P - HSE-SC - 01 Procedimiento de gestión del riesgo.docx

GESTIÓN DEL RIESGO CÓDIGOVERSIÓN

Procedimiento del Sistema Integrado de Gestión FECHA

1. OBJETIVODefinir las actividades requeridas para la administración del riesgo, en la identificación, análisis y valoración del mismo, con el fin de establecer e implementar las acciones de control que permitan garantizar el cumplimiento del Sistema de Gestión en Control y Seguridad BASC.

2. ALCANCEEste procedimiento aplica para todos los procesos establecidos y aprobados de EXTRUCOL S.A.

3. RESPONSABLES

Gerente general Coordinador Laboratorio y Sistemas de Gestión

4. TÉRMINOS Y DEFINICIONES

ACCIONES : Mecanismos o estrategias a llevar a cabo para Evitar, Reducir, Asumir o compartir el Riesgo.

AMENAZA: Factores externos de origen económico, social, político, empresarial etc., que comprometen la seguridad, estabilidad y proyección de una determinada organización.

ANÁLISIS DE RIESGOS : Establecimiento de la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos con el fin de obtener información para establecer el nivel de riesgo y las acciones que se van a implementar.

CAUSAS : Medios, circunstancias y agentes generadores de riesgo. CONTEXTO ESTRATÉGICO : Insumo básico para la identificación de los riesgos

en los procesos y actividades, el análisis se realiza a partir del conocimiento de situaciones del entorno de la institución, tanto de carácter social, económico, cultural, de orden público, político, legal y /o cambios tecnológicos, entre otros.

CONSECUENCIAS: Resultado de un evento expresado cualitativa o cuantitativamente en términos de pérdidas materiales, humanas y afectación a las operaciones de la empresa.

CONTROL DEL RIESGO: Parte de la gestión del riesgo que involucra la implementación de políticas, normas, procedimientos y cambios físicos a fin de eliminar o minimizar de riesgos adversos.

Página 1 de 10

GESTIÓN DE RIESGOCÓDIGOVERSIÓN


EVALUACIÓN : Nivel en que se encuentra el riesgo resultado de calificar el Riesgo con base a la probabilidad y el impacto de ellos.

IMPACTO: Grado en que las Consecuencias pueden generar pérdidas a la empresa si se llega a materializar el riesgo.

PLAN DE CONTINGENCIA : Parte del plan de manejo de riesgos que contiene las acciones a ejecutar en caso de la materialización del riesgo, con el fin de dar continuidad a los objetivos de la entidad.

PROBABILIDAD : Frecuencia o Factibilidad de ocurrencia del Riesgo. PLAN DE TRATAMIENTO : Conjunto de actividades asociadas como acciones

(preventivas) dirigidas a la mitigación del riesgo, donde se definen tiempos y responsables.

RESPONSABLES : Dependencias o áreas encargadas de asegurar la ejecución de las acciones para el tratamiento de los Riesgos.

RIESGOS : Es la posibilidad de ocurrencia de toda aquella situación y/o amenaza que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos.

VALORACIÓN : Resultado de confrontar el riesgo con la calidad de los controles existentes.

5. CONSIDERACIONES GENERALES

La matriz de La Identificación riesgos, Valoración de Riesgos y Determinación de Controles debe revisarse y actualizarse mínimo una vez al año: cada vez que se modifique un proceso; o se modifiquen las instalaciones y/o Equipos o se identifiquen nuevas amenazas o vulnerabilidades, o por Nueva legislación y normatividad aplicable, o ante cualquier otra circunstancia cuya falta de actualización provoque un desvío al desempeño de la seguridad.

Para la elaboración de la matriz de Identificación de riesgos, Valoración de Riesgos y Determinación de Controles se deben considerar todos los procesos y los riesgos que existentes en el ejercicio de cada uno de estos, el cual se basa en la metodologia de la NTC 5254.

Página 2 de 10



6. PROCEDIMIENTO

6.1 MATRIZ VALORACION DE RIESGOS

Cada una de las etapas desarrolladas en la identificación y análisis de riesgos se deben registrar en el Formato (XXXXXXXXX) Matriz de Seguridad BASC.

AMENAZA / RIESGO: En este criterio se deben identificar los diferentes factores a los cuales se encuentra expuesta la organización.

DESCRIPCIÓN: Es un listado general de todas las situaciones posibles que pueden convertirse en amenazas potenciales o reales.

MODALIDAD: Se refiere a las diversas formas en que los grupos delincuenciales pudieran realizar cada uno de las amenazas identificadas.

