debe establecer, implementar y mantener uno o varios procedimientos documentados que definan los controles necesarios para: a)

Aprobar los documentos, datos e información en cuanto a su adecuación antes de su emisión. b) Revisar y actualizar los documentos, datos e información por personal autorizado, cuando sea necesario y aprobarlos nuevamente. Para los laboratorios, los cambios a los documentos 32/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

deben ser revisados y aprobados por la misma función que realizó la revisión original, a menos que se designe específicamente a otra función. c) Asegurar que se identifican los cambios y el estado de versión vigente de los documentos, se deben recibir las solicitudes de cambio de la documentación de acuerdo con los procedimientos de gestión y control de cambios (Véase 1.3.2).

d)

e)

f)

g)

h) i)

j) k)

Describir cómo se realizan y controlan las modificaciones de los documentos conservados en los sistemas informáticos. Cuando sea posible, se debe identificar el texto modificado o nuevo en el documento o en los anexos apropiados. Asegurar que las versiones vigentes y pertinentes de los documentos, datos e información aplicables se encuentran disponibles en los puntos de uso y que se apliquen los procedimientos pertinentes, de acuerdo con su clasificación, para su transferencia, almacenamiento y disposición final. Asegurar que los documentos y datos permanecen legibles y fácilmente identificables; la identificación de los documentos debe incluir la fecha de emisión y/o una identificación de la versión, la numeración de las páginas, el número total de páginas o una marca que indique el final del documento, y la o las personas autorizadas a emitirlos. Asegurar que los documentos y datos de origen externo que la organización determina que son necesarios para la planificación y la operación del SGCI se identifican y que se controla su distribución. Asegurar que se controla la distribución de los documentos y datos del SGCI. Prevenir el uso no intencionado de documentos, datos e información obsoletos y aplicarles una identificación adecuada en el caso de que se mantengan por cualquier razón, por ejemplo aquellos retenidos por motivos legales o de preservación del conocimiento. Ser identificados unívocamente, Asegurar que los documentos, datos e información que se encuentran en formato electrónico tengan copia de seguridad adecuada y se puedan recuperar.

Se debe establecer una lista maestra de control de documentos que refleje los controles establecidos para la documentación del SGCI. Ecopetrol S.A. y sus subordinadas deben asegurar que los documentos sean examinados periódicamente y, cuando sea necesario, modificados para asegurar la adecuación y el cumplimiento continuos con los requisitos aplicables. Para los laboratorios, si el sistema de control de los documentos permite modificar los documentos a mano, hasta que se edite una nueva versión, se deben definir los procedimientos y las personas autorizadas para realizar tales modificaciones. Las modificaciones deben estar claramente identificadas, firmadas y fechadas. Un documento revisado debe ser editado nuevamente tan pronto como sea posible. 3.3.2 CONTROL DE LOS REGISTROS Ecopetrol S.A. y sus subordinadas deben establecer y mantener registros, según sea necesario, para demostrar conformidad con los requisitos así como de la operación eficaz, eficiente y efectiva del SGCI, por tanto deben controlarse. 33/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Se debe establecer, implementar y mantener un procedimiento documentado para definir los controles necesarios para la identificación, recopilación, codificación, acceso, almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición de los registros. Los registros deben ser legibles y se deben almacenar y conservar de modo que sean fácilmente identificables, trazables y recuperables, en instalaciones que le provean un ambiente adecuado para prevenir los daños, el deterioro y las pérdidas. Se debe establecer el tiempo de retención de los registros, consultando cuando sea apropiado con la autoridad legal pertinente, para determinar el período de tiempo en que debe conservarse. Los registros deben ser conservados en sitio seguro y en confidencialidad. Se deben tener procedimientos para proteger y salvaguardar los registros almacenados electrónicamente y para prevenir el acceso no autorizado o la modificación de dichos registros. NOTA: Los registros se pueden presentar sobre cualquier tipo de soporte, tal como papel o soporte informático.

Adicionalmente, los laboratorios deben conservar, por un período determinado, los registros de las observaciones originales de los datos derivados y de la información suficiente para establecer un protocolo de control, los registros de calibración, los registros de personal y una copia de cada informe de ensayos o certificado de calibración emitidos. Los registros correspondientes a cada ensayo o calibración deben contener suficiente información para facilitar, cuando sea posible, la identificación de los factores que afectan a la incertidumbre y posibilitar que el ensayo o la calibración sea repetido bajo condiciones lo más cercanas posible a las originales. Los registros deben incluir la identidad del personal responsable del muestreo, de la realización de cada ensayo y/o calibración y de la verificación de los resultados. Las observaciones, los datos y los cálculos se deben registrar en el momento de hacerlos y estar relacionados con la operación en cuestión. Cuando se cometan errores en los registros, se deben corregir trazando una línea sobre el dato y escribiendo el valor correcto al lado, así como la identificación de la persona que realiza la corrección. El dato errado nunca debe borrarse, hacerse ilegible o suprimirse. En el caso de los registros guardados electrónicamente, se deben tomar medidas similares para evitar la pérdida o cambio de los datos originales. NOTA 1: En ciertas ocasiones. puede ser imposible o impracticable conservar los registros de todas las observaciones originales. NOTA 2: Los registros técnicos son una acumulación de datos e información resultante de la realización de los ensayos y/o calibraciones que indican si se alcanza la calidad o los parámetros especificados de los procesos. Pueden ser formularios, contratos, hojas de trabajo, manuales de trabajo, hojas de verificación, notas de trabajo, gráficos de control, informes de ensayos y certificados de calibración externos e internos, notas, publicaciones y retroalimentación de los clientes.

34/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

3.4 CONOCIMIENTO El subelemento Conocimiento agrupa e integra las normativas locales y estándares internacionales definidos en Ecopetrol S.A., que establecen las responsabilidades, principios, mecanismos y estrategias para la identificación, incorporación, aseguramiento y transferencia del conocimiento clave que apalanca la sostenibilidad de la operación y el crecimiento organizacional. Ecopetrol S.A. y sus subordinadas deben establecer estrategias, procesos y prácticas de creación, captación, difusión, uso y explotación del conocimiento orientados a optimizar el desempeño de la organización. 3.4.1 ASEGURAMIENTO DEL CONOCIMIENTO Ecopetrol S.A. y sus subordinadas deben establecer mecanismos, métodos y herramientas que aseguren que el conocimiento necesario para lograr los objetivos corporativos se incorpore, afiance, asegure y mejore de manera permanente, para esto debe: a) b) c) d) e) f) g)

Identificar el conocimiento crítico o relevante. Planear su incorporación y/o aseguramiento. Acordar objetivos, alcance y cobertura de las prácticas clave. Desarrollar el alcance y especificaciones. Implementar las prácticas clave. Sostener y mejorar permanentemente las prácticas clave y… Usar las mejores prácticas de la industria como referencia al mejorar y adaptar las prácticas de calidad de la organización.

Se deben establecer mecanismos para la medición de las iniciativas de aseguramiento del conocimiento establecidas, que den información como mínimo del nivel de implementación y el impacto de las mismas en el logro de los objetivos de la organización. La organización debe establecer lineamientos, principios y/o comportamientos, programas, planes roles y responsabilidades relacionadas con la gestión del conocimiento. 3.4.2 TRANSFERENCIA DEL CONOCIMIENTO Ecopetrol S.A. y sus subordinadas deben establecer conocimiento, estos deben incluir como mínimo:

mecanismos

para

la

transferencia

del

a) Planes de desarrollo, capacitación y entrenamiento. b) Generación documentación de procesos y procedimientos. c) Identificación, documentación e incorporación de lecciones aprendidas de proyectos o actividades planeadas y de incidentes al interior de la organización. d) Identificación y aplicación de lecciones aprendidas de las experiencias de otras organizaciones. e) Desarrollo de habilidades en los colaboradores para que apoyen y mantengan los procesos de manera efectiva y eficiente de acuerdo con los niveles de servicio requeridos. f) Identificación e incorporación de mejores prácticas a través de procesos de referenciación. 35/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

4. OPERACIONES El elemento Operaciones tiene como finalidad agrupar y correlacionar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. que orientan la planificación e implementación de todas las actividades para obtener productos y servicios que cumplan los requisitos técnicos, legales y reglamentarios y demás requerimientos de los grupos de interés para el logro de los objetivos de la organización. 4.1 REQUISITOS DEL CLIENTE El subelemento Requerimientos del Cliente tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. relacionados con la identificación de los requerimientos de los clientes y la evaluación de la capacidad de la organización para cumplirlos y satisfacerlos. 4.1.1 ENFOQUE AL CLIENTE La Alta Dirección debe asegurarse de que los requisitos del cliente se determinan y se cumplen con el propósito de asegurar y aumentar su satisfacción. 4.1.2 PROCESOS RELACIONADOS CON EL CLIENTE Ecopetrol S.A. y sus subordinadas deben determinar: a) Los requisitos relacionados con el producto y/o servicio, ensayos y/o calibraciones. b) Los requisitos especificados por el cliente, incluidos los requisitos para las actividades de entrega y las posteriores. c) Los requisitos no establecidos por el cliente, pero necesarios para el uso especificado o para el uso previsto, cuando sea conocido. d) Los requisitos legales y reglamentarios aplicables al producto y… e) Cualquier requisito adicional que la organización considere necesario. NOTA: Los requisitos legales y reglamentarios o cualquier requisito adicional que la organización considere necesario, incluyen obligaciones contractuales como servicios de mantenimiento, servicios suplementarios y/o aquellos relacionados con aspectos ambientales, de seguridad industrial y salud ocupacional.

4.1.3 REVISIÓN DE LOS PEDIDOS, OFERTAS Y CONTRATOS Ecopetrol S.A. y sus subordinadas deben establecer y mantener un(os) procedimiento(s) para la revisión de los pedidos, las ofertas y los contratos. Los lineamientos y los procedimientos para estas revisiones, que den por resultado un contrato para la realización de un producto y/o servicio, ensayo y/o calibración deben asegurar que: a) Los requisitos del cliente, incluidos los métodos a utilizar, están adecuadamente determinados, documentados y entendidos. b) La organización tiene la capacidad y los recursos para cumplir con los requisitos. c) se selecciona el método de ensayo y/o de calibración apropiado, que sea capaz de satisfacer los requisitos de los clientes. Esta revisión debe efectuarse antes de que la organización se comprometa a proporcionar al cliente un producto y/o servicio, ensayo y/o calibración. Se debe informar al cliente de cualquier desviación con respecto al contrato, si un contrato necesita ser modificado después de haber comenzado el trabajo, se debe repetir el mismo proceso de revisión de contrato y se deben comunicar los cambios a todo el 36/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

personal afectado. La revisión también debe incluir cualquier trabajo que se contrate con terceros. (Véase 4.3.10). Cuando el cliente no proporcione una declaración documentada de los requisitos, la organización debe confirmar los requisitos del cliente antes de la aceptación. Cuando se cambien los requisitos del producto y/o servicio, ensayo y/o calibración, la organización debe asegurarse de que la documentación pertinente sea modificada y de que el personal correspondiente sea consciente de los requisitos modificados. Se deben conservar los registros de las revisiones, incluidas todas las modificaciones significativas y de las acciones originadas. También se deben conservar los registros de las comunicaciones mantenidas con los clientes relacionadas con sus requisitos o con los resultados del trabajo realizado durante el período de ejecución del contrato. (Véase 3.3.2) NOTA 1: Es conveniente que la revisión del pedido, la oferta y el contrato se lleve a cabo de manera práctica y eficaz y que se tenga en cuenta el efecto de los aspectos financieros, legales y de programación del tiempo. NOTA 2: Es conveniente que la revisión de la capacidad determine que la organización posee los recursos físicos de personal y de información necesarios y que el personal tiene las habilidades y la especialización necesarias para la realización de los productos y/o servicios, ensayos y/o de las calibraciones en cuestión. Para ensayos y/o calibraciones, la revisión puede también incluir los resultados de una participación anterior en comparaciones interlaboratorios o ensayos de aptitud y la realización de programas de ensayos o de calibraciones experimentales, utilizando muestras o ítems de valor conocido con el fin de determinar las incertidumbres de medición, los límites de detección, los límites de confianza, etc. NOTA 3: Un contrato puede ser cualquier acuerdo oral o escrito que tenga por finalidad proporcionar productos y/o servicios, ensayos y/o de calibraciones a un cliente. También pueden utilizarse ANS (acuerdos de nivel de servicio) para definir los requisitos entre cliente y proveedor. NOTA 4: En el caso de la revisión de tareas de rutina y otras tareas simples de los laboratorios, se consideran que es suficiente consignar la fecha y la identificación (por ejemplo las iniciales) de la persona de los laboratorios, responsable de realizar el trabajo contratado. En caso de tareas rutinarias repetitivas sólo es necesario hacer la revisión en la etapa inicial de consulta, y si se trata de un trabajo rutinario permanente, realizado según un acuerdo general con el cliente, al ser otorgado el contrato, siempre que los requisitos del cliente no se modifiquen. En caso de tareas nuevas, complejas o avanzadas de ensayo y/o calibración, es conveniente mantener un registro más completo.

Los laboratorios deben estar dispuestos a cooperar con los clientes o sus representantes para aclarar el pedido del cliente y para realizar el seguimiento del desempeño de los laboratorios en relación con el trabajo realizado, siempre que los laboratorios garanticen la confidencialidad hacia otros clientes. Se debe establecer un acuerdo de previo con los clientes sobre el mecanismo que facilitará la prestación de servicios de laboratorio por parte de Ecopetrol S.A. NOTA 1: Dicha cooperación, puede referirse a los aspectos siguientes: a) b)

Permitir al cliente o a sus representantes acceso razonable a las zonas pertinentes de los laboratorios para presenciar los ensayos y/o calibraciones efectuados para el cliente. b) La preparación, embalaje y despacho de los objetos sometidos a ensayo y/o calibración, que el cliente necesita con fines de verificación.

NOTA 2: Los clientes valoran el mantenimiento de una buena comunicación (Véase 1.4.2), el asesoramiento y los consejos de orden técnico, así como las opiniones e interpretaciones basadas en los resultados. Es conveniente mantener la comunicación con el cliente durante todo el trabajo. Es conveniente que los laboratorios informe al cliente toda demora o desviación importante en la ejecución de los ensayos y/o calibraciones. (Véase 1.4.2)

37/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

4.2 PROYECTOS El subelemento Proyectos tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuada gestión de los procesos, relacionados con la formulación, planeación, ejecución y seguimiento de Proyectos, que permitan la implementación de la estrategia de la organización. Ecopetrol S.A. y sus subordinadas deben establecer y mantener lineamientos que definan el alcance y los límites de la administración de proyectos, así como las metodologías a ser adoptadas y aplicadas en cada proyecto emprendido. Los lineamientos deben garantizar la correcta asignación de prioridades y la coordinación de todos los proyectos y debe incluir un plan maestro, asignación de recursos, definición de entregables, aprobación y compromiso de los interesados, un enfoque de entrega por fases, un plan de aseguramiento de la calidad y un plan formal de pruebas, para garantizar la entrega de valor para el negocio. El enfoque dado a la administración de proyectos debe corresponder al tamaño, complejidad y requerimientos regulatorios de cada proyecto y asegurar la inclusión de los lineamientos de administración seguridad de procesos operacionales en el diseño y construcción de nuevas facilidades, modificaciones de estas, proyectos de adquisición o proyectos con socios. Se debe establecer una estructura de gobierno de proyectos que incluya entre otros aspectos la definición de roles, responsabilidades, la rendición de cuentas y los criterios de evaluación del desempeño del personal involucrado. (Véase 2.1) La obtención de productos y servicios requeridos para cada proyecto se debe planear y administrar para alcanzar los objetivos del proyecto, usando las prácticas de aprovisionamiento de la organización. (Véase 5.1) Los proyectos emprendidos deben ser coherentes con el plan de inversión de la organización y ser ejecutados dentro del costo, tiempo y la calidad estimados, para contribuir al logro de las metas y los objetivos estratégicos de la organización. (Véase 1.5) Se debe establecer, mantener e implementar un(os) procedimiento (s) que definan los requisitos para: a) b) c) d) e)

f)

g)

Determinar la viabilidad del proyecto en todos los aspectos que se consideren pertinentes. Definir y documentar la naturaleza y alcance del proyecto, teniendo en cuenta los requisitos legales aplicables y otros que la organización suscriba. Aprobar el inicio de las etapas importantes del proyecto y comunicarlo a todos los interesados. Elaborar del plan integrado del proyecto para guiar la ejecución y el control del proyecto. Eliminar o minimizar los riesgos específicos asociados con los proyectos individuales por medio de un proceso sistemático de planeación, identificación, análisis, respuesta, monitoreo y control de las áreas o eventos que tengan el potencial de ocasionar cambios no deseados (Véase 6.1). Elaborar un plan de administración de la calidad que describa el sistema de calidad del proyecto y cómo será implantado. El plan debe ser revisado y acordado de manera formal por todas las partes interesadas y ser incorporado en el plan integrado del proyecto. Definir los métodos para la medición del desempeño, reporte y monitoreo del proyecto contra los criterios clave del proyecto. Las actividades de monitoreo deben proporcionar la seguridad de que los controles satisfacen los requerimientos definidos para identificar 38/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

desviaciones con respecto al plan y evaluar el impacto sobre el proyecto y reportar los resultados a los interesados. h) El cierre del proyecto, de manera que las partes involucradas se cercioren de que el proyecto ha proporcionado los resultados y los beneficios esperados. Se debe establecer un sistema de control de cambios para los proyectos, de tal modo que todos los cambios a la línea base del proyecto (Ej. costos, cronograma, alcance y calidad) se revisen, aprueben e incorporen de manera apropiada al plan integrado del proyecto. NOTA: El enfoque FEL (Front End Loading) utilizado para la planeación y ejecución de proyectos, reconocidos a nivel de industria, como buenas prácticas, las mejores prácticas del PMI (Project Management Institute) y el Modelo de Maduración y Gestión de proyectos de Ecopetrol S.A. (MMGP), pueden ser consultados a manera de orientación e incorporados para la optimización de la Gestión de proyectos de la organización.

4.3 ACTIVIDADES, PRODUCTOS Y SERVICIOS El subelemento Actividades, Productos y Servicios tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. relacionados con el establecimiento de las actividades y procesos necesarios para el normal funcionamiento de las operaciones (directas y tercerizadas), el cumplimiento de la regulación y los requisitos de los productos y servicios que permitan la implementación y el logro de los objetivos de la organización.

4.3.1 PLANIFICACIÓN DE LA REALIZACIÓN DEL PRODUCTO O PRESTACIÓN DEL SERVICIO Ecopetrol S.A. y sus subordinadas deben planificar y desarrollar los procesos necesarios para la realización del producto y/o la prestación del servicio. La planificación de la realización del producto y/o prestación del servicio debe ser coherente con los requisitos de los otros procesos del SGCI (véase 1.1.3). Durante la planificación de la realización del producto y/o prestación del servicio, la organización debe determinar, cuando sea apropiado, lo siguiente: a) b)

Los objetivos de la calidad y los requisitos para el producto y/o servicio. La necesidad de establecer procesos y documentos y de proporcionar recursos específicos para el producto y/o servicio. c) Las actividades requeridas de verificación, validación, monitoreo, medición, inspección y ensayo/prueba específicas para el producto y/o servicio, así como los criterios para la aceptación. d) Los registros que sean necesarios para proporcionar evidencia de que los procesos de realización del producto y/o prestación del servicio resultante cumplen los requisitos (Véase 3.3.2). e) la necesidad de gestionar y controlar los cambios surgidos por modificaciones en la implementación de nuevas tecnologías, nuevos procesos, o por cambios físicos en la infraestructura, en las condiciones de operación o en los procedimientos operacionales y de mantenimiento. (véase 1.3.2) f) los mecanismos para operar de manera segura, confiable y eficiente las instalaciones, unidades de proceso y equipos. 39/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

El resultado de esta planificación debe documentarse de forma adecuada para la metodología de operación de la organización. NOTA 1: Un documento que especifica los procesos del SGCI (incluidos los procesos de realización del producto) y los recursos que se van a aplicar a un producto, proyecto o contrato específico puede denominarse plan de la calidad. NOTA 2: Los procesos necesarios para la realización del producto y/o la prestación del servicio pueden realizarse de manera directa o a través de terceros. NOTA 3: Los mecanismos para operar de manera segura, confiable y eficiente, puede incluir entre otros aspectos: la entrega y recibo de turnos, permisos de trabajo, rondas estructuradas y cuidado básico de equipos, plan de aseguramiento del conocimiento, guías de control, ventanas operativas y de integridad.

