DISEÑO DE UN SISTEMA DE GESTIÓN DE RIESGOS ORGANIZACIONAL EN LOS PROCESOS DE LA EMPRESA COLVISTA SAS
TRABAJO DE GRADO - PRÁCTICA EMPRESARIAL
PAOLA ANDREA RODRIGUEZ GARZON ID: 2355
DIRECTOR: ALBERTO LÓPEZ ORTIZ INGENIERO INDUSTRIAL
UNIVERSIDAD AGRARIA DE COLOMBIA FACULTAD DE INGENIERIA BOGOTÁ 2015 1
DISEÑO DE UN SISTEMA DE GESTIÓN DE RIESGOS ORGANIZACIONAL EN LOS PROCESOS DE LA EMPRESA COLVISTA SAS
PROYECTO DE GRADO - PRÁCTICA EMPRESARIAL
PAOLA ANDREA RODRIGUEZ GARZON ID: 2355
UNIVERSIDAD AGRARIA DE COLOMBIA FACULTAD DE INGENIERIA BOGOTÁ 2015 2
TABLA DE CONTENIDO
LISTA DE CUADROS ....................................................................................................................... 5 LISTA DE GRAFICAS ...................................................................................................................... 6 LISTA DE FIGURAS ......................................................................................................................... 7 1.
TITULO ...................................................................................................................................... 8
2.
RESUMEN DEL PROYECTO ................................................................................................... 8
3.
PROBLEMA ............................................................................................................................... 9
3.1.
PLANTEAMIENTO DEL PROBLEMA ................................................................................ 9
3.2.
FORMULACIÓN DEL PROBLEMA .................................................................................. 10
3.3.
VARIABLES ........................................................................................................................ 10
3.3.1.
Variable Dependiente ........................................................................................................ 10
3.3.2.
Variable Independiente: .................................................................................................... 11
4.
OBJETIVOS ............................................................................................................................. 11
4.1.
Objetivo General ................................................................................................................... 11
4.2.
Objetivos Específicos ............................................................................................................ 11
5.
HIPÓTESIS ............................................................................................................................... 12
6.
JUSTIFICACION...................................................................................................................... 12
7.
ALCANCE ................................................................................................................................ 13
8.
MARCO REFERENCIAL ........................................................................................................ 13
8.1.
MARCO TEÓRICO .............................................................................................................. 13
8.2.
MARCO CONCEPTUAL ..................................................................................................... 14
8.3.
MARCO INSTITUCIONAL................................................................................................. 17
8.3.1.
Visión ................................................................................................................................ 18
8.3.2.
Misión ............................................................................................................................... 18
8.3.3.
Política de calidad ............................................................................................................. 18
8.3.4.
Valores .............................................................................................................................. 19
8.4. 9. 9.1.
MARCO LEGAL ................................................................................................................. 19 DISEÑO METODOLÓGICO ................................................................................................... 20 Población y muestra .............................................................................................................. 20 3
9.1.1.
Población ........................................................................................................................... 20
9.1.2.
Muestra .............................................................................................................................. 21
9.2.
Fases y Actividades ............................................................................................................... 21
9.3.
Fuentes e instrumentos .......................................................................................................... 23
10.
RECURSOS .......................................................................................................................... 23
10.1.
Humano ............................................................................................................................. 23
10.2.
Físico ................................................................................................................................. 23
11.
ANÁLISISY RESULTADOS ............................................................................................... 24
11.1.
Contexto Actual................................................................................................................. 24
11.2.
Identificar los procesos...................................................................................................... 26
11.3.
Estado actual de las áreas de Colvista ............................................................................... 27
11.3.1.
Resultado de las encuestas ................................................................................................ 28
11.4.
Identificación de riesgos.................................................................................................... 31
11.5.
Identificación de fuentes, causas y consecuencias ............................................................ 40
11.5.1.
Fuentes, causas y consecuencias ....................................................................................... 43
11.6.
Valoración de riegos en los procesos ................................................................................ 52
11.6.1.
Frecuencia o Probabilidad e Impacto. ............................................................................... 53
11.7.
Tratamiento Específico para cada de los Riesgo ............................................................... 62
11.8.
Diseño del mapa de riesgos ............................................................................................... 70
12.
CRONOGRAMA .................................................................................................................. 83
13.
CONCLUSIONES ................................................................................................................ 84
14.
RECOMENDACIONES ....................................................................................................... 86
15.
LISTA DE REFERENCIAS ................................................................................................. 87
16.
ANEXOS............................................................................................................................... 88
4
LISTA DE CUADROS pág. Cuadro 1. Procesos de la empresa Colvista SAS………………………………….………20 Cuadro 2. Fuentes e Instrumentos…………………………………………………....……23 Cuadro 3. Procesos Definidos para la ejecución del Sistema de Riesgos………………...32 Cuadro 4. Cuerpo del formato para la identificación de riesgos…………………………..33 Cuadro 5. Riesgos del Macro Proceso de Evaluación Estratégica………………………...34 Cuadro 6. Riesgos del Macro Proceso de Operaciones……………………………………35 Cuadro 7. Riesgos del Macro Proceso de Apoyo y Soporte…………………………….…37 Cuadro 8. Cantidad Total de Riesgos………………………………………………….…..39 Cuadro 9. Tipos de Fuentes………………………………………………………………..41 Cuadro 10. Cuerpo del formato para la identificación de riesgos, fuentes, causas y consecuencias………………………………………………………………………………43 Cuadro 11. Fuentes, causas y consecuencias………………………………………………43 Cuadro 12. Escala de probabilidad……………………………………………………….53 Cuadro 13. Escala de Impacto…………………………………………………………….54 Cuadro 14. Matriz modelo de calificación, evaluación y respuesta a los riesgos…………56 Cuadro 15. Matriz de calificación, evaluación y respuesta a los riesgos………………….57 Cuadro 16. Clasificación de la estrategia de administración sugerida…………………….63 Cuadro 17. Tratamiento específico para cada riesgo……………………………………...63 Cuadro 18. Método de control existente…………………………………………………..70 Cuadro 19. Plan de manejo para los riesgos……………………………………………….78
5
LISTA DE GRAFICAS pág. Grafica 1. Conocimiento sobre Riesgos…………………………………………………28 Grafica 2. Utilización de matrices……………………………………………………….29 Grafica 3. Adecuada gestión de riesgos………………………………………………….29 Grafica 4. Disposición para controlar los riesgos………………………………………..30 Grafica 5. Disposición para controlar las actividades por medio de gestión de riesgos………………………………………………………………………………....31 Grafica 6. Riesgos del Macro Proceso de Evaluación Estratégica……………………….35 Grafica 7. Riesgos del Macro Proceso de Operaciones……………………………...…..36 Grafica 8. Riesgos del Macro Proceso de Apoyo y Soporte…………………...………..38 Grafica 9. Porcentaje de riesgos para los procesos de Colvista SAS…………………....39 Grafica 10. Riesgos por Macro Proceso…………………………………………..………40 Grafica 11. Zonas de riesgo……………………………………….……………………...61 Grafica 12. Tramitemos específico para cada riesgo……………………………………..69 Grafica 13. Controles documentados……………………………………………………..77
6
LISTA DE FIGURAS Pág. Figura 1. Ciclo de planeación……………………………………………………………..16 Figura 2. Ciclo de la administración del riesgo……………………………………………17 Figura 3. Soporte SGC Intranet Colvista SAS…………………………………………….25 Figura 4. Modelo de procesos de Colvista SAS…………………………………………..26 Figura 5. Encuesta…………………………………………………………………………27
7
1. TITULO DISEÑO DE UN SISTEMA DE GESTIÓN DE RIESGOS ORGANIZACIONAL EN LOS PROCESOS DE LA EMPRESA COLVISTA SAS.
2. RESUMEN DEL PROYECTO La empresa Colvista SAS es una empresa proveedora de soluciones y servicios que hacen más eficiente el entorno tecnológico de los clientes. Sin embargo la organización actualmente no ha podido recibir algunas certificaciones como la ISO 27001 y la certificación
CMMI
(Modelo
de
Madurez
de
la
Capacidad
Integrado/CapabilityMaturityModelforIntegration), por falta de un sistema de Gestión de Riesgos Organizacional que ayude a las áreas de la compañía a ejecutar de forma eficiente su trabajo. Según la norma ISO 31000:2009 se define el Riesgo como el “Efecto de la incertidumbre sobre los objetivos”, esta norma también define la Gestión Del Riesgo como “Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo”, y el Plan para la Gestión del Riesgo como el ”Esquema dentro del marco de referencia para la gestión del riesgo que especifica el enfoque, los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo”. Con base en esta norma (ISO 31000:2009), se ejecutará el Sistema de Gestión de Riesgos Organizacionales (S.G.R.O), para cumplir todos los requerimientos y solicitudes de la alta Gerencia.
8
3. PROBLEMA 3.1. PLANTEAMIENTO DEL PROBLEMA Actualmente Colvista SAS está certificada con la norma ISO 9001:2008, certificación que para la empresa venció este año (2015) en el mes de abril, para lo cual se realizó un proceso de recertificación. Es importante implementar la matriz de riesgos organizacional en la empresa, ya que es uno de los nuevos requerimientos de la norma ISO 9001 (en su nueva versión) que se actualizara este año, por lo tanto para la revisión del Sistema de Gestión de Calidad es de vital importancia cumplir con este requerimiento, mediante la implementación de un Sistema de Gestión de Riesgos Organizacional que mitigue los efectos de los mismos, además unos de los hallazgos identificados en la auditoría realizada a la empresa en el último semestre de 2014, se estableció que uno de los nuevos compromisos es Gestionar un Sistema de Riesgos Organizacional. A pesar que Colvista SAS cuenta con un Sistema de Gestión de la Calidad, la organización enfrenta permanentemente factores internos y externos que crean incertidumbre (más adelante se indican que factores), que no permiten el logro de los objetivos organizacionales trazados por la empresa, y con ello su sostenibilidad en el mercado hacia el futuro. Según los indicadores de gestión correspondientes al segundo semestre del año 2014, se identificó que la empresa tuvo un nivel bajo de producción, en cuanto a la ejecución de contratos y continuidad en los proyectos, esta situación se evidencio porque en el mes de
9
noviembre de 2014 a Colvista le cancelaron dos contratos de los más grandes que se tenían con el Ministerio de Defensa. La ejecución de los proyectos es un proceso crítico debido a la complejidad de los mismos, lo cual afecta el desarrollo de la organización pues presenta potenciales deficiencias presentes en el recurso humano, tecnología y/o infraestructura, generando incertidumbre en los tiempos de ejecución de los proyectos, y por lo tanto un alto nivel de riesgo y de incumplimiento con los clientes. Lo anterior, implica efectos reales y potenciales, que pueden afectar el uso eficiente de los recursos así como un alto riesgo en cuanto a la exactitud y veracidad de la información, tanto financiera como administrativa de la organización. Toda esta exposición al riesgo se considera cada vez mayor, más compleja, diversa y dinámica, debido en gran parte a los rápidos cambios, en la tecnología, los medios de comunicación y la globalización de los negocios, que hacen que esté más propensa al incumplimiento de los objetivos planteados en sus procesos, que pueden atentar con el buen funcionamiento de Colvista y sus compromisos estratégicos relacionados con la calidad de sus servicios.
3.2. FORMULACIÓN DEL PROBLEMA ¿Cuál es el diseño que debe tener el mapa de riesgos de COLVISTA SAS para lograr el cumplimiento de los objetivos organizacionales? 3.3. VARIABLES 3.3.1. Variable Dependiente: Para la realización de este proyecto, se tiene como variable dependiente, la mejora continua establecida en la norma ISO 9001 en su última versión,
10
según el requisito 8.5.1. Esta mejora se medirá por medio del indicador de acciones correctivas, preventivas y de mejora que se identifiquen en las auditorias, este indicador corresponde al área de Procesos y Calidad, dichos hallazgos serán objeto de un seguimiento con el fin de identificar oportunidades y tomar medidas ante dichos hallazgos. 3.3.2. Variable Independiente: Como variable independiente se encuentra el diseño del mapa de riesgos establecido en la norma NTC 5254, porque es un factor que se puede controlar y modificar. El diseño del mapa de riesgos se medirá por medio de un control de versiones que indique la cantidad de veces que se actualiza dicho mapa.
