Results using IDDS

4.4 Manual de gestión de riesgos corporativos ...136 4.4.1 ÍNDICE DEL MANUAL DE GESTIÓN DE RIESGOS CORPORATIVOS137 4.4.2 INTRODUCCIÓN ...138 4.4.3 OBJETIVOS ...138 4.4.4 ALCANCE...138 4.4.4.1 Área de análisis ...139 4.4.5 DOCUMENTOS Y REFERENCIAS ...139 4.4.6 POLÍTICAS ...139 4.4.6.1 Directrices ...139 4.4.7 DEFINICIONES Y ABREVIATURAS ...140 4.4.7.1 Establecimiento del contexto ...140 4.4.7.2 Identificación de riesgos ...141 4.4.7.3 Evaluación del riesgo ...141 4.4.8 PROCESO DE LA GESTIÓN DE RIESGOS ...141 4.4.8.1 Generalidades ...142 4.4.8.2 Técnicas de la recolección de información ...142 4.4.8.3 Descripción del proceso ...143 4.4.8.4 Flujo gramas de procesos involucrados ...143 4.4.8.5 Proceso de identificación y evaluación de riesgos ...146 4.4.8.6 Calificación del riesgo...148 4.4.8.7 Responsabilidades ...149 4.4.8.8 Evaluación del desempeño y eficacia de la gestión del riesgo ...150 4.4.9 ESTRÉGIAS Y ACTIVIDADES PLANTEADAS ...151 4.4.9.1 Descripción de la documentación referida: ...151 4.4.10 VALIDACIÓN DE LOS RIESGOS ...152 4.4.11 VALORACIÓN DEL RIEGO ALTO ...155 4.4.11.1 Valoración del riesgo alto ...156

4.4.2 INTRODUCCIÓN

La Gestión de los Riesgos es un tema de gran relevancia en el marco del Sistema de Gestión de Calidad conforme lo estable la nueva versión de la Norma ISO 9001:2015, donde enfatiza la importancia de dicho tema dedicando todo un ítem(6) a la planificación para la gestión de los riesgos. Esta gestión se ha venido desarrollando en las empresas de una forma irregular debido a que la norma ISO 9001 no puntualizaba el tema del control de riesgos, pero las normas; ISO 14000 e ISO 45000 constan con elementos de análisis de riesgos que en conjunto conforman las herramientas para obtener un eficiente Sistema de Gestión de Calidad.

La Gestión de los Riesgos en la Empresa Seguridad y Confiabilidad C.E.S.E.P Cía. Ltda., es un tema que comprende el análisis estratégico y debido a la relevancia que obtiene, requiere como tal, el desarrollo de una cultura que permita el manejo adecuado de los riesgos, establezca una base confiable para la toma de decisiones, aumente la probabilidad de alcanzar los objetivos y contribuya a la planificación estratégica. Para lo cual se debe partir del conocimiento minucioso del concepto de riesgo, el contexto interno y externo que puede influir en el logro de los objetivos, el alcance que tendrá esta gestión, la adopción y aplicación de una serie de principios, la definición de un marco de referencia y el desarrollo de un proceso consistente y sistemático.

Este documento busca aportar las bases para el conocimiento y adopción de la Gestión de los riesgos para su permanente aplicación que mejoren la eficacia y eficiencia operativa a través de la minimización o prevención de las pérdidas y la gestión de incidentes entre otros aspectos.

Para tal propósito se tendrá en cuenta los principios para la Gestión de Riesgos que se encuentran descritos en la norma NTE INEN ISO 31000, su aplicación permite mejorar la eficiencia de la definición del marco de referencia y la gestión de riesgos.

4.4.3 OBJETIVOS

 Puntualizar el marco de referencia para la gestión del riesgo en cada una de sus etapas. 1. Identificación del riesgo

2. Valoración del riesgo 3. Monitoreo y revisión

 Controlar los riesgos identificados planteando acciones preventivas que eviten su materialización.

 Promover medidas en función de la prevención y control de riesgos con un enfoque sistemático y estructurado para la toma de decisiones que mejore la capacidad de respuesta a los cambio en las circunstancias internas y externas.