4.3.2 CONTROL DE LA PRODUCCIÓN Y PRESTACIÓN DEL SERVICIO Ecopetrol S.A. y sus subordinadas deben planificar y llevar a cabo la producción y la prestación del servicio bajo condiciones controladas. Las condiciones controladas deben incluir, cuando sea aplicable : a) b) c) d) e) f)

La disponibilidad de información que describa las características del producto y/o servicio. La disponibilidad de instrucciones de trabajo, cuando sea necesario. el uso del equipo apropiado. La disponibilidad y uso de equipos de seguimiento y medición. La implementación del seguimiento y de la medición. La implementación de actividades de liberación, aceptación, entrega y posteriores a la entrega del producto y/o servicio y… g) Los riesgos de mayor probabilidad e impacto. h) La verificación del cumplimiento de procedimientos operacionales, prácticas seguras de trabajo y mecanismos de integridad operativa en las instalaciones. 4.3.3 CONTROL DE LOS ENSAYOS Y/O CALIBRACIONES Para llevar a cabo los ensayos y/o calibraciones, en los laboratorios se debe considerar, entre otros aspectos, lo siguiente: 4.3.3.1 Selección de los métodos en los laboratorios Los laboratorios deben utilizar los métodos de ensayos y/o calibración, incluidos los de muestreo, que satisfagan las necesidades del cliente y que sean apropiados para los ensayos y/o las calibraciones que realiza. Se deben utilizar preferentemente los métodos publicados como normas internacionales, regionales o nacionales. Cuando el cliente no especifique el método que va a utilizar, los laboratorios deben seleccionar los métodos apropiados que hayan sido publicados en las normas internacionales, regionales o nacionales, por organizaciones técnicas reconocidas, o en libros o revistas científicas especializados o especificados por el fabricante del equipo. También se pueden utilizar los métodos desarrollados por los laboratorios o los métodos adoptados por los laboratorios si son apropiados para el uso previsto y si han sido validados. El cliente debe ser informado del método elegido. Los laboratorios deben confirmar que puede aplicar correctamente los métodos normalizados antes de utilizarlos para los ensayos o las calibraciones. Si el método normalizado cambia, se debe repetir la confirmación.

40/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Si el método propuesto por el cliente se considera inapropiado o desactualizado, los laboratorios deben informárselo. 4.3.3.2 Métodos de ensayo y de calibración Los laboratorios deben aplicar métodos y procedimientos apropiados para todos los ensayos y/o las calibraciones dentro de su alcance. Estos incluyen el muestreo, la manipulación el trasporte, el almacenamiento y la preparación de los ítems que se van a ensayar y/o calibrar y, cuando corresponda, la estimación de la incertidumbre de la medición así como técnicas estadísticas para el análisis de los ensayos y/o de las calibraciones. Los laboratorios deben tener instrucciones para el uso y el funcionamiento de todo el equipamiento pertinente, y para la manipulación y la preparación de los ítems que se van a ensayar o calibrar, o ambos, cuando la ausencia de tales instrucciones pudieran comprometer los resultados de los ensayos y/o las calibraciones. Todas las instrucciones, normas, manuales y datos de referencia correspondientes al trabajo de los laboratorios se deben mantener actualizados y deben estar fácilmente disponibles para el personal. Las desviaciones respecto de los métodos de ensayo y de calibración deben ocurrir solamente si la desviación ha sido documentada, justificada técnicamente, autorizada y aceptada por el cliente. NOTA 1: No es necesario anexar o volver a escribir bajo la forma de procedimientos internos las normas internacionales, regionales o nacionales u otras especificaciones reconocidas que contienen información suficiente y concisa para realizar los ensayos y/o las calibraciones, si dichas normas están redactadas de forma tal que puedan ser utilizadas, como fueron publicadas, por el personal operativo de un laboratorio. Puede ser necesario proveer documentación adicional para los pasos opcionales del método o para los detalles complementarios. NOTA 2: Cuando los laboratorios opten por desarrollar nuevos métodos de ensayo y calibración para su propio uso o, cuando sea necesario utilizar métodos no normalizados, deben ser acordados con el cliente y deben haber sido validados adecuadamente antes del uso.

a) Métodos desarrollados por los laboratorios La introducción de los métodos de ensayos y de calibración desarrollados por los laboratorios para su propio uso debe ser una actividad planificada y debe ser asignada a personal calificado, provisto de los recursos adecuados. Los planes deben ser actualizados a medida que avanza el desarrollo y se debe asegurar una comunicación eficaz entre todo el personal involucrado. b) Métodos no normalizados Cuando sea necesario utilizar métodos no normalizados, deben ser acordados con el cliente y deben incluir una especificación clara de los requisitos del cliente y del objetivo del ensayo y/o de la calibración. El método desarrollado debe haber sido validado adecuadamente antes del uso.

NOTA: Para los métodos de ensayos y/o calibración nuevos, es conveniente elaborar procedimientos antes de la realización de los ensayos y/o las calibraciones, las cuales deberían contener, como mínimo, la información siguiente: a) b) c)

Una identificación apropiada. El alcance. La descripción del tipo de ítem que se va a ensayar o a calibrar.

41/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 d) e) f) g) h)

Elaborado 22/02/2012

Versión: 1

Los parámetros o las magnitudes y los rangos a ser determinados. Los aparatos y equipos, incluidos los requisitos técnicos de funcionamiento. Los patrones de referencia y los materiales de referencia requeridos. Las condiciones ambientales requeridas y cualquier período de estabilización que sea necesario. La descripción del procesamiento, incluida la siguiente información: 1) La ubicación de las marcas de identificación, manipulación, transporte, almacenamiento y preparación de los ítems. 2) Las verificaciones que se van a realizar antes de comenzar el trabajo. 3) La verificación del correcto funcionamiento de los equipos y, cuando corresponda, su calibración y ajuste antes de cada uso. 4) El método de los registros de las observaciones y de los resultados, 5) Las medidas de seguridad que se van a observar.

i) j) k)

Los criterios y/o requisitos para la aprobación o el rechazo. Los datos que van a ser registrados y el método de análisis y de presentación. La incertidumbre o el procedimiento para estimar la incertidumbre.

4.3.3.3 Estimación de la incertidumbre de la medición Un laboratorio de calibración o un laboratorio de ensayo que realiza sus propias calibraciones, deben tener y debe aplicar un procedimiento para estimar la incertidumbre de la medición para todas las calibraciones y todos los tipos de calibraciones. Los laboratorios de ensayo deben aplicar procedimientos para estimar la incertidumbre de la medición. En algunos casos, la naturaleza del método de ensayo puede excluir un cálculo riguroso, metrológicamente y estadísticamente válido de la incertidumbre de medición. En estos casos, los laboratorios deben, por lo menos, tratar de identificar todos los componentes de la incertidumbre y hacer una estimación razonable basándose en un conocimiento del desempeño del método y en el alcance de la medición y debe hacer uso, por ejemplo, de la experiencia adquirida y de los datos de validación anteriores. NOTA 1: El grado de rigor requerido en una estimación de la incertidumbre de la medición depende de factores tales como: los requisitos del método de ensayo, los requisitos del cliente y la existencia de límites estrechos en los que se basan las decisiones sobre la conformidad con una especificación. NOTA 2: En aquellos casos en los que un método de ensayo reconocido especifique límites para los valores de las principales fuentes de incertidumbre de la medición y establezca la forma de presentación de los resultados calculados, se considera que los laboratorios ha satisfecho este requisito si sigue el método de ensayo y las instrucciones para informar de los resultados. Cuando se estima la incertidumbre de la medición, se deben tener en cuenta todos los componentes de la incertidumbre que sean de importancia en la situación dada, utilizando métodos apropiados de análisis. NOTA 3: Las fuentes que contribuyen a la incertidumbre se representan, pero no se limitan a los patrones de referencia y los materiales de referencia utilizados, los métodos y equipos utilizados, las condiciones ambientales, las propiedades y la condición del ítem sometido al ensayo o la calibración y el operador.

4.3.3.4 Muestreo Los laboratorios deben tener un plan y procedimientos para el muestreo cuando efectúen el muestreo de sustancias, materiales o productos que luego ensayen o calibren. Los planes de muestreo deben, siempre que sea razonable, estar basados en métodos estadísticos apropiados. El proceso de muestreo 42/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

debe tener en cuenta los factores que deben ser controlados para asegurar la validez de los resultados de ensayo y de calibración. Los laboratorios deben tener y aplicar procedimientos para registrar los datos y las operaciones relacionados con el muestreo (cuando efectúen esta actividad de tomar muestras) que forman parte de los ensayos o de las calibraciones que lleva a cabo. Estos registros deben incluir el procedimiento de muestreo utilizado, la identificación de las personas que lo realizan, las condiciones ambientales (si corresponde) y los diagramas u otros medios equivalentes para identificar el lugar de muestreo según sea necesario y, si fuera apropiado, las técnicas estadísticas en las que se basan los procedimientos de muestreo. NOTA: Es conveniente que los procedimientos de muestreo describan el plan de muestreo, la forma de seleccionar, extraer y preparar una o más muestras, a partir de una sustancia, un material o un producto para obtener la información requerida.

4.3.4 INFORMES DE ENSAYOS Y CERTIFICADOS DE CALIBRACIÓN Los resultados de cada ensayo, calibración o serie de ensayos o calibraciones efectuados por los laboratorios deben ser informados en forma exacta, clara, no ambigua y objetiva, de acuerdo con las instrucciones específicas de los métodos de ensayo o de calibración, en un informe de ensayo o un certificado de calibración que debe incluir toda la información requerida por el cliente, necesaria para la interpretación de los resultados del ensayo o de la calibración, así como toda la información requerida por el método utilizado. En el caso de ensayos o de calibraciones realizados para los clientes internos, o en el caso de un acuerdo escrito con el cliente, los resultados pueden ser informados en forma simplificada. Cualquier información que no forme parte de un informe al cliente, debe estar fácilmente disponible en el laboratorio que efectúo el ensayo y/o las calibraciones. 4.3.4.1 Contenido de los informes de ensayo o certificado de calibración Cada informe de ensayo o certificado de calibración, debe incluir la siguiente información, salvo que los laboratorios tengan razones válidas para no hacerlo así: a) Un título (por ejemplo, informe de ensayo o certificado de calibración). b) El nombre y la dirección de los laboratorios y el lugar donde se realizaron los ensayos y/o las calibraciones, si fuera diferente de la dirección de los laboratorios. c) Una identificación única del informe de ensayo o del certificado de calibración (tal como el número de serie) y, en cada página, una identificación para asegurar que la página es reconocida como parte del informe de ensayo o del certificado de calibración, y una clara identificación del final de informe de ensayo o del certificado de calibración. d) El nombre y la dirección del cliente. e) La identificación del método utilizado. f) Una descripción, la condición y una identificación no ambigua del o de los ítems ensayados o calibrados. g) La fecha de recepción del o de los ítems sometidos al ensayo o a la calibración, cuando sea esencial para la validez y la aplicación de los resultados, y la fecha de ejecución del ensayo o la calibración. h) Una referencia al plan y a los procedimientos de muestreo utilizados por los laboratorios u otros organismos, cuando éstos sean pertinentes para la validez o la aplicación de los resultados. i) Los resultados de los ensayos o las calibraciones con sus unidades de medida. j) El o los nombres, funciones y firmas o una identificación equivalente de la o las personas que autorizan el informe de ensayo o el certificado de calibración. 43/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

k) Cuando corresponda una declaración de que los resultados sólo están relacionados con los ítems ensayados o calibrados. NOTA 1: Los informes de ensayo y los certificados de calibración pueden ser entregados como copia en papel o por transferencia electrónica de datos. Es conveniente que las copias en papel de los informes de ensayo y certificados de calibración también incluyan el número de la página y el número total de páginas. NOTA 2: Se recomienda a los laboratorios incluir una declaración indicando que no se debe reproducir el informe de ensayo o el certificado de calibración, excepto en su totalidad, sin la aprobación escrita de los laboratorios.

Además de los requisitos indicados anteriormente, los informes de ensayos deben incluir, cuando sea necesario, lo siguiente: l) m) n)

o) p)

Las desviaciones, adiciones o exclusiones del método de ensayo e información sobre condiciones de ensayo específicas, tales como las condiciones ambientales. Cuando corresponda una declaración sobre el cumplimiento o no cumplimiento con los requisitos y/o las especificaciones. Cuando sea aplicable, una declaración sobre la incertidumbre de medición estimada; la información sobre la incertidumbre es necesaria en los informes de ensayo cuando sea pertinente para la validez o aplicación de los resultados de los ensayos, cuando así lo requieran las instrucciones del cliente, o cuando la incertidumbre afecte al cumplimiento con los límites de una especificación. Cuando sea apropiado y necesario las opiniones e interpretaciones. La información adicional que pueda ser requerida por métodos específicos, clientes o grupos de clientes.

Los informes de ensayo que contengan los resultados del muestreo, además de lo anteriormente mencionado deben incluir lo siguiente, cuando sea necesario para la interpretación de los resultados de los ensayos: q) r)

La fecha del muestreo. Una identificación inequívoca de la sustancia, el material o el producto muestreado (incluido el nombre del fabricante, el modelo o el tipo de designación y los números de serie, según corresponda). s) El lugar del muestreo incluido cualquier diagrama, croquis o fotografía. t) Una referencia al plan y a los procedimientos de muestreo utilizados. u) Los detalles de las condiciones ambientales durante el muestreo que puedan afectar a la interpretación de los resultados del ensayo. v) Cualquier especificación sobre el método o el procedimiento de muestreo y las desviaciones, adiciones o exclusiones de la especificación concerniente. 4.3.4.2 Requisitos adicionales para los certificados de calibración Además de los requisitos indicados en el numeral anterior, los certificados de calibración deben incluir, cuando sea necesario para la interpretación de los resultados de la calibración, lo siguiente: a)

Las condiciones ambientales bajo las cuales fueron hechas las calibraciones y que tengan una influencia en los resultados de la medición. 44/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

b)

La incertidumbre de la medición y/o una declaración de cumplimiento con una especificación metrológica identificada o con sus partes. c) Evidencia de que las mediciones son trazables. El certificado de calibración sólo debe estar relacionado con las magnitudes y los resultados de los ensayos funcionales. Si se hace una declaración de cumplimiento con una especificación, debe identificar los capítulos de la especificación que se cumplen y los que no se cumplen. Cuando se haga una declaración de la conformidad, con una especificación de que se omiten los resultados de la medición y las incertidumbres asociadas, los laboratorios deben registrar dichos resultados y mantenerlos para una posible referencia futura. Cuando un instrumento para calibración ha sido ajustado o reparado, se deben informar los resultados de la calibración antes y después del ajuste o la reparación, si estuvieran disponibles Un certificado de calibración no debe contener ninguna recomendación sobre el intervalo de calibración, excepto que esto haya sido acordado con el cliente. Este requisito puede ser remplazado por disposiciones legales. 4.3.4.3 Inclusión de Opiniones e interpretaciones en los informes de resultados Cuando se incluyan opiniones e interpretaciones, los laboratorios deben asentar por escrito las bases que respaldan dichas opiniones e interpretaciones. Las opiniones e interpretaciones deben estar claramente identificadas como tales en un informe de ensayo. NOTA 1: Es conveniente no confundir las opiniones e interpretaciones con las especificaciones y las certificaciones de producto. Las opiniones e interpretaciones incluidas en un informe de ensayo pueden consistir en, pero no limitarse a, lo siguiente: a) b) c) d) e)

Una opinión sobre la declaración de la conformidad o no conformidad de los resultados con los requisitos. Cumplimiento con los requisitos contractuales. Recomendación sobre la forma de utilizar los resultados. Recomendación para seguir para las mejoras. Incumplimiento de requisitos legales y el impacto del incumplimiento.

NOTA 2: En muchos casos, podría ser apropiado comunicar las opiniones e interpretaciones a través del diálogo directo con el cliente. Es conveniente que dicho diálogo se registre por escrito.

4.3.4.4 Modificaciones a los informes de ensayo y a los certificados de calibración Las modificaciones de fondo a un informe de ensayo o certificado de calibración después de su emisión deben ser hechas solamente en la forma de un nuevo documento o de una transferencia de datos, que incluya la declaración: “Suplemento al informe de ensayo (o “Certificado de Calibración“), número de serie… [u otra identificación]”, o una forma equivalente de redacción. Cuando sea necesario emitir un nuevo informe de ensayo o certificado de calibración completo, debe ser unívocamente identificado y debe contener una referencia al original al que remplaza. 4.3.4.5 Resultados de ensayo y calibración obtenidos de terceros Cuando el informe de ensayo contenga resultados de ensayos realizados por terceros, los resultados deben estar claramente identificados. El contratista debe informar sobre los resultados por escrito o electrónicamente. Cuando se haya subcontratado una calibración, los laboratorios que efectúan el trabajo deben remitir el certificado de calibración al laboratorio que lo contrató. 45/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

4.3.5 VALIDACIÓN DE LOS PROCESOS DE LA PRODUCCIÓN Y DE LA PRESTACIÓN DEL SERVICIO Ecopetrol S.A. y sus subordinadas deben validar todo proceso de producción y de prestación del servicio cuando los productos y/o servicios resultantes no pueden verificarse mediante seguimiento o medición posteriores y como consecuencia, las deficiencias aparecen únicamente después de que el producto esté en uso o se haya prestado el servicio. La validación debe demostrar la capacidad de estos procesos para alcanzar los resultados planificados. La organización debe establecer las disposiciones para estos procesos, incluidos, cuando sea aplicable: a) b)

Los criterios definidos para la revisión y aprobación de los procesos. La aprobación de los equipos y la calificación de los colaboradores y/o particulares que trabajen para Ecopetrol S.A. y sus subordinadas. , c) El uso de métodos y procedimientos específicos. d) Los requisitos de los registros (Véase 3.3.2) y e) Las validaciones posteriores requeridas (revalidación). 4.3.6 VALIDACIÓN DE LOS MÉTODOS DE LABORATORIO Los laboratorios deben validar los métodos no normalizados, los métodos que diseña o desarrolla, los métodos normalizados empleados fuera del alcance previsto, así como las aplicaciones y modificaciones de los métodos normalizados, para confirmar que los métodos son aptos para el fin previsto. La validación debe ser tan amplia como sea necesario para satisfacer las necesidades del tipo de aplicación o del campo de aplicación dados. Los laboratorios deben registrar los resultados obtenidos, el procedimiento utilizado para la validación y una declaración sobre la aptitud del método para el uso previsto. La gama y la exactitud de los valores que se obtienen empleando método validados deben responder a las necesidades de los clientes. NOTA 1: La validación puede incluir los procedimientos para el muestreo, la manipulación y el transporte, la especificación de los requisitos, la determinación de las características de los métodos, una verificación de que los requisitos pueden satisfacerse utilizando el método, y una declaración sobre la validez. NOTA 2: Es conveniente utilizar una o varias de las técnicas siguientes para la determinación del desempeño de un método: a) Calibración para utilizar patrones de referencia o materiales de referencia. b) Comparación con resultados obtenidos con otros métodos. c) Comparación interlaboratorios. d) Evaluación sistemática de los factores que influyen en el resultado. e) Evaluación de la incertidumbre de los resultados basada en el conocimiento científico de los principios teóricos del método y en la experiencia práctica. NOTA 3: Cuando se introduzca algún cambio en los métodos no normalizados validados, es conveniente que se documente la influencia de dichos cambios y, si correspondiera, se realice una nueva validación.

