Pc-gr-01 Procedimiento Gestión Del Riesgo.docx
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Pc-gr-01 Procedimiento Gestión Del Riesgo.docx as PDF for free.
More details
- Words: 3,348
- Pages: 12
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
1 REVISIÓN Y APROBACIÓN
Revisó Nombre Cargo.
Jesús Camacho Aragón Coordinador de Calidad
Aprobó Jesús Camacho. Gerente.
Firma.
2. CONTROL DEL CAMBIO VERSIÓN
FECHA
CAMBIO REALIZADO
1
07-06-2016
Creación del Documento
2
07-06-2016
Se aprueba la metodología
3
02-02-2018
Se realiza una revisión general del documento
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
TABLA DE CONTENIDO 1 REVISIÓN Y APROBACIÓN ........................................................................................................... 1 2. CONTROL DEL CAMBIO ................................................................................................................... 1 3.
OBJETIVOS................................................................................................................................... 3
4.
ALCANCE ..................................................................................................................................... 3
5.
DEFINICIONES. ............................................................................................................................ 3
6.
RESPONSABLES ........................................................................................................................... 4
7.
FLUJO GRAMA............................................................................................................................. 4
8.
CONTENIDO ................................................................................................................................ 4
8.1 COMUNICACIÓN Y CONSULTA ..................................................................................................... 5 8.2 ESTABLECIMIENTO DEL CONTEXTO. ............................................................................................ 6 8.3 IDENTIFICACIÓN DE LOS RIESGOS ................................................................................................ 6 8.4 ANÁLISIS DEL RIESGO.................................................................................................................. 6 8.5 ADMINISTRACION DEL RIESGO. ................................................................................................... 7 8.5.1 ELEMENTOS PARA COMPLETAR LA MATRIZ VALORACION DEL RIESGO POR PROCESO......... 7 A) IDENTIFICACIÓN DEL RIESGO ......................................................................................................... 7 B ANALISIS DEL RIESGO (identificación y evaluación de amenazas) ................................................ 8 8.5.2 VALORACION DEL RIESGO ......................................................................................................... 9 8.5.3 EVALUACIÓN DEL RIESGO ....................................................................................................... 10 8.6 TRATAMIENTO DEL RIESGO........................................................................................................ 11 8.7 SEGUIMIENTO Y REVISION ......................................................................................................... 11 9. REFERENCIAS ................................................................................................................................ 12 10. INFORMACION DOCUMENTADA................................................................................................ 12
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
3. OBJETIVOS Establecer las acciones necesarias para la identificación, análisis valoración, y calificación de los riesgos que se puedan generar en cada uno de los procesos de SAGENCO S.A.S y que afecten su normal desempeño. 4. ALCANCE Este procedimiento aplica a todos los procesos del sistema de gestión de calidad de SAGENCO S.A.S. 5. DEFINICIONES. Para el presente procedimiento se toman en cuenta las definiciones relacionadas en el capítulo 3 de la norma NTC- ISO 19001 y las definidas en Administración del Riesgo: Comprende el conjunto de Elementos de Control y sus interrelaciones, para que la institución evalúe e intervenga aquellos eventos, tanto internos como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos organizacionales. Análisis de Riesgos: Busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias. El análisis del riesgo depende de la información obtenida en la fase de Identificación de riesgos. Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad e Impacto. Asumir un riesgo: riesgo residual que se mantiene luego de que el riesgo ha sido reducido o transferido. Calificación del riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la Capacidad de originar un riesgo. Compartir o Transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras Organizaciones. Contexto estratégico: Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución. Controles correctivos, que buscan combatir o eliminar las causas que generaron el riesgo, en caso de materializarse.