4.4.4 ALCANCE

Este manual de administración de riesgos corporativos comprende desde el marco de referencia hasta el control y revisión de la eficacia de las estrategias a implementar en la administración de los riesgos. Entendiendo los aspectos sistemáticos y no sistemáticos.

4.4.4.1 Área de análisis

El manual se desarrolla en los departamentos de operaciones y talento humano de la empresa Seguridad y Confiabilidad C.E.S.E.P Cía. Ltda., basándose en los procesos y subprocesos que se realizan dentro de cada uno.

4.4.5 DOCUMENTOS Y REFERENCIAS

DOCUMENTOS INTERNOS

N° CÓDIGO NOMBRE DEL DOCUMENTO

1 MN.SGC-1 Manual de Calidad

2 MN-004 Manual de Procedimientos

3 PL.SGC.P1 Plan estratégico

DOCUMENTOS EXTERNOS

N° CÓDIGO NOMBRE DEL DOCUMENTO

1 DE-006 ISO 30001 Gestión de Riesgos – Principios y Guías 4.4.6 POLÍTICAS

La empresa Seguridad y Confiabilidad C.E.S.E.P Cía. Ltda., garantiza gestionar los riesgos empresariales estableciendo acciones en función de evitar, prevenir, mitigar, compartir o transferir aquellos riesgos que generen un impacto en los procesos internos; con el compromiso, intervención y participación de cada uno de los elementos de la empresa hacia un mejoramiento continuo de las gestión interna.

Se busca la comprensión integral de la política de gestión de riesgos con los lineamientos de la gestión estratégica con el fin de obtener un mejor sistema gestión de calidad.

4.4.6.1 Directrices

Para dar cumplimiento a la política de gestión de riesgo es necesario tener en cuenta lo siguiente:

 La Gestión del Riesgo se fundamenta en el concepto de oportunidad con un enfoque de planeación estratégica.

 La empresa considera como riesgos a todos los factores que afecte el desempeño de los procesos internos nombrados también riesgos sistemáticos.

 La Gestión del Riesgo considera como punto fundamental los efectos del incumplimiento de la legislación vigente y el desarrollo jurídico que puede sobrellevar un deterioro patrimonial, multas, perdidas de vigencia o no obtención de licencias y permisos, hallazgos de las entidades de control, tutelas, fallos judiciales en contra, y cualquier evento de daño antijurídico, ética pública y compromiso ante la comunidad.

 La identificación y valoración de riesgos se efectuará cada vez que surja un cambio de la normativa vigente en casos puntuales que lo ameriten y sean de control de la empresa.

 La empresa pondrá a disposición una herramienta que defina las putas para la gestión del riesgo.

 Los resultados obtenidos en la gestión de riesgos serán comunicados a la alta dirección al igual que las acciones para prevenir y mitigar los mismos.

 Aquellos riesgos definidos como intolerables deben tener el tratamiento en el menor tiempo posible asignando los recursos necesarios para ello.

 Se pueden identificar los riesgos en todas las actividades empresariales, incluidas las estrategias y las decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y los activos.

4.4.7 DEFINICIONES Y ABREVIATURAS

ABREVIATURAS

N° TÉRNIMO SIGNIFICADO

1 ADM Administradores de Contratos

2 P.T. ó P.S. Puesto de trabajo o de servicio

3 S.E.R.C.O.P. Sistema Nacional De Compras Públicas

DEFINICIONES – TÉRMINOS GENERALES

N° TÉRNIMO DEFINICIÓN

1 Riesgo

Efecto de la incertidumbre de que suceda algún evento que tendrá una desviación con efecto positivo y/o negativo de lo esperado, sobre los objetivos institucionales o del proceso.

Puede tener diferentes aspectos como: salud financiera, y la seguridad, y los objetivos medioambientales y puede aplicar en diferentes niveles como: estratégicos, organizacional, proyecto, producto y proceso

2 Gestión del riesgo

Conjunto de elementos de control que al interrelacionarse permiten a la entidad evaluar aquellos factores, tanto internos como externos, que puedan afectar o impedir el logro de sus objetivos institucionales o los eventos positivos, que permitan identificar oportunidades para un mejor cumplimiento de su función.