4.3.7 IDENTIFICACIÓN Y TRAZABILIDAD

46/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Ecopetrol S.A. y sus subordinadas deben identificar el producto y/o servicio por medios adecuados, a través de toda la realización del producto y/o prestación del servicio. Se debe identificar el estado del producto y/o servicio, con respecto a los requisitos de seguimiento y medición a través de toda la realización del producto o la prestación del servicio. Cuando la trazabilidad sea un requisito, la organización debe controlar y registrar la identificación única del producto y/o servicio y mantener registros (Véase 3.3.2). Para el caso de los laboratorios, se debe tener un sistema para la identificación de los ítems de ensayo y/o de calibración. La identificación debe conservarse durante la permanencia del ítem en los laboratorios. El sistema debe ser diseñado y operado de modo tal que asegure que los ítems no puedan ser confundidos físicamente ni cuando se haga referencia a ellos en registros u otros documentos. Cuando corresponda, el sistema debe prever una subdivisión en grupos de ítems y la transferencia de los ítems dentro y desde los laboratorios. 4.3.8 PROPIEDAD DEL CLIENTE Ecopetrol S.A. y sus subordinadas deben cuidar los bienes que son propiedad del cliente mientras estén bajo su control o los esté usando. La organización debe identificar, verificar, proteger y salvaguardar los bienes que son propiedad del cliente suministrados para su utilización o incorporación dentro del producto y/o servicio. Si cualquier bien que sea propiedad del cliente se pierde, deteriora o de algún otro modo se considera inadecuado para su uso, la organización debe informar de ello al cliente y mantener registros (3.3.2). En el caso de los laboratorios, cuando se recibe un ítem de ensayo o calibración que se considere inadecuado para su uso se deben registrar las anomalías o los desvíos en relación con las condiciones normales o especificadas, según se describen en el correspondiente método de ensayo o de calibración. Cuando exista cualquier duda respecto a la adecuación de un ítem para un ensayo o una calibración, o cuando un ítem no cumpla con la descripción provista, o el ensayo o la calibración requerida no esté especificado con suficiente detalle, los laboratorios debe solicitar al cliente instrucciones adicionales antes de proceder y debe registrar lo tratado. NOTA: Es recomendable que los aspectos relacionados con la propiedad del cliente se reglamenten a través de acuerdos, contratos o documentos.

4.3.9 PRESERVACIÓN DEL PRODUCTO Y/O SERVICIO Ecopetrol S.A. y sus subordinadas deben preservar el producto y/o servicio durante el proceso interno y la entrega al destino previsto para mantener la conformidad con los requisitos. Esta preservación debe incluir, según sea aplicable, la identificación, manipulación, embalaje, almacenamiento y protección. La preservación debe aplicarse también, a las partes constitutivas de un producto y/o servicio. Adicionalmente, los laboratorios debe tener procedimientos para: a)

El transporte, la recepción, la manipulación, la protección, el almacenamiento, la conservación y/o la disposición final de los ítems de ensayo y/o de calibración, incluidas todas las disposiciones necesarias para proteger la integridad del ítem de ensayo o de calibración, así como los intereses de los laboratorios y del cliente. 47/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

b)

Almacenamiento de los reactivos y materiales consumibles del laboratorio que se necesiten para los ensayos y calibraciones. c) Evitar el deterioro, la pérdida o el daño del ítem de ensayo o de calibración durante el almacenamiento, la manipulación y la preparación, lo cual incluye contar con instalaciones apropiadas. Se deben seguir las instrucciones para la manipulación provistas con el ítem. Cuando los ítems deban ser almacenados o acondicionados bajo condiciones ambientales especificadas, debe realizarse el mantenimiento, seguimiento y registro de estas condiciones. Cuando un ítem o una parte de un ítem para ensayo o calibración deban mantenerse seguro, los laboratorios deben tener disposiciones para el almacenamiento y la seguridad que protejan la condición e integridad del ítem o de las partes en cuestión. NOTA 1: Cuando los ítems de ensayos tengan que ser devueltos al servicio después del ensayo, se debe poner un cuidado especial para asegurarse de que no son dañados ni deteriorados durante los procesos de manipulación, ensayo, almacenamiento o espera. NOTA 2: Es recomendable proporcionar a todos aquellos responsables de extraer y transportar las muestras, un procedimiento de muestreo, así como información sobre el almacenamiento y el transporte de las muestras, incluida información sobre los factores de muestreo que influyen en el resultado del ensayo o de la calibración. NOTA 3: Los motivos para conservar en forma segura un ítem de ensayo o de calibración pueden ser por razones de registro, protección o valor o para permitir realizar posteriormente ensayos y/o calibraciones complementarios.

4.3.10 CONTROL DE LAS OPERACIONES TERCERIZADAS Ecopetrol S.A. y sus subordinadas deben asegurarse de controlar los procesos entregados a terceros. El tipo y grado de control por aplicar sobre los procesos entregados a terceros, debe estar definido dentro del SGCI. Cuando existan disposiciones regulatorias, expedidas por una autoridad competente, relativas al control de procesos entregados a terceros, la organización deberá ceñirse a estas disposiciones. Se debe desarrollar un plan de comunicaciones (Véase 1.4.2) acordado con los terceros, con el fin de asegurar que se conozcan la estructura de roles y responsabilidades hasta el nivel mínimo de los trabajadores del contratista. Cuando se contrate un trabajo (productos, servicios, ensayos y/o calibraciones) a terceros, ya sea debido a circunstancias no previstas o en forma continua, se debe encargar este trabajo a un tercero competente. La organización debe advertir al cliente, por escrito, sobre el acuerdo y, cuando corresponda, obtener la aprobación del cliente, preferentemente por escrito. Se debe establecer e implementar lineamientos para controlar las actividades realizadas por terceros, que incluya: a) definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, b) la revisión y monitoreo de la efectividad y cumplimiento de los requerimientos legales y regulatorios, acuerdos y obligaciones contractuales. La organización debe asegurar el cumplimiento de todas las obligaciones y acuerdos definidos, incluyendo aspectos laborales, técnicos, de seguridad industrial, seguridad de procesos operacionales, salud ocupacional, medioambiente y financieros por parte de los contratistas y/o proveedores antes de 48/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

ingresar a las instalaciones y/o desarrollar actividades para la organización. Así mismo se debe informar a los contratistas y/o proveedores las reglas y procedimientos de la organización y el potencial de los riesgos específicos de las instalaciones donde será ejecutado el trabajo. NOTA 1: El tipo y el grado de control por aplicar al proceso entregado a terceros puede estar influenciado por factores tales como: a) b) c)

El impacto potencial del proceso entregado a terceros sobre la capacidad de la organización para proporcionar productos y/o servicios conformes con los requisitos y para cumplir los requisitos del SGCI, El grado en el que se comparte el control sobre el proceso. La capacidad para conseguir el control necesario

NOTA 2: Asegurar el control sobre los procesos entregados a terceros no exime a la organización de la responsabilidad de administrar los riesgos correspondientes y de cumplir con todos los requisitos del cliente, los legales aplicables y los del SGCI.

4.4 CONTINUIDAD DE LOS PROCESOS El subelemento Continuidad de los Procesos tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos en la planeación, ejecución y seguimiento de las actividades para predecir, prevenir, mitigar y atender interrupciones de los procesos y retornarlos a su normal funcionamiento, permitiendo el logro de los objetivos de la organización. Ecopetrol S.A. y sus subordinadas deben establecer lineamientos y métodos apropiados para determinar, analizar y tomar acciones ante el impacto de cualquier alteración en los procesos, la infraestructura, el medio ambiente y las personas. Estos métodos deben permitir la reanudación de los procesos clave y la preparación a la organización para responder ante una emergencia o incidente. Estos métodos deben incluir: a) b) c)

d) e) f)

g) h) i)

Identificación de procesos clave. Identificación de los impactos que resulten de la alteración de estos procesos y determinar el modo en el que estos varíen con el tiempo. Establecimiento del período máximo tolerable de alteración, para cada proceso por medio de la identificación de: 1) Período de tiempo máximo después del inicio de una alteración, dentro del cual debe reanudarse cada actividad. 2) Nivel mínimo al que necesita ejecutarse cada actividad al ser reanudada. 3) Tiempo que se necesita para reanudar los niveles normales de operación. Categorizar sus procesos según la prioridad para la reactivación e identificar sus actividades más importantes. Identificación de todas las dependencias relevantes para las actividades más importantes, incluidos a los terceros; Para el caso de terceros de quienes dependan procesos y actividades vitales, determinar los acuerdos de gestión de la continuidad del negocio (BCM) qué estarán vigentes para los productos y servicios relevantes que provean. Establecimiento de tiempos límite de reactivación para la reanudación de los procesos clave, dentro de su período máximo tolerable de alteración. Estimación de los recursos que cada proceso requerirá para su reanudación. Procedimientos para la preparación y respuesta ante emergencias e incidentes. 49/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA: El resultado de este análisis se denomina Análisis del Impacto del negocio (BIA).

Los análisis del impacto del negocio (BIA) se deben revisar a intervalos planificados. 4.4.1 ESTRATEGIA PARA LA CONTINUIDAD DE LOS PROCESOS Ecopetrol S.A. y sus subordinadas deben determinar la estrategia para la continuidad de los procesos, que incluya: a)

b) c)

d) e)

Una estructura de respuesta ante incidentes, predefinida y documentada acorde con los objetivos y los acuerdos de la gestión de la continuidad del negocio que facilite una respuesta efectiva y la reanudación de actividades después de cualquier alteración, Planes, procesos y procedimientos para la activación, operación, coordinación y comunicación de la respuesta al incidente. Determinar la manera en la que se recuperará cada proceso crítico dentro de su tiempo objetivo de recuperación y los recursos requeridos para reasumir las funciones y los productos proporcionados por terceros. El manejo de relaciones con los grupos de interés y las partes externas involucradas en la reiniciación. El aprovisionamiento de los recursos necesarios para llevar a cabo las estrategias definidas. (Véase 1.5).

NOTA: La estrategia de continuidad del negocio está basada en los resultados del análisis de impacto del negocio (BIA) y la valoración de riesgos (Véase 6.1.2).

Ecopetrol S.A. y sus subordinadas deben definir la estructura de respuesta ante incidentes que incluya: f)

Disponer de personal para confirmar la naturaleza y extensión de un incidente, activar una respuesta apropiada de continuidad de negocio y comunicarse con los grupos de interés. g) Planes, procesos y procedimientos para la activación, operación, coordinación y comunicación de la respuesta al incidente. h) Los recursos que respalden los planes, procesos y procedimientos para gestionar un incidente.

4.4.2 PLANES DE CONTINUIDAD DEL NEGOCIO Según la estrategia para la continuidad del negocio, se deben estructurar planes de continuidad de los procesos y de gestión de incidentes, los cuales deben: a)

Tener un propósito y alcance definidos, ser accesibles y comprendidos por quienes lo utilizarán, ser dirigido(s) por una(s) persona(s) designada(s) que será(n) responsable(s) de su revisión, actualización y aprobación, estar en línea con acuerdos de contingencia relevantes externos a la organización.

Los planes deben contener de manera colectiva: 50/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 b) c) d) e) f) g)

h) i) j)

k)

l)

m)

n) o) p) q)

Elaborado 22/02/2012

Versión: 1

Líneas de comunicación identificadas, Tareas clave e información de referencia. Funciones y responsabilidades definidas para las personas y equipos con autoridad durante y después del incidente. Lineamientos y criterios en cuanto a qué personas tienen autoridad para recurrir a cada plan y bajo qué circunstancias. El mecanismo mediante el cual se activará cada plan. Puntos de encuentro con alternativas y detalles de contacto y movilidad actualizados respecto a las agencias, organizaciones y recursos pertinentes que puedan ser requeridos para respaldar la respuesta. Un proceso para dar fin al estado de alerta, una vez termine el incidente. Una referencia a los detalles de contacto esenciales para todos los principales grupos de interés. Detalles para manejar las consecuencias inmediatas de una alteración del negocio prestando debida atención al bienestar de los individuos, las opciones estratégicas y operacionales para responder a la alteración y la prevención de pérdidas adicionales o la inaccesibilidad de actividades críticas. Detalles para el manejo de un incidente, que incluyan previsiones para el manejo de problemas durante un incidente y procesos para permitir la continuidad y la reiniciación de las actividades críticas. Detalles sobre la manera y las circunstancias bajo las cuales la organización se comunicará con los empleados y sus familiares, las principales partes interesadas y los contactos de emergencia. Detalles sobre el plan de comunicaciones del incidente, lineamientos para redactar una declaración para los medios y portavoces indicados, incluido un plan de manejo de crisis que se activará para informar y responder ante cualquier emergencia o incidente.(Véase 1.4.2) Un método para registrar la información clave sobre el incidente, las acciones y las decisiones tomadas. Detalles de las acciones y tareas que necesitan ejecutarse. Detalles de los recursos requeridos para la continuidad de negocio y la reiniciación del negocio en diferentes momentos. Objetivos priorizados en términos de las actividades críticas a ser reiniciadas, las escalas de tiempo en las que deben reiniciarse, y los niveles de reiniciación necesarios para cada actividad crítica.

La organización debe garantizar que los planes de continuidad del negocio sean validados y que se mantengan actualizados, para lo cual debe: r)

Asignar un responsable de la validación de los planes, mediante pruebas y ejercicios diseñados teniendo en cuenta cambios, rotación del personal, incidentes reales, lecciones aprendidas y resultados de ejercicios anteriores. s) Desarrollar pruebas que sean consistentes con el alcance de la gestión de la continuidad del negocio.

51/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 t) u) v) w) x) y)

z)

Elaborado 22/02/2012

Versión: 1

Tener un plan de pruebas aprobado por la Alta Dirección para garantizar que las pruebas se realicen a intervalos planificados y cuando se produzcan cambios significativos. Llevar a cabo una variedad de pruebas diferentes que en conjunto validen la totalidad de sus planes de continuidad de negocio. Planificar pruebas de modo que se minimice el riesgo de que ocurra un incidente como resultado directo de la prueba. Definir las metas y objetivos de cada prueba. Adelantar una revisión de cada prueba, posterior a la misma, que evaluará la consecución de las metas y objetivos de la prueba. Planificar ejercicios basados en escenarios realistas que han sido cuidadosamente acordados con los grupos de interés y que correspondan con los eventos identificados en la evaluación del riesgo y en la Evaluación del Impacto (BIA). Generar un reporte escrito del desempeño de la prueba, el resultado y la retroalimentación, que incluya las acciones requeridas. Se deben mantener todos los registros relacionados con los planes de continuidad de negocio (véase 3.3.2). NOTA1: Los planes de continuidad de negocio se estructuran solo para aquellos procesos que se han determinado como claves en el análisis de impacto del negocio (BIA). NOTA 2: Las pruebas de los planes de continuidad de negocio pueden incluir ejercicios o escenarios que anticipan un resultado predeterminado, simulaciones y ejercicios completos de funcionamiento.

4.4.3 PREPARACIÓN Y RESPUESTA ANTE INCIDENTES Y EMERGENCIAS Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener un(os) planes y procedimiento(s) para: a)

b)

c) d)

e)

Identificar el potencial de incidentes y emergencias, que puedan tener efectos negativos en las personas, el medio ambiente, la información, la infraestructura, las actividades, productos y servicios. Planificar la respuesta ante incidentes y emergencias según las necesidades de los grupos de interés pertinentes y la disposición de cualquier equipo, instalaciones o servicios identificados que puedan requerirse durante o después de los incidentes o situaciones de emergencia. Responder a situaciones de incidentes y emergencias reales y prevenir o mitigar efectos adversos, para evitar que el incidente escale a una situación de crisis. Probar periódicamente su(s) plan(es) y procedimiento(s) de respuesta ante situaciones de incidentes y emergencias, y en donde sea factible, involucrar los grupos de interés pertinentes. Realizar pruebas periódicas que garanticen que los equipos o sistemas asociados a la respuesta a emergencias se encuentren aptos para el tipo de incidentes o emergencias asociado.

52/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

f)

Modificar y/o actualizar el (los) plan (es) y el (los) procedimiento (s) de ser necesario, en particular, después de realizar pruebas periódicas y después que se han presentado situaciones de incidentes y emergencias o cuando se declare que un incidente ha escalado a situación de crisis. g) La coordinación con entes externos y comunidades del área de influencia, teniendo en cuenta el relacionamiento con los grupos de interés. (Véase 1.4). h) Asegurar que se cuente con la capacidad mínima de respuesta ante situaciones de incidentes o emergencias en cada instalación en cuanto a equipos, medios de transporte y personal. i) Mantener registros de los incidentes o emergencias ocurridas. (Véase 3.3.2)

Ecopetrol S.A. y sus subordinadas deben determinar, establecer y documentar acuerdos de ayuda o asistencia mutua con los grupos de interés que considere pertinentes, como un medio para la gestión de los recursos, instalaciones, servicios y otros apoyos necesarios durante un incidente. Nota 1. El término acuerdo de ayuda/asistencia mutua, usado aquí, incluye acuerdos cooperativos de asistencia, convenios intergubernamentales, u otros términos usados comúnmente para compartir recursos. La Organización puede ser parte de un acuerdo de ayuda/asistencia mutua con otras organizaciones de las que espera recibir, o a las que espera proporcionar, asistencia durante un incidente. Estos acuerdos normalmente incluyen entidades vecinas o cercanas, así como organizaciones relevantes del sector privado y organizaciones no gubernamentales. NOTA 2: Una condición inestable que implica un cambio significativo o abrupto que requiere una atención o acción urgente para proteger la vida, los activos, la propiedad o el medio ambiente puede denominarse “Crisis”. NOTA 3: Es responsabilidad de la organización desarrollar procedimientos de prevención, preparación y respuesta a incidentes, que satisfagan sus necesidades particulares. En el desarrollo de los procedimientos, conviene considerar entre otros aspectos, los siguientes: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.