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
Controles preventivos, que disminuyen la probabilidad de ocurrencia o materialización del riesgo. Efecto del riesgo: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la empresa. Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad al mismo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento. Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización. Impacto: “resultado de un evento que afecta los objetivos. Un evento puede generar un rango consecuencias, las cuales se pueden expresar cualitativa o cuantitativamente. Las consecuencias iniciales pueden escalar a través de efectos secundarios” Mapa de riesgos: documento para organizar la información que describe los riesgos de la entidad. El mapa de riesgos es una representación final de la probabilidad e impacto de uno o más riesgos frente a un proceso, proyecto o programa. Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento. Política de administración de riesgos: es el conjunto de “actividades coordinadas para dirigir y controlar una organización con respecto al riesgo” Probabilidad: “la oportunidad de que algo suceda, medido o determinado de manera objetiva (basado en datos y hechos históricos) o subjetiva (bajo criterios de experiencia o experticia de quien analiza), utilizando términos generales o matemáticos (como la probabilidad numérica) o la frecuencia en un periodo de tiempo determinado”. Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). 6. RESPONSABLES Ver ficha de cargo Sub gerente, Líder QHSE, Líder administrativo, Líder Operaciones, Líder Compras y Sub Contrataciones
7. FLUJO GRAMA N/A 8. CONTENIDO
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
La Gestión del Riesgo le permite a SAGENCO S.A.S emprender las acciones necesarias para el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos organizacionales, las cuales se fundamentan en la interacción de los elementos principales que se describen a continuación
ELEMENTOS PRICIPALES PARA LA GESTION DEL RIESGO 8.1 COMUNICACIÓN Y CONSULTA La comunicación es una consideración fundamental en cada paso del proceso de la Gestión de Riesgos. Es importante la aplicación del modelo de comunicación para los interesados internos y externos en la etapa más temprana del proceso. Este plan cubre los aspectos relativos al riesgo en sí mismo y al proceso de gestión. La comunicación involucra el diálogo en ambas direcciones entre las partes interesadas, con el esfuerzo focalizado en la consulta, más que en un solo sentido del tomador de decisión hacia los interesados. Es importante la comunicación efectiva interna y externa en SAGENCO S.A.S para asegurar que aquellos responsables por implementar la gestión de riesgos y aquellos con intereses creados, comprendan la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular. En esta etapa se informará y comunicará de la gestión de riesgos de SAGENCO S.A.S a las distintas instancias. Los reportes a emitir y comunicar son los siguientes: El líder de cada proceso revisara de manera semestral el mapa de riesgos ID-GR-01 de su proceso con el director de calidad definiendo planes de acción para afrontarlos y controlarlos El Coordinador de calidad deberá reportar anualmente a la alta dirección la gestión de riesgos de la Compañía en forma unificada, así como también de los avances de los planes de acción que desarrollo con cada líder de proceso. La dirección y el área de calidad se reunirán por los menos una vez al año para revisar el estado de la gestión de riesgos de la Compañía
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
8.2 ESTABLECIMIENTO DEL CONTEXTO. Cada líder de proceso establecerá el contexto definiendo objetivos, alcance, actividades e inventario de riesgos presentados con el fin definir los factores internos y externos que generan situaciones de riesgo, orientando las decisiones de SAGENCO S.A. .Este contexto es la base de la identificación, análisis y evaluación de los riesgos.
8.3 IDENTIFICACIÓN DE LOS RIESGOS El objetivo de esta etapa en SAGENCO S.A.S es identificar los principales riesgos críticos a los cuales se encuentran expuestos los procesos de la organización. Cada líder de proceso identificará, para los procesos de su responsabilidad, los riesgos críticos que pudieran afectar los objetivos y/o estrategias definidas para el área. Dicha identificación puede ser realizada a través de los siguientes métodos: o Reuniones o workshop con el equipo de trabajo. o Encuestas a los distintos participantes del equipo de trabajo Cada líder de proceso documentara los Riesgos en una matriz de riesgos, clasificándolos por tipo de riesgo de acuerdo a lo siguiente: Estratégico: Riesgo relacionado con los objetivos estratégicos, alineados con la misión de la organización. Financieros: Riesgo relacionado con el uso eficaz y eficiente de los recursos financieros. Operacional: Riesgo resultante de deficiencias o fallas en procesos, personas, sistemas o eventos externos. Cumplimiento: Riesgo relacionado con el cumplimiento de leyes y regulaciones, especialmente concierne al cumplimiento de aquellas leyes y normas a las cuales la organización está sujeta La etapa de identificación de los riesgos es documentada a través del mapa de Riesgos (ID- GR -01): se nombra el riesgo principal del proceso y se hace una descripción y análisis detallado de riesgos 8.4 ANÁLISIS DEL RIESGO
El análisis del riesgo en SAGENCO S.A.S se realiza considerando dos variables: probabilidad e impacto. En esta sección se encuentran las categorías cualitativas y cuantitativas definidas para cada una de las variables, así como una columna para anotar el resultado y categoría de riesgo que refleja la combinación de ambas variables. El análisis del riesgo se enfoca. Específicamente en cada una de las situaciones riesgosas y no en las causas, Orígenes o consecuencias asociadas. Este lo realizara cada líder de proceso en el mapa de riesgos (IDGR-01). COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
8.5 ADMINISTRACION DEL RIESGO.
En esta sección se describen las medidas que deben ser adoptadas para prevenir, retener, transferir o modificar el riesgo ante una eventual materialización. Además es imprescindible la asignación de responsable (s) y plazo(s) para cada medida, con el objetivo de asegurar su ejecución. 8.5.1 ELEMENTOS PARA COMPLETAR LA MATRIZ VALORACION DEL RIESGO POR PROCESO.
