Tesis / 0284 / I.I.

DISEÑO DE UN SISTEMA DE GESTIÓN DE RIESGOS ORGANIZACIONAL EN LOS PROCESOS DE LA EMPRESA COLVISTA SAS

TRABAJO DE GRADO - PRÁCTICA EMPRESARIAL

PAOLA ANDREA RODRIGUEZ GARZON ID: 2355

DIRECTOR: ALBERTO LÓPEZ ORTIZ INGENIERO INDUSTRIAL

UNIVERSIDAD AGRARIA DE COLOMBIA FACULTAD DE INGENIERIA BOGOTÁ 2015 1

DISEÑO DE UN SISTEMA DE GESTIÓN DE RIESGOS ORGANIZACIONAL EN LOS PROCESOS DE LA EMPRESA COLVISTA SAS

PROYECTO DE GRADO - PRÁCTICA EMPRESARIAL

PAOLA ANDREA RODRIGUEZ GARZON ID: 2355

UNIVERSIDAD AGRARIA DE COLOMBIA FACULTAD DE INGENIERIA BOGOTÁ 2015 2

TABLA DE CONTENIDO

LISTA DE CUADROS ....................................................................................................................... 5 LISTA DE GRAFICAS ...................................................................................................................... 6 LISTA DE FIGURAS ......................................................................................................................... 7 1.

TITULO ...................................................................................................................................... 8

2.

RESUMEN DEL PROYECTO ................................................................................................... 8

3.

PROBLEMA ............................................................................................................................... 9

3.1.

PLANTEAMIENTO DEL PROBLEMA ................................................................................ 9

3.2.

FORMULACIÓN DEL PROBLEMA .................................................................................. 10

3.3.

VARIABLES ........................................................................................................................ 10

3.3.1.

Variable Dependiente ........................................................................................................ 10

3.3.2.

Variable Independiente: .................................................................................................... 11

4.

OBJETIVOS ............................................................................................................................. 11

4.1.

Objetivo General ................................................................................................................... 11

4.2.

Objetivos Específicos ............................................................................................................ 11

5.

HIPÓTESIS ............................................................................................................................... 12

6.

JUSTIFICACION...................................................................................................................... 12

7.

ALCANCE ................................................................................................................................ 13

8.

MARCO REFERENCIAL ........................................................................................................ 13

8.1.

MARCO TEÓRICO .............................................................................................................. 13

8.2.

MARCO CONCEPTUAL ..................................................................................................... 14

8.3.

MARCO INSTITUCIONAL................................................................................................. 17

8.3.1.

Visión ................................................................................................................................ 18

8.3.2.

Misión ............................................................................................................................... 18

8.3.3.

Política de calidad ............................................................................................................. 18

8.3.4.

Valores .............................................................................................................................. 19

8.4. 9. 9.1.

MARCO LEGAL ................................................................................................................. 19 DISEÑO METODOLÓGICO ................................................................................................... 20 Población y muestra .............................................................................................................. 20 3

9.1.1.

Población ........................................................................................................................... 20

9.1.2.

Muestra .............................................................................................................................. 21

9.2.

Fases y Actividades ............................................................................................................... 21

9.3.

Fuentes e instrumentos .......................................................................................................... 23

10.

RECURSOS .......................................................................................................................... 23

10.1.

Humano ............................................................................................................................. 23

10.2.

Físico ................................................................................................................................. 23

11.

ANÁLISISY RESULTADOS ............................................................................................... 24

11.1.

Contexto Actual................................................................................................................. 24

11.2.

Identificar los procesos...................................................................................................... 26

11.3.

Estado actual de las áreas de Colvista ............................................................................... 27

11.3.1.

Resultado de las encuestas ................................................................................................ 28

11.4.

Identificación de riesgos.................................................................................................... 31

11.5.

Identificación de fuentes, causas y consecuencias ............................................................ 40

11.5.1.

Fuentes, causas y consecuencias ....................................................................................... 43

11.6.

Valoración de riegos en los procesos ................................................................................ 52

11.6.1.

Frecuencia o Probabilidad e Impacto. ............................................................................... 53

11.7.

Tratamiento Específico para cada de los Riesgo ............................................................... 62

11.8.

Diseño del mapa de riesgos ............................................................................................... 70

12.

CRONOGRAMA .................................................................................................................. 83

13.

CONCLUSIONES ................................................................................................................ 84

14.

RECOMENDACIONES ....................................................................................................... 86

15.

LISTA DE REFERENCIAS ................................................................................................. 87

16.