La naturaleza de los riesgos del sitio (por ejemplo, los materiales inflamables y tóxicos, tanques de almacenamiento y gases comprimidos), o de los alrededores y las medidas que deben adoptarse en caso de incidentes. El tipo de incidente más probable y su escala; El método(s) más apropiado(s) para la mitigación y respuesta de emergencia a un incidente para evitar su escalamiento en una crisis o desastre; La necesidad de proceso para la evaluación posterior al evento para establecer y aplicar acciones correctivas y preventivas; Acciones para proteger a las personas (incluyendo aquellas con necesidades especiales), a la propiedad, las operaciones, y el medio ambiente y para proporcionar estabilización del incidente Pruebas periódicas de los planes y procedimientos para la gestión de incidentes y emergencias. La capacitación del personal de respuesta a incidentes y emergencias; Una lista de personal clave y agencias de ayuda, incluyendo datos de contacto (por ejemplo, el departamento de bomberos, servicios médicos de emergencia, la policía, servicios de limpieza de materiales peligrosos); Rutas de evacuación y puntos de montaje que incluyen listas de personal y datos de contacto; Acciones a tomar ante la posibilidad que un incidente o una situación de emergencia afecte infraestructuras críticas (por ejemplo, electricidad, agua, comunicaciones, transporte); La posibilidad de asistencia mutua con los grupos de interés. Acciones necesarios para recuperar cada actividad crítica dentro de los tiempos establecidos recuperación objetivo y los recursos que requieren para su recuperación Asignación de responsabilidades para la realización de acciones específicas en una emergencia Lineamientos para la administración de recursos y de las donaciones La opción de establecer centros primarios y alternos de operaciones de emergencia con la capacidad de manejar operaciones de respuesta, continuidad y recuperación Estructura predefinida de cadena de comando, centro(s) de operación de emergencia, y/o lugar(es) de trabajo alternativo(s); Autoridad para declarar una situación de emergencia, iniciar los procedimientos de emergencia, activar los planes y acciones, evaluar los daños y tomar decisiones financieras;

53/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

18. Planes de comunicación internos y externos, incluida la notificación a las autoridades competentes y partes interesadas; 19. Acciones para proporcionar atención médica adecuada; 20. La acción(es) necesaria(s) para asegurar la información vital, los sistemas de información, servicios y personas

54/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

5. RECURSOS El elemento Recursos tiene como finalidad agrupar y correlacionar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., que orientan la identificación, gestión y optimización del uso de los recursos necesarios para la continuidad del negocio. Nota: El elemento Recursos abarca servicios, inventarios, propiedad, planta y equipos. 5.1 APROVISIONAMIENTO DE RECURSOS El subelemento Aprovisionamiento de Recursos tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la identificación, planeación, adquisición, verificación, registro, almacenamiento, custodia, preservación, instalación y entrega de recursos incluida selección y evaluación del desempeño de los proveedores para asegurar la confiabilidad operacional a un costo óptimo. 5.1.1 PLANEACIÓN PARA EL APROVISIONAMIENTO DE RECURSOS Ecopetrol S.A. y sus subordinadas deben asegurar que el aprovisionamiento obedezca a una planeación previa de los recursos necesitados para llevar a cabo la operación de los procesos y los proyectos. Ecopetrol S.A. y sus subordinadas deben implementar lineamientos y procedimientos para: a) La compra, recepción y almacenamiento de productos, servicios, suministros, incluidos los reactivos y materiales consumibles que se necesiten para los ensayos y las calibraciones. b) La adquisición, puesta en marcha, mantenimiento (Véase 5.2) y actualización de la infraestructura tecnológica y software aplicativo. c) Asegurar que los productos y/o servicios adquiridos cumplen con los requisitos especificados en los pliegos de condiciones o en las disposiciones aplicables. d) Asegurar que los productos, incluidos los equipos, son fabricados de acuerdo con la especificación de diseño, entregados en la ubicación apropiada y ensamblados e instalados apropiadamente. e) Formalizar la gestión con proveedores. Los procedimientos deben incluir, como mínimo responsabilidades y obligaciones legales, de seguridad industrial, seguridad de procesos operacionales, de continuidad del negocio, salud ocupacional y medioambiente, financieras, organizacionales, documentales, de desempeño, y de propiedad intelectual y cláusulas de penalización, según aplique. Todos los modelos estándares de contratos, sus correspondientes minutas, y las modificaciones a estos estándares se deben revisar por asesores legales. NOTA 1: Cuando se requiera utilizar contratos o minutas no estándares, se deberá contar con el visto bueno del asesor legar para su utilización. El tipo y alcance del control aplicado al proveedor y al producto y/o servicio adquirido debe depender de su impacto, cuando sea aplicable, sobre: a) La realización del producto y/o prestación del servicio, b) La calidad del producto y/o servicio final y c) La calidad de los ensayos y calibraciones

55/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA 2: Conviene solicitar y revisar el plan de preparación y respuesta de proveedores críticos, con el fin de evaluar su capacidad para continuar entregando los productos y/o servicios necesarios en una situación de crisis.

5.1.2 INFORMACIÓN PARA EL APROVISIONAMIENTO DE BIENES Y SERVICIOS La información descrita en los pliegos de condiciones o en las disposiciones aplicables del producto y/o servicio por adquirir (incluyendo los recursos TI), debe incluir, cuando sea apropiado : a) b)

Descripción de los suministros, productos, servicios, suministros y otros por adquirir. Los requisitos para la aprobación del producto y/o servicio, procedimientos, procesos y equipos. c) Los requisitos para la calificación del personal. d) Los requisitos del SGCI. e) Información de la infraestructura tecnológica y software aplicativo que se va a adquirir, que incluya las extensiones futuras para adiciones de capacidad, costos de transición, riesgos tecnológicos, vida útil de la inversión para actualizaciones de tecnología, evaluación de los costos de complejidad y viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica. Ecopetrol S.A. y sus subordinadas deben asegurar que la información que describe los bienes y/o servicios solicitados, sea revisada y aprobada en cuanto a su contenido técnico antes de ser comunicada al proveedor. NOTA 1: Para los laboratorios, la descripción puede incluir el tipo, el grado, una identificación precisa, especificaciones, dibujos, instrucciones de inspección, otros datos técnicos, incluida la aprobación de los resultados, la calidad requerida y la norma del sistema de gestión bajo la que fueron realizados. NOTA 2: La organización debería establecer espacios periódicos para brindar directrices tecnológicas, asesoría sobre los productos de la infraestructura, guías sobre la selección de la tecnología y medir el cumplimiento de estos estándares y lineamientos. NOTA 3: Cuando se adquiere infraestructura tecnológica y software aplicativo, es conveniente, dentro de los requerimientos, la inclusión de pruebas adecuadas en un ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, el cronograma para la liberación y la transición en sí al ambiente de producción, y revisar la post-implantación.

5.1.3 SELECCIÓN Y EVALUACIÓN DE PROVEEDORES Ecopetrol S.A. y sus subordinadas deben evaluar y seleccionar a los proveedores con base en una selección objetiva y en función de su capacidad para suministrar productos consumibles, suministros y servicios que afecta a la calidad de los productos y/o servicios, ensayos y de las calibraciones, de acuerdo con los requisitos definidos previamente. Se deben mantener los registros de dichas evaluaciones. Se debe establecer un proceso para asegurar que el proveedor está cumpliendo con los requerimientos de la organización, que se adhiere continuamente a los acuerdos del contrato y que el desempeño es competitivo con proveedores alternativos y las condiciones del mercado. Se deben mantener registros de los resultados de las evaluaciones y de cualquier acción necesaria derivada de éstas. Ecopetrol S.A. y sus subordinadas deben mantener: 56/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

a)

Una lista de proveedores aprobados que incluya la identificación de todos los servicios de los proveedores, categorización de acuerdo al tipo de proveedor, significado y criticidad. b) Documentación formal de relaciones técnicas y organizacionales que cubren los roles y responsabilidades, metas y entregables esperados. Para los laboratorios, se deben mantener registros de la evidencia del cumplimiento de la norma NTC ISO/IEC17025 por parte de sus proveedores de servicio de ensayo y/o calibración. (Véase 3.3.2) Ecopetrol S.A y sus subordinadas deben asegurar que la información que describe los bienes y/o servicios solicitados, sea revisada y aprobada en cuanto a su contenido antes de ser comunicada al proveedor. NOTA 1: Selección objetiva se refiere a aquella selección en la cual la escogencia se hace al ofrecimiento más favorable a la organización y a los fines que ella busca, sin tener en consideración factores de afecto o de interés y, en general, cualquier clase de motivación subjetiva o que vaya en contra del Código de Ética. NOTA 2: El término evaluación de proveedores incluye la evaluación inicial y las posteriores que se deriven de la necesidad de evaluar el desempeño del proveedor (re-evaluaciones). NOTA 3: Durante la evaluación y selección de proveedores, es conveniente consultar las listas oficiales de empresas con impedimentos legales, o con restricciones éticas acorde a la normatividad aplicable, y el listado de marcas aceptadas por Ecopetrol S.A. y sus subordinadas. NOTA 4: Es conveniente que la documentación propia de la organización sea suministrada a terceros bajo un acuerdo de confidencialidad.

5.1.4 VERIFICACIÓN DE LOS PRODUCTOS Y/O SERVICIOS ADQUIRIDOS Ecopetrol S.A. y sus subordinadas deben establecer e implementar la inspección u otras actividades necesarias para asegurarse de que el producto y/o servicio, suministros, los reactivos y los materiales consumibles adquiridos cumplen con lo especificado en los pliegos de condiciones, en las disposiciones aplicables o en las especificaciones normalizadas, antes de su uso. Se deben mantener registros de la verificación del cumplimiento. (Véase 3.3.2) Cuando Ecopetrol S.A. y sus subordinadas o sus clientes quieran llevar a cabo la verificación en las instalaciones del proveedor, se debe establecer en los pliegos de condiciones o en las disposiciones aplicables, las especificaciones para la verificación pretendida y el método para la aceptación del producto y/o servicio. Adicionalmente, los laboratorios deben documentar un procedimiento para la recepción y el almacenamiento de los reactivos y materiales consumibles de laboratorio que se necesiten para los ensayos y las calibraciones.

57/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

5.2 MANTENIMIENTO DE RECURSOS El subelemento Mantenimiento de Recursos tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la administración, mantenimiento, integridad, custodia y actualización de los Recursos, para asegurar la confiabilidad operacional a un costo óptimo y un ambiente de trabajo adecuado, que contribuya de forma efectiva al cumplimiento de los objetivos de la organización. 5.2.1 INFRAESTRUCTURA Ecopetrol S.A. y sus subordinadas deben administrar, determinar, proporcionar y mantener la infraestructura necesaria para lograr la conformidad con los requisitos del producto y/o servicio según las leyes y los reglamentos, los lineamientos corporativos, los requerimientos técnicos, las especificaciones del proveedor, teniendo en cuenta los lineamientos de seguridad industrial, seguridad de procesos operacionales, salud ocupacional y medio ambiente y el riesgo asociado con desastres naturales y causados por el hombre. La infraestructura incluye, cuando sea aplicable: a)

b) c) d) e)

Edificios, espacio de trabajo y sus servicios asociados (por ejemplo: redes internas de suministro de servicios públicos o propios, cableado estructural, centros de datos físicos, entre otros). Herramientas, equipos y sistemas de información (tanto hardware como software) para la gestión de los procesos, Servicios de apoyo (tales como transporte y comunicación). Los activos industriales. Equipos y patrones para el muestreo, la medición y el ensayo, requeridos para la correcta ejecución de los ensayos o de las calibraciones (incluido el muestreo, la preparación de los ítems de ensayo o de calibración y el procesamiento y análisis de los datos de ensayo o de calibración).

Se debe definir e implementar procedimientos para garantizar el mantenimiento oportuno de la infraestructura con el fin de reducir la frecuencia y el impacto de las fallas o de la disminución del desempeño. Estos procedimientos deben: f)

Ser establecidos e implementados para asegurar la integridad mecánica del equipo de proceso en una base continua (p.ej., arranques, operación rutinaria, paros, y paros para mantenimiento). g) Incluir cuando sea pertinente, para los equipos críticos una matriz donde se refleje el plan de pruebas funcionales, inspección y/o mantenimiento proactivo (preventivo y predictivo) en donde se definan las frecuencias, los métodos y zonas a inspeccionar. h) Definir las frecuencias máximas de pruebas, inspección o mantenimiento de acuerdo con el análisis riesgos respectivo y/o por el estándar que aplique al tipo de equipo i) Lineamientos para asegurar la calidad de los materiales y repuestos. j) Prever la realización de un análisis continuo de ingeniería de confiabilidad, cuando aplique. 58/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA: La ingeniería de confiabilidad son las herramientas de evaluación de cómo un sistema y sus componentes individuales pueden ser operados con seguridad antes de ser sacados de servicio para mantenimiento o sustitución.

En aquellos casos en los que Ecopetrol S.A. y sus subordinadas necesiten utilizar equipos que estén fuera de su control permanente se debe asegurar que se controlan dichos equipos. Cada equipo y su software utilizado que sea crítico para la organización debe, en la medida de lo posible, estar unívocamente identificado. Cuando se requiera, se deben establecer registros de cada componente de los equipos y su software. Los registros deben incluir por lo menos lo siguiente: k) l) m) n) o) p) q)

r)

s)

La identificación del equipo y su software. El nombre del fabricante, la identificación del modelo, el número de serie u otra identificación única. Las verificaciones de la conformidad del equipo con la especificación. La ubicación actual, cuando corresponda. Las instrucciones del fabricante, si están disponibles o la referencia a su ubicación. Las recomendaciones para su uso seguro. Las fechas, los resultados y las copias de los informes y de los certificados de todas las calibraciones, los ajustes, los criterios de aceptación, y la fecha prevista de la próxima calibración. El programa de mantenimiento de herramientas, equipos y sistemas de información (tanto hardware como software)e instalaciones , cuando corresponda, y el mantenimiento llevado a cabo hasta la fecha y Todo daño, mal funcionamiento, modificación o reparación del equipo.

Los equipos y su software utilizados en las operaciones, los ensayos, las calibraciones y el muestreo deben permitir lograr la exactitud requerida y deben cumplir con las especificaciones pertinentes para las verificaciones, ensayos y las calibraciones concernientes. Los equipos deben ser operados por personal autorizado. Las instrucciones actualizadas sobre el uso y el mantenimiento de los equipos (incluido cualquier manual pertinente suministrado por el fabricante del equipo) deben estar disponibles para ser utilizadas por el personal. 5.2.2 AMBIENTE DE TRABAJO 5.2.2.1 Ambiente de trabajo para la producción y/o prestación del servicio Ecopetrol S.A. y sus subordinadas deben determinar y gestionar el ambiente de trabajo necesario para lograr la conformidad con los requisitos del producto y/o servicio y que garantice un ambiente sano, limpio y seguro. Se debe realizar el seguimiento, controlar y registrar las condiciones ambientales según requieran las especificaciones, métodos y procedimientos correspondientes, o cuando éstas puedan influir en la calidad de los resultados, productos y/o servicios. Se debe diseñar e implementar medidas de protección contra factores ambientales e instalarse dispositivos y equipo especializado para monitorear y controlar el ambiente. En lo referente a la seguridad de la información, la administración del ambiente de trabajo debe incluir: 59/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

a) b) c)

Elaborado 22/02/2012

Versión: 1

La definición de los requerimientos físicos del centro de datos (site). La selección de instalaciones apropiadas. El diseño de procesos efectivos para monitorear factores ambientales y administrar el acceso físico.

NOTA 1: El término ambiente de trabajo está relacionado con aquellas condiciones bajo las cuales se realiza el trabajo, incluidos: factores físicos, biológicos, químicos, condiciones ambientales, operacionales y de otro tipo (tales como ergonomía, el ruido, la temperatura, la humedad, la iluminación o las condiciones climáticas). NOTA 2 Para TI, el término ambiente físico debe entenderse como ambiente de trabajo.

5.2.2.2 Ambiente de Trabajo para Laboratorios Las instalaciones de ensayos o de calibraciones deben incluir como mínimo las fuentes de energía, la iluminación y las condiciones ambientales para facilitar la realización correcta de los ensayos o de las calibraciones. Los laboratorios deben asegurarse de que las condiciones ambientales no invaliden los resultados ni comprometan la calidad requerida de las mediciones. Se deben tomar precauciones especiales cuando el muestreo, los ensayos y/o las calibraciones se realicen en sitios distintos de la instalación permanente de laboratorio. Los requisitos técnicos para la infraestructura y las condiciones ambientales que puedan afectar a los resultados de los ensayos, verificaciones y calibraciones deben estar documentados. Muchos factores determinan la exactitud y la confiabilidad de los ensayos y/o de las calibraciones realizadas por un laboratorio. Estos factores incluyen elementos provenientes: a) b) c) d) e) f) g)

De los factores humanos. De las instalaciones y condiciones ambientales. De los método de ensayos y de calibración y de la validación de los métodos. De los equipos. De la trazabilidad de las mediciones. Del muestreo. De la manipulación de los ítems de ensayos y de calibración.

El grado en que estos factores contribuyen a la incertidumbre total de la medición difiere considerablemente según los ensayos (y tipos de ensayos) y calibraciones (y tipos de calibraciones). Los laboratorios deben tener en cuenta estos factores al desarrollar los métodos y procedimientos de ensayo y de calibración, en la formación y la calificación del personal, así como la selección y la calibración de los equipos utilizados. Cuando las condiciones ambientales (la esterilidad biológica, el polvo, la interferencia electromagnética, la radiación, la humedad, el suministro eléctrico, la temperatura y los niveles de ruido y vibración, entre otros) comprometan los resultados de ensayos y/o de las calibraciones, éstos se deben interrumpir. Debe haber una separación eficaz entre áreas vecinas de los laboratorios, en las que se realicen actividades incompatibles. Se deben tomar medidas para prevenir la contaminación cruzada. Se debe controlar el acceso y el uso de las áreas que afectan a la calidad de los ensayos y/o de las calibraciones. Los laboratorios debe determinar la extensión del control en función de sus circunstancias particulares. 60/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Se deben tomar medidas para asegurar el orden y la limpieza de los laboratorios. Cuando sean necesarios se deben preparar procedimientos especiales. 5.2.3 MEDIDAS DE SEGURIDAD FÍSICA Ecopetrol y sus filiales deben definir e implementar medidas para prevenir e impedir accesos no autorizados, daños e interferencia a las sedes e instalaciones e información de la organización. Se deben aplicar controles para el manejo preventivo de factores ambientales que puedan causar daño en el correcto funcionamiento de los equipos o deterioro en la infraestructura. Las medidas deben incluir, pero no limitarse al perímetro de seguridad, las zonas de seguridad y la ubicación de equipo crítico. Se deben establecer responsabilidades sobre el monitoreo y los procedimientos de reporte y de resolución de incidentes de seguridad física. 5.2.4 CONTROL DE LOS EQUIPOS DE SEGUIMIENTO Y DE MEDICIÓN 5.2.4.1 Control de los equipos de seguimiento y de medición para la producción y/o prestación del servicio Ecopetrol S.A. y sus subordinadas deben determinar el seguimiento y la medición por realizar y los equipos de seguimiento y medición necesarios para proporcionar la evidencia de la conformidad del producto y/o servicio con los requisitos determinados (Véase 4.1.3). Se deben establecer procesos para asegurarse de que el seguimiento y medición pueden realizarse y de que se realizan de una manera coherente con los requisitos de seguimiento y medición. Cuando sea necesario asegurarse de la validez de los resultados, los equipos de medición y los equipos de ensayo y de calibración, tanto el hardware como el software, deben: a)

b) c)

d) e)

Calibrarse y/o verificarse a intervalos especificados o antes de su utilización, comparado con patrones de medición trazables a patrones de medición internacionales o nacionales con una jerarquía de incertidumbre igual o mayor a la esperada. Cuando no existan tales patrones, debe registrarse la base utilizada para la calibración o la verificación. (Véase 3.3.2), Ajustarse o reajustarse según sea necesario. Estar identificado para poder determinar el estado de calibración, incluida la fecha en la que fueron calibrados por última vez y su fecha de vencimiento o el criterio para la próxima calibración. Protegerse contra ajustes que pudieran invalidar el resultado de la medición. Protegerse contra los daños y el deterioro durante la manipulación, el mantenimiento y el almacenamiento.