4. OBJETIVOS 4.1. Objetivo General Diseñar un Sistema de Gestión de Riesgos Organizacional para las aéreas de la empresa Colvista SAS, mediante una matriz de análisis, según los requerimientos de la norma ISO 31000:2009 y norma NTC 5254, con el fin de mitigar el efecto a la incertidumbre. 4.2. Objetivos Específicos
Caracterizar las actividades mediante un análisis descriptivo por medio de encuetas, para obtener datos suficientes y necesarios, con el fin de identificar los riesgos generados en los procesos de las aéreas de la empresa Colvista SAS.
Diseñar un sistema de control e identificación, para mitigar los riesgos operativos en la empresa, mediante la utilización de matrices de análisis semicuantitativo.
Validar durante un periodo de tiempo la correcta ejecución de los controles, con el fin de evidenciar la eficacia de su aplicación.
11
5. HIPÓTESIS El diseño del mapa de Gestión de Riesgos Organizacional se llevara a cabo en las áreas de la empresa Colvista SAS. Con el diseño de matrices analíticas para la empresa Colvista SAS, se ayudara a aumentar la mejora continua en un 60%, teniendo en cuenta la relación entre variables, entre más riesgos se identifiquen mayor será la amplitud del mapa de riesgos que se diseñara.
6. JUSTIFICACION Este proyecto se realiza con el fin de identificar cuáles son los aspectos negativos que afectan los procesos que ejecuta la organización. El resultado esperado, será obtener los riegos que se presentan en el área, la raíz del riesgo identificado y el plan de acción a seguir para mitigar los efectos de este. Los resultados de esta Gestión de Riesgos, serán utilizados por los jefes de cada área de la organización y por los respectivos auditores que controlan los indicadores de gestión de Colvista. Este diseño proporcionara un aporte metodológico sobre todos los procesos de la organización, ya que por requerimiento de la Alta Dirección, este procedimiento cuando se implemente debe cumplirse, además es un hallazgo de auditoría que debe cerrarse. Actualmente la empresa Colvista SAS, está en proceso de recibir la certificación en CMMI (Modelo de Madurez de la Capacidad Integrado/CapabilityMaturityModelforIntegration), y el certificado de la NTC ISO 27001, lo cual no se ha podido implementar por falta de este Sistema de Gestión de Riesgos.
12
7. ALCANCE El alcance del presente proyecto, en acuerdo con la Dirección de Colvista SAS, va desde la identificación, análisis y evaluación de los riesgos operativos hasta el diseño de los controles para su gestión en los procesos definidos en el SGC de la organización. Se está trabajando en este proyecto desde el mes de marzo del presente año y se espera que su finalización se haga efectiva para el mes de junio de 2015. La ejecución de dicho proyecto se está llevando a cabo en la ciudad de Bogotá D.C, en la sede administrativa principal de Colvista SAS.
8. MARCO REFERENCIAL 8.1. MARCO TEÓRICO Para la realización del presente trabajo es de vital importancia conocer de qué manera este sistema de Gestión de Riesgos, se ha desarrollado en otras empresas y así tener conocimiento sobre su viabilidad e importancia. Una implementación de un Sistema de Gestión de Riesgos desarrollada en la empresa GECELCA S.A. E.S.P (Generadora y comercializadora de energía en el Caribe), se realizóbajo el estándar de la norma australiana AS/NZS 4360:1999, permitiendo identificar, medir, gestionar y controlar eficazmente todos los riesgos asociados a la operación de sus actividades. Cuello, Pallares &Wehdeking (2008) aseguran que se identificó que en esta empresa la Gestión de Riesgos fue un caso exitoso, debido a que se logró ejecutar un mapa de procesos que le permitiera a GECELCA identificar, medir, gestionar y controlar eficazmente todos los riesgos asociados a la operación de sus actividades. Dicho sistema
13
está compuesto por el conjunto de políticas, procedimientos, metodólogas de medición y mecanismos de seguimiento y control interno especiales, los cuales deben permitir a esta organización la adopción de decisiones oportunas para la adecuada mitigación del riesgo de mercado(...). La empresa debe involucrar todos los niveles en el proceso de gestión de riesgos, por lo que la participación de cada uno de ellos estará claramente definida en los manuales de la organización, así como en la descripción de funciones, de políticas y procedimientos y en normas de carácter similar establecidas por la organización. La organización debe involucrar en la supervisión global de la toma de riesgos a la Alta Dirección, a fin de determinar la orientación a seguirse con relación a decisiones dentro de la gestión de riesgos. La empresa debe establecer funciones separadas para la toma y administración integral de riesgos, lo cual proporcionará independencia en el control y análisis de riesgos, facilitando la integración del proceso. La organización debe asignar responsabilidades y realizar seguimiento detallado de las medidas tomadas sobre los riesgos identificados en cada una de las líneas de negocio o unidades generadoras de riesgos. Este trabajo aporta referentes importantes para la elaboración del marco teórico en el desarrollo del proceso de administración de riesgos, en los cuales interviene la identificación, análisis, evaluación, tratamiento, seguimiento y monitoreo de los riesgos, con énfasis en las diferentes metodologías para el análisis de los riesgos. 8.2. MARCO CONCEPTUAL Riesgo: Efecto de la incertidumbre sobre los objetivos.[1] Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. [1] 14
Otras definiciones sobre Gestión del Riesgo: La gestión del riesgo se define como el proceso de identificar, analizar y cuantificar las probabilidades de pérdidas y efectos secundarios que se desprenden de los desastres, así como de las acciones preventivas, correctivas y reductivas correspondientes que deben emprenderse. [1] Administración de Riesgo Empresarial: Es un proceso efectuado por la Junta de Directores, la administración y otro personal de la entidad, aplicado en la definición de la estrategia y través del emprendimiento, diseñado para identificar los eventos potenciales que pueden afectar la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer seguridad razonable en relación con el logro del objetivo de la Entidad. [1] Beneficios de la Gestión del Riesgo Según la normas ISO 31000 los beneficios de la Gestión del Riesgo son:
Se define una estructura de riesgos corporativa que soporta toda la gestión de una manera adecuada.
Facilita el acercamiento de la Junta Directiva y la Alta Dirección a la estrategia de negocio y sus impedimentos.
Facilita un involucramiento de las personas en la administración y evaluación del riesgo en toda la Organización.
Los Responsables de la administración del riesgo son plenamente identificados. - El Lenguaje y el enfoque son comunes con respecto al riesgo.
Se da Tratamiento y Optimización del riesgo en procesos críticos. [1]
15
Proceso de gestión de riesgo: Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las labores de comunicar, establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y revisar el riesgo. [1] Sistema para la gestión de riesgo: Conjunto de elementos del sistema de gestión de una organización involucrados en la gestión de riesgo [1]. Así mismo, Bravo & Sánchez realizan la clasificación de los riesgos en cuatro categorías, identificadas en el ciclo de planeación de una empresa, como se muestra en la figura 1. Figura 1. Ciclo de planeación [2]
Fuente: Bravo, O., & Sánchez, M. (2012) (p.22).
Proceso del sistema de gestión del riesgo:De acuerdo a los anteriores conceptos y aspectos relacionados con el Sistema de Gestión del Riesgo (SGR), se presentan las etapas en la Figura 2 que siguen al proceso de gestión de riesgos de cualquier naturaleza. [1]
16
Figura 2. Ciclo de la administración del riesgo [2]
Fuente: Bravo, O., & Sánchez, M. (2012) (p.72).
8.3. MARCO INSTITUCIONAL Colvista SAS es una empresa proveedora de soluciones y servicios que hacen más eficiente el entorno tecnológico de los clientes. Desde 1996 Colvista SAS ha trabajado en la construcción de un camino solido hasta el éxito. Desarrollando y liderando negocios en todas las áreas que se ha desempeñado, lo cual se evidencia en más de 18 años de historia sobresaliendo en cada servicio y producto.
17
8.3.1. Visión Ser reconocidos como líderes en la integración de soluciones de tecnología y procesos empresariales, distinguiéndonos por el profesionalismo de nuestra gente, la eficiencia de nuestros procesos y la calidad de nuestras soluciones. [3] 8.3.2. Misión Proveemos soluciones y servicios que hacen más eficiente el entorno tecnológico y los procesos de nuestros clientes; generándoles valor, convirtiéndonos en su socio estratégico para alcanzar sus objetivos y garantizando su satisfacción a través de la excelencia de nuestra gestión. [3] 8.3.3.
Política de calidad
Colvista SAS, aporta para la satisfacción de sus clientes soluciones y servicios que hacen más eficiente el entorno tecnológico y los procesos de nuestros clientes en los sectores público y privado. Establecemos convenios con aliados estratégicos para garantizar la prestación de los servicios y suministro de productos con los más altos estándares de calidad. Para el logro de nuestra meta es de vital importancia contar con un talento humano competente, garantizándole un clima organizacional adecuado para el desarrollo de sus actividades. Nos comprometemos con la mejora continua de los procesos para logar la satisfacción y el permanente complimiento de las expectativas del cliente. [3]
18
8.3.4.
Valores
Clientes: Reconocemos que nuestros Clientes dan sentido a nuestra Misión; entendemos sus necesidades y garantizamos el cumplimiento de nuestros compromisos, trabajando con excelencia, oportunidad y calidad, para lograr su satisfacción. Respeto: Reconocemos el valor, las capacidades y la diversidad de las personas como elementos de crecimiento personal y organizacional. Honestidad: Actuamos con honradez e integridad, observando una conducta recta y honorable, haciendo un uso adecuado y racional de los recursos que nos han encomendado para la realización de nuestro trabajo. Compromiso: Hacemos bien las cosas desde la primera vez, comprometidos con la organización, con nuestros clientes y con excelencia tanto en los resultados como en la forma en que los alcanzamos. Iniciativa: Actuamos en forma proactiva, orgullosos de los que hacemos e inspirando a los demás. Innovación: Implementamos constantemente nuevas y mejoras formas de hacer las cosas. Trabajo de Equipo: Actuamos en forma colaborativa con las áreas internas y con nuestros clientes para lograr los mejores resultados. Comunicación: Nos comunicamos en forma respetuosa, asertiva y eficiente, prefiriendo siempre los canales personales y directos.[3] 8.4. MARCO LEGAL Las normas por las cuales se rige actualmente la empresa son:
NIC (Normas Internacionales de Contabilidad) 2649 y 2650. 19
Ley 80 (Estatuto General de Contratación).
Código sustantivo del trabajo.
Código de comercio.
Certificación de la norma ISO 9001:2008
En proceso: Certificación en CMMI (Integración de modelos de madurez de capacidades), certificación de la norma ISO 31000 e ISO 27001.
9. DISEÑO METODOLÓGICO 9.1. Población y muestra 9.1.1. Población La población objeto de estudio la conforman los procesos definidos en el SGC de la empresa Colvista SAS. En el cuadro 1, de acuerdo al Sistema de Gestión de Calidad implementado por la empresa, los procesos que corresponden a la organización son los siguientes: Cuadro 1. Procesos de la empresa SISTEMA DE GESTION DE LA CALIDAD No.
Proceso
1
Dirección Estratégica
2
Gestión de Procesos y Calidad
3
Gestión Comercial
4
Gestión Preventa
5
Gestión de Servicios
20
6
Gestión Humana
7
Gestión Administrativa
8
Gestión Financiera
9.1.2.
Muestra
En consideración del número de elementos definidos en la población, la muestra del proyecto se hace igual a la población, ósea, los ocho (8) procesos. 9.2. Fases y Actividades Fase I: Caracterizar las actividades mediante un análisis descriptivo para obtener datos suficientes y necesarios, con el fin de identificar los riesgos generados en los procesos de las aéreas de la empresa Colvista SAS. Actividades: 1. Analizar el contexto actual, con la información básica de la empresa utilizando los diagramas de procesos. 2. Identificar los procesos organizacionales, por medio del manual de calidad de la empresa. 3. Conocer el estado actual de las áreas de la empresa, realizando encuestas a los jefes de proceso. Fase II: Diseñar un sistema de control e identificación, para mitigar los riesgos operativos en la empresa, mediante la utilización de matrices de análisis semicuantitativo, validar durante un periodo de tiempo la correcta ejecución de los controles, con el fin de evidenciar la eficacia de su aplicación. Actividades: 21
4. Identificar los riesgos que se generan en los procesos de las áreas de la empresa Colvista SAS con la información recolectada, documentándolos en matrices de análisis. 5. Identificar las causas y consecuencias que producen y generan dichos riesgos identificados en la actividad anterior, documentándolos en matrices de análisis. 6. Valorar los riesgos que se identificaron en las áreas, utilizando los parámetros de la norma NTC 5254 con relación a evaluación de riesgos, documentándolos en matrices de análisis. 7. Realizar un tratamiento específico para cada riesgo, utilizando los parámetros de la norma NTC 5254 con relación al tratamiento de riesgos, documentándolos en matrices de análisis. 8. Diseñar el mapa de riesgos, según los riesgos identificados en los procesos, mediante la herramienta Excel. 9. Evaluar los controles que se identifiquen para cada tipo de riesgo, por medio de pruebas reales que validen la eficacia del desarrollo. 10. Modificar si es necesario las actividades de control que se seleccionaron en la matriz de riesgos.