ANEXOS............................................................................................................................... 88

4

LISTA DE CUADROS pág. Cuadro 1. Procesos de la empresa Colvista SAS………………………………….………20 Cuadro 2. Fuentes e Instrumentos…………………………………………………....……23 Cuadro 3. Procesos Definidos para la ejecución del Sistema de Riesgos………………...32 Cuadro 4. Cuerpo del formato para la identificación de riesgos…………………………..33 Cuadro 5. Riesgos del Macro Proceso de Evaluación Estratégica………………………...34 Cuadro 6. Riesgos del Macro Proceso de Operaciones……………………………………35 Cuadro 7. Riesgos del Macro Proceso de Apoyo y Soporte…………………………….…37 Cuadro 8. Cantidad Total de Riesgos………………………………………………….…..39 Cuadro 9. Tipos de Fuentes………………………………………………………………..41 Cuadro 10. Cuerpo del formato para la identificación de riesgos, fuentes, causas y consecuencias………………………………………………………………………………43 Cuadro 11. Fuentes, causas y consecuencias………………………………………………43 Cuadro 12. Escala de probabilidad……………………………………………………….53 Cuadro 13. Escala de Impacto…………………………………………………………….54 Cuadro 14. Matriz modelo de calificación, evaluación y respuesta a los riesgos…………56 Cuadro 15. Matriz de calificación, evaluación y respuesta a los riesgos………………….57 Cuadro 16. Clasificación de la estrategia de administración sugerida…………………….63 Cuadro 17. Tratamiento específico para cada riesgo……………………………………...63 Cuadro 18. Método de control existente…………………………………………………..70 Cuadro 19. Plan de manejo para los riesgos……………………………………………….78

5

LISTA DE GRAFICAS pág. Grafica 1. Conocimiento sobre Riesgos…………………………………………………28 Grafica 2. Utilización de matrices……………………………………………………….29 Grafica 3. Adecuada gestión de riesgos………………………………………………….29 Grafica 4. Disposición para controlar los riesgos………………………………………..30 Grafica 5. Disposición para controlar las actividades por medio de gestión de riesgos………………………………………………………………………………....31 Grafica 6. Riesgos del Macro Proceso de Evaluación Estratégica……………………….35 Grafica 7. Riesgos del Macro Proceso de Operaciones……………………………...…..36 Grafica 8. Riesgos del Macro Proceso de Apoyo y Soporte…………………...………..38 Grafica 9. Porcentaje de riesgos para los procesos de Colvista SAS…………………....39 Grafica 10. Riesgos por Macro Proceso…………………………………………..………40 Grafica 11. Zonas de riesgo……………………………………….……………………...61 Grafica 12. Tramitemos específico para cada riesgo……………………………………..69 Grafica 13. Controles documentados……………………………………………………..77

6

LISTA DE FIGURAS Pág. Figura 1. Ciclo de planeación……………………………………………………………..16 Figura 2. Ciclo de la administración del riesgo……………………………………………17 Figura 3. Soporte SGC Intranet Colvista SAS…………………………………………….25 Figura 4. Modelo de procesos de Colvista SAS…………………………………………..26 Figura 5. Encuesta…………………………………………………………………………27

7

1. TITULO DISEÑO DE UN SISTEMA DE GESTIÓN DE RIESGOS ORGANIZACIONAL EN LOS PROCESOS DE LA EMPRESA COLVISTA SAS.

2. RESUMEN DEL PROYECTO La empresa Colvista SAS es una empresa proveedora de soluciones y servicios que hacen más eficiente el entorno tecnológico de los clientes. Sin embargo la organización actualmente no ha podido recibir algunas certificaciones como la ISO 27001 y la certificación

CMMI

(Modelo

de

Madurez

de

la

Capacidad

Integrado/CapabilityMaturityModelforIntegration), por falta de un sistema de Gestión de Riesgos Organizacional que ayude a las áreas de la compañía a ejecutar de forma eficiente su trabajo. Según la norma ISO 31000:2009 se define el Riesgo como el “Efecto de la incertidumbre sobre los objetivos”, esta norma también define la Gestión Del Riesgo como “Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo”, y el Plan para la Gestión del Riesgo como el ”Esquema dentro del marco de referencia para la gestión del riesgo que especifica el enfoque, los componentes y los recursos de la gestión que se van a aplicar a la gestión del riesgo”. Con base en esta norma (ISO 31000:2009), se ejecutará el Sistema de Gestión de Riesgos Organizacionales (S.G.R.O), para cumplir todos los requerimientos y solicitudes de la alta Gerencia.