Además, se debe evaluar y registrar la validez de los resultados de las mediciones anteriores cuando se verifique que el equipo no está conforme con los requisitos (equipos que hayan sido sometidos a una sobrecarga o a un uso inadecuado, que den resultados dudosos, o se haya demostrado que son defectuosos o que están fuera de los límites especificados). En lo referente a los laboratorios, se debe examinar el efecto del defecto o desvío de los límites especificados en los ensayos y/o las calibraciones (mediante aplicación de inspecciones y/o pruebas interlaboratorio) y se debe aplicar el procedimiento de control del trabajo no conforme. (Véase 7.6.3).

61/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Se deben tomar las acciones apropiadas sobre el equipo. Se deben aislar para evitar su uso o se deben rotular o marcar claramente que están fuera de servicio hasta cuando hayan sido reparados y se haya demostrado que funcionan correctamente y tomar acciones apropiadas sobre cualquier producto y/o servicio afectado. Se deben mantener registros de los resultados de la calibración y la verificación, durante tiempo suficiente, para cumplir con la legislación y los lineamientos de la organización (Véase 3.3.2). Si se requieren equipos de seguimiento para el desempeño, y la medición o seguimiento, o todos ellos, se deben establecer y mantener procedimientos para la calibración y mantenimiento de dichos equipos. Se deben conservar registros de las actividades de calibración y mantenimiento y de los resultados. Cuando un instrumento para calibración ha sido ajustado o reparado, se deben informar los resultados de la calibración antes y después del ajuste o la reparación, con la incertidumbre final que se reporta, si estuvieran disponibles. Se debe confirmar la capacidad de los programas informáticos para satisfacer su aplicación prevista cuando estos se utilicen en las actividades de seguimiento y medición de los requisitos especificados. Esto debe llevarse a cabo antes de iniciar su utilización y confirmarse nuevamente cuando sea necesario. NOTA 1: Véase la norma NTC-ISO 10012, a modo de orientación. NOTA 2: La confirmación de la capacidad del software para satisfacer su aplicación prevista incluiría habitualmente su verificación y gestión de la configuración para mantener la idoneidad para su uso.

5.2.4.2 Control de los equipos de seguimiento y de medición para laboratorios Los laboratorios deben contar con procedimientos para la manipulación segura, el transporte, el almacenamiento el uso y el mantenimiento planificado de los equipos de medición con el fin de asegurar el funcionamiento correcto y de prevenir la contaminación o el deterioro. Cuando, por cualquier razón, el equipo quede fuera del control directo de los laboratorios, debe asegurarse de que se verifican el funcionamiento y el estado de calibración del equipo y de que son satisfactorios, antes de que el equipo sea reintegrado al servicio. Cuando se necesiten verificaciones intermedias para mantener la confianza en el estado de calibración de los equipos, éstas se deben efectuar según un procedimiento definido. Cuando las calibraciones den lugar a un conjunto de factores de corrección, los laboratorios deben tener procedimientos para asegurarse de que las copias (por ejemplo, en el software), se actualizan correctamente. NOTA: Pueden ser necesarios procedimientos adicionales cuando los equipos de medición se utilicen fuera de las instalaciones permanentes de los laboratorios para los ensayos, las calibraciones o el muestreo.

5.2.5 CALIBRACIÓN DE EQUIPOS PARA ENSAYOS Y/O CALIBRACIONES Todos los equipos utilizados para los ensayos y/o las calibraciones, incluidos los equipos para mediciones auxiliares (por ejemplo, de las condiciones ambientales) que tengan un efecto significativo en la exactitud, repetición y/o reproducibilidad o en la validez del resultado del ensayo, de la calibración o del muestreo, deben ser calibrados y/o verificados y emitirse un certificado que reporte la incertidumbre final del equipo y la aceptación de que el equipo entra en servicio nuevamente.

62/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

5.2.5.1 Equipos para laboratorios de Calibración Para los laboratorios de calibración de Ecopetrol S.A y sus subordinadas, se debe establecer un programa y un procedimiento para la calibración de sus equipos. El programa de calibración de los equipos debe ser diseñado y operado de modo que se asegure que las calibraciones y las mediciones hechas por los laboratorios sean trazables al Sistema Internacional de Unidades (SI). Es conveniente que dicho programa incluya un sistema para seleccionar, utilizar, calibrar, verificar, controlar y mantener los patrones de medición, los materiales de referencia utilizados como patrones de medición, y los equipos de ensayo y de medición utilizados para realizar los ensayos y las calibraciones. Se deben establecer programas de calibración para las magnitudes o los valores esenciales de los instrumentos cuando dichas propiedades afecten significativamente a los resultados. Antes de poner en servicio un equipo (incluido el utilizado para el muestreo) se debe calibrar o verificar con el fin de asegurar que responde a las exigencias especificadas de los laboratorios y cumple las especificaciones normalizadas pertinentes. El equipo debe ser verificado o calibrado antes de su uso. Cuando se utilicen servicios de calibración externos, se debe asegurar la trazabilidad de la medición mediante el uso de servicios de calibración provistos por laboratorios que pueden demostrar su competencia y su capacidad de medición y trazabilidad. Los certificados de calibración emitidos por estos laboratorios deben contener los resultados de la medición, incluida la incertidumbre de la medición y/o una declaración sobre la conformidad con una especificación metrológica identificada. NOTA 1: Los laboratorios de calibración que cumplen con la norma NTC ISO/IEC 17025 son considerados competentes. Un certificado de calibración que lleve el logotipo de un organismo de acreditación, emitido por un laboratorio de calibración acreditado según la Norma NTC ISO/IEC 17025 para la calibración concerniente, es suficiente evidencia de la trazabilidad de los datos de calibración contenidos en el informe. NOTA 2: La trazabilidad a las unidades de medidas del SI se puede lograr mediante referencia a un patrón primario apropiado (Véase VIM: 1993, 6.4) o mediante referencia a una constante natural, cuyo valor en términos de la unidad SI pertinente es conocido y recomendado por la Conferencia General de Pesas y Medidas (CGPM) y el comité Internacional de Pesas y Medidas (CIPM). NOTA 3: Los laboratorios de calibración que mantienen su propio patrón primario o la propia representación de las unidades SI basada en constantes físicas fundamentales, pueden declarar trazabilidad al sistema SI solo después de que estos patrones hayan sido comparados, directa o indirectamente, con otros patrones similares de un instituto nacional de metrología. NOTA 4: La expresión especificación metrológica identificada significa que la especificación con la que se compararon las mediciones debe surgir claramente del certificado de calibración, el cual incluirá dicha especificación o hará referencia a ella de manera no ambigua. NOTA 5: Cuando los términos patrón internacional o patrón nacional son utilizados en conexión con la trazabilidad, se supone que cumplen las propiedades de los patrones primarios para la realización de las unidades SI. NOTA 6: La trazabilidad a patrones de medición nacionales no necesariamente requiere el uso del instituto nacional de metrología del país en el que los laboratorios estén ubicados pero debería estar acreditado en la variable medida a nivel nacional o a nivel internacional. NOTA 7: Si un laboratorio de calibración desea o necesita obtener trazabilidad de un instituto nacional de metrología distinto al de su propio país, es conveniente que este laboratorio seleccione un instituto nacional de metrología que participe activamente en las actividades de la Oficina Internacional de Pesas y Medidas, ya sea directamente o a través de grupos regionales. NOTA 8: La cadena ininterrumpida de calibraciones o comparaciones se puede lograr en varios pasos llevados a cabo por diferentes laboratorios que pueden demostrar la trazabilidad y la jerarquía de la incertidumbre reportada.

63/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

5.2.5.2 Equipos para laboratorios de Ensayos Para los laboratorios de ensayo de Ecopetrol S.A. y sus subordinadas, los requisitos dados en el numeral 5.2.4.1 se aplican a los equipos de medición y ensayo con funciones de medición que utiliza, a menos que se haya establecido que la incertidumbre introducida por la calibración contribuye muy poco a la incertidumbre total del resultado del ensayo. Cuando se dé esta situación los laboratorios debe asegurarse de que el equipo utilizado puede proveer la incertidumbre de medición requerida. Cuando la trazabilidad de las mediciones a las unidades Sistema Internacional de Unidades (SI) no es posible y/o no sea pertinente, se deben exigir los mismos requisitos para la trazabilidad (por ejemplo, por medio de materiales de referencia certificados, métodos acordados y/o normas consensuadas) que para los laboratorios de calibración. NOTA 1: El grado de cumplimiento de los requisitos indicados en la calibración (Véase 5.2.4.1) depende de la contribución relativa de la incertidumbre de la calibración a la incertidumbre total. Si la calibración es el factor dominante, es conveniente que se sigan estrictamente los requisitos. NOTA 2: Cuando la organización disponga de laboratorios de análisis de calidad en puntos de transferencia de custodia conviene establecer mecanismos para validar y comunicar la capacidad del laboratorio para cumplir con los criterios de repetición y reproducibilidad de las técnicas utilizadas para los análisis de laboratorio desarrollados.

5.2.6 PATRONES DE REFERENCIA Y MATERIALES DE REFERENCIA Los laboratorios deben tener un programa y un procedimiento para la calibración de sus patrones de referencia. Los patrones de referencia deben ser calibrados por un organismo que pueda proveer la trazabilidad como se indica en el numeral 5.2.4. Dichos patrones de referencia para la medición, conservados por los laboratorios, deben ser utilizados sólo para la calibración y para ningún otro propósito, a menos que se pueda demostrar que su desempeño como patrones de referencia no será invalidado. Los patrones de referencia deben ser calibrados antes y después de cualquier ajuste. Cada vez que sea posible, se debe establecer la trazabilidad de los materiales de referencia a las unidades de medida SI o a materiales de referencia certificados. Los materiales de referencia internos deben ser verificados en la medida que sea técnica y económicamente posible. 5.2.6.1 Verificaciones intermedias Se deben llevar a cabo las verificaciones que sean necesarias para mantener la confianza en el estado de calibración de los patrones de referencia, primarios, de transferencia o de trabajo y de los materiales de referencia de acuerdo con los procedimientos y una programación definidos. 5.2.6.2 Transporte y almacenamiento Los laboratorios deben tener procedimientos para la manipulación segura, el transporte, el almacenamiento y el uso de los patrones de referencia y materiales de referencia con el fin de prevenir su contaminación o deterioro y preservar su integridad. NOTA: Pueden ser necesarios procedimientos adicionales, cuando los patrones de referencia y los materiales de referencia son utilizados fuera de las instalaciones permanentes de los laboratorios para los ensayos, las calibraciones o el muestreo.

64/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

5.3 DISPOSICIÓN FINAL DE RECURSOS El subelemento Disposición Final de Recursos tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. requeridos para la adecuada gestión de los procesos, relacionados con el desmantelamiento, abandono, cesión, disposición controlada, venta, permutas, destrucción, pérdidas y bajas contables de los recursos, propendiendo por un comportamiento socio-ambientalmente responsable y la optimización del costo operativo. Ecopetrol S.A. y sus subordinadas deben establecer procedimientos para la disposición final de activos, en atención al ciclo de vida de los mismos. Los bienes retirados del servicio y que no sean catalogados como inservibles, pueden tener diferente destinación, de acuerdo con los lineamientos y decisiones de la organización. NOTA: Se consideran actividades del ciclo de vida de los activos: a) b) c) d)

Creación, adquisición o mejora de activos, (Véase 5.1) Utilización de activos,(Véase 5.1) Mantenimiento de activos (Véase 5.2) y Puesta fuera de servicio y/o disposición final de activos.

Ecopetrol S.A. y sus subordinadas deben elaborar y mantener un inventario de todos los activos importantes que incluya la identificación de todos los activos dentro del alcance del SGCI y los propietarios de éstos. Toda la información y los activos asociados con los servicios de procesamiento de información deben ser propiedad de una parte designada de la organización. NOTA: El término propietario identifica a un individuo u organización que tiene la responsabilidad de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos, el término propietario no quiere decir que la persona realmente tenga algún derecho de propiedad sobre el activo.

Cuando se reutilice o elimine algún equipo, se deben verificar los elementos del equipo que contengan medios de almacenamiento, para asegurar que se haya eliminado cualquier software licenciado y datos sensibles. Los activos recibidos en cambio, permuta, donación, dación en pago u otra modalidad, deben ser reconocidos por el valor convenido o, a falta de éste, por un valor determinado mediante avalúo técnico. 5.3.1 RETIRO Y BAJA DE MATERIALES NO REQUERIDOS PARA OPERAR Ecopetrol S.A. y sus subordinadas deben contar con procedimientos para retirar y dar de baja los materiales inactivos, inservibles y/u obsoletos, que incluyan identificación, evaluación, aprobación, registro en sistemas correspondientes y enajenación y disposición final. Los procedimientos deben proporcionar atención adecuada a todas las condiciones únicas que pudieran desarrollarse durante el desmantelamiento o abandono total de los materiales inactivos, inservibles y/u obsoletos tales como descontaminación de equipo, monitoreo y disposición de inventario y procesos de logística inversa. NOTA: Se entiende por Materiales Inactivos aquellos materiales en buen estado no requeridos para la operación y que no corresponden a Materiales Obsoletos por Materiales Inservibles a aquellos materiales, cuyo deterioro físico los hace inutilizables para su función original y por Materiales Obsoletos aquellos materiales en buen estado, en desuso por innovación tecnológica o materiales asociados a equipos que han sido retirados del servicio.

65/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

5.3.2 RETIRO Y BAJA DE TUBERÍAS EN EL SITIO DONDE SE ENCUENTRAN INSTALADAS Al momento de realizar la reposición de un tramo de tubería, debe confirmarse con el área responsable, si corresponde a un activo fijo y aplicar el proceso correspondiente. Ya se trate de un oleoducto, poliducto o cualquier otra infraestructura de transporte de hidrocarburos, se debe establecer procedimientos que incluyan: a) b) c) d) e) f)

Evaluar la tubería con criterios de relación costo/beneficio, implicaciones ambientales, implicaciones sociales para determinar si debe ser recuperada. Analizar reutilización de la tubería. Desmantelar, limpiar y transportar. Analizar impacto ambiental para prevenir que la tubería dejada en el sitio no se convierta en un pasivo ambiental. Dar de baja del inventario de activos según corresponda. Realizar los registros contables pertinentes, de acuerdo a la forma y oportunidad que establezca el área de contabilidad.

5.3.3 ABANDONO TEMPORAL O DEFINITIVO DE POZOS Ecopetrol S.A. y sus subordinadas deben contar con procedimientos de acuerdo con la legislación aplicable, para el desmantelamiento, abandono, taponamiento permanente o temporal de pozos, pruebas de integridad que se realicen, las características de los tapones y la obligación de dejar las áreas en las condiciones exigidas. Se debe presentar a la autoridad competente un programa de abandono de instalaciones y pozos en las formas respectivas. Cuando se requiera abandonar o tapar un pozo, se debe solicitar autorización previa y verificación de la autoridad competente.

66/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

6. RIESGOS Y CONTROLES El elemento Riesgos y Controles tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A. para la adecuada gestión de los procesos, relacionados con el análisis y control de aquellos eventos de ocurrencia incierta, tanto internos como externos que de materializarse podrían generar un impacto positivo o negativo, en el logro o cumplimiento de los objetivos empresariales y su despliegue en la organización. 6.1 RIESGOS El subelemento Riesgos tiene como finalidad agrupar todas las directrices y requisitos definidos por Ecopetrol S.A. y referencias normativas nacionales e internacionales requeridos para la adecuada gestión de los procesos para llevar a cabo la planeación, identificación, evaluación y definir el tratamiento de los riesgos a que está expuesta la organización, con el fin de proporcionar respuestas eficientes al riesgo y seguridad razonable del alcance de los objetivos empresariales. Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener lineamientos apropiados para la gestión de riesgos, que incluya directrices y métodos para planear, identificar, valorar, tratar, monitorear y comunicar los riesgos, alineados con la política integral de gestión, los objetivos y metas, la estructura organizacional, la cultura y el ambiente de control de la organización. Estos lineamientos deben ser aplicados a los proyectos que lleve a cabo la organización, con las particularidades que la gestión de proyectos implique. Los lineamientos para la gestión de riesgos deben contemplar los posibles impactos sobre: a) b) c) d) e) f) g) h) i) j) k) l)

La estrategia. Los procesos, productos y/o servicios. Proyectos. Los recursos, infraestructura y tecnología. La confidencialidad, integridad y disponibilidad de la información. Los activos de TI. Las personas. La sociedad. El medio ambiente. Reputación. Legislación, código de buen gobierno, código de ética y autorregulación. El cumplimiento de contratos.

demás

mecanismos

de

NOTA; Se considera Riesgo todo evento de ocurrencia incierta que, de materializarse, genera un impacto positivo o negativo en el logro o cumplimiento de los objetivos. El riesgo se puede medir en términos del impacto de las consecuencias y la probabilidad de ocurrencia de las mismas. Los lineamientos deben considerar un ciclo para la gestión de riesgos, que contemple como mínimo, las siguientes etapas:   

Planeación. Identificación y valoración de riesgos. Tratamiento a los riesgos. 67/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

 Monitoreo de los riesgos.  Comunicación. 6.1.1 PLANEACIÓN La planeación debe incluir la definición de recursos, tiempo, lineamientos, procesos y herramientas requeridos para el ciclo de gestión de riesgos. Se deben considerar como información de entrada para la planeación: a) b)

El personal involucrado (Véase 2.1.3); Lineamientos y procedimientos organizacionales que pueden influir en la planeación de la gestión de riesgos (categorías de riesgos preestablecidas, formatos, niveles de autoridad y toma de decisión). c) Lecciones aprendidas. d) Ejercicios anteriores de riesgos. El plan de gestión de riesgos se considera la salida de la planeación, el cual debe incluir: e) f) g) h) i) j) k)

Metodología de gestión de riesgos. Roles y responsabilidades del personal involucrado. Presupuesto y cronograma. Formatos e informes, incluida la matriz de probabilidad e impacto. Estructura de monitoreo e informes. Plan de comunicación. Categorías de riesgos.

6.1.2 IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO Ecopetrol S.A. y sus subordinadas deben establecer y mantener uno o varios procedimientos para: a)

Identificar los eventos que puedan afectar positiva o negativamente el cumplimiento de los objetivos, bien sea que se encuentren bajo el control de la organización o no. b) Valorar y priorizar los riesgos de sus procesos, proyectos, actividades productos y/o servicios, usando métodos cualitativos, semicuantitativos y cuantitativos. c) Documentar y mantener actualizada la información relacionada. d) Identificar cómo los riesgos se relacionan entre sí. El (los) procedimiento(s) para la identificación y valoración de riesgos deben tener en cuenta, entre otros aspectos: e) f) g) h) i) j)

Los objetivos estratégicos y de procesos. Riesgos previamente identificados. Controles y/o medidas de mitigación o existentes. Informes de auditoría internas y externas. Información histórica de eventos y riesgos materializados. Actividades rutinarias y no rutinarias. 68/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 k) l) m)

n) o) p)

q) r) s)

Elaborado 22/02/2012

Versión: 1

Actividades de todas las personas que tienen acceso al sitio de trabajo (incluso contratistas y visitantes). Comportamiento, aptitudes, necesidades de formación y habilidades y otros factores humanos. Los riesgos identificados que se originan fuera del lugar de trabajo con capacidad de afectar adversamente la salud y la seguridad de las personas que están bajo el control de la organización en el lugar de trabajo. Aspectos ambientales significativos. Los riesgos generados en la vecindad del lugar de trabajo por actividades relacionadas con los trabajos controladas por la organización. Amenazas y riesgos a la infraestructura, equipo, activos de TI y materiales en el lugar de trabajo, el diseño de áreas de trabajo, procesos, procedimientos de operación y organización del trabajo, incluida su adaptación a las aptitudes humanas, ya sean suministrados por la organización o por otros Cambios realizados o propuestos en la organización, sus actividades o los materiales; modificaciones al SGCI, incluidos los cambios temporales y sus impactos sobre las operaciones, procesos y actividades. Cualquier obligación legal aplicable relacionada con la valoración del riesgo y la implementación de los controles necesarios.