A continuación se ofrece información detallada en el orden en que se encuentra diseñada la matriz, con el propósito de facilitar su llenado. A) IDENTIFICACIÓN DEL RIESGO
a. Descripción de la Situación Riesgosa (Columna A): En esta columna se describe, con una frase breve, el riesgo asociado a un proceso determinado. (Véase ejemplo al final de este apartado). b. Descripción de las Causas de Riesgo (Columna B) y Origen de las Causas (Columnas C y D): Causa es la manifestación mensurable que indica la presencia de un riesgo, es decir, son aquellos elementos que generan un riesgo. Para describir la causa se sugiere iniciar la frase con un adjetivo calificativo que ayude a evidenciar su estado, como los siguientes: Poco(a), Deficiente, Débil, Inestable, Malo(a), Difícil, Impreciso(a), Incorrecto(a), entre otros. Se deben definir todas las causas prioritarias que estén vinculadas con el riesgo. Para tales efectos se utiliza el criterio de experto. (Véase ejemplo al final de este apartado). Respecto al origen, cabe señalar que puede ser Interno (inherentes a al Área objeto de análisis o cualquier otra que conforma el SGC) o Externo (clientes, entorno nacional o internacional, ciudadanía en general). (Véase ejemplo al final de este apartado). c. Consecuencias del Riesgo (Columna E): Conjunto de efectos derivado de la ocurrencia de una situación identificada como riesgosa, se puede manifestar cualitativa o cuantitativamente, ya sean pérdidas u otro tipo de perjuicios. Par detallar las consecuencias se debe pensar en la relación causa-efecto, es decir qué consecuencias o efectos tendría la materialización del riesgo que se identificó. Se deben definir todas las consecuencias prioritarias que estén vinculadas con el riesgo. Para tales efectos se utiliza el criterio de experto. (Véase ejemplo al final de este apartado). Ejemplo COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
B ANALISIS DEL RIESGO (identificación y evaluación de amenazas)
a. Probabilidad (Columnas F, G, H): Medida o descripción de la posibilidad de ocurrencia de una situación identificada como riesgosa y cuya descripción fue indicada en el punto 1, columna A. Para efectos de la Dirección General, se cuenta con una escala cualitativa de tres niveles: A: Probabilidad Alta, (3) M: Probabilidad Media (2) B: Probabilidad Baja, (1) Cada una con un valor numérico de 3 a 1 respectivamente. Para decidir sobre la asignación de alguno de los tres niveles citados se debe responder a la pregunta: b. Impacto: Está referido al efecto con que la situación riesgosa, al materializarse, podría afectar el cumplimiento de los objetivos del proceso. Para facilitar esta acción considere las consecuencias descritas en las columnas F, G, H. Existen tres posibles opciones para categorizar el impacto: S: Impacto significativo, M: Impacto moderado L: Impacto leve. Para asignar un nivel determinado se debe responder a la pregunta: ¿Cuánto afecta la materialización del riesgo el logro de los objetivos del proceso? c. Resultado En esta columna se aprecia el producto de multiplicar entre sí los valores asignados a las variables “probabilidad e impacto”; y de dividir dicho producto entre la máxima puntuación estimada de un riesgo, cuyo valor es 9. Para ello, se realiza la operación
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
(P x I)/9. Este cociente, expresado en porcentaje, posteriormente permitirá determinar la categoría de riesgo d. Categoría de Riesgo Es la ubicación de la situación riesgosa en una escala de prioridades para su administración, con el objetivo de minimizar el riesgo. Se traduce en un porcentaje determinado, asociado a una escala de tres colores Rojo, Amarillo y Verde, los cuales se utilizan para asignar la prioridad en la atención de los riesgos. Para efectos de SAGENCO S.A.S de la Dirección General, tal y como se muestra en la tabla adjunta al final de este punto, se considera como prioridad de atención máxima (inmediata 1 a 2 dias) aquellos riesgos cuyos cocientes queden entre el 66% y el 100% (color Rojo); con prioridad de atención (media 8 dias) los riesgos cuyos cocientes se ubiquen entre el 33% y el 44% (color Amarillo ) y con prioridad (baja 10 dias) los que presenten porcentajes entre el 11% y el 22% (color verde). (
8.5.2 VALORACION DEL RIESGO
Esta tabla permite conocer el resultado de la asignación realizada con criterio de experto, a cada riesgo por proceso, tanto cualitativa como cuantitativamente. Dicho resultado surge de la multiplicación de las variables Probabilidad e Impacto. Tal y como se mencionó al inicio de este punto, para cada variable (Probabilidad e impacto) se definieron tres categorías cualitativas, de la siguiente forma: Probabilidad: Alta (A), Media (M), Baja (B), Impacto: Significativo (S), Moderado (M), Leve (L) A las categorías cualitativas descritas anteriormente, se les asignó un valor de 3 a 1 en su respectivo orden, para calificar el riesgo en forma cuantitativa.
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
8.5.3 EVALUACIÓN DEL RIESGO
Como resultado de esta combinación se obtienen 9 categorías de evaluación, a cada una de las cuales se le asigna un color que determina la prioridad de atención de los riesgos. Las 9 categorías y sus correspondientes significados se detallan a continuación: BL: Riesgo con probabilidad de ocurrencia baja e impacto leve en la consecución de los objetivos del proceso. Su valor corresponde a un 11% del valor máximo otorgable a un riesgo. Se identifica con color Verde que indica una prioridad de atención baja. ML: Riesgo con probabilidad de ocurrencia media e impacto leve en la consecución de los objetivos del proceso. Su valor corresponde a un 22% del valor máximo otorgable a un riesgo. Se identifica con color Verde que indica una prioridad de atención baja.