22
9.3. Fuentes e instrumentos Cuadro 2. Fuentes e Instrumentos
Tipo de Fuente Primaria
Secundaria
Instrumentos Observación del proceso. Entrevistas con los jefes de los procesos. Mapa de procesos Procedimientos Formatos Instructivos Libros Documentación de internet Normas técnicas colombianas
10. RECURSOS 10.1.
Humano
-
Docente encargado de dirigir el proyecto.
-
Jefes de proceso, quieres brindan la información suficiente para ejecutar el mismo.
-
10.2.
Estudiante encargada de desarrollar el diseño de gestión de riesgos.
Físico
-
Instalaciones de Colvista SAS.
-
Equipos de cómputo necesarios para desarrollar el proyecto.
-
Normas Técnicas Colombianas que aplican para el desarrollo.
-
Páginas de internet necesarias. 23
11. ANÁLISISY RESULTADOS Para la implementación del Sistema de Gestión de Riesgos Organizacional correspondientes a los procesos de Colvista SAS, se debe tener en cuenta que un riesgo organizacional es la posibilidad de que un evento ocurra afectando el cumplimiento tanto de los objetivos como metas y estrategias de la empresa. Por esto, se hace necesario que la organización establezca los límites dentro de los cuales se considerarán cumplidos dichos objetivos y qué tolerancia al riesgo se estará dispuesta a asumir. A partir de esto y bajo los parámetros establecidos por Colvista SAS para administrar los riesgos, se va a considerar la identificación, análisis, evaluación y tratamiento, como las etapas que permitirán responder de forma adecuada ante la materialización de los riesgos.
11.1.
Contexto Actual
Para dar inicio a la identificación de riesgos y continuar con el proceso de levantamiento de mapa de riesgos, se procedió a conocer todos y cada uno de los procesos establecidos y descritos en el Sistema de Gestión de Calidad, por medio de la Intranet de Colvista donde están documentados todos los procedimientos de la organización, esta actividad fue de vital importancia porque de esta manera se conocieron más a fondo todas las actividades que se presentan en cada una de las áreas. Cada documento interno está compuesto por: -
Objetivo
-
Alcance
-
Definiciones
-
Contenido
-
Guías de Ajuste
-
Métricas
-
Relación de Anexos
-
Historial de Cambios
24
En la figura 3, se presenta el soporte de la Intranet, lugar de donde se debiรณ sacar toda la informaciรณn correspondiente para la contextualizaciรณn de los procesos. Figura 3. Soporte SGC Intranet Colvista SAS
25
11.2.
Identificar los procesos
Actualmente en la empresa Colvista SAS, en cumplimiento con los requisitos establecidos en la ISO 9001:2008, se tiene documentado en el Sistema de GestiĂłn de Calidad, un manual de calidad, donde se define, que la operaciĂłn de la empresa se va a regir bajo el modelo de procesos descrito en la figura 4, allĂ se evidencian los macro procesos de Colvista SAS. Figura 4. Modelo de procesos de Colvista SAS
26
11.3.
Estado actual de las รกreas de Colvista
Para conocer a cerca del estado actual de las รกreas relacionado con gestiรณn de riesgos, se realizaron 10 encuestas a los directores de proceso, el modelo de encuesta se evidencia en la figura 5. Figura 5. Encuesta
27
11.3.1. Resultado de las encuestas Pregunta 1. ¿Conoce usted acerca de la Gestión de Riesgos? -
El 70% de los encuestados respondió que si conoce acerca de la gestión de riesgos en las organizaciones.
Grafica 1. Conocimiento sobre Riesgos
1. ¿Conoce usted acerca de la Gestión de Riesgos?
30% Si No 70%
Pregunta 2. Si la respuesta anterior es Si, responda la siguiente pregunta: ¿Usted realiza matrices de riesgos en su cargo como director de proceso? -
Para esta pregunta, a continuación de evidencia que el 30% de personas encuestadas ha utilizado matrices de riesgo.
28
Grafica 2. Utilización de matrices
2. ¿Usted realiza matrices de riesgos en su cargo como director de proceso?
30%
Si 70%
No
Pregunta 3. ¿Usted cree que realizar una adecuada Gestión del Riesgo mejoraría la productividad en su área? -
El resultado a esta pregunta fue el esperado y por lo tanto satisfactorio, porque se muestra que todos los líderes de proceso encuetados si creen que realizar una adecuada Gestión del Riesgo mejorara la productividad en sus respectivas áreas.
Grafica 3. Adecuada gestión de riesgos
¿Usted cree que realizar una adecuada Gestión del Riesgo mejoraría la productividad en su área? 0%
Si No 100%
29
Pregunta 4. ¿Estaría usted dispuesto a controlar los riesgos en su cargo como director de proceso, como una manera de disminuir posibles errores? -
Con esta pregunta se evidencia el interés de los jefes de proceso en controlar los riesgos en su cargo como director.
Grafica 4. Disposición para controlar los riesgos
4. ¿Estaría usted dispuesto a controlar los riesgos en su cargo como director de proceso, como una manera de disminuir posibles errores? 0%
Si No
100%
Pregunta 5. ¿Estaría usted dispuesto a realizar sus actividades Gestionando Riesgos? -
A continuación se evidencia que el 100% de los jefes de proceso están dispuestos a realizar todas sus actividades Gestionando Riesgos.
30
Grafica 5. Disposición para controlar las actividades por medio de gestión de riesgos
5. ¿Estaría usted dispuesto a realizar sus actividades Gestionando Riesgos? 0%
Si No
100%
Al final del documento en el Anexo 1, se evidencian todas las encuetas realizadas. 11.4.
Identificación de riesgos
Antes de realizar la identificación de los riesgos operativos es importante aclarar según el alcance del presente estudio, que el referente para la definición de los procesos a los cuales se les realizó el proceso de gestión de riesgos fueron los procesos de Evaluación, Planeación Estratégica, Operaciones y de Apoyo y Soporte, definidos en el Sistema de Gestión de la Calidad de Colvista SAS. De los procesos operacionales se unifica Servicios e Investigación y Desarrollo, ya que se relacionan con tecnologías de la información, en lo referente a Gestión Comercial y Preventa se tomara en conjunto, porque la realización de actividades se simplifica en una sola operación. Relacionado con apoyo y soporte, se denota que el área Administrativa se subdivide en Compras e Inventarios y Activos Fijos.
31
Lo anterior se ve reflejado en el siguiente cuadro, donde se identificaron los riesgos para dos (2) procesos de Planeación Estratégica, dos (2) Procesos de Operaciones y cuatro (4) procesos de Apoyo y Soporte.
Cuadro 3. Procesos Definidos para la ejecución del Sistema de Riesgos
Procesos Definidos en el SGC Planeación 1 Direccionamiento Estratégico Estratégica 2 Procesos y Calidad 3 Gestión Comercial 4 Gestión de Preventa Operaciones 5 Servicios 6 Investigación y Desarrollo 7 Gestión Humana Apoyo y Soporte
8 Gestión Administrativa 9 Gestión Financiera
Procesos Definidos para la ejecución del Sistema de Riesgos 1 Direccionamiento Estratégico 2 Procesos y Calidad 3
Gestión Comercial y Preventa
Servicios e Investigación y Desarrollo 5 Gestión Humana 6 Compras 7 Logística e Inventarios 8 Gestión Financiera 4
Para la identificación de los riesgos en los procesos, se aclara que el primer objetivo del proyecto se desarrolló en tres momentos: en el primero se buscó identificar los tipos de riesgos hay en los procesos a analizar. En el segundo momento, se determinó las fuentes de riesgos a nivel interno y externo y los tipos de causas y por último se determinó los efectos que podrían materializar los riesgos identificados. La base del formato de la entrevista, se desarrolló para conocer la respuesta a una pregunta importante relacionada con los riesgos en los procesos: ¿qué puede ocurrir?, con la idea de identificar información que permitiera administrar de forma efectiva los riesgos, obteniendo el tipo de riesgo.
32
El formato para consolidar los riesgos identificados en los procesos de las áreas de Colvista SAS, contiene los elementos ilustrados en el cuadro 4, donde se detalla el nombre del proceso o área, objetivo del proceso, numero de riesgo, riesgos y descripción del riesgo. Cuadro 4. Cuerpo del formato para la identificación de riesgos
PROCESO OBJETIVO DEL PROCESO
No.
RIESGO
DESCRIPCIÓN DEL RIESGO
Este formato fue utilizado para cada uno de los ocho (8) procesos seleccionados, para realizar la gestión de los riesgos organizacionales siguiendo la misma metodología. Como resultado de la información obtenida, se presenta a continuación cuadros resumen con la magnitud de los riesgos identificados, para los procesos que conforman la cadena de operación de la organización, definida para la gestión del riesgo. En el cuadro 5 se presenta la cantidad de riesgos para el caso de los procesos de Planeación Estratégica, obteniendo lo siguiente:
33
Cuadro 5. Riesgos del Macro Proceso de Evaluación Estratégica COLVISTA SAS Macro Proceso de Evaluación Estratégica Nombre del proceso
No.
Riesgo
1
Inadecuada planeación, divulgación y aplicación de los planes de la Organización Desarticulación en la planeación estratégica de la entidad Desacierto en la planeación presupuestal Desactualización de los procesos versus el sistema de Gestión de calidad Desacierto en indicadores de gestión Estructura de negocio inapropiada Ausencia de un control detallado, respecto a la recolección de indicadores de gestión. Ausencia de acciones de mejora Inadecuada distribución de la información en cuanto a la actualización de los formatos Incumplimiento de los requisitos de la norma ISO 9001:2008. Carencia de resultados confiables de las auditorias
2 Dirección Estratégica
3 4 5 6 7
Procesos y Calidad
8 9 10 11
Cantidad de Riesgos
Total
6
5
11
En la siguiente grafica 6, se evidencia que los procesos del Macro Proceso de Evaluación Estratégica, están directamente relacionados, debido a que la diferencia en la cantidad de riesgos es solamente del 8%.
34
Grafica 6. Riesgos del Macro Proceso de Evaluación Estratégica
Riesgos del Macro Proceso de Evaluación Estratégica
46%
Dirección Estratégica Procesos y Calidad
54%
En el cuadro 6 se presenta la cantidad de riesgos para el caso de los procesos de Operaciones, obteniendo lo siguiente: Cuadro 6. Riesgos del Macro Proceso de Operaciones COLVISTA SAS Macro Proceso de Operaciones Nombre del proceso Gestión Comercial y Preventa
No.