El resultado de identificación y valoración del riesgo debe incluir, como mínimo la siguiente información:     

Riesgo: Hace referencia al evento que podría ocurrir. Causas: Hace referencia a Por qué podría ocurrir el evento. Consecuencias: Hace referencia a cuál sería el impacto de dicho evento. Objetivos afectados. Categoría de riesgos.

Se deben mantener registros de la identificación y valoración de riesgos. (Véase 3.3.2) NOTA 1: El establecimiento de los objetivos ya sean estratégicos como de proceso, es condición previa para identificación, valoración y respuesta a los riesgos. NOTA 2: Un aspecto relevante para valoración del riesgo en la continuidad del negocio consiste en darle mayor valor al riesgo que al materializarse, tenga el potencial de interrumpir las actividades y procesos clave de la organización.

6.1.3 TRATAMIENTO A LOS RIESGOS Ecopetrol S.A. y sus subordinadas deben identificar y seleccionar las posibles opciones para el tratamiento de los riesgos, definir y ejecutar los planes de tratamiento. El tratamiento de los riesgos identificados debe enfocarse hacia la disminución o aprovechamiento de las causa raíz. Se debe escoger la opción de tratamiento para las causas asociadas al riesgo. Las opciones de tratamiento incluyen: a)

Eliminar o evitar el riesgo. 69/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

b)

Transferir o compartir el riesgo a terceros (aseguradoras, bancos, proveedores, socios, entre otros). c) Mitigar el riesgo (sustituir o reducir, medidas de ingeniería o de tecnología, medidas administrativas sobre riesgo). d) Aceptar los riesgos con conocimiento y objetividad de acuerdo a los criterios definidos para el riesgo aceptable. e) Explotar el riesgo. Para seleccionar la opción de tratamiento más adecuada la organización debe considerar niveles de autoridad, niveles de tolerancia al riesgo y evaluar el costo/beneficio de las opciones de tratamiento. Las acciones de tratamiento deben ser suficientes para la reducción o eliminación de las causas o mitigación de las consecuencias identificadas de los riesgos, estén o no bajo responsabilidad del área o proceso responsable del riesgo. NOTA 1: Cuando la organización seleccione mitigar como opción de tratamiento al riesgo, el plan de tratamiento a los riesgos incluirá los objetivos y actividades de control (controles, Véase 6.2), para asegurar que se lleve a cabo la respuesta a los riesgos. El plan de tratamiento a los riesgos se considera la salida del tratamiento a los riesgos, el cual debería incluir, como mínimo: a) b) c) d) e)

Causas raíz. Acciones de tratamiento. Responsables, fechas y recursos necesarios para la ejecución de las acciones de tratamiento. Responsables de seguimiento de las acciones de tratamiento. Indicadores clave de riesgos, si ha sido posible su definición.

NOTA 2: Puede consultarse a manera de orientación el manual de gestión de riesgos de la organización para la elaboración de planes de tratamiento. 6.1.4

MONITOREO DE LOS RIESGOS

Ecopetrol S.A. y sus subordinadas deben asegurar el seguimiento y control de los planes de tratamiento a los riesgos, lo cual debe incluir: a) b) c)

d) e) f) g) h) i)

Verificación del cumplimiento y la efectividad de los planes. Realización de ajustes o modificaciones y actualizaciones. Identificación de eventos relacionados con la ocurrencia o materialización de los riesgos. Revisión del impacto y la probabilidad de que dichos eventos pueden llegar a tener sobre la valoración del mismo y las modificaciones o adiciones que se deban realizar sobre el plan de tratamiento. Revaloración de los niveles de riesgo identificados para actualizarlos, en caso de que se amerite. Ajuste a los riesgos, cuando se presenten cambios en sus componentes (nombre, descripción, causa, consecuencia). Identificación y valoración de nuevos riesgos derivados de cambios. Establecimientos de instancias de reporte, acordes con los roles y responsabilidades. Realización de seguimiento a las alertas y controles para los riesgos identificados. Revisión del nivel de riesgo residual y apetito de riesgo identificado. 70/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA: La revisión periódica de la valoración de los riesgos se realiza según los cambios en la organización, la tecnología, los objetivos y procesos del negocio, las amenazas identificadas, los eventos que hayan materializado los riesgos la eficacia de los controles implementados. Así como también los eventos externos, tales como cambios en el entorno político, legal o reglamentario, económico, social, tecnológico, ambiental en las obligaciones contractuales.

El monitoreo debe considerar una retroalimentación sistemática, que brinde alertas tempranas del avance registrado, en cuanto al logro de los resultados y los objetivos previstos. Se deben mantener registros del monitoreo de los riesgos. (Véase 3.3.2) 6.1.5 COMUNICACIÓN DE LOS RIESGOS Ecopetrol S.A. y sus subordinadas deben establecer canales transversales de comunicación para socializar los resultados de cada una de las etapas del ciclo. Se debe asegurar el adecuado flujo de información entre los interesados o partes involucradas. La comunicación debe asegurar la: a) b)

Generación de un lenguaje común de la cultura en materia de gestión de riesgos. Identificación de sinergias entre las diferentes unidades organizativas, para robustecer la gestión de riesgos. c) Retroalimentación de la gestión de riesgos, a través de la incorporación de las diferentes opiniones de los interesados o partes involucradas. d) Divulgación de roles y responsabilidades en la gestión de riesgos. (Véase 2.1.3) e) Divulgación de los resultados de la aplicación de cada una de las etapas de la gestión de riesgos u otra información relevante. f) Incorporación de la gestión de riesgos para la toma de decisiones. Se deben mantener registros de las comunicaciones relacionadas con la gestión de riesgos (Véase 3.3.2). NOTA: La etapa de comunicación es transversal a todas las etapas del ciclo de gestión de riesgos.

71/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

6.2 CONTROLES El subelemento Controles tiene como finalidad agrupar todas las directrices y requisitos definidos por Ecopetrol S.A. y referencias normativas nacionales e internacionales, requeridas para la adecuada gestión de los procesos, relacionados con la identificación de objetivos de control, las actividades de control y su articulación con los riesgos, con el fin de asegurar respuestas efectivas al riesgo y dar seguridad razonable del alcance de los objetivos asociados. Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener lineamientos para la identificación, ejecución, monitoreo y mejora de los controles, para responder a los riesgos y facilitar el logro de los objetivos. Se debe establecer, implementar y mantener uno o varios procedimientos documentados para: a) b) c) d) e) f) g)

Establecer los objetivos de control. Formular los controles. Integrar los controles al SGCI. Asignar, recursos, funciones, roles y responsabilidades. Incluir criterios operacionales en los procedimientos. El monitoreo de la efectividad de los controles. Cubrir situaciones en las que su ausencia podría conducir a desviaciones de la política integral de gestión y objetivos y metas.

NOTA 1: Es conveniente comunicar estos procedimientos a los grupos de interés, según aplique. NOTA 2: Se considera que el control interno en una organización brinda seguridad razonable y no absoluta sobre el logro de los objetivos, dado que éste tiene limitaciones relacionadas al factor humano, disfunciones de los sistemas, entre otros.

6.2.1 IDENTIFICACIÓN DE CONTROLES Ecopetrol S.A. y sus subordinadas deben identificar los controles que contribuyen a gestionar aquellos riesgos que pueden afectar el cumplimiento de los objetivos estratégicos, de procesos y de gestión. Se debe considerar cualquier modificación y/o actualización en los procesos. La formulación de los objetivos de control es condición previa a la definición de controles. 6.2.1.1 Definición de Objetivos de control Ecopetrol S.A. y sus subordinadas deben establecer y formular los objetivos de control, que incluyan: a) b) c)

El propósito del objetivo de control. Las características que se quieren controlar. Los parámetros de referencia.

Para la formulación de objetivos de control se debe tener en cuenta el apetito y la tolerancia al riesgo. NOTA 1: Un objetivo de control es una declaración del resultado deseado o del propósito que se debe alcanzar al implementar un control.

72/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

NOTA 2: Son parámetros de referencia los lineamientos de la organización y marco estratégico, marco legal, procedimientos establecidos, estándares internacionales, definiciones de entes reguladores, leyes, entre otros, con los cuales se establece un parámetro a cumplir, guardando relación con los riesgos identificados.

6.2.1.2 Formulación de controles Para la formulación de los controles, se debe tener en cuenta: a) b) c) d)

Los objetivos, los riesgos y los objetivos de control. La clasificación de los controles, establecida por la organización. Su aplicabilidad a la organización y a sus actividades. La adquisición, diseño, instalación, operación, renovación y modificación de infraestructura, instrumentación, equipos, software, hardware, servicios, entre otros. e) El alcance de aplicación del control. NOTA: Cuando se determinan los controles que se van a implementar se pueden considerar, entre otros, las siguientes opciones: a) b) c) d)

Establecimiento de lineamientos y procedimientos. Incorporación y/o diseño de operaciones y/o actividades dentro de los procesos. Aplicación de prácticas administrativas, tales como capacitaciones, señalización, uso de elementos de protección personal, restricciones de acceso a áreas. Implementación de acciones de mitigación.

Se deben mantener registros de los objetivos de control y de la implementación de los controles. (Véase 3.3.2) 6.2.1.3 Formulación de Objetivos de control y controles para la seguridad de la información Adicionalmente, para la seguridad de la información se deben seleccionar los objetivos de control y los controles del Anexo C, en tanto sean adecuados para el tratamiento de los riesgos identificados. Se debe elaborar una declaración de aplicabilidad que incluya: a) b) c)

Los objetivos de control y los controles, seleccionados y las razones para su selección. Los objetivos de control y los controles implementados actualmente. La exclusión de cualquier objetivo de control y controles enumerados en el Anexo C y la justificación para su exclusión.

NOTA 1: El Anexo C contiene una lista amplia de objetivos de control y controles que comúnmente se han encontrado pertinentes en las organizaciones. Se sugiere consultar el Anexo como punto de partida para la selección de controles, con el fin de asegurarse de que no se pasan por alto opciones de control importantes. Los objetivos de control y los controles presentados en el Anexo no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales. NOTA 2: La declaración de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de los riesgos de la seguridad de la información. La justificación de las exclusiones permite validar que ningún control se omita involuntariamente.

6.2.2 EJECUCIÓN Y MONITOREO DE LOS CONTROLES Ecopetrol S.A. y sus subordinadas deben asegurar que los controles estén operando tal y como están diseñados y descritos. Se deben establecer mecanismos de monitoreo para: 73/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 a) b) c) d)

Elaborado 22/02/2012

Versión: 1

Determinar el funcionamiento de los controles. Conocer la efectividad de los controles. Identificar deficiencias. Definir oportunidades de mejora.

Estos mecanismos deben incluir, entre otros, autoevaluaciones, verificaciones periódicas del diseño y operatividad de los controles, análisis de indicadores, evaluaciones independientes internas y externas, revisiones gerenciales, según corresponda. (Véase 7.6.9) En caso de presentarse controles inefectivos, deben generarse y documentarse planes de mejoramiento con el fin de remediar las brechas identificadas. (Véase 7.7). 7. MONITOREO Y MEJORA El elemento Monitoreo y Mejora tiene como finalidad agrupar y correlacionar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., relacionados con la medición, seguimiento y análisis de objetivos, riesgos, controles, procesos, productos, servicios, entorno y la relación con grupos de interés que orientan a la organización en la toma de decisiones y definición de planes de mejora y acciones de innovación. 7.1 INNOVACIÓN EMPRESARIAL El subelemento Innovación Empresarial tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con investigación, diseño, desarrollo e implementación de nuevos procesos, productos, servicios y métodos o el mejoramiento significativo de los mismos. 7.1.1 PLANIFICACIÓN DEL DISEÑO Y DESARROLLO Ecopetrol S.A. y sus subordinadas deben planificar y controlar el diseño y desarrollo procesos, productos y/o servicios. Durante la planificación del diseño y desarrollo la organización debe determinar: a) b) c)

Las etapas del diseño y desarrollo. La revisión, verificación y validación apropiadas para cada etapa del diseño y desarrollo y Las responsabilidades y autoridades para el diseño y desarrollo.

Ecopetrol S.A. y sus subordinadas deben gestionar las interfaces entre los diferentes grupos involucrados en el diseño y desarrollo, para asegurarse de una comunicación eficaz y una asignación de responsabilidades clara. Los resultados de la planificación deben actualizarse, según sea apropiado, a medida que progresa el diseño y desarrollo. NOTA: El diseño y desarrollo no se limita al aspecto tecnológico, sino también a aquellos lineamientos, programas, proyectos, guías y todo aquello que se oriente a la realización del producto, prestación del servicio o mejoramiento de procesos.

7.1.2 INFORMACIÓN DE ENTRADA PARA EL DISEÑO Y DESARROLLO

74/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Se debe determinar la información de entrada relacionada con los requisitos del proceso, producto y/o servicio y mantenerse registros (Véase 3.3.2). La información de entrada debe incluir: a) b) c) d)

Los requisitos funcionales y de desempeño. Los requisitos legales y reglamentarios aplicables. La información proveniente de diseños previos similares, cuando sea aplicable. Cualquier otro requisito esencial para el diseño y desarrollo.

La información de entrada debe revisarse para comprobar que sea adecuada. Los requisitos deben estar completos, sin ambigüedades y no deben ser contradictorios.

7.1.3 RESULTADOS DEL DISEÑO Y DESARROLLO Los resultados del diseño y desarrollo deben proporcionarse de manera adecuada para la verificación respecto a la información de entrada para el diseño y desarrollo, y deben aprobarse antes de su liberación. Los resultados del diseño y desarrollo deben: a) b)

Cumplir con los requisitos de la información de entrada para el diseño y desarrollo. Proporcionar información apropiada para el aprovisionamiento de bienes y servicios, la producción y la prestación del servicio. c) Contener o hacer referencia a los criterios de aceptación del proceso, producto y/o servicio. d) Especificar las características del proceso, producto y/o servicio que son esenciales para el uso seguro y correcto. NOTA: La información para la producción y la prestación del servicio puede incluir detalles para la preservación del producto y/o servicio.

7.1.4 REVISIÓN DEL DISEÑO Y DESARROLLO En las etapas adecuadas, deben realizarse revisiones sistemáticas del diseño y desarrollo según lo planificado, para evaluar la capacidad de los resultados de diseño y desarrollo para cumplir los requisitos e identificar cualquier problema y proponer las acciones necesarias. Los participantes en dichas revisiones deben incluir representantes de las funciones relacionadas con la(s) etapa(s) de diseño y desarrollo que se está(n) revisando. Se deben mantener registros de los resultados de las revisiones y de cualquier acción necesaria. (Véase 3.3.2) 7.1.5 VERIFICACIÓN DEL DISEÑO Y DESARROLLO Se debe realizar la verificación, según lo planificado (véase el numeral 7.1.1), para asegurarse de que los resultados del diseño y desarrollo cumplen los requisitos de la información de entrada del diseño y desarrollo. Se deben mantener registros de los resultados de la verificación y de cualquier acción que sea necesaria (Véase 3.3.2). NOTA: La etapa de verificación se cumple cuando se compara los requisitos de entrada contra el proceso, producto y/o servicio (resultado del diseño).

7.1.6 VALIDACIÓN DEL DISEÑO Y DESARROLLO 75/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Se debe realizar la validación del diseño y desarrollo según lo planificado (Véase 7.1.1), para asegurarse de que el proceso, producto y/o servicio resultante es capaz de satisfacer los requisitos para su aplicación especificada o uso previsto, cuando sea conocido. Siempre que sea factible, la validación debe completarse antes de la entrega o implementación del proceso, producto y/o servicio. Deben mantenerse registros de los resultados de la validación y de cualquier acción que sea necesaria (Véase 3.3.2). NOTA 1: La revisión, la verificación y la validación del diseño y desarrollo tienen propósitos diferentes. Pueden llevarse a cabo y registrarse de forma separada o en cualquier combinación que sea adecuada. NOTA 2: La etapa de validación se cumple cuando se compara el proceso, producto y/o servicio (resultado del diseño) contra los requisitos para su aplicación.

7.1.7 CONTROL DE LOS CAMBIOS DEL DISEÑO Y DESARROLLO Los cambios se deben identificar, revisar, verificar y validar, según sea apropiado, y aprobarse antes de su implementación. La revisión de los cambios del diseño y desarrollo debe incluir la evaluación del efecto de los cambios en las partes constitutivas del producto y/o servicio, o etapas del proceso ya entregado. Se deben mantener registros de los resultados de la revisión de los cambios y de cualquier acción que sea necesaria (Véase 3.3.2). 7.2 EVALUACIÓN DE LA ESTRATEGIA El subelemento Evaluación de la Estrategia tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos y relacionados con el análisis de los resultados de la ejecución de la estrategia (Misión, Visión, Megas, lineamientos estratégicos, objetivos estratégicos, valores y competencias organizacionales, Política integral y Plan de negocios) y los resultados de la alineación y despliegue, para la toma de decisiones efectivas. Ecopetrol S.A. y sus subordinadas deben planificar e implementar lineamientos relacionados con el análisis de la ejecución de la estrategia, los resultados de la alineación y despliegue, para la toma de decisiones efectivas y ajustes a la estrategia cuando sea necesario. Estos lineamientos deben incluir: a) La definición de espacios sistemáticos de seguimiento, responsables y frecuencias de reportes, teniendo en cuenta la fecha de juntas directivas y comités. b) La recolección, consolidación y evaluación de la información del desempeño de las unidades organizativas y de la organización. c) La generación de alertas frente a los resultados del desempeño, retroalimentación a las unidades organizativas que lo requieran. d) La implementación de planes de mejoramiento acordes con los resultados obtenidos. e) La generación de información pertinente para evaluación de la estrategia del período siguiente. 7.2.1 INFORMACIÓN DE ENTRADA La información de entrada para la evaluación de la estrategia debe incluir: 76/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

a) b) c) d)

Asuntos de interés corporativo que puedan impactar a la organización. Lineamientos organizacionales. Análisis del entorno interno y externo Resultados del desempeño empresarial y proyecciones de indicadores del tablero balanceado de gestión. e) Cumplimiento del marco estratégico, planes y programas de interés corporativos. f) Comportamiento de riesgos de la organización y su incidencia en el cumplimiento de los objetivos estratégicos, estado de los planes de tratamiento, comportamiento de los indicadores de riesgo, seguimiento a eventos y alarmas de riesgo. g) Resultados de evaluaciones de la estrategia anteriores. h) Resultados de planes de mejoramiento.(Véase 7.7) NOTA 1: La información relacionada con el análisis externo del entorno puede incluir estudios de benchmarking (funcionales, internos y competitivos). NOTA 2: La organización puede realizar la evaluación de la estrategia en conjunto con la evaluación del SGCI, teniendo en cuenta la información de entrada (Véase 7.3.1)

7.2.2 RESULTADOS DE EVALUACIÓN DE LA ESTRATEGIA Los resultados de la evaluación de la estrategia deben incluir entre otros aspectos: a) Resultados del avance de la ejecución de la estrategia. b) Resultados logrados frente a las metas acordadas. c) Planteamiento de planes de mejoramiento relacionados. Se deben mantener registros de los resultados de las evaluaciones de la estrategia (Véase 3.3.2). 7.3 REVISIÓN DEL SISTEMA DE GESTIÓN Y CONTROL INTEGRAL El subelemento Revisión del Sistema de Gestión y Control Integral tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la recolección y el análisis de resultados para verificar la adecuación, conveniencia, eficacia, eficiencia, efectividad y madurez del SGCI para la toma de decisiones por la Alta Dirección. La Alta Dirección debe revisar el SGCI de la organización, a intervalos planificados y cuando ocurran cambios importantes, para asegurarse de su propiedad, conveniencia, suficiencia, adecuación, eficacia, eficiencia y efectividad. La revisión debe realizarse por lo menos una vez al año de acuerdo con un cronograma y un procedimiento predeterminados. Durante la revisión del SGCI, se debe identificar cualquier desviación respecto al desempeño esperado y se deben iniciar y reportar las medidas de administración adecuadas. NOTA: La frecuencia de la revisión debería determinarse en función de las necesidades de Ecopetrol S.A. y sus subordinadas es aconsejable que se realice cuando la información de entrada para el proceso de revisión pueda proporcionar resultados, que permitan determinar oportunamente la conveniencia, suficiencia, adecuación, eficacia, eficiencia y efectividad del SGCI.