AL: Riesgo con probabilidad de ocurrencia alta e impacto leve en la consecución de los objetivos del proceso. Su valor corresponde a un 33% del valor máximo otorgable a un riesgo. Se identifica con color Amarillo que indica una prioridad de atención media. BM: Riesgo con probabilidad de ocurrencia baja e impacto moderado en la consecución de los objetivos del proceso. Su valor corresponde a un 22% del valor máximo otorgable a un riesgo. Se identifica con color Verde que indica una prioridad de atención baja. MM: Riesgo con probabilidad de ocurrencia media e impacto moderado en la consecución de los objetivos del proceso. Su valor corresponde a un 44% del valor máximo otorgable a un riesgo. Se identifica con color Amarillo que indica una prioridad de atención media. AM: Riesgo con probabilidad de ocurrencia alta e impacto moderado en la consecución de los objetivos del proceso. Su valor corresponde a un 66% del valor máximo otorgable a un riesgo. Se identifica con color Rojo que indica una prioridad de atención inmediata. BS: Riesgo con probabilidad de ocurrencia baja e impacto significativo en la consecución de los Objetivos del proceso. Su valor corresponde a un 33% del valor máximo otorgable a un riesgo. Se identifica con color Amarillo que indica una prioridad de atención media.
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
MS: Riesgo con probabilidad de ocurrencia media e impacto significativo en la consecución de los objetivos del proceso. Su valor corresponde a un 66% del valor máximo otorgable a un riesgo. Se identifica con color Rojo que indica una Prioridad de atención inmediata. AS: Riesgo con probabilidad de ocurrencia alta e impacto significativo en la consecución de los objetivos del proceso. Su valor es del 100%, valor máximo otorgable a un riesgo. Se identifica con color Rojo que indica una prioridad de atención inmediata. 8.6 TRATAMIENTO DEL RIESGO El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos. Para el manejo o tratamiento de los riesgos se deberá analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros. SAGENCO S.A.S ara la selección de las acciones más conveniente, debe considerar la viabilidad técnica, jurídica, institucional, financiera y económica. Para la implementación de las acciones, se deben identificar las responsabilidades, definir cronogramas e indicadores que permitan verificar el cumplimiento para tomar medidas correctivas cuando sea necesario. El Tratamiento de riesgos busca orientar el accionar de SAGENCO S.A.S hacia el uso eficiente de los recursos, la continuidad en la prestación de los servicios, así como la protección de los bienes utilizados para servir a la comunidad. 8.7 SEGUIMIENTO Y REVISION. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Es necesario hacer seguimiento a los riesgos, a la efectividad de los planes de tratamiento de los riesgos, a las
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
estrategias y al sistema de gestión de SAGENCO S.A.S que se establece para asegurar la implementación Los riesgos AL, las actividades de control y los planes de acción necesitan ser revisadas para asegurar que las circunstancias cambiantes no alteren la priorización de los riesgos críticos evaluados, las actividades de control y la efectividad de las acciones. Para ello, el director de calidad anualmente coordinará con los líderes de proceso la actualización del Mapa de Riesgos, (ID-GR-01) incorporando nuevos riesgos, reevaluando el nivel de riesgos inherente, definiendo nuevas actividades de control, reevaluando el riesgo residual y determinando planes de acción, si corresponde. Es responsabilidad de cada líder de proceso informar al líder de calidad cualquier cambio relevante en el Mapa de Riesgos. Por otro lado, el Coordinador de Riesgos dará seguimiento al cumplimiento de los planes de acción comprometidos por los Encargados de Riesgos en cada evaluación de riesgos que realice. Por otro lado, el líder de calidad gestión de la Compañía anualmente dará seguimiento al proceso de implementación de los planes de acción. Además, podrá proponer mejoras al proceso de gestión de riesgos de la Compañía. Es importante destacar, que el monitoreo de los controles, programas y acciones debe ser continuo en El tiempo y es responsabilidad de cada líder de procesos, el Coordinador de Riesgos y la Gerencia General, quienes deberán velar por el cumplimiento de éstos. Se podrán realizar auditorías (interna o externa) al proceso de gestión de riesgos, con el fin de evaluar El proceso y proponer recomendaciones de mejora, si corresponde. 9. REFERENCIAS
Lo establecido por la ISO 9001-2015. Directrices de la ISO-31000
10. INFORMACION DOCUMENTADA
ID-GR-01 MAPA DE RIESGOS
COPIA CONTROLADA
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
1 REVISIÓN Y APROBACIÓN
Revisó Nombre Cargo.
Jesús Camacho Aragón Coordinador de Calidad
Aprobó Jesús Camacho. Gerente.
Firma.
2. CONTROL DEL CAMBIO VERSIÓN
FECHA
CAMBIO REALIZADO
1
07-06-2016
Creación del Documento
2
07-06-2016
Se aprueba la metodología
3
02-02-2018
Se realiza una revisión general del documento
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
TABLA DE CONTENIDO 1 REVISIÓN Y APROBACIÓN ........................................................................................................... 1 2. CONTROL DEL CAMBIO ................................................................................................................... 1 3.
OBJETIVOS................................................................................................................................... 3
4.
ALCANCE ..................................................................................................................................... 3
5.
DEFINICIONES. ............................................................................................................................ 3
6.
RESPONSABLES ........................................................................................................................... 4
7.
FLUJO GRAMA............................................................................................................................. 4
8.