CONTROLES EXISTENTES: Son todos aquellas acciones operacionales que la empresa ha establecido para minimizar la posibilidad de ocurrencia de eventos que afecten la seguridad

PROBABILIDAD: Debemos enfocarlo a registrar la frecuencia o factibilidad de ocurrencia de todo riesgo o amenaza.

CONSECUENCIAS: Debamos registrar todo aquello que sea producto o resultado de un evento expresado cualitativa o cuantitativamente en términos de pérdidas materiales, humanas y afectación a las operaciones de la empresa.

RIESGOS: La posibilidad de ocurrencia de toda aquella situación y/o amenaza que pueda entorpecer el normal desarrollo de las funciones de la entidad y le impidan el logro de sus objetivos

6.3. IDENTIFICACION DEL RIESGO

Para una adecuada gestión del riesgo en primera instancia la empresa deberá identificar todos los posibles riesgos que apliquen, para ello se deberá proceder de la siguiente forma:

La empresa realizará la identificación de amenazas o riesgos potenciales con la participación de todos los responsables de cada uno de los procesos establecidos por la organización con el fin que los riesgos sean analizados por cada proceso.

Página 3 de 10



La metodología a utilizar para dar la participación a todo el equipo de trabajo consiste en generar una lluvia de ideas con todas las amenazas o riesgos identificados.

Al finalizar el análisis de riesgo a todos los procesos, se procederá a identificar las posibles causas y escenarios en que se pudiesen materializar las amenazas planteadas, durante este ejercicio se debe dar respuesta a dos preguntas ¿Qué puede suceder? Y ¿Cómo puede suceder?, basados en la experiencia de cada uno y los eventos ocurridos en el transcurso del tiempo.

Cada una de las etapas desarrolladas en la identificación y análisis de riesgos se deben registrar en el Formato (XXXXXXX) Matriz de Seguridad BASC.

6.3.1 Determinación de controles existentes

La organización registrará detalladamente en el Formato (XXXXXXX) Matriz de Seguridad BASC, todo tipo de controles existentes o implementados para cada uno de los riesgos o amenazas identificados.

6.4. ANALISIS DEL RIESGO

EXTRUCOL S.A. deberá analizar cada uno de los riesgos en el Formato (XXXXXXXXX) Matriz de Seguridad BASC, teniendo en cuanta la probabilidad de ocurrencia y las consecuencias que cada uno de estos pueda generarle a la empresa con el fin de identificar los impactos negativos más significativos.

Este análisis de riesgos debe permitirle a la empresa identificar si se han tomado todas las precauciones ó si es necesario replantear nuevas acciones para controlar cada riesgo adecuadamente, para lo anterior se debe tener en cuenta la combinación entre estimaciones de consecuencias, la posibilidad de ocurrencia y a su vez las medidas o controles existentes.

6.4.1 Probabilidad, Consecuencias y Tipo de Análisis

Para determinar la probabilidad se debe evaluar la posibilidad que ocurra determinado evento y la magnitud de las consecuencias si este ocurriera, es necesario en el análisis de la probabilidad tener en cuenta los controles existentes. Realizada esta actividad, se deben tomar las consecuencias y la probabilidad y estas se combinan en la matriz de evaluación para producir un nivel de riesgo.

Las consecuencias y la probabilidad se pueden determinar a partir del análisis y cálculos estadísticos o se pueden hacer estimaciones subjetivas que reflejen el grado de creencia y ocurrencia de un evento en particular

Página 4 de 10



El método escogido por EXTRUCOL S.A. para la valoración del riesgo es el análisis mixto (cualitativo, cuantitativo), esto se aplicará teniendo en cuenta la información suministrada por la empresa y/o cada uno de los procesos según sea lo más conveniente para la organización.

A continuación se presentan los diferentes criterios de análisis de probabilidad y consecuencias utilizadas para el análisis de riesgos.

• CRITERIOS DE PROBABILIDAD• CRITERIOS DE CONSECUENCIA

6.4.2. Criterios de probabilidad

10 - Lo más probable es que ocurra 6 - Puede ocurrir el 65% de las veces 3 - Es posible pero poco usual 1 - Remotamente posible 0,5 - Concebible pero nunca ha ocurrido.

6.4.3. Criterios de consecuencia

100 - Catastrófico 50 - Desastroso 25 - Muy serio 5 - Importante 1 - Perceptible

6.5. VALORACIÓN DEL RIESGO

En esta actividad la empresa basada en el análisis de riesgos debe determinar la aceptabilidad del mismo, de acuerdo a su impacto sobre la empresa, la imagen de la compañía o la afectación a alguna de sus operaciones.