7.3.1 INFORMACIÓN DE ENTRADA PARA LA REVISIÓN DEL SGCI 77/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

La información de entrada para la revisión del SGCI por la Alta Dirección debe incluir cuando aplique: a) Grado de cumplimiento de objetivos y metas, incluyendo los objetivos generales de los laboratorios, según aplique. b) Resultados de cumplimiento con los requisitos legales aplicables y otros requisitos que la organización suscriba. c) Desempeño de los procesos y la conformidad del producto y/o servicio; desempeño de seguridad industrial, seguridad de procesos operacionales, salud ocupacional y medioambiente, desempeño de la continuidad del negocio, desempeño de la seguridad de la cadena de suministro. d) Actividades de ensayo y/o calibración de los laboratorios, adecuación de los lineamientos y procedimientos, informes del personal directivo y de supervisión; resultados de las comparaciones interlaboratorios o de los ensayos de aptitud y otros factores como actividades de control de calidad, los recursos y la formación del personal. e) Seguimiento a los comportamientos éticos de los trabajadores en concordancia con los principios y valores de la organización. f) Comunicación(es) relevante(s) de los grupos de interés, incluyendo quejas, observaciones independientes y retroalimentación. g) Gestión realizada sobre los riesgos identificados para la organización (Véase 6.1), incluidos vulnerabilidades o amenazas no tratadas o valoradas adecuadamente. h) Monitoreo del control interno (véase 7.6.9). i) Estado de las investigaciones de incidentes y lecciones aprendidas. j) Resultados de participación y consulta. k) Los resultados del monitoreo y revisión de los planes de continuidad de negocio, incluyendo resultados de las pruebas realizadas a los mismos. l) Resultados del programa de educación y concienciación. m) Los resultados de las evaluaciones independientes internas y externas. n) Las acciones de seguimiento de revisiones previas al SGCI efectuadas por la Alta Dirección, incluidas las mediciones de la eficacia, eficiencia y efectividad. o) El estado de planes de mejoramiento. (Véase 7.7) p) Todos los cambios que podrían afectar al SGCI. q) Recomendaciones para la mejora, incluidas buenas prácticas y orientaciones nuevas para la continuidad del negocio. NOTA: El monitoreo del control interno incluye la revisión de todos sus componentes: ambiente interno, establecimiento de objetivos, identificación de eventos, valoración de riesgos, respuesta al riesgo, actividades de control, información y comunicación y monitoreo.

7.3.2 RESULTADOS DE LA REVISIÓN Los resultados de la revisión por la dirección deben incluir cualquier decisión y acción relacionada con: a) b)

La política integral de gestión, alcance, objetivos y metas. La eficacia, eficiencia y efectividad del SGCI y sus procesos, la mejora del producto y/o servicio en relación con los requisitos del cliente y la mejora a la manera en que se mide la eficacia de los controles. 78/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

c)

La actualización de la valoración de riesgos y de los planes de tratamiento y la identificación de nuevos riesgos. d) Modificación de la estrategia de continuidad de negocio y procedimientos de continuidad del negocio necesarios para responder a eventos internos y externos. e) La estrategia, procedimientos y controles del SGCI, según sea necesario para responder a los eventos internos o externos que pudieran impactar en el sistema, incluidos cambios a los requerimientos de la organización, cambios en cuanto a la capacidad de resistencia a las afectaciones de un incidente, cambios en los procesos de la organización, cambios en los requerimientos legales, regulatorios y contractuales y niveles de riesgo y/o niveles de aceptación del riesgo, cambios en el alcance del SGCI. f) Las necesidades de recursos. Se deben mantener registros de los resultados de las revisiones efectuadas por la dirección y las acciones que surjan. (Véase 3.3.2). Los registros deben estar disponibles para comunicación y consulta. 7.4 EVALUACIÓN DE LA SATISFACCIÓN El subelemento Evaluación de la Satisfacción tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la evaluación de la percepción con respecto al cumplimiento de los requisitos legales, compromisos, necesidades y expectativas de los grupos de interés, para la toma de decisiones y el mejoramiento continuo de los procesos, productos y servicios. Como una de las medidas del desempeño del SGCI, Ecopetrol S.A. y sus subordinadas deben realizar el seguimiento de la información relativa a la percepción de los grupos de interés respecto al relacionamiento y cumplimiento de sus requisitos y compromisos por parte de la organización. Se deben determinar los métodos para: a) Obtener, analizar y utilizar información relativa a la percepción, expectativas e intereses, tanto positivos como negativos, de los grupos de interés. b) Evaluar la necesidad de implementar planes de mejoramiento e implementarlos cuando corresponda. (Véase 7.7) Se deben establecer e implementar uno o varios procedimientos para evaluar la percepción de los grupos de interés, el cual debe incluir, como mínimo: c) d) e) f) g)

Definición del método para obtener la información. Los criterios y métodos para la medición de la percepción. La frecuencia de evaluación de la percepción. Los espacios sistemáticos de análisis y seguimiento. Los roles y responsabilidades de quiénes obtienen, analizan y toman decisiones sobre la información. h) Los medios por los cuales se informará los resultados y las acciones a tomar con respecto a la percepción de los grupos de interés. NOTA 1: El seguimiento de la percepción de los grupos de interés puede incluir la obtención de elementos de entrada de fuentes como las encuestas de satisfacción de los grupos de interés, los datos del cliente sobre la calidad del producto y/o servicio (por ejemplo, indicador de entregas perfectas), ensayos y/o calibraciones, los resultados de los mecanismos de participación ciudadana, las encuestas de opinión del usuario, el análisis de la pérdida de negocios, las peticiones, quejas,

79/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

reclamos, sugerencias, las felicitaciones, las garantías utilizadas, los informes de los agentes comerciales, mercancías devueltas, entre otros. NOTA 2: Los resultados de la evaluación de la percepción pueden ser tomados como información de entrada para la identificación y valoración de los riesgos. (Véase 6.1.2) NOTA 3: Son considerados grupos de interés para una organización: los accionistas e inversionistas; los clientes; empleados, pensionados y familiares; sociedad y comunidad; Estado; socios; contratistas y sus empleados, entre otros.

80/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

7.5 EVALUACIÓN INDEPENDIENTE El subelemento Evaluación Independiente tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la evaluación de la gestión y del control interno, realizada por un tercero independiente interno o externo, con el fin de verificar que el Sistema de Gestión y Control Integral opere de conformidad con lo establecido y se mantiene de manera eficaz, eficiente y efectiva. Ecopetrol S.A. y sus subordinadas deben llevar a cabo, a intervalos planificados, evaluaciones independientes para: a) Determinar si el SGCI, procesos y procedimientos: 1) Son conformes con las disposiciones planificadas, legislación o reglamentaciones pertinentes, los contractuales, los requisitos de este marco y los requisitos del SGCI establecidos por la organización. 2) Se han implementado y se mantienen de manera eficaz, eficiente y efectiva. 3) Tienen un desempeño acorde con lo esperado. 4) Apalancan el cumplimiento de la política integral de gestión, objetivos y metas. b) proporcionar información a la dirección sobre los resultados de las evaluaciones independientes. c) revisar los resultados de evaluaciones independientes anteriores y los planes de mejoramiento emprendidas para las no conformidades. NOTA: Las evaluaciones independientes internas denominadas algunas veces auditorías de primera parte, las realiza la propia organización u otra organización en su nombre, para propósitos internos.

7.5.1 PROCEDIMIENTO DE EVALUACIÓN INDEPENDIENTE Se debe establecer, implementar y mantener uno o varios procedimientos documentados para: a) b) c) d)

Definir las responsabilidades y competencias de los evaluadores del SGCI. Definir los requisitos para planificar y realizar las evaluaciones independientes. Informar sobre los resultados y mantener los registros asociados (ver 3.3). Determinar las técnicas y herramientas de evaluación a utilizar, tales como: entrevistas al personal operativo o que resulte afectado por el SGCI, observación de las actividades, revisión de documentos, listas de comprobación, cuestionarios y técnicas de diagramas de flujo, registros de funcionamiento o una combinación de procedimientos. e) Determinar los criterios de la evaluación independiente, su alcance, frecuencia y métodos y f) Establecer mecanismos de seguimiento al desempeño de los evaluadores. Se deben mantener registros de las evaluaciones independientes y sus resultados, (Véase 3.3.2). Cuando se realicen evaluaciones independientes, los registros de dicha evaluación deben incluir: g) Hallazgos de la evaluación independiente. h) Descripciones de las pruebas y los análisis efectuados durante la evaluación. i) Hallazgos de incumplimientos sobre requerimientos legales, regulatorios y contractuales, cuando aplique. 81/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

La información resultado de las evaluaciones independientes debe ser comunicada a los niveles pertinentes dentro de la organización y según su relevancia, para que se aseguren de realizar las correcciones y tomar las acciones correctivas necesarias sin demora injustificada, para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de los resultados de la verificación donde se registre la implementación y eficacia de las acciones correctivas tomadas. (Véase 7.7.3). Para los laboratorios, cuando los hallazgos de la evaluación independiente pongan en duda la eficacia de las operaciones o la exactitud o la validez de los resultados de los ensayos o de las calibraciones de los laboratorios, éste debe tomar las acciones correctivas oportunas y si las investigaciones revelan que los resultados de los laboratorios pueden haber sido afectados, debe notificarlo por escrito a los clientes. NOTA 1: Cuando se trate de evaluaciones independientes a los estados financieros, los resultados de esta evaluación incluyen los hallazgos sobre deficiencias en el control interno, recomendaciones para mejorar dichas deficiencias y recomendaciones adicionales de acciones necesarias para alcanzar los objetivos establecidos. NOTA 2: Véase la norma NTC-ISO 19011, a modo de orientación. NOTA 3: En caso de realizar evaluaciones independientes a procesos que manejen secretos industriales, y el equipo evaluador requiera información clasificada es conveniente suscribir acuerdos de confidencialidad. NOTA 4: Para la realización de evaluaciones independientes pueden utilizarse listas de verificación corporativas o documentos equivalentes.

7.5.2 PROGRAMA DE EVALUACIÓN INDEPENDIENTE Ecopetrol S.A. y sus subordinadas deben planificar, establecer, implementar y mantener programa (s) de evaluaciones independientes tomando en consideración: a) b) c) d) e) f) g) h) i) j) k) l)

un(os)

Cambios importantes en la estrategia o gestión. El estado y la importancia de los procesos y la criticidad de las áreas por evaluar, La importancia ambiental de las operaciones implicadas. Las valoraciones de riesgos de la organización. La competencia y experiencia del personal que implanta las respuestas a los riesgos y sus controles correspondientes. El análisis de impacto del negocio (BIA). Las actividades de ensayo y calibración, según aplique. Adquisiciones o enajenaciones. Cambios en las condiciones económicas o lineamientos. Cambios en las operaciones o los métodos de procesamiento de datos. Los resultados de evaluaciones independientes previas. Los resultados del monitoreo permanente y las acciones emprendidas para rectificar las no conformidades.

Se deben definir los criterios de la evaluación independiente, su alcance, su frecuencia y metodología. NOTA: En algunas organizaciones, la responsabilidad por la planificación, coordinación y elaboración del cronograma de las evaluaciones independientes puede ser asignada a quien dirige el Sistema de gestión y Control de la Organización.

82/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

7.5.3 OBJETIVIDAD E IMPARCIALIDAD DE LOS EVALUADORES La selección de los evaluadores del SGCI y la realización de las evaluaciones independientes deben asegurar la objetividad e imparcialidad del proceso de evaluación independiente. Los evaluadores del SGCI no deben evaluar su propio trabajo. Las evaluaciones independientes deben ser realizadas por personal competente que debe ser independiente a la actividad evaluada. Los evaluadores del SGCI deben entender cada actividad del proceso que se va a evaluar y los requisitos del SGCI que se van evaluar. (Véase 2.1.3.4) Cuando la identificación de no conformidades o desvíos ponga en duda el cumplimiento de lineamientos, procedimientos y los requisitos del SGCI, Ecopetrol S.A. y sus subordinadas deben asegurarse de que las actividades sean evaluadas, tan pronto como sea posible. NOTA 1: Tales evaluaciones independientes adicionales frecuentemente siguen la implementación de las acciones correctivas para confirmar su eficacia. Una evaluación independiente adicional solamente debería ser necesaria cuando se identifique un problema serio o un riesgo para la organización. NOTA 2: Los requisitos de las evaluaciones independientes son aplicables a las auditorías del control interno, las cuales son realizadas por una firma de contabilidad pública registrada, que prepara y emite una opinión sobre el control interno de la organización.

7.6 MONITOREO A LAS OPERACIONES, RIESGOS Y CONTROLES El subelemento Monitoreo a las operaciones, riesgos y controles tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., requeridos para la adecuada gestión de los procesos, relacionados con la identificación y aplicación de actividades para hacer monitoreo periódico de las operaciones, riesgos y controles para asegurar la eficacia, eficiencia y efectividad del Sistema de Gestión y Control Integral. Ecopetrol S.A. y sus subordinadas deben aplicar métodos apropiados para el monitoreo de los procesos del SGCI, y cuando sea posible, su medición. Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resultados planificados (eficacia) así como el manejo de los recursos disponibles (eficiencia). Ecopetrol S.A. y sus subordinadas deben: a) b) c)

Identificar datos disponibles para medir los objetivos y recolectar información oportuna y precisa para reportar el avance contra las metas. Definir indicadores de desempeño relevantes, reportes sistemáticos y oportunos de desempeño. Tomar medidas pertinentes cuando existan desviaciones.

NOTA: El monitoreo y la medición del impacto (efectividad) de la gestión en el logro de los resultados planificados y en el manejo de los recursos utilizados, puede realizarse por proceso, por conjunto de procesos o en forma global para el SGCI.

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener uno o varios procedimientos para hacer monitoreo y medir regularmente el desempeño del SGCI. Este (os) procedimiento (s) deben prever: d)

Medidas cuantitativas y cualitativas apropiadas para las necesidades de la organización.

83/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001 e) f) g) h) i)

j)

k)

Elaborado 22/02/2012

Versión: 1

Monitoreo del grado en el que se cumplen la política de gestión integral, objetivos y metas específicos para la gestión. Monitoreo de los riesgos. (véase 6.1.4) Monitoreo a la eficacia, eficiencia y efectividad de los controles. Monitoreo de la capacidad de los recursos de TI, la infraestructura y el cumplimiento de los niveles de servicio. Medidas proactivas de desempeño con las que se haga seguimiento a la conformidad con el (los) programa(s), controles y criterios operacionales de gestión, los requisitos legales aplicables y otros requisitos que la organización suscriba. Medidas reactivas de desempeño para monitoreo de riesgos (enfermedades, incidentes y otras evidencias históricas de desempeño deficiente, deterioro, fallas, no conformidades, incluidas las fallas que estuvieron a punto de ocurrir y las falsas alarmas) y Registro suficiente de los resultados del monitoreo y medición. (Véase 3.3.2)

Como resultado del monitoreo de la medición y monitoreo de los procesos, deben llevarse a cabo planes de mejoramiento, según sea conveniente. (Véase 7.7). Los resultados del monitoreo y medición deben estar disponibles para consulta. NOTA: Para el monitoreo y la medición de los procesos, se pueden emplear métodos como las autoevaluaciones, indicadores, encuestas, seguimiento al avance de los proyectos, cronogramas, entre otros.

7.6.1 MONITOREO Y MEDICIÓN DEL PRODUCTO Y/O SERVICIO Ecopetrol S.A. y sus subordinadas deben hacer monitoreo y medir las características del producto y/o servicio, para verificar que se cumplen sus requisitos. Esto debe realizarse en las etapas apropiadas del proceso de realización del producto y/o prestación del servicio según las disposiciones planificadas (Véase 4.3.1). Debe mantenerse evidencia de la conformidad con los criterios de aceptación. Los registros deben indicar la(s) persona(s) que autoriza(n) la entrega del producto y/o prestación del servicio al cliente (Véase 3.3.2). La liberación del producto o la prestación el servicio no debe llevarse a cabo hasta que se hayan completado satisfactoriamente las disposiciones planificadas, a menos que sean aprobados de otra manera por una autoridad pertinente y, cuando corresponda por el cliente. 7.6.2 CONTROL DEL PRODUCTO Y/O SERVICIO NO CONFORME Ecopetrol S.A. y sus subordinadas deben asegurarse de que el producto y/o servicio que no sea conforme con los requisitos establecidos, se identifica y controla para prevenir su uso o entrega no intencionados. Se debe establecer un procedimiento documentado para definir los controles y las responsabilidades y autoridades relacionadas para tratar el producto y/o servicio no conforme. Ecopetrol S.A. y sus subordinadas deben tratar los productos y/o servicios no conformes identificados, de acuerdo con sus características, mediante una o más de las siguientes maneras: a) La definición de acciones para eliminar la no conformidad identificada. b) La autorización de su uso, aceptación bajo concesión por una autoridad pertinente y, cuando sea aplicable, por el cliente. 84/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

c) La definición de acciones para impedir su uso o aplicación originalmente prevista. d) La toma de acciones apropiadas a los efectos, reales o potenciales, de la no conformidad identificada, cuando un producto y/o servicio no conforme después de su entrega o cuando ya ha comenzado su uso. Cuando se corrija un producto y/o servicio no conforme debe someterse a una nueva verificación para demostrar su conformidad con los requisitos. Se deben mantener registros (Véase 3.3.2) de la naturaleza de las no conformidades y de cualquier acción tomada posteriormente, incluidas las concesiones que se hayan obtenido. 7.6.3 CONTROL DE LOS TRABAJOS DE ENSAYOS Y/O DE CALIBRACIONES NO CONFORMES El laboratorio debe tener lineamientos y procedimientos que se deben implementar cuando cualquier aspecto de su trabajo de ensayo y/o de calibración o el resultado de dichos trabajos, no son conformes con sus propios procedimientos o los requisitos acordados con el cliente. Los lineamientos y los procedimientos deben asegurar que: a) Cuando se identifique el trabajo no conforme, se asignen las responsabilidades y las autoridades para la gestión del trabajo no conforme, se definan y tomen las acciones (incluida la detención del trabajo y la retención de los informes de ensayos y certificados de calibración según sea necesario). b) Se evalúe la importancia del trabajo no conforme. c) Se realice la corrección inmediatamente y se tome una decisión respecto de la aceptabilidad de los trabajos no conformes. d) Si fuera necesario, se notifique al cliente y se anule el trabajo. e) Se defina la responsabilidad para autorizar la reanudación del trabajo. NOTA: Se pueden identificar trabajos no conformes o problemas con el sistema de gestión o con las actividades de ensayo y/o de las calibraciones en diversos puntos del sistema de gestión y de las operaciones técnicas.