CONTENIDO ................................................................................................................................ 4
8.1 COMUNICACIÓN Y CONSULTA ..................................................................................................... 5 8.2 ESTABLECIMIENTO DEL CONTEXTO. ............................................................................................ 6 8.3 IDENTIFICACIÓN DE LOS RIESGOS ................................................................................................ 6 8.4 ANÁLISIS DEL RIESGO.................................................................................................................. 6 8.5 ADMINISTRACION DEL RIESGO. ................................................................................................... 7 8.5.1 ELEMENTOS PARA COMPLETAR LA MATRIZ VALORACION DEL RIESGO POR PROCESO......... 7 A) IDENTIFICACIÓN DEL RIESGO ......................................................................................................... 7 B ANALISIS DEL RIESGO (identificación y evaluación de amenazas) ................................................ 8 8.5.2 VALORACION DEL RIESGO ......................................................................................................... 9 8.5.3 EVALUACIÓN DEL RIESGO ....................................................................................................... 10 8.6 TRATAMIENTO DEL RIESGO........................................................................................................ 11 8.7 SEGUIMIENTO Y REVISION ......................................................................................................... 11 9. REFERENCIAS ................................................................................................................................ 12 10. INFORMACION DOCUMENTADA................................................................................................ 12
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
3. OBJETIVOS Establecer las acciones necesarias para la identificación, análisis valoración, y calificación de los riesgos que se puedan generar en cada uno de los procesos de SAGENCO S.A.S y que afecten su normal desempeño. 4. ALCANCE Este procedimiento aplica a todos los procesos del sistema de gestión de calidad de SAGENCO S.A.S. 5. DEFINICIONES. Para el presente procedimiento se toman en cuenta las definiciones relacionadas en el capítulo 3 de la norma NTC- ISO 19001 y las definidas en Administración del Riesgo: Comprende el conjunto de Elementos de Control y sus interrelaciones, para que la institución evalúe e intervenga aquellos eventos, tanto internos como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos organizacionales. Análisis de Riesgos: Busca establecer la probabilidad de ocurrencia del mismo y sus consecuencias. El análisis del riesgo depende de la información obtenida en la fase de Identificación de riesgos. Se han establecido dos aspectos a tener en cuenta en el análisis de los riesgos identificados, Probabilidad e Impacto. Asumir un riesgo: riesgo residual que se mantiene luego de que el riesgo ha sido reducido o transferido. Calificación del riesgo: se logra a través de la estimación de la probabilidad de su ocurrencia y el impacto que puede causar la materialización del riesgo. Causas (factores internos o externos): Son los medios, las circunstancias y agentes generadores de riesgo. Los agentes generadores que se entienden como todos los sujetos u objetos que tienen la Capacidad de originar un riesgo. Compartir o Transferir el riesgo: reduce su efecto a través del traspaso de las pérdidas a otras Organizaciones. Contexto estratégico: Son las condiciones internas y del entorno, que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución. Controles correctivos, que buscan combatir o eliminar las causas que generaron el riesgo, en caso de materializarse.
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
Controles preventivos, que disminuyen la probabilidad de ocurrencia o materialización del riesgo. Efecto del riesgo: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la empresa. Evaluación del Riesgo: permite comparar los resultados de la calificación del riesgo, con los criterios definidos para establecer el grado de exposición de la entidad al mismo; de esta forma es posible distinguir entre los riesgos aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades de las acciones requeridas para su tratamiento. Evitar el riesgo: tomar las medidas encaminadas a prevenir su materialización. Impacto: “resultado de un evento que afecta los objetivos. Un evento puede generar un rango consecuencias, las cuales se pueden expresar cualitativa o cuantitativamente. Las consecuencias iniciales pueden escalar a través de efectos secundarios” Mapa de riesgos: documento para organizar la información que describe los riesgos de la entidad. El mapa de riesgos es una representación final de la probabilidad e impacto de uno o más riesgos frente a un proceso, proyecto o programa. Un mapa de riesgos puede adoptar la forma de un cuadro resumen que muestre cada uno de los pasos llevados a cabo para su levantamiento. Política de administración de riesgos: es el conjunto de “actividades coordinadas para dirigir y controlar una organización con respecto al riesgo” Probabilidad: “la oportunidad de que algo suceda, medido o determinado de manera objetiva (basado en datos y hechos históricos) o subjetiva (bajo criterios de experiencia o experticia de quien analiza), utilizando términos generales o matemáticos (como la probabilidad numérica) o la frecuencia en un periodo de tiempo determinado”. Reducir el riesgo: implica tomar medidas encaminadas a disminuir tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). 6. RESPONSABLES Ver ficha de cargo Sub gerente, Líder QHSE, Líder administrativo, Líder Operaciones, Líder Compras y Sub Contrataciones