Riesgo
12 13
Inadecuada estructura en el área comercial Carencia en el análisis de riesgo y ANS en los negocios Desacierto en los precios, elaboración de propuestas inapropiadas Continuidad del negocio Conflicto de intereses Fallas en la red Sistemas operativos Obsoletos Base de datos desactualizadas
14 15 16 17 18 19
35
Cantidad de Riesgos
5
Gestión de Servicios
20 21 22 23 24 25 26 27 28 29 30
Desacierto en Aplicaciones de apoyo al ERP Caída de canal en el centro de computo Caída de canal entre los puntos remotos y oficina principal Fallas en equipos de red Fallas en los equipos de seguridad perimetral, firewall Fortinet Fallas en los servidores Fallas en el fluido eléctrico Fallas en los equipos eléctricos Incendio en oficina principal y/o centro de computo Robo de equipos Acceso no autorizado de usuario Administrador Total
14
19
En la siguiente grafica 7, se denota que en el Maco Proceso de Operaciones, el área de Servicios cuenta con una mayor cantidad de riesgos frente al área de Gestión comercial y preventa. Grafica 7. Riesgos del Macro Proceso de Operaciones
Riesgos del Macro Proceso de Operaciones
26%
Gestión Comercial y Preventa Gestión de Servicios
74%
36
En el cuadro 7 se presenta la cantidad de riesgos para el caso de los procesos de Apoyo y Soporte, obteniendo lo siguiente: Cuadro 7. Riesgos del Macro Proceso de Apoyo y Soporte COLVISTA SAS Macro Proceso de Apoyo y Soporte Nombre del proceso
No . 31 32
Compras
33 34 35 36 37
Logística e Inventarios
Gestión Humana
38
39 40 41 42 43 44
45 Gestión Financiera
46 47 48
Riesgo
Cantidad de Riesgos
Inadecuada parametrización de la aplicación informática del proceso de compras Conflicto de intereses en las compras Pagos a proveedores fuera de las condiciones establecidas Inapropiadas solicitudes de compra erróneas o incompletas Carencia de un presupuesto Ausencia de datos estadísticos y lista de precios Carencia de medición y análisis de gestión en el proceso Ausencia de un control detallado, con relación al inventario de activos fijos e inventarios Inadecuada selección del personal Desactualización del manual de funciones Desacierto en indicadores de gestión Ausencia de políticas de conflicto de intereses y de código de conducta Carencia de capacitación Ausencia de campañas de sensibilización tendientes a fomentar los valores en la organización Ausencia de incentivos y estímulos al personal Inexactitud en la información contable Mediciones inadecuadas a los proyectos Debilidades en las provisiones, diferidos e 37
7
1
7
12
49 50 51 52 53 54 55 56 57
intangibles Activos y Pasivos Inexistentes Inadecuada segregación de funciones Ajustes globales y errados Carencia de libros oficiales Carencia de conciliaciones contables Estados financieros errados Desconocimiento del origen de las cifras Posibles jineteos de fondos Desviación de recursos Total
26
A continuación en la gráfica 8, se identifica que el área con mayor cantidad de riesgos identificados, fue Gestión Financiera con un 44%, por otro lado el proceso de Logística e Inventarios cuenta con apenas un 4% de riesgos. Grafica 8. Riesgos del Macro Proceso de Apoyo y Soporte
Riesgos del Macro Proceso de Apoyo y Soporte 4%
26%
Compras Gestión Humana
44%
Gestión Financiera Logística e Inventarios
26%
38
Cuadro 8. Cantidad Total de Riesgos COLVISTA SAS NO.
Nombre del proceso
Cantidad de Riesgos
1
Planeación Estratégica
11
2
Operaciones
19
3
Apoyo y Soporte
27 Total
57
Acontinuacion en la grafica 9, se puede visualizar que el area que presenta mayor cantidad de riesgos es Gestion de Servicios con un 25%, debido aque su objetivo esta dirigido a definir los criterios o directrices institucionales para el buen uso y preservación de la infraestructura tecnológica de Colvista. Por otro lado se evidencia que las areas con menor cantidad de riesgos son Procesos y Calidad y Gestion Comercial y Preventa, donde la diferencia de riesgos es del 16%. Grafica 9. Porcentaje de riesgos para los procesos de Colvista SAS.
PROCESOS COLVISTA SAS 0% 21%
Procesos Colvista
11% Dirección Estratégica
9% 9%
13% 12%
Procesos y Calidad Gestión Comercial y Preventa
25%
Gestión de Servicios
39
En la gráfica 10, se presenta de forma gráfica los riesgos identificados para cada macro proceso. Grafica 10. Riesgos por Macro Proceso
Riesgos por Macro Proceso
33% 48%
Operaciones Planeación Estratégica Apoyo y Soporte
19%
11.5.
Identificación de fuentes, causas y consecuencias
En el proceso de identificación de los riesgos, es importante determinar las fuentes de riesgo, tipos de causas y posibles consecuencias asociados a los mismos,es por esto que en segunda instancia y con base en la información obtenida en el primer momento, en el cual se identificaron los riesgos para cada uno de los procesos definidos para la gestión del riesgo, se procedió a determinar las fuentes de riesgo o también llamados agentes generadores, los cuales tienen la capacidad de actuar ocasionando un riesgo. Las fuentes que se definieron son las relacionadas a continuación en el cuadro 9, esto se realizó siguiendo el modelo definido por el departamento Administrativo de la Función Pública [6]. 40
Cuadro 9. Tipos de Fuentes Tipo de
Abreviatura
Descripción
R.E
Se asocia con la forma en que se administra la Entidad. El
Fuente Estratégico
manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño
y
conceptualización de la entidad por parte de la alta gerencia. Operativo
R.O
Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre
dependencias,
oportunidades
de
lo
cual
corrupción
conduce e
a
ineficiencias,
incumplimiento
de
los
compromisos institucionales. Control Financiero
R.CTRL R.F
Ausencia de control en los procesos. Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su
41
interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad. Cumplimiento
R.C
Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.
Tecnológico
R.T
Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.
El formato para consolidar los riesgos identificados en los procesos de las áreas de Colvista SAS, las fuentes, causas y posibles consecuencias, contiene los elementos ilustrados en el cuadro 10, donde se detalla el nombre del proceso o área, objetivo del proceso, numero de riesgo, riesgos, descripción del riesgo, fuente del riesgo, posibles causas y posibles consecuencias. Para la identificación de fuentes, causas y posibles consecuencias de los riesgos identificados, fue necesario contar con el apoyo constante del Contralor de la organización, debido a su amplio conocimiento sobre Colvista SAS, también se contó con el constante apoyo de los directores de proceso dado a que son los dictante implicados en la ejecución de actividades.
42
Cuadro 10. Cuerpo del formato para la identificación de riesgos, fuentes, causas y consecuencias. OBJETIVO PROCESO DEL No. RIESGO PROCESO
FUENTES DESCRIPCIÓN DEL RIESGO DEL RIESGO
CAUSAS
CONSECUENCIAS
11.5.1. Fuentes, causas y consecuencias En el cuadro 11, se establecieron y documentaron las causas y posibles consecuencias de los riesgos, estas de identificaron teniendo en cuenta la fuente y la causa raíz del riegos, debido a que son los medios, circunstancias y agentes que generan los riesgos. Cuadro 11. Fuentes, causas y consecuencias
COLVISTA SAS
PROC No.
CLASIFICACIÓN DEL RIESGO
GESTIÓN ESTRATÉGICA
R.E
R.O
R.CTRL
R.F
R.C
POSIBLES CAUSAS (Factores internos, externos, agente generador)
R.T
Falta de capacitación en el tema de planeación estratégica (Planes, Políticas, objetivos e indicadores de gestión) a los colaboradores de los diferentes procesos 1
X
2
X
POSIBLES CONSECUENCIAS
Planes y programas mal formulados
Incumplimiento de los objetivos y los resultados esperados Información inexacta a nivel interno y externo Falta de claridad para la formulación de planes y programas, así como de responsabilidades y actividades que debe Desconocimiento externo e interno del negocio adelantar cada área Incumplimiento en políticas de buen gobierno y de gestión por procesos Cambios en la reglamentación del estado
43
Inadecuado plan estratégico
3
X
Desconocimiento en los procesos de contratación
Incumplimiento de los objetivos estratégicos Sanciones por parte de los entes del estado Información inconsistente para la toma de decisiones tanto a nivel externo como interno
Carencia de un procedimiento de planeación presupuestal
Modificaciones permanentes en el plan de compras
Inadecuada formulación de los requerimientos presupuestales por parte de los responsables de los procesos. Falta de conocimiento en el aspecto presupuestal y contable
Demoras en los pagos a los proveedores Observaciones al presupuesto por parte de los accionistas Recortes y traslados presupuestales entre rubros Errores en la ejecución de actividades realizadas por los funcionarios Pérdida de tiempo en la ejecución de actividades Resultados inapropiados
Desconocimiento de procesos y de la metodología utilizada para su actualización
4
X
Debilidades en el sistema de gestión de calidad
Falta de compromiso por parte de los jefes de proceso Desconocimiento del negocio Desconocimiento de los procesos
5
PROCESOS Y CALIDAD
7
Documentación obsoleta que genera retrasos en la ejecución de procesos Levantamiento de Hallazgos por parte de los entes externos de control y de la Contraloría Resultados deficientes en los procesos información deficiente para la toma de decisiones
Carencia de capacitación por el personal responsable de procesos
Reprocesos y sobrecostos
Carencia de liderazgo y seguimiento por parte del responsable del SGC
Mediciones inapropiadas
Alta rotación de personal en los procesos
Debilidades en el autocontrol
X
Cambios constantes en la Organización 6
Demora en la aprobación de la actualización, inclusión o eliminación del procedimiento por parte de los responsables del sistema de Gestión
X
Rotación de personal Directivo
X
X
X
Resultados deficientes y problemas de continuidad en el negocio. Pérdida de imagen ante terceros
Desequilibrio en salarios
Alta rotación de personal clave dentro de la organización, clima laboral bajo
Falta de compromiso de parte de los jefes de proceso, en cuanto a la entrega de indicadores
Incumplimiento en los objetivos de cada área
Ausencia de control por parte del área de procesos y calidad
Incertidumbre organizacional en cuanto al cumplimiento de las metas
44
Información deficiente para la toma de decisiones Falta de seguimiento por parte del responsable No tener soportes o resultados para la de Procesos y Calidad Revisión Semestral por la Dirección.
8
X
X
Desconocimiento de parte de los empleados, sobre como proponer un acción de mejora
No se generan acciones de mejora en los procesos de la organización
Falta de compromiso en cuanto a la mejora continua de la organización
No se evidencia el continuo mejoramiento en los procesos
Desconocimiento de los tiempos en que se ejecuta una propuesta de mejora
Incumplimiento en los procesos establecidos Ejecución de actividades con formatos antiguos y desactualizados
Falta de interés en las mejoras que se ejecutan
9
10
GESTIÓN COMERCIAL Y PREVENTA
11
X
X
X
X
X
No todas las actualizaciones corresponden a su respectivo proceso
Desinformación de formatos existentes
Ausencia de compromiso de parte de la dirección de Procesos y Calidad
Posible identificación de hallazgos en las auditorias por el ente certificador (Cotecna)
Desinformación de los empleados, sobre la importancia del cumplimiento de la norma Debilidad en el área de Procesos y Calidad y falta de compromiso de la Dirección Estratégica. Perdida de evidencia objetiva del proceso auditado
Resultados negativos en los procesos
Falta de información sobre el proceso, incumplimiento a los principios de los auditores Personal no calificado en el área comercial Desconocimiento en contratación estatal
12
13
X
X
X
X
Falta de claridad en el foco principal del negocio Salarios inapropiados para la remuneración del personal de ventas
Perdida de la certificación ISO 9001:2008
Falta de conclusiones de las auditorias
Medición inadecuada del proceso
Incumplimiento en el presupuesto de ventas perdidas de negocios importantes y problemas relacionados con la continuidad del mismo sobrecostos y baja generación de valor Clima laboral de la Compañía deficiente
Desconocimiento en el tema de riesgos por parte del personal comercial
Aceptación de clausulas que puedan ser poco viables para la Compañía
Falta de compromiso en el personal comercial
Desequilibrio económico
45
concentración de negocios en un solo sector ( público)
Perdidas económicas
Carencia de liderazgo en el proceso comercial
Negocios poco rentables con márgenes inapropiados
Falta de estadísticas e indicadores de la competencia Carencia de encuestas 14
Perfiles y competencias del personal inadecuadas
16
perdida de negocios
X Debilidades y desactualización en las bases de datos
15
Propuestas mal elaboradas
X
Mala imagen corporativa
Sobrecostos en personal
Estructura de personal comercial inadecuada y Resultados deficientes y costos fijos para la no comprometido con la organización Organización Estrategias de consecución de negocios erradas Reprocesos y sobrecostos Propuestas sobre costeadas Mala reputación Errores significativos y perdidas Carencia de filtro y revisiones en las propuestas económicas Carencia de trabajo en equipo Reprocesos y errores en la información Debilidades en el diligenciamiento de los cuadros de costos Perdida de negocios
X
Carencia de valores y sentido de pertenencia Personal inadecuado y resultados por parte del personal de preventa y comercial inapropiados Intereses personales y selección inadecuada de proveedores Perdidas económicas posibles fraudes
X
Falta de seguimiento en la asignación de proveedores
Sobrecostos para la Compañía
Inestabilidad del sistema operativo 17
x
Bloqueos sobre los servicios
GESTION TI
Permisos inapropiados
18
19
Desactualización del sistema operativo
Carencia de información para el usuario
Virus y ataques informáticos
Perdida en la integridad de la información y por ende económicas
omisión de los requerimientos de hardware X especificados por el proveedor
X
Daño del dispositivo
Malas acciones administrativas sobre el S.O.