8

3. PROBLEMA 3.1. PLANTEAMIENTO DEL PROBLEMA Actualmente Colvista SAS está certificada con la norma ISO 9001:2008, certificación que para la empresa venció este año (2015) en el mes de abril, para lo cual se realizó un proceso de recertificación. Es importante implementar la matriz de riesgos organizacional en la empresa, ya que es uno de los nuevos requerimientos de la norma ISO 9001 (en su nueva versión) que se actualizara este año, por lo tanto para la revisión del Sistema de Gestión de Calidad es de vital importancia cumplir con este requerimiento, mediante la implementación de un Sistema de Gestión de Riesgos Organizacional que mitigue los efectos de los mismos, además unos de los hallazgos identificados en la auditoría realizada a la empresa en el último semestre de 2014, se estableció que uno de los nuevos compromisos es Gestionar un Sistema de Riesgos Organizacional. A pesar que Colvista SAS cuenta con un Sistema de Gestión de la Calidad, la organización enfrenta permanentemente factores internos y externos que crean incertidumbre (más adelante se indican que factores), que no permiten el logro de los objetivos organizacionales trazados por la empresa, y con ello su sostenibilidad en el mercado hacia el futuro. Según los indicadores de gestión correspondientes al segundo semestre del año 2014, se identificó que la empresa tuvo un nivel bajo de producción, en cuanto a la ejecución de contratos y continuidad en los proyectos, esta situación se evidencio porque en el mes de

9

noviembre de 2014 a Colvista le cancelaron dos contratos de los más grandes que se tenían con el Ministerio de Defensa. La ejecución de los proyectos es un proceso crítico debido a la complejidad de los mismos, lo cual afecta el desarrollo de la organización pues presenta potenciales deficiencias presentes en el recurso humano, tecnología y/o infraestructura, generando incertidumbre en los tiempos de ejecución de los proyectos, y por lo tanto un alto nivel de riesgo y de incumplimiento con los clientes. Lo anterior, implica efectos reales y potenciales, que pueden afectar el uso eficiente de los recursos así como un alto riesgo en cuanto a la exactitud y veracidad de la información, tanto financiera como administrativa de la organización. Toda esta exposición al riesgo se considera cada vez mayor, más compleja, diversa y dinámica, debido en gran parte a los rápidos cambios, en la tecnología, los medios de comunicación y la globalización de los negocios, que hacen que esté más propensa al incumplimiento de los objetivos planteados en sus procesos, que pueden atentar con el buen funcionamiento de Colvista y sus compromisos estratégicos relacionados con la calidad de sus servicios.

3.2. FORMULACIÓN DEL PROBLEMA ¿Cuál es el diseño que debe tener el mapa de riesgos de COLVISTA SAS para lograr el cumplimiento de los objetivos organizacionales? 3.3. VARIABLES 3.3.1. Variable Dependiente: Para la realización de este proyecto, se tiene como variable dependiente, la mejora continua establecida en la norma ISO 9001 en su última versión,

10

según el requisito 8.5.1. Esta mejora se medirá por medio del indicador de acciones correctivas, preventivas y de mejora que se identifiquen en las auditorias, este indicador corresponde al área de Procesos y Calidad, dichos hallazgos serán objeto de un seguimiento con el fin de identificar oportunidades y tomar medidas ante dichos hallazgos. 3.3.2. Variable Independiente: Como variable independiente se encuentra el diseño del mapa de riesgos establecido en la norma NTC 5254, porque es un factor que se puede controlar y modificar. El diseño del mapa de riesgos se medirá por medio de un control de versiones que indique la cantidad de veces que se actualiza dicho mapa.

4. OBJETIVOS 4.1. Objetivo General Diseñar un Sistema de Gestión de Riesgos Organizacional para las aéreas de la empresa Colvista SAS, mediante una matriz de análisis, según los requerimientos de la norma ISO 31000:2009 y norma NTC 5254, con el fin de mitigar el efecto a la incertidumbre. 4.2. Objetivos Específicos 

Caracterizar las actividades mediante un análisis descriptivo por medio de encuetas, para obtener datos suficientes y necesarios, con el fin de identificar los riesgos generados en los procesos de las aéreas de la empresa Colvista SAS.



Diseñar un sistema de control e identificación, para mitigar los riesgos operativos en la empresa, mediante la utilización de matrices de análisis semicuantitativo.



Validar durante un periodo de tiempo la correcta ejecución de los controles, con el fin de evidenciar la eficacia de su aplicación.

11

5. HIPÓTESIS El diseño del mapa de Gestión de Riesgos Organizacional se llevara a cabo en las áreas de la empresa Colvista SAS. Con el diseño de matrices analíticas para la empresa Colvista SAS, se ayudara a aumentar la mejora continua en un 60%, teniendo en cuenta la relación entre variables, entre más riesgos se identifiquen mayor será la amplitud del mapa de riesgos que se diseñara.