7. FLUJO GRAMA N/A 8. CONTENIDO
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
La Gestión del Riesgo le permite a SAGENCO S.A.S emprender las acciones necesarias para el manejo de eventos (riesgos) que puedan afectar negativamente el logro de los objetivos organizacionales, las cuales se fundamentan en la interacción de los elementos principales que se describen a continuación
ELEMENTOS PRICIPALES PARA LA GESTION DEL RIESGO 8.1 COMUNICACIÓN Y CONSULTA La comunicación es una consideración fundamental en cada paso del proceso de la Gestión de Riesgos. Es importante la aplicación del modelo de comunicación para los interesados internos y externos en la etapa más temprana del proceso. Este plan cubre los aspectos relativos al riesgo en sí mismo y al proceso de gestión. La comunicación involucra el diálogo en ambas direcciones entre las partes interesadas, con el esfuerzo focalizado en la consulta, más que en un solo sentido del tomador de decisión hacia los interesados. Es importante la comunicación efectiva interna y externa en SAGENCO S.A.S para asegurar que aquellos responsables por implementar la gestión de riesgos y aquellos con intereses creados, comprendan la base sobre la cual se toman las decisiones y por qué se requieren ciertas acciones en particular. En esta etapa se informará y comunicará de la gestión de riesgos de SAGENCO S.A.S a las distintas instancias. Los reportes a emitir y comunicar son los siguientes: El líder de cada proceso revisara de manera semestral el mapa de riesgos ID-GR-01 de su proceso con el director de calidad definiendo planes de acción para afrontarlos y controlarlos El Coordinador de calidad deberá reportar anualmente a la alta dirección la gestión de riesgos de la Compañía en forma unificada, así como también de los avances de los planes de acción que desarrollo con cada líder de proceso. La dirección y el área de calidad se reunirán por los menos una vez al año para revisar el estado de la gestión de riesgos de la Compañía
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
8.2 ESTABLECIMIENTO DEL CONTEXTO. Cada líder de proceso establecerá el contexto definiendo objetivos, alcance, actividades e inventario de riesgos presentados con el fin definir los factores internos y externos que generan situaciones de riesgo, orientando las decisiones de SAGENCO S.A. .Este contexto es la base de la identificación, análisis y evaluación de los riesgos.
8.3 IDENTIFICACIÓN DE LOS RIESGOS El objetivo de esta etapa en SAGENCO S.A.S es identificar los principales riesgos críticos a los cuales se encuentran expuestos los procesos de la organización. Cada líder de proceso identificará, para los procesos de su responsabilidad, los riesgos críticos que pudieran afectar los objetivos y/o estrategias definidas para el área. Dicha identificación puede ser realizada a través de los siguientes métodos: o Reuniones o workshop con el equipo de trabajo. o Encuestas a los distintos participantes del equipo de trabajo Cada líder de proceso documentara los Riesgos en una matriz de riesgos, clasificándolos por tipo de riesgo de acuerdo a lo siguiente: Estratégico: Riesgo relacionado con los objetivos estratégicos, alineados con la misión de la organización. Financieros: Riesgo relacionado con el uso eficaz y eficiente de los recursos financieros. Operacional: Riesgo resultante de deficiencias o fallas en procesos, personas, sistemas o eventos externos. Cumplimiento: Riesgo relacionado con el cumplimiento de leyes y regulaciones, especialmente concierne al cumplimiento de aquellas leyes y normas a las cuales la organización está sujeta La etapa de identificación de los riesgos es documentada a través del mapa de Riesgos (ID- GR -01): se nombra el riesgo principal del proceso y se hace una descripción y análisis detallado de riesgos 8.4 ANÁLISIS DEL RIESGO
El análisis del riesgo en SAGENCO S.A.S se realiza considerando dos variables: probabilidad e impacto. En esta sección se encuentran las categorías cualitativas y cuantitativas definidas para cada una de las variables, así como una columna para anotar el resultado y categoría de riesgo que refleja la combinación de ambas variables. El análisis del riesgo se enfoca. Específicamente en cada una de las situaciones riesgosas y no en las causas, Orígenes o consecuencias asociadas. Este lo realizara cada líder de proceso en el mapa de riesgos (IDGR-01). COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
8.5 ADMINISTRACION DEL RIESGO.
En esta sección se describen las medidas que deben ser adoptadas para prevenir, retener, transferir o modificar el riesgo ante una eventual materialización. Además es imprescindible la asignación de responsable (s) y plazo(s) para cada medida, con el objetivo de asegurar su ejecución. 8.5.1 ELEMENTOS PARA COMPLETAR LA MATRIZ VALORACION DEL RIESGO POR PROCESO.