Perdida de información
Conflicto en ejecución de aplicaciones instaladas
Perdidas de información
Desactualización del motor de la base de datos Carencia de soporte por parte del proveedor
46
Perdida de integridad y disponibilidad de la base de datos perdidas económicas por sobrecostos
Ejecución de procesos automáticos y/o programados que afecten el desempeño de la BD. Incumplimiento de requerimientos mínimos de software y hardware
20
21
22
Sobrecostos
Ejecuciones transaccionales, que dejen procesos abiertos al finalizar la ejecución
Hurto de información
Incompatibilidad entre le motor de B.D, el S.O y las aplicaciones instaladas
Fallas en la aplicación ( lentitud, bloqueos)
Daños sobre la instalación del software
No disponibilidad de la aplicación
24
25
Bloqueos en la aplicación Lentitud en el sistema Inestabilidad en la aplicación
Pérdida de sincronización entre los equipos del proveedor de comunicaciones
Carencia de acceso a canales de datos e Internet
Daños en los medios físicos (fibra óptica, cobre, radio enlace)
Improductividad, perdidas económicas
Fallas en el servicio ADSL del punto remoto
Carencia de acceso a la información y recursos de red de sedes alternas a cede principal
Fallas en el equipo de conectividad Firewall X fortinet Daños en los canales de comunicación
Daños en los componentes electrónicos por deterioro Puertos quemados por filtración de energía en X el cableado de datos o picos de voltaje
X
Funcionamiento erróneo en la aplicación
Actualización mal instalada
Daños físicos en las líneas telefónicas
23
Perdida de información
Acciones administrativas erróneas que generen un mal uso de los recursos
Actualizaciones incompatibles Mal funcionamiento de los servicios por X consumo excesivo Procesos ejecutados paralelamente, que detengan la ejecución del software
X
Disminución de rendimientos en la base de datos
Vulnerabilidad a ataques de todo tipo Improductividad, perdidas económicas Incomunicados con cliente interno y externo Perdida de información Pedidas económicas
Falla por ataque interno o externo
Perdida de información
Daño en componentes de hardware
Vulnerabilidad a ataques de todo tipo
Daño en el sistema operativo
Pedidas económicas
Falla por ataque interno o externo
perdidas económicas
X Daño en componentes de hardware
47
Inestabilidad en el sistema , carencia de servicio, perdida de información
26
X
27
Daño en el sistema operativo
Pedidas económicas
Falta de mantenimiento preventivo
Fallas de hardware y perdidas económicas
Daños en el software de producción
Perdidas económicas
Picos de voltaje
Daño de equipos
Altas o bajas de voltaje
Daño de equipos
Interrupción del servicio eléctrico
Improductividad, perdidas económicas
Falla planta eléctrica
NO disponibilidad de servicios
Falla de UPS
Interrupción de servicio
Falta de mantenimiento preventivo
Fallas de hardware y perdidas económicas
X Desgaste de las baterías Mala calidad de le energía de entrada
Daño de equipos
Falta de mantenimiento preventivo en los equipos electrónicos
Perdidas económicas
X sobrecargas eléctricas
28
Daño de equipos
Corto circuito
Daño de equipos
29
X Fallas en el esquema de seguridad
30
X Falta de medidas de seguridad para el manejo de la Clave
Robo de la clave
COMPRAS
31
x
32
33
x
x
x
x
x
x
Disminución en capacidad de reacción
Perdida de información y perdidas económicas Perdida de información
Carencia de parametrización en el sistema Carencia de capacitación a los operarios del software Carencia de seguimiento a la política de compras Ausencia de procedimientos para el manejo y control del Software
Perdida de información, hurto de identidad
Sobre costos en la adquisición de bienes y/o servicios Sobrepasar los topes de compras autorizados Fraude y perdidas económicas
Incumplimiento en los procedimientos establecidos
Sobre costos para la Organización
Personal con carencia de valores inadecuada segregación de funciones y carencia de control
Fraude y perdidas económicas Mala reputación y desmotivación en algunos proveedores
Insuficiente flujo de efectivo en el momento del vencimiento de la factura Condiciones de pago desfavorables para la compañía
Mala reputación y desmotivación en algunos proveedores
Sobre costos por intereses por mora en los pagos Ausencia de planeación y cronograma de pagos Incumplimiento y mala reputación
48
Falta de control en las requisiciones y en las solicitudes de compra 34
x
x
Falta de comunicación entre preventa, Retraso en los proyectos y sanciones comercial y compras pecuniarias Desconocimiento técnico por parte del personal Sobrecostos de compras
Informalidad y ausencia de seguimiento
Información inconsistente para la toma de decisiones tanto a nivel externo como interno Sobrecostos y mala reputación en la imagen de la compañía Fraudes y perdidas económicas
Carencia de una aplicación informática que permita tener una base de datos con precios
Perdidas económicas y sobrecostos en los mimas
Personal con competencias inadecuadas en el área Carencia de un archivo de datos históricos, confiable.
Demoras en proceso de cotización y elaboración de propuestas
Ausencia de indicadores de Gestión
Toma de decisiones erróneas
Debilidad en los controles
Posibles fraudes y perdidas económicas
Ausencia de Supervisión y Seguimiento
Resultados inapropiados para el proceso
Falta de compromiso por parte de los jefes de proceso para implementar un control de existencias
Información errada para toma de decisiones
Ausencia de capacitación y conocimiento de las normas establecidas para los activos fijos e inventarios
Sanciones pecuniarias para la organización
Inconsistencias y desactualización de los registros existentes
Fraude y perdidas económicas
No existe control por parte del área financiera 35
x
x Debilidades en la competencias del personal
36
ACTIVOS FIJOS E INVENTARIOS
37
38
x
x
x
X
X
Devoluciones y perdidas económicas
Productos de mala calidad
Ausencia de procedimientos claros que definan las actividades y el control sobre los activos e Reprocesos y costos para la organización inventarios Debilidad en cuanto a la distribución, segregación de funciones y niveles de Pérdidas económicas, resultados deficientes autoridad. Carencia de aplicaciones tecnológicas que permitan realizar trazabilidad y control de Desactualización de información registros Carencia de una distribución física y demarcaciones de bodega
Reprocesos y costos para la organización
Los registros existentes no se cruzan ni conciliados con la contabilidad
Información deficiente
49
39
X
X
Carencia de seguimiento y control al proceso de selección
fraude y sobrecostos
Falta de fuentes de información para recolectar hojas de vida
Demora en la contratación de personal
Carencia de planeación en la requisición de personal
contrataciones erradas
Carencia de estudios de seguridad y confirmación de referencias
Posibles fraudes
Desempeño inadecuado en los procesos Desconocimiento de las competencias que debe tener cada cargo Insatisfacción en la prestación del servicio por parte de los usuarios finales
40
X
GESTIÓN HUMANA
X
41
X
X
Falta de compromiso por parte de la gerencia de Gestión Humana
Desarrollo de actividades que no se encuentran formalmente establecidas
Alta rotación de personal en el área
Clima laboral inadecuado
Ausencia de conocimiento de los procedimientos existentes
Deficiencias en los procesos a desarrollar
Desconocimiento de los procesos ejecutados
Deficiencia en los resultados obtenidos
Carencia de compromiso y seguimiento por parte del responsable del SGC
Mediciones y toma de decisiones erróneas en los procesos
Alta rotación de personal en el área
Pérdidas en curva de aprendizaje y reprocesos
Ausencia de conocimiento de parte del Información deficiente para la toma de responsable de Gestión Humana, con relación a decisiones las mediciones Improvisación en la contratación de personal Fraude y sobrecostos Informalidad en los procesos 42
x
x
Ausencia de control en el proceso
Resultados inapropiados de los procesos
Falta de imparcialidad en la selección de personal Falta de presupuesto para capacitaciones
43
X
X
Audiencia de pruebas técnicas en el proceso de selección Ausencia de plan carrera dentro de la Organización Ausencia de compromiso por parte de la Alta Dirección
50
Conocimientos desactualizados sobre los procesos Personal inapropiado y deficiencias en la Gestión Desmotivación y mala reputación Incumplimiento de los objetivos estratégicos
44
x
x
Carencia de interés por parte de los empleados Carencia de un procedimiento efectivo que permita promulgar los valores al interior de la organización. Falta de voluntad y compromiso por parte del personal responsable. Ausencia de buen ejemplo por parte de personal directivo
45
x
x
X
X
Resultados ineficientes
Desconocimiento de las necesidades del personal
Desmotivación del personal
Carencia de políticas contables Alta rotación de personal del área Debilidades de criterio y ética profesional
47
X
Mala imagen corporativa
Carencia de presupuesto
Desconocimiento de las normas 46
Cultura organizacional deficiente
Posibles sanciones por organismos de control Toma de decisiones inadecuada
Carencia de información en línea Carencia de medición y toma de decisiones inadecuada
GESTIÓN FINANCIERA
48
X
X
Desconocimiento de las normas Carencia de pruebas en detalle
49
50
51
X
X
X
X
X
X
Contingencias sin definir Manejos inadecuados Exceso de confianza y falta de seguimiento y control a algunos colaboradores en la organización (tesorería y compras) Personal contable con carencia de conocimiento Sistemas contables complejos para identificar partidas Carencia de control en los ajustes Desconocimiento de las normas contables
52
X
X
Debilidades en el control interno (revisoría fiscal), alta rotación del jefe contable
X
Desconocimiento de la importancia de las conciliaciones, personal inapropiado
X
Carencia de control por parte de la Gerencia financiera, rotación del Jefe de contabilidad, desconocimiento del impacto en las sanciones que puede acarrear
Información errada
Posibles fraudes
Información con errores
Información con errores
Información con errores 53
54
X
X
51
Posibles fraudes y sanciones pecuniarias por órganos de control
55
X
X
Inexistencia de libros de libros contables
Posibles sanciones por organismos de control
Fraudes y pérdidas económicas
Posibles fraudes y sanciones pecuniarias por órganos de control
56
X
X
Exceso de confianza en personal con manejo de efectivo Inadecuada segregación de funciones Carencia de control por parte del Gerente financiero
57
X
X
Exceso de confianza en personal con manejo de efectivo y carencia de control
11.6.
Valoración de riegos en los procesos
Seguido al trabajo realizado en cada proceso y ejecutadas las tres etapas presentadas anteriormente, se continuo estableciendo la probabilidad o frecuencia e impacto de los riesgos, mediante una calificación, para así obtener información y luego definir el nivel de exposición, zona de riesgo y la estrategia de administración sugerida. Para realizar un adecuado análisis de la información obtenida en el formato de identificación de riesgos, fue necesario el apoyo y soporte de un auditor interno de Colvista SAS, debido a que tiene un amplio conocimiento en todos los procesos de la organización. Para el eficaz análisis de riesgos existen diferentes metodologías, sin embargo para este caso se tuvo en cuenta la planteada por la norma técnica NTC 5254, que tiene en cuenta tres aspectos o niveles para realizar la calificación. La otra metodología de la cual se tomó referencia fue la planteada por el Departamento Administrativo de la Función Pública en su documento “Guía de Administración del Riesgo” [6]. Según lo planteado anteriormente se analizaron los riesgos bajo un criterio cualitativo, en el cual se utiliza una escala que clasifica aspectos con valoración numérica, de esta manera lograr definir e identificar el nivel de riesgo; dicho desarrollo se realizó en dos (2) etapas:
52
-
Frecuencia o Probabilidad.
-
Impacto.