6. JUSTIFICACION Este proyecto se realiza con el fin de identificar cuáles son los aspectos negativos que afectan los procesos que ejecuta la organización. El resultado esperado, será obtener los riegos que se presentan en el área, la raíz del riesgo identificado y el plan de acción a seguir para mitigar los efectos de este. Los resultados de esta Gestión de Riesgos, serán utilizados por los jefes de cada área de la organización y por los respectivos auditores que controlan los indicadores de gestión de Colvista. Este diseño proporcionara un aporte metodológico sobre todos los procesos de la organización, ya que por requerimiento de la Alta Dirección, este procedimiento cuando se implemente debe cumplirse, además es un hallazgo de auditoría que debe cerrarse. Actualmente la empresa Colvista SAS, está en proceso de recibir la certificación en CMMI (Modelo de Madurez de la Capacidad Integrado/CapabilityMaturityModelforIntegration), y el certificado de la NTC ISO 27001, lo cual no se ha podido implementar por falta de este Sistema de Gestión de Riesgos.

12

7. ALCANCE El alcance del presente proyecto, en acuerdo con la Dirección de Colvista SAS, va desde la identificación, análisis y evaluación de los riesgos operativos hasta el diseño de los controles para su gestión en los procesos definidos en el SGC de la organización. Se está trabajando en este proyecto desde el mes de marzo del presente año y se espera que su finalización se haga efectiva para el mes de junio de 2015. La ejecución de dicho proyecto se está llevando a cabo en la ciudad de Bogotá D.C, en la sede administrativa principal de Colvista SAS.

8. MARCO REFERENCIAL 8.1. MARCO TEÓRICO Para la realización del presente trabajo es de vital importancia conocer de qué manera este sistema de Gestión de Riesgos, se ha desarrollado en otras empresas y así tener conocimiento sobre su viabilidad e importancia. Una implementación de un Sistema de Gestión de Riesgos desarrollada en la empresa GECELCA S.A. E.S.P (Generadora y comercializadora de energía en el Caribe), se realizóbajo el estándar de la norma australiana AS/NZS 4360:1999, permitiendo identificar, medir, gestionar y controlar eficazmente todos los riesgos asociados a la operación de sus actividades. Cuello, Pallares &Wehdeking (2008) aseguran que se identificó que en esta empresa la Gestión de Riesgos fue un caso exitoso, debido a que se logró ejecutar un mapa de procesos que le permitiera a GECELCA identificar, medir, gestionar y controlar eficazmente todos los riesgos asociados a la operación de sus actividades. Dicho sistema

13

está compuesto por el conjunto de políticas, procedimientos, metodólogas de medición y mecanismos de seguimiento y control interno especiales, los cuales deben permitir a esta organización la adopción de decisiones oportunas para la adecuada mitigación del riesgo de mercado(...). La empresa debe involucrar todos los niveles en el proceso de gestión de riesgos, por lo que la participación de cada uno de ellos estará claramente definida en los manuales de la organización, así como en la descripción de funciones, de políticas y procedimientos y en normas de carácter similar establecidas por la organización. La organización debe involucrar en la supervisión global de la toma de riesgos a la Alta Dirección, a fin de determinar la orientación a seguirse con relación a decisiones dentro de la gestión de riesgos. La empresa debe establecer funciones separadas para la toma y administración integral de riesgos, lo cual proporcionará independencia en el control y análisis de riesgos, facilitando la integración del proceso. La organización debe asignar responsabilidades y realizar seguimiento detallado de las medidas tomadas sobre los riesgos identificados en cada una de las líneas de negocio o unidades generadoras de riesgos. Este trabajo aporta referentes importantes para la elaboración del marco teórico en el desarrollo del proceso de administración de riesgos, en los cuales interviene la identificación, análisis, evaluación, tratamiento, seguimiento y monitoreo de los riesgos, con énfasis en las diferentes metodologías para el análisis de los riesgos. 8.2. MARCO CONCEPTUAL Riesgo: Efecto de la incertidumbre sobre los objetivos.[1] Gestión del Riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. [1] 14

Otras definiciones sobre Gestión del Riesgo: La gestión del riesgo se define como el proceso de identificar, analizar y cuantificar las probabilidades de pérdidas y efectos secundarios que se desprenden de los desastres, así como de las acciones preventivas, correctivas y reductivas correspondientes que deben emprenderse. [1] Administración de Riesgo Empresarial: Es un proceso efectuado por la Junta de Directores, la administración y otro personal de la entidad, aplicado en la definición de la estrategia y través del emprendimiento, diseñado para identificar los eventos potenciales que pueden afectar la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer seguridad razonable en relación con el logro del objetivo de la Entidad. [1] Beneficios de la Gestión del Riesgo Según la normas ISO 31000 los beneficios de la Gestión del Riesgo son: 

Se define una estructura de riesgos corporativa que soporta toda la gestión de una manera adecuada.