RIESGO = Probabilidad x Consecuencia

Esta valoración debe considerar la probabilidad ante un evento y todas las consecuencias que debe incluir, a continuación se describen las Fuentes e identificación de Riesgo existentes::

Página 5 de 10



RIESGOS EN LA SALUD: Afecciones humanas, ocasionados por transmisión de virus y bacterias.

RIESGOS ECONÓMICOS: Fluctuaciones del dinero, tasas de interés, participación en el mercado, perdida de capital

RIESGOS MEDIOAMBIENTALES: Ruido, contaminación del aire, suelo y ríos.

RIESGOS FINANCIEROS: riesgos contractuales, fraudes, malversación de fondos, multas, inversiones fraudulentas, lavado de activos, Documentación fraudulenta, Documentación incompleta o incorrecta.

RIESGOS HUMANOS: disturbios, ataques, sabotajes y errores humanos, chantajes, extorciones, selección y contratación de personal, personal no capacitado, personal con antecedentes, Filtración en la compañía de personas que quieren cometer actos ilícitos

RIESGOS NATURALES: condiciones climáticas, terremotos, incendios forestales, inundaciones, plagas y actividades propias de desastres naturales.

RIESGOS EN SALUD OCUPACIONAL Y SEGURIDAD: medidas inadecuadas de seguridad, deficiente gestión de seguridad; Accidentes en las instalaciones, no cumplimiento de los requisitos legales, consumo de alcohol y drogas.

RIESGO DE DAÑOS EN LA PROPIEDAD: incendio, terremotos, inundaciones, contaminación, errores humanos;

RIESGO PÚBLICO: terrorismo, secuestro, sabotaje, asaltos y atracos, extorción, accidentes de tránsito, afectación a peatones.

RIESGO DE SEGURIDAD: Hurto de dinero, vandalismo, robo, uso ilegal de la información, entrada ilegal de personas, suplantación, saqueo, contaminación por elementos ilícitos, plagio de información.

RIESGO TECNOLÓGICO: innovación, fuga de información, Backup de información, alteración de claves.

RIESGOS OPERATIVOS: Contaminación de la carga, utilización de marcas ilegalmente

El resultado de esta valoración del riesgo debe permitirnos como siguiente paso generar una lista como la priorización de riesgos con el fin de implementar los correctivos pertinentes. A continuación se describen los criterios que definen la importancia de cada riesgo:

Página 6 de 10



6.5.1. Criterios de Evaluación NIVEL DE RIESGO CLASIFICACION0 – 20 Aceptable21 – 70 Posible71 – 200 Considerable201 – 400 Alto400 - 10000 Muy Alto

6.6. PLAN DE TRATAMIENTO DEL RIESGO

Para el tratamiento del riesgo se deben describir las opciones y las formas en que la empresa tratará cada uno de los riesgos, la empresa deberá iniciar la atención a los riesgos teniendo en cuenta atender en primera instancia todos aquellos riesgos con calificación Muy Alto (entiéndase esto como la priorización de los riesgos), en esta actividad se deben definir los objetivos, metas, indicadores, fechas de cumplimiento, responsables de cada actividad, asignación de recursos económicos y humanos a su vez se debe describir detalladamente los controles operacionales para la adecuada atención y manejo de las amenazas o riesgos identificados en este análisis.

6.6.1. Identificación de opciones para el tratamiento de los riesgos

La empresa en esta etapa podrá determinar el tratamiento para cada riesgo identificado, teniendo en cuenta los siguientes criterios que se establecen en este procedimiento para determinar el nivel de aceptación por parte de la empresa ante cada uno de los riesgos o amenazas registrados:

NO AFRONTAR EL RIESGO: Ante esta situación la empresa ignora o hace caso omiso de este riesgo y no emprende ninguna acción correctiva por lo tanto está asumiendo las consecuencias que este riesgo pueda generarle a la empresa (el hecho de no afrontar un riesgo puede incrementar la importancia de otros riesgos)

REDUCIR LA PROBABILIDAD DE LA OCURRENCIA: La empresa reconoce el riesgo y establece acciones y medidas para reducir o controlar la probabilidad de ocurrencia de cada uno de los riesgos identificados, para lograrlo deberá hacer inspecciones de campo, implementar controles operacionales, determinar

Página 7 de 10



acciones y campañas preventivas y a su vez la empresa deberá destinar los recursos necesarios para garantizar la ejecución de lo planeado.