11.6.1. Frecuencia o Probabilidad e Impacto.
Luego de lo mencionado anteriormente, se determinaron los rangos tanto para la probabilidad como para el impacto, desarrollados bajo los parámetros mencionados anteriormente. Las escalas determinadas para la frecuencia e impacto están desarrolladas en tres (3) niveles, de la combinación de estos dos (2) criterios dependerá el éxito de la gestión del riesgo, ya que matemáticamente el riesgo es proporcional a cada uno de sus dos componentes, siendo por esta razón la función del riesgo esencialmente un producto. A continuación, se presenta la escala de frecuencia o probabilidad que se utilizó para el análisis de los riesgos organizacionales, previamente identificados en la fase anterior. En el cuadro 12, se presentan los elementos para definir la escala de probabilidad: un valor, un nivel de la probabilidad y la descripción del significado del nivel. Los niveles de riesgo, se describen en valores del número uno (1) al tres (3), siendo uno (1) el de menor ocurrencia y tres (3) el de mayor ocurrencia. Cuadro 12. Escala de probabilidad Valor 1 2 3
Probabilidad Baja Media Alta
Descripción La amenaza no posee la suficiente motivación y capacidad. La amenaza es posible. La amenaza está altamente motivada y es suficientemente capaz de llevarse a cabo.
53
Teniendo en cuenta los parámetros anteriores y antes de realizar el análisis completo de los riesgos identificados, fue necesario definir la escala de impacto. En el cuadro 13, se presentan los valores de los tres (3) niveles de impacto definidos: cinco (5) impacto leve, diez (10) impacto moderado y veinte (20) impacto moderado. Cuadro 13. Escala de Impacto Valor 5 10 20
Impacto Leve Moderado Catastrófico
Teniendo en cuenta lo mencionado anteriormente y en base a lo planteado en la norma técnica NTC 5254 y lo presentado por el Departamento Administrativo de la Función Pública en su documento “Guía de Administración del Riesgo” [6], con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz (Cuadro 13.) que contempla un análisis cualitativo, que hace referencia a la utilización de formas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Tomando las siguientes categorías: leve, moderada y catastrófica en relación con el impacto y alta, media y baja respecto a la probabilidad. La calificación se realizó de la siguiente manera: -
Probabilidad Alta se calificó con 3.
-
Probabilidad Media con 2
-
Probabilidad Baja con 1
-
Impacto si es Leve con 5
54
-
Impacto si es Moderado con 10
-
Impacto si es Catastrófico con 20.
Lugo de darle el valor a los riesgos según lo mencionado anteriormente, se procedió a identificar la ubicación dependiendo la zona de riesgo Aceptable, Tolerable, Moderado, Importante o Inaceptable. Si el riesgo se ubica en la Zona de riesgo aceptable donde su calificación es 5, quiere decir que la probabilidad es baja y su impacto es leve, para lo cual se debe asumir el riesgo, lo que indica que el riesgo se encuentra en un nivel que puede ser aceptado sin tomar medidas adicionales o nuevas a las que posiblemente existen. Por otro lado cuando el riesgo queda en la zona de riesgo inaceptable donde su calificación es 60, quiere decir que su probabilidad es alta y su impacto catastrófico, para este caso la medida a tomar según lo indica la norma técnica NTC 5254, es eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario se deben implementar controles de prevención para evitar la probabilidad del riesgo. Finalmente si el riesgo está ubicado en las zonas de riesgo tolerable o moderado o importante, se deben tomar medidas para llevar los riesgos a la zona aceptable. Para todos los riesgos sin excepción alguna, las medidas dependen de la zona en la que se encuentra ubicado el riesgo. La ubicación de cada zona se encuentra establecida en el cuadro 14.
55
Cuadro 14. Matriz modelo de calificación, evaluación y respuesta a los riesgos PROBABILIDAD
ALTA
MEDIA
BAJA
VALOR
3
15 Zona de riesgo moderado evitar el riesgo
30 Zona de riesgo importante Reducir el riesgo Evitar el riesgo Compartir o transferir
60 Zona de riesgo inaceptable Reducir el riesgo Evitar el riesgo Compartir o transferir
2
10 Zona de riesgo tolerable Asumir el riesgo Reducir el riesgo
20 Zona de riesgo moderado Reducir el riesgo Evitar el riesgo Compartir o transferir
40 Zona de riesgo importante Reducir el riesgo Evitar el riesgo Compartir o transferir
1
5 Zona de riesgo aceptable Asumir el riesgo
10 Zona de riesgo tolerable Reducir el riesgo Compartir o transferir
20 Zona de riesgo moderado Reducir el riesgo Compartir o transferir
IMPACTO VALOR
Leve 5
Moderado 10
Catastrófica 20
Se debe tomar una acción inmediata, especificar planes de acción y atención de la alta dirección. Gestionar mediante procedimientos de monitorio o respuesta específicos. Gestionar mediante procedimientos de rutina, es improbable que se necesite la planificación especifica de recursos. A continuación en el cuadro 15, se presenta el consolidado del análisis y valoración de cada uno de los riesgos identificados.
56
Cuadro 15. Matriz de calificación, evaluación y zona de riesgos
PROCESOS Y CALIDAD
GESTIÓN ESTRATÉGICA
PROC
No.
IMPACTO LEVE 5 MODERADO 10 CATASTROFICO 20
PROBABILIDAD BAJA 1 MEDIO 2 ALTO 3
TOTAL NIVEL DE EXPOSICIÓN
ZONA DE RIESGO
1
10
2
20
ZONA DE RIESGO MODERADO
2
20
3
60
ZONA DE RIESGO INACEPTABLE
3
20
3
60
ZONA DE RIESGO INACEPTABLE
4
10
2
20
ZONA DE RIESGO MODERADO
5
20
3
60
ZONA DE RIESGO INACEPTABLE
6
20
3
60
ZONA DE RIESGO INACEPTABLE
7
20
3
60
ZONA DE RIESGO INACEPTABLE
8
10
2
20
ZONA DE RIESGO MODERADO
9
10
2
20
ZONA DE RIESGO MODERADO
10
20
1
20
ZONA DE RIESGO MODERADO
11
20
2
40
ZONA DE RIESGO IMPORTANTE
57
GESTIÓN COMERCIAL Y PREVENTA GESTION TI
12
20
3
60
ZONA DE RIESGO INACEPTABLE
13
20
2
40
ZONA DE RIESGO IMPORTANTE
14
20
2
40
ZONA DE RIESGO IMPORTANTE
15
20
3
60
ZONA DE RIESGO INACEPTABLE
16
20
3
60
ZONA DE RIESGO INACEPTABLE
17
20
2
40
ZONA DE RIESGO IMPORTANTE
18
20
2
40
ZONA DE RIESGO IMPORTANTE
19
20
1
20
ZONA DE RIESGO MODERADO
20
10
2
20
ZONA DE RIESGO MODERADO
21
20
2
40
ZONA DE RIESGO IMPORTANTE
22
20
2
40
ZONA DE RIESGO IMPORTANTE
23
20
2
40
ZONA DE RIESGO IMPORTANTE
24
20
1
20
ZONA DE RIESGO MODERADO
25
20
2
40
ZONA DE RIESGO IMPORTANTE
58
COMPRAS
20
1
20
ZONA DE RIESGO MODERADO
27
10
1
10
ZONA DE RIESGO TOLERABLE
28
20
1
20
ZONA DE RIESGO MODERADO
29
20
2
40
ZONA DE RIESGO IMPORTANTE
30
20
1
20
ZONA DE RIESGO MODERADO
31
10
3
30
ZONA DE RIESGO IMPORTANTE
32
20
2
40
ZONA DE RIESGO IMPORTANTE
33
10
3
30
ZONA DE RIESGO IMPORTANTE
34
10
1
10
ZONA DE RIESGO TOLERABLE
35
20
3
60
ZONA DE RIESGO INACEPTABLE
36
10
2
20
ZONA DE RIESGO MODERADO
37
20
3
60
ZONA DE RIESGO INACEPTABLE
20
3
60
ZONA DE RIESGO INACEPTABLE
ACTIVO S FIJOS E INVENT ARIOS
26
38
59
GESTIÓN HUMANA GESTIÓN FINANCIERA
39
10
2
20
ZONA DE RIESGO MODERADO
40
20
2
40
ZONA DE RIESGO IMPORTANTE
41
20
3
60
ZONA DE RIESGO INACEPTABLE
42
20
2
40
ZONA DE RIESGO IMPORTANTE
43
10
2
20
ZONA DE RIESGO MODERADO
44
10
2
20
ZONA DE RIESGO MODERADO
45
20
2
40
ZONA DE RIESGO IMPORTANTE
46
20
2
40
ZONA DE RIESGO IMPORTANTE
47
20
2
40
ZONA DE RIESGO IMPORTANTE
48
10
2
20
ZONA DE RIESGO MODERADO
49
20
2
40
ZONA DE RIESGO IMPORTANTE
50
10
3
30
ZONA DE RIESGO IMPORTANTE
51
20
2
40
ZONA DE RIESGO IMPORTANTE
52
20
2
40
ZONA DE RIESGO IMPORTANTE
60
53
20
3
60
ZONA DE RIESGO INACEPTABLE
54
20
2
40
ZONA DE RIESGO IMPORTANTE
55
20
2
40
ZONA DE RIESGO IMPORTANTE
56
20
1
20
ZONA DE RIESGO MODERADO
57
20
1
20
ZONA DE RIESGO MODERADO
En la gráfica 6, se evidencia que con un 42% de los riesgos que se identificación se ubican en la zona de riesgo Importante, seguido se encuentra la zona de riesgo Moderado con un 32%, presentando así para la zona de riesgo Inaceptable un porcentaje del 23% y para completar la totalidad de los riesgos, ocupando tan solo un 3% se encuentra la zona de riesgo Tolerable. Grafico 11. Zonas de riesgo
Zonas de riesgo 3% 23% 32%
Zona de riesgo Tolerable Zona de riesgo Moderado Zona de riesgo Importrante Zona de riesgo Inaceptable
42%
61
11.7.
Tratamiento Específico para cada de los Riesgo
El tratamiento de los riesgos corresponde al establecimiento de medidas para modificar el nivel del riesgo. De acuerdo a esto, la norma NTC 5254 define las opciones para tratar el riesgo, en cuatro (4) tipos de acciones: evitar, reducir, compartir o transferir el riesgo. Según la guía para la administración del riesgo, las estrategias de administración sugeridas se clasifican como se muestra en el cuadro 15. Teniendo claro los controles existentes por cada uno de los riesgos, se procedió a determinar qué tipo de acción a implementar para responder ante los riesgos e impedir la materialización de los efectos, para esto fue necesario recordar la definición de las acciones según la norma NTC 5254 que establece: - Evitar el riesgo: Se decide no proceder con la actividad que probablemente generaría el riesgo. - Reducir el riesgo: Reducir las consecuencias del riesgo o el impacto sobre los objetivos, bienes materiales e inmateriales, personas. - Transferir los riesgos: Participa otra parte que asume o comparte algún porcentaje del riesgo. - Retener los riesgos: Luego que los riesgos hayan sido reducidos o transferidos, podría haber riesgos residuales que sean retenidos. Deberían ponerse en práctica planes para administrar las consecuencias de esos riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos riesgos.
62
Cuadro 16. Clasificación de la estrategia de administración sugerida Zona de Riesgo
Estrategia de administración sugerida ASUMIR, REDUCIR EL RIESGO REDUCIR, EVITAR, COMPARTIR O TRANSFERIR EL RIESGO REDUCIR, EVITAR, COMPARTIR O TRANSFERIR EL RIESGO
Cuadro 17. Tratamiento específico para cada riesgo
ZONA DE RIESGO
ESTRATEGIA DE ADMINISTRACIÓN DE RIESGOS SUGERIDA
1
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
2
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
3
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
4
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
GESTIÓN ESTRATÉGICA
PROCESO No.