A continuación se ofrece información detallada en el orden en que se encuentra diseñada la matriz, con el propósito de facilitar su llenado. A) IDENTIFICACIÓN DEL RIESGO
a. Descripción de la Situación Riesgosa (Columna A): En esta columna se describe, con una frase breve, el riesgo asociado a un proceso determinado. (Véase ejemplo al final de este apartado). b. Descripción de las Causas de Riesgo (Columna B) y Origen de las Causas (Columnas C y D): Causa es la manifestación mensurable que indica la presencia de un riesgo, es decir, son aquellos elementos que generan un riesgo. Para describir la causa se sugiere iniciar la frase con un adjetivo calificativo que ayude a evidenciar su estado, como los siguientes: Poco(a), Deficiente, Débil, Inestable, Malo(a), Difícil, Impreciso(a), Incorrecto(a), entre otros. Se deben definir todas las causas prioritarias que estén vinculadas con el riesgo. Para tales efectos se utiliza el criterio de experto. (Véase ejemplo al final de este apartado). Respecto al origen, cabe señalar que puede ser Interno (inherentes a al Área objeto de análisis o cualquier otra que conforma el SGC) o Externo (clientes, entorno nacional o internacional, ciudadanía en general). (Véase ejemplo al final de este apartado). c. Consecuencias del Riesgo (Columna E): Conjunto de efectos derivado de la ocurrencia de una situación identificada como riesgosa, se puede manifestar cualitativa o cuantitativamente, ya sean pérdidas u otro tipo de perjuicios. Par detallar las consecuencias se debe pensar en la relación causa-efecto, es decir qué consecuencias o efectos tendría la materialización del riesgo que se identificó. Se deben definir todas las consecuencias prioritarias que estén vinculadas con el riesgo. Para tales efectos se utiliza el criterio de experto. (Véase ejemplo al final de este apartado). Ejemplo COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
B ANALISIS DEL RIESGO (identificación y evaluación de amenazas)
a. Probabilidad (Columnas F, G, H): Medida o descripción de la posibilidad de ocurrencia de una situación identificada como riesgosa y cuya descripción fue indicada en el punto 1, columna A. Para efectos de la Dirección General, se cuenta con una escala cualitativa de tres niveles: A: Probabilidad Alta, (3) M: Probabilidad Media (2) B: Probabilidad Baja, (1) Cada una con un valor numérico de 3 a 1 respectivamente. Para decidir sobre la asignación de alguno de los tres niveles citados se debe responder a la pregunta: b. Impacto: Está referido al efecto con que la situación riesgosa, al materializarse, podría afectar el cumplimiento de los objetivos del proceso. Para facilitar esta acción considere las consecuencias descritas en las columnas F, G, H. Existen tres posibles opciones para categorizar el impacto: S: Impacto significativo, M: Impacto moderado L: Impacto leve. Para asignar un nivel determinado se debe responder a la pregunta: ¿Cuánto afecta la materialización del riesgo el logro de los objetivos del proceso? c. Resultado En esta columna se aprecia el producto de multiplicar entre sí los valores asignados a las variables “probabilidad e impacto”; y de dividir dicho producto entre la máxima puntuación estimada de un riesgo, cuyo valor es 9. Para ello, se realiza la operación
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
(P x I)/9. Este cociente, expresado en porcentaje, posteriormente permitirá determinar la categoría de riesgo d. Categoría de Riesgo Es la ubicación de la situación riesgosa en una escala de prioridades para su administración, con el objetivo de minimizar el riesgo. Se traduce en un porcentaje determinado, asociado a una escala de tres colores Rojo, Amarillo y Verde, los cuales se utilizan para asignar la prioridad en la atención de los riesgos. Para efectos de SAGENCO S.A.S de la Dirección General, tal y como se muestra en la tabla adjunta al final de este punto, se considera como prioridad de atención máxima (inmediata 1 a 2 dias) aquellos riesgos cuyos cocientes queden entre el 66% y el 100% (color Rojo); con prioridad de atención (media 8 dias) los riesgos cuyos cocientes se ubiquen entre el 33% y el 44% (color Amarillo ) y con prioridad (baja 10 dias) los que presenten porcentajes entre el 11% y el 22% (color verde). (
8.5.2 VALORACION DEL RIESGO
Esta tabla permite conocer el resultado de la asignación realizada con criterio de experto, a cada riesgo por proceso, tanto cualitativa como cuantitativamente. Dicho resultado surge de la multiplicación de las variables Probabilidad e Impacto. Tal y como se mencionó al inicio de este punto, para cada variable (Probabilidad e impacto) se definieron tres categorías cualitativas, de la siguiente forma: Probabilidad: Alta (A), Media (M), Baja (B), Impacto: Significativo (S), Moderado (M), Leve (L) A las categorías cualitativas descritas anteriormente, se les asignó un valor de 3 a 1 en su respectivo orden, para calificar el riesgo en forma cuantitativa.
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
8.5.3 EVALUACIÓN DEL RIESGO
Como resultado de esta combinación se obtienen 9 categorías de evaluación, a cada una de las cuales se le asigna un color que determina la prioridad de atención de los riesgos. Las 9 categorías y sus correspondientes significados se detallan a continuación: BL: Riesgo con probabilidad de ocurrencia baja e impacto leve en la consecución de los objetivos del proceso. Su valor corresponde a un 11% del valor máximo otorgable a un riesgo. Se identifica con color Verde que indica una prioridad de atención baja. ML: Riesgo con probabilidad de ocurrencia media e impacto leve en la consecución de los objetivos del proceso. Su valor corresponde a un 22% del valor máximo otorgable a un riesgo. Se identifica con color Verde que indica una prioridad de atención baja.