Facilita el acercamiento de la Junta Directiva y la Alta Dirección a la estrategia de negocio y sus impedimentos.



Facilita un involucramiento de las personas en la administración y evaluación del riesgo en toda la Organización.



Los Responsables de la administración del riesgo son plenamente identificados. - El Lenguaje y el enfoque son comunes con respecto al riesgo.



Se da Tratamiento y Optimización del riesgo en procesos críticos. [1]

15

Proceso de gestión de riesgo: Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las labores de comunicar, establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y revisar el riesgo. [1] Sistema para la gestión de riesgo: Conjunto de elementos del sistema de gestión de una organización involucrados en la gestión de riesgo [1]. Así mismo, Bravo & Sánchez realizan la clasificación de los riesgos en cuatro categorías, identificadas en el ciclo de planeación de una empresa, como se muestra en la figura 1. Figura 1. Ciclo de planeación [2]

Fuente: Bravo, O., & Sánchez, M. (2012) (p.22).

Proceso del sistema de gestión del riesgo:De acuerdo a los anteriores conceptos y aspectos relacionados con el Sistema de Gestión del Riesgo (SGR), se presentan las etapas en la Figura 2 que siguen al proceso de gestión de riesgos de cualquier naturaleza. [1]

16

Figura 2. Ciclo de la administración del riesgo [2]

Fuente: Bravo, O., & Sánchez, M. (2012) (p.72).

8.3. MARCO INSTITUCIONAL Colvista SAS es una empresa proveedora de soluciones y servicios que hacen más eficiente el entorno tecnológico de los clientes. Desde 1996 Colvista SAS ha trabajado en la construcción de un camino solido hasta el éxito. Desarrollando y liderando negocios en todas las áreas que se ha desempeñado, lo cual se evidencia en más de 18 años de historia sobresaliendo en cada servicio y producto.

17

8.3.1. Visión Ser reconocidos como líderes en la integración de soluciones de tecnología y procesos empresariales, distinguiéndonos por el profesionalismo de nuestra gente, la eficiencia de nuestros procesos y la calidad de nuestras soluciones. [3] 8.3.2. Misión Proveemos soluciones y servicios que hacen más eficiente el entorno tecnológico y los procesos de nuestros clientes; generándoles valor, convirtiéndonos en su socio estratégico para alcanzar sus objetivos y garantizando su satisfacción a través de la excelencia de nuestra gestión. [3] 8.3.3.

Política de calidad

Colvista SAS, aporta para la satisfacción de sus clientes soluciones y servicios que hacen más eficiente el entorno tecnológico y los procesos de nuestros clientes en los sectores público y privado. Establecemos convenios con aliados estratégicos para garantizar la prestación de los servicios y suministro de productos con los más altos estándares de calidad. Para el logro de nuestra meta es de vital importancia contar con un talento humano competente, garantizándole un clima organizacional adecuado para el desarrollo de sus actividades. Nos comprometemos con la mejora continua de los procesos para logar la satisfacción y el permanente complimiento de las expectativas del cliente. [3]

18

8.3.4.

Valores

Clientes: Reconocemos que nuestros Clientes dan sentido a nuestra Misión; entendemos sus necesidades y garantizamos el cumplimiento de nuestros compromisos, trabajando con excelencia, oportunidad y calidad, para lograr su satisfacción. Respeto: Reconocemos el valor, las capacidades y la diversidad de las personas como elementos de crecimiento personal y organizacional. Honestidad: Actuamos con honradez e integridad, observando una conducta recta y honorable, haciendo un uso adecuado y racional de los recursos que nos han encomendado para la realización de nuestro trabajo. Compromiso: Hacemos bien las cosas desde la primera vez, comprometidos con la organización, con nuestros clientes y con excelencia tanto en los resultados como en la forma en que los alcanzamos. Iniciativa: Actuamos en forma proactiva, orgullosos de los que hacemos e inspirando a los demás. Innovación: Implementamos constantemente nuevas y mejoras formas de hacer las cosas. Trabajo de Equipo: Actuamos en forma colaborativa con las áreas internas y con nuestros clientes para lograr los mejores resultados. Comunicación: Nos comunicamos en forma respetuosa, asertiva y eficiente, prefiriendo siempre los canales personales y directos.[3] 8.4. MARCO LEGAL Las normas por las cuales se rige actualmente la empresa son: 

NIC (Normas Internacionales de Contabilidad) 2649 y 2650. 19



Ley 80 (Estatuto General de Contratación).