63
PROCESOS Y CALIDAD GESTIÓN COMERCIAL Y PREVENTA
5
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
6
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
7
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
8
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
9
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
10
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
11
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
12
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
13
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
14
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
64
GESTION TI
15
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
16
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
17
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
18
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
19
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
20
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
21
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
22
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
23
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
65
COMPRAS
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
24
ZONA DE RIESGO MODERADO
25
ZONA DE RIESGO IMPORTANTE
26
ZONA DE RIESGO MODERADO
27
ZONA DE RIESGO TOLERABLE
ASUMIR EL RIESGO, REDUCIR EL RIESGO
28
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
29
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
30
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
31
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
32
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
33
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
66
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
GESTIÓN HUMANA
ACTIVOS FIJOS E INVENTAR IOS
34
ZONA DE RIESGO TOLERABLE
ASUMIR EL RIESGO, REDUCIR EL RIESGO
35
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
36
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
37
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
38
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
39
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
40
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
41
ZONA DE RIESGO INACEPTABLE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
42
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
43
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
67
GESTIÓN FINANCIERA
44
ZONA DE RIESGO MODERADO
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
45
ZONA DE RIESGO IMPORTANTE
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
46
ZONA DE RIESGO IMPORTANTE
47
ZONA DE RIESGO IMPORTANTE
48
ZONA DE RIESGO MODERADO
49
ZONA DE RIESGO IMPORTANTE
50
ZONA DE RIESGO IMPORTANTE
51
ZONA DE RIESGO IMPORTANTE
52
ZONA DE RIESGO IMPORTANTE
53
ZONA DE RIESGO INACEPTABLE
54
ZONA DE RIESGO IMPORTANTE
55
ZONA DE RIESGO IMPORTANTE
68
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO,
56
ZONA DE RIESGO MODERADO
57
ZONA DE RIESGO MODERADO
COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR
En la gráfica 12 se presenta, una notoria comparación en cuando a la estrategia sugerida por la norma técnica NTC 5254, donde se identifica que apenas un 4% del total de los riesgos identificados, su tratamiento podría ser: asumir o reducir el riesgo, el 96% restante de los riesgos corresponde al tratamiento sugerido: reducir, evitar, compartir o transferir el riesgo, esto indica que casi el 100% de los riesgos corresponde a riesgos que se identificaron como moderados, importantes o inaceptables. Grafica 12. Tramitemos específico para cada riesgo
ESTRATEGIA DE ADMINISTRACIÓN DE RIESGOS SUGERIDA 4%
REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR ASUMIR O REDUCIR EL RIESGO 96%
69
11.8.
Diseño del mapa de riesgos
Antes de definir las opciones para tratar el riesgo, fue necesario identificar y conocer si Colvista SAS ya contaba con actividades de control asociadas a los riesgos. En tal sentido y teniendo en cuenta que la empresa cuenta con un Sistema de Gestión de la Calidad certificado, se encontró que tiene procesos definidos y auditados, que les han permitido iniciar algunas actividades de control relacionadas con los riesgos. Con base en esto, para poder determinar qué tipo de acción tomar, fue necesario conocer los controles o actividades que ya se estaban desarrollando en los procesos para la gestión del riesgo, siendo necesario realizar una valoración de los controles existentes por cada riesgo. En el cuadro 18, se presenta cada uno de los riesgos identificados, se menciona el método de control existente para los que tienen, se informa si está documentado o no y en qué documento, en la última casilla se evidencia según la norma técnica NTC 5254, el criterio propuesto para evaluar la efectividad de las medidas de control existentes. Cuadro 18. Método de control existente
PROC No.
GESTIÓN ESTRATÉGICA
1 2 3
4
METODO DE CONTROL EXISTENTES
ESTA DOCUMENTADO SI NO EN QUE DOCUMENTO
No existe No existe No existe Requerimientos permanentes a los responsables de X los procesos para el suministro de la información.
CRITERIOS PARA EVALUAR LA EFECTIVIDAD DE LAS MEDIDAS DE CONTROL EXISTENTES
X
No existe
NO EXISTEN CONTROL
X X
No existe No existe
NO EXISTEN CONTROL NO EXISTEN CONTROL
INTRANET Y/O CORREO INTERNO DE LA EMPRESA
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
70
X
INTRANET Y SGC
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
6
Organigrama
X
Organigrama
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
7
Se envían correos mensualmente a los jefes de proceso solicitando Indicadores de Gestión, la directora de x Investigación y Desarrollo, asumió las responsabilidades del área de Proceso y Calidad.
Matriz de Métricas FMGG-003
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
8
Formato para registrar acciones x de mejora
Propuesta de Mejora FMPYC-012
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
No existe
NO EXISTEN CONTROL
Aseguramiento de la Calidad DI-PYC-002 Acciones Preventivas y de Mejora DI-PYC-020 Programa de Auditorías Informe de Auditoria Resumen de Auditorías Plan de Auditoria
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
9
No existe Se tienen algunas acciones que exigen la norma, pero no un 10 control para x verificar el cumplimiento de todos los requisitos. Se realiza 11 evaluación de X auditores
GESTI ON COME RCIAL Y PREVE NTA
PROCESOS Y CALIDAD
5
Matriz de indicadores del sistema de gestión de calidad
12
Organigrama
X
x
Evaluación Auditores Internos FM-PYC-024 Organigrama
71
LOS CONTROLES EXISTENTES NO SON EFECTIVOS LOS CONTROLES EXISTENTES NO SON EFECTIVOS
13
X
Correo electrónico
14 Cuadro de costos X
Cuadro de costos
15 16
17
18
GESTION TI
Análisis y observaciones a los pliegos
19
20
Cuotas de ventas trimestrales por X Consultor No existe Nagios envía constantemente una alerta del x estado de la red al correo de los encargados. Se realizan mantenimientos preventivos mínimo dos veces al año, y si x se requiere se cambian los equipos en caso de ser necesario. Verificación del Log de motor para identificar problemas potenciales. Monitorización permanente Gestión de servicios únicamente apoya el sistema ERP con la instalación de dicho programa en los equipos. Monitorizar frecuentemente las aplicaciones y
Otro si al contrato X
No existe
LOS CONTROLES EXISTENTES NO SON EFECTIVOS LOS CONTROLES EXISTENTES NO SON EFECTIVOS LOS CONTROLES EXISTENTES NO SON EFECTIVOS NO EXISTEN CONTROL
Indicadores de Gestión: -Aplicaciones -Servidores
NO EXISTEN CONTROL
En la Intranet hay un documento llamado "Planeación y Ejecución del Mantenimiento Preventivo"
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
x
No existe
NO EXISTEN CONTROL
x
No existe
NO EXISTEN CONTROL
72
mantener registros de bases de conocimiento.
21
22
23
24
25
26
27
Monitorizar continuamente los servicios de internet y canales dedicados de datos y telefonía. Monitorizar continuamente los servicios de internet y canales dedicados de datos y telefonía. Nagios envía constantemente una alerta del estado de la red al correo de los encargados. Nagios envía constantemente una alerta del estado de la red al correo de los encargados. Se realizan Backups diarios en discos locales X y mensual en cintas Se tiene planta eléctrica y UPS Se realizan mantenimientos preventivos mínimo dos X veces al año, y si se requiere se cambian los equipos o
No existe
LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS
No existe
LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS
X
No existe
LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS
X
No existe
NO EXISTEN CONTROL
En la Intranet hay un documento llamado "Establecimiento de Backups"
LOS CONTROLES SON EFECTIVOS Y ESTAN DOCUMENTADOS
No existe
NO EXISTEN CONTROL
En la Intranet hay un documento llamado "Planeación y Ejecución del Mantenimiento Preventivo"
LOS CONTROLES SON EFECTIVOS Y ESTAN DOCUMENTADOS
X
x
X
73
cableado en caso de ser necesario.
COMPRAS
Se tiene información en cintas en la sede alterna en ETC, 28 mantenimiento preventivo a los circuitos eléctricos. Existe un protocolo de seguridad. Sistemas de vigilancia por 29 medio de x cámaras y una empresa externa de vigilancia presta sus servicios. Realizar monitoreo de accesos con el usuarios 30 administrador y registro de logs a los cambios realizados. Auditorías internas por parte 31 del área de x Contraloría y Calidad
X
X
No existe
NO EXISTEN CONTROL
protocolo de seguridad
LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS
No existe
LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS
Informes de Gestión de la Entidad e Informe de Auditoría, Procedimiento de acciones correctivas a través de planes de mejoramiento y aseguramiento de la calidad.
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
74
Política de Compras, Pro_Administración de Acuerdos con Proveedores Y Selección, Evaluación y Re-Evaluación Proveedores.
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
Balances a corte de periodo
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
Pro_Administración de Acuerdos con Proveedores, Solicitud compra y Política de Compras.
NO EXISTEN CONTROL
x x
No existe No existe
NO EXISTEN CONTROL NO EXISTEN CONTROL
x
No existe
NO EXISTEN CONTROL
X
Activos Fijos DI-GA-003
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
Revisión de todos los formatos de evaluación diligenciados, 39 verificando X cumplimiento de requisitos exigidos por la compañía.
DI-GH-002 Reclutamiento y Selección Personal
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
FM-GH-026 Manual de Cargos Desactualizado
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
32
Seguimiento de los procesos de selección de proveedores.
33
Seguimiento por parte del área de X tesorería.
35 36
Autorizaciones de los responsables de área como gerente de proyecto y gerente financieros. No Existe No Existe
37
No Existe
GESTIÓN HUMANA
ACTIVOS FIJOS E INVENTARIOS
34
38
40
No se tiene
No existe
x
X
X
75
41
42
No Existe
x
45
No Existe
x
No existe
NO EXISTEN CONTROL
46 47 48 49 50 51 52
No existe No existe No existe No existe No existe No existe No existe Periódicamente se realizan controles Periódicamente se realizan controles Periódicamente se realizan controles No existe No existe
X X X X X X X
No existe No existe No existe No existe No existe No existe No existe
NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL
X
No existe
NO EXISTEN CONTROL
x
No existe
NO EXISTEN CONTROL
X
No existe
NO EXISTEN CONTROL
X X
No existe No existe
NO EXISTEN CONTROL NO EXISTEN CONTROL
54
55 56 57
x
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
44
53
No Existe
DI-GH-007 Caracterización
No existe Pro Capacitación y Desarrollo Organizacional, Evaluación Capacitación, Registro De Asistencia a Capacitación, Formato Necesidades de Capacitación, Registro de Inducción y Entrega de Documentos, Evaluación de Inducción, Evaluación Efectividad Capacitación. (codificación) No existe
43
GESTIÓN FINANCIERA
Trimestralmente se realizan reuniones para X evaluar el desempeño.
Inducción de calidad, riesgos profesionales y X conocimiento de la entidad.
76
NO EXISTEN CONTROL
LOS CONTROLES EXISTENTES NO SON EFECTIVOS
NO EXISTEN CONTROL
En la gráfica 7, se muestra una clara evidencia que más del 50% de los riesgos que se identificaron y presentaron algún tipo de control no están documentados.
Grafica 13. Controles documentados
¿ESTA DOCUMENTADO SI
NO
44%
56%
Continuando con la ejecución del mapa de riesgos como se muestra en el cuadro 19, se procedió con la colaboración del contralor de Colvista SAS a identificar cual podría ser la mejor opción o plan de manejo para darle a cada uno de los riesgos identificados dentro de la misma.
77
Cuadro 19. Plan de manejo para los riesgos.
PROCESOS Y CALIDAD
GESTIÓN ESTRATÉGICA
PROCESO No.
FUNCIONARIO RESPONSABLE
ACCIONES PREVENTIVAS
CARGO
DEPENDENCIA
1
Establecer y documentar una periodicidad definida para presentar ante Gladys Rosario toda la organización los planes y proyectos de la organización.
Presidente
Presidencia
2
Diseñar un Instructivo con los lineamientos claros para elaborar un plan Gladys Rosario estratégico a cordC7:C13e al negocio de común acuerdo con los accionistas.
Presidente
Presidencia
3
Diseñar un procedimiento y automatizar la elaboración del presupuesto en cada Gladys Rosario una de las áreas en el nuevo ERP Sotfland
Presidente
Presidencia
4
Validar en las auditorias que los procesos Auditores Auditores Internos del SGC se actualicen Internos
Procesos Calidad
5
Automatizar los indicadores de gestión Gladys Rosario en la nueva aplicación.
Presidente
Presidencia
6
Diseño de un organigrama de acuerdo al Gladys Rosario tamaño y expectativas del negocio.
Presidente
Presidencia
7
Automatizar los procesos de la organización, con el propósito de generar Sirle Delgadillo indicadores automáticos.
Directora Procesos Calidad
de Procesos y Calidad
y
Paola Rodriguez
Asistente Procesos Calidad
de Procesos y Calidad
y
9
El área de Calidad deberá evaluar a los integrantes de la organización sobre los Sirle Delgadillo cambios en el SGC, de forma periódica.
Directora Procesos Calidad
de Procesos y Calidad
y
10
Crear un Check List donde se establezcan requisitos mínimos para el cumplimiento de la norma.
Directora Procesos Calidad
de Procesos y Calidad
y
8
Ejecutar campañas incentivando la mejora continua y la forma de pasar propuestas para mejorar los procesos (FM-PYC-012).