Cuando el monitoreo indique que el trabajo no conforme podría volver a ocurrir o existan dudas sobre el cumplimiento de las operaciones de los laboratorios con sus propios lineamientos y procedimientos, se debe aplicar el procedimiento de acciones correctivas. (Véase 7.7.3) 7.6.4 MONITOREO DE LOS PROGRAMAS DE GESTIÓN Los programas de gestión deben revisarse periódicamente para asegurar que se mantienen efectivos y coherentes con los objetivos y metas. Cuando sea necesario, los programas se deben ajustar consecuentemente. NOTA: En la organización, pueden existir programas de gestión relacionados con la seguridad industrial y salud ocupacional, medio ambiente, seguridad de la cadena de suministro, seguridad de la información, entre otros.

7.6.5 MONITOREO DE LA VALIDEZ DE LOS ENSAYOS Y LAS CALIBRACIONES Los laboratorios debe tener procedimientos de control de la calidad para realizar el monitoreo de la validez de los ensayos y las calibraciones llevadas a cabo. Los datos resultantes deben ser registrados en forma tal que se puedan detectar las tendencias y, cuando sea posible, se deben aplicar técnicas 85/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

estadísticas para la revisión de los resultados. Dicho monitoreo, debe ser planificado y revisado y puede incluir, entre otros, los elementos siguientes: a) b) c) d) e)

El uso regular de materiales de referencia certificados y/o un control de la calidad interno utilizando materiales de referencia segundarios. La participación en comparaciones interlaboratorios o programas de ensayo de aptitud. La repetición de ensayos o calibraciones con la utilización del mismo método o métodos diferentes. La repetición del ensayo o de la calibración de los objetos retenidos. La correlación de los resultados para diferentes características de un ítem.

NOTA: Es conveniente que los métodos seleccionados sean apropiados para el tipo y volumen de trabajo que se realiza.

Los datos de control de calidad de los ensayos y las calibraciones deben ser analizados y, si no satisfacen los criterios predefinidos, se deben tomar las acciones planificadas para corregir el problema y evitar consignar resultados incorrectos (Véase 7.7) 7.6.6 MONITOREO Y REVISIÓN DE LOS PLANES DE CONTINUIDAD DEL NEGOCIO Ecopetrol S.A. y sus subordinadas deben revisar a intervalos planificados y cuando se produzcan cambios significativos en la organización, los planes de continuidad del negocio, para garantizar la propiedad, idoneidad y efectividad actual y brindar después de un incidente la confianza de que las actividades críticas se reiniciarán en la medida que se requiera. Esta revisión debe realizarse por medio de autoevaluaciones o evaluaciones independientes. En caso de que se produzca un incidente, como resultado de la invocación del plan de continuidad del negocio (BCP) o del plan de gestión de incidentes (IMP), debe realizarse una revisión posterior al incidente para: a) Identificar la naturaleza y causa del incidente. b) Evaluar la propiedad de la respuesta gerencial. c) Evaluar la efectividad de la organización para cumplir sus objetivos de reiniciación en cuanto al tiempo. d) Evaluar la propiedad de los planes de BCM en cuanto a la preparación de los empleados para el incidente. 7.6.7 MONITOREO DEL CUMPLIMIENTO DE REQUISITOS LEGALES Y OTROS En coherencia con su compromiso de cumplimiento legal, (1.2), Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener un(os) procedimiento(s) para monitorear periódicamente el cumplimiento de los requisitos legales aplicables y otros requisitos que la organización suscriba y la conformidad con su propia política integral de gestión, objetivos y metas (1.2). Se debe confirmar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales. Adicionalmente, para la seguridad de la cadena de suministro se debe evaluar periódicamente la conformidad con las mejores prácticas industriales.

86/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

La organización debe mantener registros de los resultados de las del monitoreo del cumplimiento de los requisitos legales aplicables y otros requisitos que la organización suscriba. NOTA: La frecuencia del monitoreo puede variar para diferentes requisitos legales y para los otros requisitos que la organización suscriba.

7.6.8 ANÁLISIS DE DATOS Ecopetrol S.A. y sus subordinadas deben determinar, recopilar y analizar los datos apropiados, para demostrar la conveniencia, adecuación, eficacia, eficiencia y efectividad del SGCI y para evaluar dónde puede realizarse la mejora continua de su eficacia, eficiencia y efectividad. Esto debe incluir los datos generados por el resultado del monitoreo y medición y los generados por cualesquiera otras fuentes pertinentes. El análisis de datos debe proporcionar información sobre: a) La satisfacción del cliente (Véase 7.4), b) La conformidad con los requisitos del producto y/o servicio (Véase 4.1). c) Las características y tendencias de los procesos, de los productos y/o servicios, incluidas las oportunidades para llevar a cabo acciones preventivas, (Véase 7.7.2). d) Monitoreo a la eficacia de los controles. e) Los proveedores (Véase 5.1). f) Información del grado en el que se cumplen la política integral de gestión, objetivos y metas específicos para la gestión. g) Información de los resultados del monitoreo de los programas de gestión. h) Información de la efectividad de los planes de continuidad del negocio. i) Información de los resultados del monitoreo de la validez de los ensayos y las calibraciones llevadas a cabo e j) información del grado en que se cumplen los requisitos legales y otros requisitos que la organización suscriba. 7.6.9

MONITOREO DEL CONTROL INTERNO

La Alta Dirección debe establecer, mantener y monitorear el control interno y certificar la efectividad de los controles a su cargo, comunicando la totalidad de deficiencias identificadas y los planes de mejoramiento respectivos, con base en las autoevaluaciones, autodeclaraciones, pruebas independientes y el resultado de la valoración de deficiencias de control. NOTA: En caso de comprobarse fraude por parte de Ecopetrol y/o sus subordinadas, o en caso de que la información reportada a los diferentes organismos internacionales no cumpla con todas las características requeridas por la regulación, éstos podrán imponer multas económicas y sanciones penales a los funcionarios por el incumplimiento de las leyes de su territorio.

7.7 PLANES DE MEJORAMIENTO El subelemento Planes de Mejoramiento tiene como finalidad agrupar los lineamientos y requisitos de las referencias normativas nacionales e internacionales y los definidos por Ecopetrol S.A., relacionados con la identificación y análisis de causa raíz de situaciones o hallazgos para la definición, implementación, seguimiento y aseguramiento de la efectividad de las acciones definidas para el mejoramiento continuo del Sistema de Gestión y Control Integral. 87/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

7.7.1 MEJORA CONTINUA Ecopetrol S.A. y sus subordinadas debe mejorar continuamente la eficacia, eficiencia y efectividad del SGCI mediante el uso de los resultados de: a) b) c) d) e) f)

La evaluación de la estrategia. (Véase 7.2) La revisión del SGCI por la Alta Dirección.(Véase 7.3) La Evaluación de la satisfacción.(Véase 7.4) Las evaluaciones independientes. (Véase 7.5) Monitoreo a las operaciones, riesgos y controles.(Véase 7.6) El seguimiento a los planes de mejoramiento emprendidos.

7.7.2 ACCIÓN PREVENTIVA Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener uno o varios procedimientos documentados para eliminar las causas de no conformidades potenciales para prevenir su ocurrencia. Las acciones preventivas deben ser apropiadas a los efectos de los problemas potenciales. El (los) procedimiento (s) debe (n) definir los requisitos para: a) b) c) d) e) f) g)

Determinar las no conformidades potenciales y analizar sus causas. Evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades y aprovechar las oportunidades de mejora. Determinar e implementar las acciones necesarias. Registrar los resultados de las acciones tomadas (Véase 3.3.2). Revisar y asegurar la eficacia de las acciones preventivas tomadas. Garantizar que todos aquellos que deban saber, estén informados de la no conformidad y de la acción preventiva tomada. Priorizar las acciones preventivas con base en los resultados de la valoración de riesgos y el análisis del impacto del negocio (BIA).

La organización debe asegurar que cualquier cambio necesario, que surja de la acción preventiva, se incluya en la documentación del SGCI. Los eventos que impliquen oportunidades deben ser canalizados hacia los procesos de la dirección en que se establecen la estrategia y objetivos de la organización, de forma que puedan formularse acciones para aprovechar las oportunidades. NOTA 1: Para evitar que los riesgos se materialicen, disminuir su probabilidad de ocurrencia o su impacto es necesario tomar acciones preventivas. NOTA 2: La acción preventiva es un proceso proactivo destinado a identificar oportunidades de mejora, más que una reacción destinada a identificar problemas o quejas. NOTA 3: Aparte de la revisión de los procedimientos operacionales, la acción preventiva podría incluir el análisis de datos, incluido el análisis de tendencias, el análisis del riesgo y el análisis de los resultados de la operación.

7.7.3 ACCIÓN CORRECTIVA

88/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Ecopetrol S.A. y sus subordinadas deben establecer, implementar y mantener uno o varios procedimientos documentados para tomar acciones para eliminar las causas de las no conformidades reales o desvíos de los lineamientos y procedimientos del SGCI, con objeto de prevenir que vuelvan a ocurrir. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. El (los) procedimiento (s ) debe (n) definir los requisitos para: a) b) c) d) e) f) g) h)

Revisar las no conformidades (incluyendo las quejas y reclamos de los clientes). Determinar las causas de las no conformidades, evaluar la necesidad de adoptar acciones para asegurarse de que las no conformidades no vuelvan a ocurrir. Identificar las acciones correctivas posibles. Seleccionar la o las acciones con mayor posibilidad de eliminar el problema. Implementar las acciones necesarias para asegurarse de que las no conformidades no vuelvan a ocurrir y designar personas apropiadamente autorizadas para implementarlas. Registrar los resultados de las acciones tomadas (Véase 3.3.2). Revisar la eficacia de las acciones correctivas tomadas.

Ecopetrol S.A. y sus subordinadas deben asegurarse de que cualquier cambio necesario, que surja de la acción correctiva, se incorpore a la documentación del SGCI. Cuando la acción correctiva y la acción preventiva identifican riesgos nuevos o que han cambiado, o la necesidad de controles nuevos modificados, el procedimiento debe exigir que las acciones propuestas sean revisadas a través del proceso de valoración del riesgo antes de su implementación. NOTA: Cuando un riesgo se materializa es necesario tomar acciones correctivas para evitar o disminuir la probabilidad de que vuelva a suceder.

7.7.4 INVESTIGACIÓN DE INCIDENTES La organización debe establecer, implementar y mantener un(os) procedimiento(s) para notificar, reportar, registrar, investigar, valorar y analizar incidentes, con el fin de: a) b) c) d) e) f)

Determinar las deficiencias del SGCI que no son evidentes, y otros factores que podrían causar o contribuir a que ocurran incidentes. Identificar las oportunidades de aplicar una acción preventiva. Identificar la necesidad de aplicar una acción correctiva. Identificar las oportunidades de mejora continua. Comunicar el resultado de estas investigaciones. Tomar acciones apropiadas a los efectos de los problemas potenciales.

Las investigaciones se deben llevar a cabo de manera oportuna. Se deben mantener registros de los resultados de las investigaciones de incidentes y el análisis de sus causas. (Véase 3.3.2 y 7.7.5) 7.7.5 ANÁLISIS DE LAS CAUSAS

89/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

Tanto el procedimiento de acciones preventivas, correctivas y de investigación de incidentes deben incluir una investigación para analizar y determinar la causa raíz. En caso de que el impacto se vuelva severo, se debe escalar el incidente a los niveles que se considere conveniente para analizar la causa. NOTA 1: El análisis de las causas es la parte más importante y, a veces, la más difícil en los procedimientos de las acciones preventivas, correctivas e investigación de incidentes. Frecuentemente, la raíz no es evidente y por lo tanto se requiere un análisis cuidadoso de todas las causas potenciales del problema. NOTA 2: En el caso de los laboratorios, las causas potenciales podrían incluir los requisitos del cliente, las muestras, las especificaciones relativas a las muestras, los métodos y procedimientos, las habilidades, y la formación del personal, los materiales consumibles o los equipos y su calibración. NOTA 3: La causa raíz desconocida de uno o más incidentes, en términos de TI, se denomina problema. Los pasos involucrados en la clasificación de problemas son similares a los pasos para clasificar incidentes: determinar la categoría, impacto, urgencia y prioridad. Los problemas deben categorizarse de manera apropiada en grupos o dominios relacionados (por ejemplo, hardware, software, software de soporte).

90/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

BIBLIOGRAFIA 1. ECOPETROL S.A. Código de Buen gobierno Ecopetrol S.A. ECP-UIC-G-003. Julio 09 de 2010. 46 p. 2. ECOPETROL S.A. Código de Ética Ecopetrol S.A. (http://www.ecopetrol.com.co/especiales/codigoEtica_/observar_codEtica.html) 7 p. 3. Asociación Española de Normalización y Certificación. AENOR (2006 a). Gestión de la I+D+I. Sistema de VT. UNE 166006 EX. 4. ECOPETROL S.A. Guía de aseguramiento del conocimiento para Ecopetrol ECP-ICP-G-010 versión 3 Noviembre 30 de 2009. 45 p. 5. ECOPETROL S.A. Guía para el manejo contable y tributario de los activos fijos en Ecopetrol S.A. ECP-UIC-G-003 Versión 01 Mayo 28 de 2010. 57 p. 6. ECOPETROL S.A. Instructivo para enajenación de materiales y activos no requeridos para la operación ECP-DAB-I-020. Versión 03 Marzo 18 de 2011. 16 p. 7. ECOPETROL S.A. Gestión de programas y proyectos en ecopetrol.ECP-DPY-M-001 Versión 02 Enero 15 de 2010. 34 p. 8. ECOPETROL S.A. Instructivo para la gestión de controles. ECP-VEC-I-013. Versión 01 Junio 28 de 2011. 12 p. 9. ECOPETROL S.A. Lineamiento para gestión de proyectos en el grupo empresarial. ECP-DPY-G039. Versión 01 Diciembre 22 de 2010. 21 p. 10. ECOPETROL S.A. Manual de gestión de riesgos. ECP-UGR-M-002. Versión 02 Mayo 27 de 2010. 24 p. 11. ECOPETROL S.A. Procedimiento control de registros. ECP-DTI-P-017 Versión 06 Agosto 30 de 2010. 5 p. 12. ECOPETROL S.A. Procedimiento de elaboración y control de documentos. ECP-DTI-P-010. Versión 04 Agosto 23 de 2010. 8 p. 13. ECOPETROL S.A. Reglamento interno, comité de auditoría de la junta directiva de Ecopetrol S.A. Julio 09 de 2010. 14. ECOPETROL S.A. Guía para la administración de la seguridad de procesos. ECP-DHS-019. 15. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO). Administración de riesgos corporativos – Marco Integrado. Marco. (Traducción. Price WaterHouse Coopers Colombia) COSO ERM. Bogotá D.C.: 2005. 135 p. 16. INSTITUTO DE ESTÁNDARES BRITÁNICOS. Gestión de la continuidad de negocio – Parte 2: Especificación. BS 25999. Londres: BSI, 2007. 28 p. 17. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Guía de responsabilidad social. ISO 26000:2010 Bogotá D.C.: ICONTEC, 2010. 118p. 18. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Norma Técnica de Calidad en la Gestión Pública. NTCGP 1000: 2009. Bogotá D.C.: ICONTEC, 2009. 88 p. 19. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistemas de Gestión de la Calidad. Requisitos. NTC-ISO 9001. Bogotá D.C.: ICONTEC, 2008. 35 p. 20. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistemas de Gestión de la Calidad. Fundamentos y vocabulario. NTC-ISO 9000. Bogotá D.C.: ICONTEC, 2005. 29 p. 21. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistemas de Gestión Ambiental. Requisitos con orientación para su uso. NTC-ISO 14001. Bogotá D.C.: ICONTEC, 2004. 28 p. 91/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

22. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Requisitos generales para la competencia de los laboratorios de ensayo y calibración. NTC ISO/IEC 17025. Bogotá D.C.: ICONTEC, 2005. 49p. 23. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistema de Gestión en Seguridad y Salud Ocupacional. NTC-OHSAS 18001. Bogotá D.C.: ICONTEC, 2007. 24 pp. 24. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos. NTC ISO/IEC 27001. Bogotá D.C.: ICONTEC, 2006. 48 p. 25. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Sistemas de gestión de la seguridad para la cadena de suministro. NTC ISO 28000. Bogotá D.C. ICONTEC, 2008. 26 p. 26. INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Documentación. Presentación de Tesis, Trabajos de grado y otros trabajos de investigación (sexta actualización). NTC 1486. Bogotá D.C. ICONTEC, 2008. 35 p. 27. INSTITUTO DE GOBIERNO DE TECNOLOGÍA E INFORMACIÓN. COBIT 4.1. Rolling Meadows, IL: ITGI. 2007. 211 p. 28. PRESIDENCIA DE LA REPÚBLICA. Decreto 1895 de 1973. Normas sobre Exploración y Explotación de Petróleo y gas. 29. AMERICAN NATIONAL STANDARS INSTITUTE,INC. Estándar resiliencia organizacional. ASIS SPC.1-2009. 66p. 30. OCCUPATIONAL SAFETY & HEALTH ADMINISTRATION. Occupational safety and health Standard OSHA 1910.119.Process Safety Management oh Highly Hazardous Chemicals. RELACIÓN DE VERSIONES Versión 1

Fecha 15/02/2012

Cambios Elaboración del documento.

Para mayor información sobre este documento, por favor, diríjase a quien lo elaboró, en nombre de la dependencia responsable:

Elaboró: Carolina Hernández- Líder Frente EGCI- Proyecto GENOMA Teléfono: 52299 Buzón: [email protected] Dependencia: Vicepresidencia de Estrategia y Crecimiento - Unidad de Efectividad Organizacional

92/93

COMPENDIO DE BUENAS PRÁCTICAS PARA LA GESTIÓN Y CONTROL INTEGRAL POR PROCESOS– MARCO DE REQUISITOS PLANEACIÓN Y GESTIÓN INTEGRAL VICEPRESIDENCIA CORPORATIVA DE ESTRATEGIA Y CRECIMIENTO CÓDIGO PDO-N-001

Elaborado 22/02/2012

Versión: 1

ANEXO A GLOSARIO SIGLAS TÉRMINOS Y DEFINICIONES ANEXO B CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LAS NORMAS Y ESTANDARES REFERENCIADOS TABLA B1-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA NTCGP1000: 2009 TABLA B2-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA NTC ISO 9001:2008 TABLA B3-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA - NTC- ISO 14001:2004 TABLA B 4-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA NTC ISO/IEC 17025:2005 TABLA B 5-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA NTC-OHSAS 18001:2007 TABLA B 6-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA BS 25999-2:2007 TABLA B 7-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA ASIS SPC. 1-2009 TABLA B 8-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA NTC ISO/IEC 27001:2006 TABLA B 9-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A LA NORMA NTC- NTC ISO 28000:2008 TABLA B 10-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A COBIT 4.1:2007 TABLA B 11-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A COSO ERM:2004 TABLA B 12-CORRESPONDENCIA DE LOS ELEMENTOS Y SUBELEMENTOS DEL SGCI FRENTE A GUIA DE ADMINISTRACIÓN DE SEGURIDAD DE PROCESOS OPERACIONALES ANEXO C LISTA DE OBJETIVOS DE CONTROL Y CONTROLES PARA LA SEGURIDAD DE LA INFORMACIÓN ANEXO D MARCO DE REQUISITOS DEL SISTEMA DE GESTION Y CONTROL INTEGRAL DE ECOPETROL S.A.

93/93

Related Documents


More Documents from ""