Código sustantivo del trabajo.



Código de comercio.



Certificación de la norma ISO 9001:2008



En proceso: Certificación en CMMI (Integración de modelos de madurez de capacidades), certificación de la norma ISO 31000 e ISO 27001.

9. DISEÑO METODOLÓGICO 9.1. Población y muestra 9.1.1. Población La población objeto de estudio la conforman los procesos definidos en el SGC de la empresa Colvista SAS. En el cuadro 1, de acuerdo al Sistema de Gestión de Calidad implementado por la empresa, los procesos que corresponden a la organización son los siguientes: Cuadro 1. Procesos de la empresa SISTEMA DE GESTION DE LA CALIDAD No.

Proceso

1

Dirección Estratégica

2

Gestión de Procesos y Calidad

3

Gestión Comercial

4

Gestión Preventa

5

Gestión de Servicios

20

6

Gestión Humana

7

Gestión Administrativa

8

Gestión Financiera

9.1.2.

Muestra

En consideración del número de elementos definidos en la población, la muestra del proyecto se hace igual a la población, ósea, los ocho (8) procesos. 9.2. Fases y Actividades Fase I: Caracterizar las actividades mediante un análisis descriptivo para obtener datos suficientes y necesarios, con el fin de identificar los riesgos generados en los procesos de las aéreas de la empresa Colvista SAS. Actividades: 1. Analizar el contexto actual, con la información básica de la empresa utilizando los diagramas de procesos. 2. Identificar los procesos organizacionales, por medio del manual de calidad de la empresa. 3. Conocer el estado actual de las áreas de la empresa, realizando encuestas a los jefes de proceso. Fase II: Diseñar un sistema de control e identificación, para mitigar los riesgos operativos en la empresa, mediante la utilización de matrices de análisis semicuantitativo, validar durante un periodo de tiempo la correcta ejecución de los controles, con el fin de evidenciar la eficacia de su aplicación. Actividades: 21

4. Identificar los riesgos que se generan en los procesos de las áreas de la empresa Colvista SAS con la información recolectada, documentándolos en matrices de análisis. 5. Identificar las causas y consecuencias que producen y generan dichos riesgos identificados en la actividad anterior, documentándolos en matrices de análisis. 6. Valorar los riesgos que se identificaron en las áreas, utilizando los parámetros de la norma NTC 5254 con relación a evaluación de riesgos, documentándolos en matrices de análisis. 7. Realizar un tratamiento específico para cada riesgo, utilizando los parámetros de la norma NTC 5254 con relación al tratamiento de riesgos, documentándolos en matrices de análisis. 8. Diseñar el mapa de riesgos, según los riesgos identificados en los procesos, mediante la herramienta Excel. 9. Evaluar los controles que se identifiquen para cada tipo de riesgo, por medio de pruebas reales que validen la eficacia del desarrollo. 10. Modificar si es necesario las actividades de control que se seleccionaron en la matriz de riesgos.

22

9.3. Fuentes e instrumentos Cuadro 2. Fuentes e Instrumentos

Tipo de Fuente Primaria

Secundaria

Instrumentos Observación del proceso. Entrevistas con los jefes de los procesos. Mapa de procesos Procedimientos Formatos Instructivos Libros Documentación de internet Normas técnicas colombianas

10. RECURSOS 10.1.

Humano

-

Docente encargado de dirigir el proyecto.

-

Jefes de proceso, quieres brindan la información suficiente para ejecutar el mismo.

-

10.2.

Estudiante encargada de desarrollar el diseño de gestión de riesgos.

Físico

-

Instalaciones de Colvista SAS.

-

Equipos de cómputo necesarios para desarrollar el proyecto.

-

Normas Técnicas Colombianas que aplican para el desarrollo.

-

Páginas de internet necesarias. 23

11. ANÁLISISY RESULTADOS Para la implementación del Sistema de Gestión de Riesgos Organizacional correspondientes a los procesos de Colvista SAS, se debe tener en cuenta que un riesgo organizacional es la posibilidad de que un evento ocurra afectando el cumplimiento tanto de los objetivos como metas y estrategias de la empresa. Por esto, se hace necesario que la organización establezca los límites dentro de los cuales se considerarán cumplidos dichos objetivos y qué tolerancia al riesgo se estará dispuesta a asumir. A partir de esto y bajo los parámetros establecidos por Colvista SAS para administrar los riesgos, se va a considerar la identificación, análisis, evaluación y tratamiento, como las etapas que permitirán responder de forma adecuada ante la materialización de los riesgos.

11.1.