78
Sirle Delgadillo
y
GESTIÓN COMERCIAL Y PREVENTA
11
12
Sirle Delgadillo
Diseño de un organigrama de acuerdo al Jorge tamaño y expectativas del negocio. Garcia
Directora Procesos Calidad
de Procesos y Calidad
William Gerente Comercial
Comercial
Diseñar un Instructivo que cubra el 13 análisis y la mitigación de riesgos en los Nelson Mora negocios
Contralor
Contraloría
14 Automatización del cuadro de costos
Director Preventa
Preventa
15
16
Nelson Bocanegra
Hacer cumplir la cuota por parte de los consultores Implementar un código de buen gobierno que permita establecer que se debe hacer y que no, a fin de contar con funcionarios de alto nivel con grandes valores y ética profesional. Mantener el licenciamiento y las garantías vigentes. Implementar controles de mantenimiento preventivo más veces al año, para evitar daños en los computadores. Mantener actualizado el licenciamiento, y aplicación controlada de las últimas revisiones de los SO Mantener actualizado el licenciamiento, y el soporte técnico con los fabricantes
Jorge Garcia
William Gerente Comercial
Maria del Fernández
Pilar
Comercial
Gerente Gestión Humana
Gestión Humana
Alberto Lopez
Director Servicios
de
Alberto Lopez
Director Servicios
de
Alberto Lopez
Director Servicios
de
Capacitar al equipo de Servicios sobre el funcionamiento y la administración del 20 Alberto Lopez ERP. Mantener contratos de soporte con los proveedores.
Director Servicios
de
Alberto Lopez
Director Servicios
de
Alberto Lopez
Director Servicios
de
Alberto Lopez
Director Servicios
de
17
18
GESTION TI
Realizar inspección por recorrido para las actividades clave en casa proceso.
19
21
22 23
Contratar con los ISP (Internet Servicie Provider) disponibilidad del servicio hasta del 99.9%. Contratar con los ISP (Internet Service Provider) disponibilidad del servicio hasta del 99.9%. Mantener el licenciamiento y las garantías vigentes. 79
Servicios
Servicios
Servicios
Servicios
Servicios
Servicios Servicios
y
Director Servicios
de
Director Servicios
de
Director Servicios
de
27
Generar contratos de mantenimiento preventivo a equipos y red eléctrica con Alberto Lopez terceros especializados. Revisar el sistema de polo a tierra.
Director Servicios
de
28
Instalar sistemas automáticos de detección y extinción de incendios Alberto Lopez conectados a los sistemas de monitoreo.
Director Servicios
de
Alberto Lopez
Director Servicios
de
Cambio de claves de acceso a todos los 30 usuarios administradores y consolidarlos Alberto Lopez en archivos con contraseña.
Director Servicios
de
24
25
26
29
31
COMPRAS
32
33
34 35
Mantener el licenciamiento y las Alberto Lopez garantías vigentes. Monitorizar física y virtualmente los servidores. Mantener garantías vigentes y Alberto Lopez mantenimiento preventivo al menos dos veces al año. Mantenimiento preventivo a la planta eléctrica y UPS. Alberto Lopez Monitorizar el funcionamiento de las mismas.
Establecer auditorias para verificar el procedimiento.
Implementacion de las compras en la aplicación Sotfland de acuerdo a las necesidades del negocio. Contar con personal con grandes valores, que cumplan los procedimientos de la organización. Diseñar una política de pagos a proveedores y ligarla a un cronograma en el ERP Sotfland que alerte sobre futuros vencimientos. Estudio previo de una ficha técnica que muestra especificaciones del producto a comprar. Realizar presupuestos por área por parte de la gerencia financiera.
80
Servicios
Servicios
Servicios
Servicios
Servicios
Servicios
Servicios
Carolina Urrego
Profesional de Compras Compras
Carolina Urrego
Profesional de Compras Compras
Carolina Urrego
Profesional de Compras Compras
Carolina Urrego
Profesional de Compras Compras
Carolina Urrego
Profesional de Compras Compras
ACTIVOS FIJOS E INVENTARIOS
En la nueva aplicación ERP Sotfland se deben generar reportes que permitan 36 consultar proveedores, lista de precios, Carolina Urrego frecuencia de compras, características, ect. Diseñar indicadores de gestión que 37 Carolina Urrego midan el proceso.
38
Implementar un software y capacitar al personal encargado para llevar a cabo el Javier Ramírez control de inventarios y activos fijos.
GESTIÓN HUMANA
Conocimiento previo de las competencias para el cargo y desarrollo 39 de pruebas técnicas, validación de Oscar Sarmiento referencias y certificaciones de estudio y laborales, estudios de seguridad. 40
Sistematizar y actualizar el Manual de Funciones de la Compañía
41
Diseñar y sistematizar indicadores que midan de manera efectiva el proceso (Ver Borradores de Contraloría).
42
43
Profesional de Compras Compras
Gerente Administrativo Administrativo
Director de Gestión Humana
Gestión Humana
de
Oscar Sarmiento
Director Gestión Humana Director Gestión Humana
de
Oscar Sarmiento
Director Gestión Humana
de
Director Gestión Humana
de
Director Gestión Humana
de
Diseñar una política de conflicto de intereses en la cual se definan los parámetros y grados de afinidad y Oscar Sarmiento consanguinidad en la contratación de personal. Dar a conocer el cronograma de capacitación, realizar seguimiento a las capacitaciones por parte del área d e Oscar Sarmiento Procesos y Calidad y diseñar un indicador que mida el cumplimiento del cronograma.
Implementar un código de buen gobierno al interior de la organización en el cual 44 Oscar Sarmiento se promulguen los valores, lo que se debe hacer y lo que no.
81
Profesional de Compras Compras
Gestión Humana
Gestión Humana
Gestión Humana
Gestión Humana
Gestión Humana
GESTIÓN FINANCIERA y TESORERIA
Diseñar una política de incentivos para el 45 personal que se destaca en la Oscar Sarmiento organización.
Director Gestión Humana
46 Capacitar al personal en cuanto a normas Javier Ramírez y políticas contables
Gerente Financiero
Gestión Financiera
47 Diseñar un procedimiento adecuado para Javier Ramírez realizar mediciones a los proyectos
Gerente Financiero
Gestión Financiera
48 Validar en las auditorias que los procesos Javier Ramírez del SGC se actualicen
Gerente Financiero
Gestión Financiera
Diseñar una política que donde se 49 establezca con que frecuencia se deben realizar inventarios de activos y pasivos.
Javier Ramírez
Gerente Financiero
Gestión Financiera
50
Javier Ramírez
Gerente Financiero
Gestión Financiera
51 Capacitar al personal en cuanto a normas Javier Ramírez y políticas contables
Gerente Financiero
Gestión Financiera
52 Actualizar los libros contables existentes con información verídica. Diseñar una política interna, para 53 establecer con qué frecuencia se deben ejecutar conciliaciones contables. Delegar una persona con las competencias necesarias y 54 conocimientos suficientes para analizar estados financieros. Capacitar al personal en cuanto a normas y políticas contables para adquirir los 55 conocimientos necesarios para identificar orígenes de las cifras. Establecer en un documento interno una política para determinar con qué 56 frecuencia realizar auditorías esporádicas, para evitar el jineteo de fondos. Establecer en un documento interno una política para determinar con qué 57 frecuencia realizar auditorías esporádicas, para evitar que los recursos se desvíen.
Javier Ramírez
Gerente Financiero
Gestión Financiera
Javier Ramírez
Gerente Financiero
Gestión Financiera
Javier Ramírez
Gerente Financiero
Gestión Financiera
Javier Ramírez
Gerente Financiero
Gestión Financiera
Javier Ramírez
Gerente Financiero
Gestión Financiera
Javier Ramírez
Gerente Financiero
Gestión Financiera
Diseñar una matriz de cargos en el área.
82
de Gestión Humana
12. CRONOGRAMA CRONOGRAMA MAYO JUNIO MARZO ABRIL Semana Semana Semana Semana 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
ACTIVIDADES
Analizar el contexto actual, con la información básica de la empresa utilizando los diagramas de procesos.
Identificar los procesos organizacionales, por medio del manual de calidad de la empresa. Conocer el estado actual de las áreas de la empresa, realizando encuestas a los jefes de proceso. Identificar los riesgos que se generan en los procesos de las áreas de la empresa Colvista SAS con la información recolectada, documentándolos en matrices de análisis. Identificar las causas y consecuencias que producen y generan dichos riesgos identificados en la actividad anterior, documentándolos en matrices de análisis. Valorar los riesgos que se identificaron en las áreas, utilizando los parámetros de la norma NTC 5254 con relación a evaluación de riesgos, documentándolos en matrices de análisis. Realizar un tratamiento específico para cada riesgo, utilizando los parámetros de la norma NTC 5254 con relación al tratamiento de riesgos, documentándolos en matrices de análisis. Diseñar el mapa de riesgos, según los riesgos identificados en los procesos, mediante la herramienta Excel.
83
Evaluar los controles que se identifiquen para cada tipo de riesgo, por medio de pruebas reales que validen la eficacia del desarrollo.
Modificar si es necesario las actividades de control que se seleccionaron en la matriz de riesgos.
13. CONCLUSIONES Luego del desarrollo del proyecto se pueden presentar las siguientes conclusiones: o En la identificación de los riesgos corporativos presentes en los procesos de planeación estratégica, operaciones y de apoyo y soporte definidos para la gestión del riesgo, se obtuvieron cincuenta y siete (57) riesgos, de los cuales un 48% corresponde a riesgos de apoyo y soporte, 33% a riesgos de operaciones y 19% a planeación estratégica. o En cuanto a los riesgos del macro proceso de operaciones, se identificó que el área con mayor cantidad de riesgos es Gestión de Servicios con un 25% del total de los riesgos, esto se da debido a que la misión de Colvista es proveer soluciones y servicios que hagan más eficiente el entorno tecnológico, por eso el enfoque y el tratamiento a Servicios. o Mantener una adecuada implementación de la Gestión de Riesgos, principalmente depende del compromiso de la Gerencia General, pero todo el personal de la organización debe adquirir responsabilidad en la ejecución de los mismos, lo anterior sin hacer ningún tipo de distinción de los mimos.
84
o Un Sistema de Gestiรณn de Riesgos, debe ser optado en la organizaciรณn como una cultura que debe ser guiada y controlada por la Alta Gerencia, con el objetivo de que cada empleado sin importar su cargo o funciรณn administre el riesgo inherente en sus actividades diarias.
85
14. RECOMENDACIONES Al concluir el proyecto se plantean las siguientes recomendaciones: o Se recomienda monitorear de forma constante el comportamiento de los riesgos en Colvista SAS, para determinar si los controles establecidos están actuando de manera efectiva. o Sensibilizar y capacitar constantemente al personal de Colvista SAS, en temas de Gestión de Riesgos, para que continúen actualizando el mapa de riesgos que se levantó en este proceso. o Se recomienda tener en cuenta la matriz de riesgos organizacional, para cada uno de los proyectos que se vayan a ejecutar en Colvista SAS.
86
15. LISTA DE REFERENCIAS [1]
Norma
Técnica
Colombiana
NTC
5254:2004
Recuperado
de:
http://190.25.225.118/esing/MAESTRIA/DVD4/GESTION%20DEL%20RIESGO%20DE %20DESASTRES/FASE%202%20ATENCION/III.%20MANEJO/b.%20Preparacion%20r ecuperacion/1.%20Suelos%20de%20proteccion%20por%20riesgo/NTC5254%5B1%5D%2 0-%20preparativos%20-%20londer.pdf [2] Fuente: Bravo, O., & Sánchez, M. (2012). Bogotá: Bravo & Sánchez. [3] Cuello, R., Pallares, L., &Wehdeking, E. (2008). Aplicación del estándar australiano de administración del riesgo AS/NZS 4360:1999 en la empresa GECELCA S.A. ESP. Fundación Universidad del Norte, Barranquilla, Colombia. [4] http://www.colvista.com/ [5] http://tienda.icontec.org/brief/GTC137.pdf [6] file:///C:/Users/prodriguez/Downloads/GUIA_ADMINISTRACION_DEL_RIESGO__DAFP%20(1).pdf
87
16. ANEXOS Anexo 1. Ver archivo Excel adjunto “Diseño de un Sistema de Gestión de Riesgos Organizacional en los Procesos de la Empresa Colvista SAS” Anexo 2. Soporte encuestas
88