AL: Riesgo con probabilidad de ocurrencia alta e impacto leve en la consecución de los objetivos del proceso. Su valor corresponde a un 33% del valor máximo otorgable a un riesgo. Se identifica con color Amarillo que indica una prioridad de atención media. BM: Riesgo con probabilidad de ocurrencia baja e impacto moderado en la consecución de los objetivos del proceso. Su valor corresponde a un 22% del valor máximo otorgable a un riesgo. Se identifica con color Verde que indica una prioridad de atención baja. MM: Riesgo con probabilidad de ocurrencia media e impacto moderado en la consecución de los objetivos del proceso. Su valor corresponde a un 44% del valor máximo otorgable a un riesgo. Se identifica con color Amarillo que indica una prioridad de atención media. AM: Riesgo con probabilidad de ocurrencia alta e impacto moderado en la consecución de los objetivos del proceso. Su valor corresponde a un 66% del valor máximo otorgable a un riesgo. Se identifica con color Rojo que indica una prioridad de atención inmediata. BS: Riesgo con probabilidad de ocurrencia baja e impacto significativo en la consecución de los Objetivos del proceso. Su valor corresponde a un 33% del valor máximo otorgable a un riesgo. Se identifica con color Amarillo que indica una prioridad de atención media.
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
MS: Riesgo con probabilidad de ocurrencia media e impacto significativo en la consecución de los objetivos del proceso. Su valor corresponde a un 66% del valor máximo otorgable a un riesgo. Se identifica con color Rojo que indica una Prioridad de atención inmediata. AS: Riesgo con probabilidad de ocurrencia alta e impacto significativo en la consecución de los objetivos del proceso. Su valor es del 100%, valor máximo otorgable a un riesgo. Se identifica con color Rojo que indica una prioridad de atención inmediata. 8.6 TRATAMIENTO DEL RIESGO El tratamiento de los riesgos involucra identificar el rango de opciones para tratar los riesgos, evaluar esas opciones, preparar planes para tratamiento de los riesgos e implementarlos. Para el manejo o tratamiento de los riesgos se deberá analizar las posibles acciones a emprender, las cuales deben ser factibles y efectivas, tales como: la implementación de las políticas, definición de estándares, optimización de procesos y procedimientos y cambios físicos entre otros. SAGENCO S.A.S ara la selección de las acciones más conveniente, debe considerar la viabilidad técnica, jurídica, institucional, financiera y económica. Para la implementación de las acciones, se deben identificar las responsabilidades, definir cronogramas e indicadores que permitan verificar el cumplimiento para tomar medidas correctivas cuando sea necesario. El Tratamiento de riesgos busca orientar el accionar de SAGENCO S.A.S hacia el uso eficiente de los recursos, la continuidad en la prestación de los servicios, así como la protección de los bienes utilizados para servir a la comunidad. 8.7 SEGUIMIENTO Y REVISION. Los riesgos y la efectividad de las medidas de control necesitan ser monitoreadas para asegurar que las circunstancias cambiantes no alteren las prioridades de los riesgos. Es necesario hacer seguimiento a los riesgos, a la efectividad de los planes de tratamiento de los riesgos, a las
COPIA CONTROLADA
CÓDIGO: PC-GR- 01
GESTION DEL RIESGO
FECHA: 02-02-2018 VERSIÓN: 03
estrategias y al sistema de gestión de SAGENCO S.A.S que se establece para asegurar la implementación Los riesgos AL, las actividades de control y los planes de acción necesitan ser revisadas para asegurar que las circunstancias cambiantes no alteren la priorización de los riesgos críticos evaluados, las actividades de control y la efectividad de las acciones. Para ello, el director de calidad anualmente coordinará con los líderes de proceso la actualización del Mapa de Riesgos, (ID-GR-01) incorporando nuevos riesgos, reevaluando el nivel de riesgos inherente, definiendo nuevas actividades de control, reevaluando el riesgo residual y determinando planes de acción, si corresponde. Es responsabilidad de cada líder de proceso informar al líder de calidad cualquier cambio relevante en el Mapa de Riesgos. Por otro lado, el Coordinador de Riesgos dará seguimiento al cumplimiento de los planes de acción comprometidos por los Encargados de Riesgos en cada evaluación de riesgos que realice. Por otro lado, el líder de calidad gestión de la Compañía anualmente dará seguimiento al proceso de implementación de los planes de acción. Además, podrá proponer mejoras al proceso de gestión de riesgos de la Compañía. Es importante destacar, que el monitoreo de los controles, programas y acciones debe ser continuo en El tiempo y es responsabilidad de cada líder de procesos, el Coordinador de Riesgos y la Gerencia General, quienes deberán velar por el cumplimiento de éstos. Se podrán realizar auditorías (interna o externa) al proceso de gestión de riesgos, con el fin de evaluar El proceso y proponer recomendaciones de mejora, si corresponde. 9. REFERENCIAS
Lo establecido por la ISO 9001-2015. Directrices de la ISO-31000
10. INFORMACION DOCUMENTADA
ID-GR-01 MAPA DE RIESGOS
COPIA CONTROLADA
Related Documents
Procedimiento-del-peso-unitario.docx
December 2019 12
Resumen Del Procedimiento
July 2020 4
Suspension Condicional Del Procedimiento
May 2020 4
Inicio Del Procedimiento-150
May 2020 13
Principios-del-procedimiento-administrativo.docx
June 2020 2
Procedimiento Experimental Del Mruv
November 2019 19More Documents from ""
It-ps-04 Instructivo De Registro Fotografico.docx
October 2019 12
Velocity
October 2019 26
Sintesis Humanidades.docx
May 2020 57
Enrique Dussel
October 2019 64