TRANSFERIR EL RIESGO: En este caso la empresa después de identificar el riesgo decide si comparte parcial o totalmente este riesgo con un asociado de negocio o aliado estratégico, para cualquiera de los casos en los que se determine transferir o compartir el riesgo la empresa deberá establecer acuerdos de seguridad con la empresa implicada en determinado riesgo. La organización deberá asegurarse en los casos que transfiera totalmente el riesgo a un tercero que este establezca los controles necesarios con el fin de poder verificar la efectividad de las acciones implementadas y el control de cada riesgo identificado.

RETENER EL RIESGO: Después de haber reducido o transferido los riesgos, puede haber riesgos residuales que se han retenido. Es recomendable implementar planes para manejar las consecuencias de estos riesgos, si ocurrieran, incluida la identificación de un medio de financiación del riesgo. Los riesgos también pueden retenerse por defectos es decir cuando existen fracasos en la identificación u otro tratamiento de estos.

6.6.2. Valoración de Opciones de Tratamiento

La empresa evaluará las opciones sobre la base del grado de reducción del riesgo y el alcance de cualquier beneficio adicional u oportunidades creadas. Se pueden considerar varias opciones y aplicarse ya sea de forma individual o en combinación. La selección de la opción contra los beneficios derivados de ella. En general el costo de la gestión de riesgos debe ser proporcional a los beneficios obtenidos.

La empresa basada en el análisis de riesgos podrá visualizar la priorización de los riesgos presentes en la organización y es en esta etapa donde la compañía debe evaluar las propuestas planteadas para el tratamiento de cada uno de los riesgos

6.6.3. Definición de Objetivos, Metas, Indicadores, Fechas de cumplimiento y Responsables

Para ejecutar el plan de tratamiento la empresa deberá identificar y establecer objetivos, metas, indicadores, fechas de cumplimiento y responsables, de acuerdo a las opciones de tratamiento determinada para cada uno de los riesgos detectados anteriormente esta actividad se deberá registrar en el Formato (XXXXXXXXX) Matriz de Seguridad BASC

Página 8 de 10



Se definirán indicadores que permitan medir la gestión de la empresa frente a las diferentes amenazas detectadas en la valoración de riesgos.

Los responsables del cumplimiento de las acciones de control y las fechas en que serán implementadas deben ser determinados en conjunto con la dirección de la organización.

6.7. SEGUIMIENTO Y REVISIÓN

EXTRUCOL S.A. realizará monitoreo de los riesgos y verificará la eficacia de las medidas tomadas para controlar el riesgo, esta actividad se registrará en el Formato (XXXXXXXXX) Matriz de Seguridad BASC, la empresa debe asegurarse que las actividades realizadas estén encaminadas a la prevención.

El seguimiento se efectuara semestralmente en reunión establecida con los líderes de procesos y la Gerencia. Esto con el fin de asegurar que los planes se implementen oportunamente o cuando ocurran fallas relacionadas con seguridad, incidentes, no conformidades, antes de implementar acciones correctivas y preventivas. Anualmente es necesario repetir el ciclo de gestión de riesgo y por consiguiente se debe dejar evidencia de revisión y actualización de la Matriz de riesgos existente, con el fin de reevaluar los riesgos teniendo en cuenta las condiciones del negocio y analizando todo aquello que en determinado momento puedan causar impacto en las operaciones de la organización.

6.8. COMUNICACIÓN

De acuerdo con la información de la (XXXXXXXXX) Matriz de Seguridad BASC se sensibilizará periódicamente a todos los colaboradores con el fin de concientizarlos respecto a los riesgos y a los controles implementados por la empresa de igual forma se dará a conocer las funciones, responsabilidades y consecuencias del no cumplimiento de los procedimientos.

Se establecen como fuentes de comunicación de los riesgos los siguientes medios:

Inducción Profesiogramas Publicaciones de cartelera Información por Email Reuniones con la Gerencia Reuniones Semestral con los responsables de cada proceso Acuerdos de seguridad con los asociados de negocio Información a nuestros clientes y proveedores sobre las certificaciones SGI de

EXTRUCOL S.A.

Página 9 de 10



7. Control de cambios

Revisión Descripción Fecha Elaborado por Aprobado por

01 Emisión inicial 10/10/2014 Coordinador SIG GERENCIA

Página 10 de 10

P - HSE-SC - 01 Procedimiento de gestión del riesgo.docx

Documents

Transcript of P - HSE-SC - 01 Procedimiento de gestión del riesgo.docx