3 Mapa de riesgos o

Matriz de riesgos

Herramienta o instrumento que facilita la identificación de peligros y evaluación de los riesgos asociados a un proceso, sistema o entidad, por cuanto se registra en ella la información del riesgo.

4 Marco de gestión de

riesgos

Conjunto de componentes que proporcionan bases y modalidades de organización para diseñar, implementar, control, la revisión y mejora continua de la gestión del riesgo en toda la organización.

- Las bases incluyen la política, objetivos, mandato y compromiso con la

gestión del riesgo.

- Los acuerdos incluyen planes de organización, relaciones, responsabilidades, recursos, procesos y actividades.

- El marco de gestión de riesgo está incrustado dentro de la organización

global estratégica y operativa las políticas y prácticas.

5 Vulnerabilidad Debilidad de un activo o grupo de activos que pueden ser aprovechadas por una o varias amenazas.

4.4.7.1 Establecimiento del contexto

DEFINICIONES – ESTABLECIMIENTO DEL CONTEXTO

N° TÉRNIMO DEFINICIÓN

1 Contexto externo

Entorno o ambiente externo en el que la empresa busca alcanzar sus objetivos; cultural, social, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local; Factores clave y las tendencias con repercusiones en los objetivos de la organización, y las relaciones con, y las percepciones.

2 Contexto interno Entorno o ambiente interno en el que la empresa busca alcanzar sus objetivos; gobierno, estructura organizativa, las funciones y responsabilidades, etc.

3 Establecimiento del

contexto e

Definición de los parámetros internos y externos que se han de tomar en consideración cuando se gestiona el riesgo. Reconocer si existe un riesgo y definir sus características.

identificación de peligros

4 Interesados

(Stackholder)

Persona u organización que pueden afectar, ser afectados por, o sienten que se encuentran afectados por una decisión o actividad.

4.4.7.2 Identificación de riesgos

DEFINICIONES – ESTABLECIMIENTO DEL CONTEXTO

N° TÉRNIMO DEFINICIÓN

1 Activos

Componente de un sistema susceptible a ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

Causa: Son los agentes generadores que se entienden como todos los sujetos u objetos que tienen la capacidad de originar un riesgo; se pueden clasificar en cinco categorías: personas, información o normatividad, infraestructura, aplicativos, proceso y entorno.

2 Fuente del riesgo Causa potencial de un incidente que puede causar daños a una organización.

3 Consecuencias

Es el resultado de un evento expresado cualitativa o cuantitativamente, sea este una pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la entidad o el proceso.

4 Identificación del

riesgo

Se puede entender como el proceso que permite encontrar, reconocer y describir los riesgos.

5 Probabilidad

Grado en el cual es probable que ocurra un evento, que se debe medir a través de la relación entre los hechos ocurridos realmente y la cantidad de eventos que pudieron ocurrir.

6 Tratamiento del

riesgo

El proceso de modificación del riesgo para: evitar, afrontar, eliminar, compartir o mantener el riesgo lidiando con las consecuencias de cada una de ellas.

7 Seguimiento

Control continuo, supervisar, observar críticamente o de determinar el estado a fin de determinar el cambio del nivel de rendimiento requerido o esperado. Puede ser aplicado a un marco de gestión del riesgo, el proceso de gestión del riesgo, el riesgo de o el control.

8 Revisión

Actividad emprendida para determinar la conveniencia, la idoneidad y la eficacia de la materia objeto de lograr objetivos establecidos. Puede ser aplicada a un marco de gestión del riesgo, el proceso de gestión del riesgo, el riesgo o el control.

4.4.7.3 Evaluación del riesgo

DEFINICIONES – ESTABLECIMIENTO DEL CONTEXTO

N° TÉRNIMO DEFINICIÓN

1 Criterios de riesgo Términos de referencia frente a los cuales se evalúa la importancia del riesgo.

2 Evaluación del riesgo

Proceso utilizado para determinar las prioridades de la Administración del riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado, asociado al nivel de probabilidad y el nivel de consecuencia.

3 Nivel de riesgo Magnitud de un riesgo o de una combinación de riesgos, expresada en términos de su impacto o consecuencia y su probabilidad.