Contexto Actual

Para dar inicio a la identificación de riesgos y continuar con el proceso de levantamiento de mapa de riesgos, se procedió a conocer todos y cada uno de los procesos establecidos y descritos en el Sistema de Gestión de Calidad, por medio de la Intranet de Colvista donde están documentados todos los procedimientos de la organización, esta actividad fue de vital importancia porque de esta manera se conocieron más a fondo todas las actividades que se presentan en cada una de las áreas. Cada documento interno está compuesto por: -

Objetivo

-

Alcance

-

Definiciones

-

Contenido

-

Guías de Ajuste

-

Métricas

-

Relación de Anexos

-

Historial de Cambios

24

En la figura 3, se presenta el soporte de la Intranet, lugar de donde se debiรณ sacar toda la informaciรณn correspondiente para la contextualizaciรณn de los procesos. Figura 3. Soporte SGC Intranet Colvista SAS

25

11.2.

Identificar los procesos

Actualmente en la empresa Colvista SAS, en cumplimiento con los requisitos establecidos en la ISO 9001:2008, se tiene documentado en el Sistema de GestiĂłn de Calidad, un manual de calidad, donde se define, que la operaciĂłn de la empresa se va a regir bajo el modelo de procesos descrito en la figura 4, allĂ­ se evidencian los macro procesos de Colvista SAS. Figura 4. Modelo de procesos de Colvista SAS

26

11.3.

Estado actual de las รกreas de Colvista

Para conocer a cerca del estado actual de las รกreas relacionado con gestiรณn de riesgos, se realizaron 10 encuestas a los directores de proceso, el modelo de encuesta se evidencia en la figura 5. Figura 5. Encuesta

27

11.3.1. Resultado de las encuestas Pregunta 1. ¿Conoce usted acerca de la Gestión de Riesgos? -

El 70% de los encuestados respondió que si conoce acerca de la gestión de riesgos en las organizaciones.

Grafica 1. Conocimiento sobre Riesgos

1. ¿Conoce usted acerca de la Gestión de Riesgos?

30% Si No 70%

Pregunta 2. Si la respuesta anterior es Si, responda la siguiente pregunta: ¿Usted realiza matrices de riesgos en su cargo como director de proceso? -

Para esta pregunta, a continuación de evidencia que el 30% de personas encuestadas ha utilizado matrices de riesgo.

28

Grafica 2. Utilización de matrices

2. ¿Usted realiza matrices de riesgos en su cargo como director de proceso?

30%

Si 70%

No

Pregunta 3. ¿Usted cree que realizar una adecuada Gestión del Riesgo mejoraría la productividad en su área? -

El resultado a esta pregunta fue el esperado y por lo tanto satisfactorio, porque se muestra que todos los líderes de proceso encuetados si creen que realizar una adecuada Gestión del Riesgo mejorara la productividad en sus respectivas áreas.

Grafica 3. Adecuada gestión de riesgos

¿Usted cree que realizar una adecuada Gestión del Riesgo mejoraría la productividad en su área? 0%

Si No 100%

29

Pregunta 4. ¿Estaría usted dispuesto a controlar los riesgos en su cargo como director de proceso, como una manera de disminuir posibles errores? -

Con esta pregunta se evidencia el interés de los jefes de proceso en controlar los riesgos en su cargo como director.

Grafica 4. Disposición para controlar los riesgos

4. ¿Estaría usted dispuesto a controlar los riesgos en su cargo como director de proceso, como una manera de disminuir posibles errores? 0%

Si No

100%

Pregunta 5. ¿Estaría usted dispuesto a realizar sus actividades Gestionando Riesgos? -

A continuación se evidencia que el 100% de los jefes de proceso están dispuestos a realizar todas sus actividades Gestionando Riesgos.

30

Grafica 5. Disposición para controlar las actividades por medio de gestión de riesgos

5. ¿Estaría usted dispuesto a realizar sus actividades Gestionando Riesgos? 0%

Si No

100%

Al final del documento en el Anexo 1, se evidencian todas las encuetas realizadas. 11.4.

Identificación de riesgos

Antes de realizar la identificación de los riesgos operativos es importante aclarar según el alcance del presente estudio, que el referente para la definición de los procesos a los cuales se les realizó el proceso de gestión de riesgos fueron los procesos de Evaluación, Planeación Estratégica, Operaciones y de Apoyo y Soporte, definidos en el Sistema de Gestión de la Calidad de Colvista SAS. De los procesos operacionales se unifica Servicios e Investigación y Desarrollo, ya que se relacionan con tecnologías de la información, en lo referente a Gestión Comercial y Preventa se tomara en conjunto, porque la realización de actividades se simplifica en una sola operación. Relacionado con apoyo y soporte, se denota que el área Administrativa se subdivide en Compras e Inventarios y Activos Fijos.

31

Lo anterior se ve reflejado en el siguiente cuadro, donde se identificaron los riesgos para dos (2) procesos de Planeación Estratégica, dos (2) Procesos de Operaciones y cuatro (4) procesos de Apoyo y Soporte.

Cuadro 3. Procesos Definidos para la ejecución del Sistema de Riesgos

Procesos Definidos en el SGC Planeación 1 Direccionamiento Estratégico Estratégica 2 Procesos y Calidad 3 Gestión Comercial 4 Gestión de Preventa Operaciones 5 Servicios 6 Investigación y Desarrollo 7 Gestión Humana Apoyo y Soporte

8 Gestión Administrativa 9 Gestión Financiera

Procesos Definidos para la ejecución del Sistema de Riesgos 1 Direccionamiento Estratégico 2 Procesos y Calidad 3

Gestión Comercial y Preventa

Servicios e Investigación y Desarrollo 5 Gestión Humana 6 Compras 7 Logística e Inventarios 8 Gestión Financiera 4

Para la identificación de los riesgos en los procesos, se aclara que el primer objetivo del proyecto se desarrolló en tres momentos: en el primero se buscó identificar los tipos de riesgos hay en los procesos a analizar. En el segundo momento, se determinó las fuentes de riesgos a nivel interno y externo y los tipos de causas y por último se determinó los efectos que podrían materializar los riesgos identificados. La base del formato de la entrevista, se desarrolló para conocer la respuesta a una pregunta importante relacionada con los riesgos en los procesos: ¿qué puede ocurrir?, con la idea de identificar información que permitiera administrar de forma efectiva los riesgos, obteniendo el tipo de riesgo.

32

El formato para consolidar los riesgos identificados en los procesos de las áreas de Colvista SAS, contiene los elementos ilustrados en el cuadro 4, donde se detalla el nombre del proceso o área, objetivo del proceso, numero de riesgo, riesgos y descripción del riesgo. Cuadro 4. Cuerpo del formato para la identificación de riesgos

PROCESO OBJETIVO DEL PROCESO

No.

RIESGO

DESCRIPCIÓN DEL RIESGO

Este formato fue utilizado para cada uno de los ocho (8) procesos seleccionados, para realizar la gestión de los riesgos organizacionales siguiendo la misma metodología. Como resultado de la información obtenida, se presenta a continuación cuadros resumen con la magnitud de los riesgos identificados, para los procesos que conforman la cadena de operación de la organización, definida para la gestión del riesgo. En el cuadro 5 se presenta la cantidad de riesgos para el caso de los procesos de Planeación Estratégica, obteniendo lo siguiente:

33

Cuadro 5. Riesgos del Macro Proceso de Evaluación Estratégica COLVISTA SAS Macro Proceso de Evaluación Estratégica Nombre del proceso

No.

Riesgo

1

Inadecuada planeación, divulgación y aplicación de los planes de la Organización Desarticulación en la planeación estratégica de la entidad Desacierto en la planeación presupuestal Desactualización de los procesos versus el sistema de Gestión de calidad Desacierto en indicadores de gestión Estructura de negocio inapropiada Ausencia de un control detallado, respecto a la recolección de indicadores de gestión. Ausencia de acciones de mejora Inadecuada distribución de la información en cuanto a la actualización de los formatos Incumplimiento de los requisitos de la norma ISO 9001:2008. Carencia de resultados confiables de las auditorias

2 Dirección Estratégica

3 4 5 6 7

Procesos y Calidad

8 9 10 11

Cantidad de Riesgos

Total

6

5

11

En la siguiente grafica 6, se evidencia que los procesos del Macro Proceso de Evaluación Estratégica, están directamente relacionados, debido a que la diferencia en la cantidad de riesgos es solamente del 8%.

34

Grafica 6. Riesgos del Macro Proceso de Evaluación Estratégica

Riesgos del Macro Proceso de Evaluación Estratégica

46%

Dirección Estratégica Procesos y Calidad

54%

En el cuadro 6 se presenta la cantidad de riesgos para el caso de los procesos de Operaciones, obteniendo lo siguiente: Cuadro 6. Riesgos del Macro Proceso de Operaciones COLVISTA SAS Macro Proceso de Operaciones Nombre del proceso Gestión Comercial y Preventa

No.

Riesgo

12 13

Inadecuada estructura en el área comercial Carencia en el análisis de riesgo y ANS en los negocios Desacierto en los precios, elaboración de propuestas inapropiadas Continuidad del negocio Conflicto de intereses Fallas en la red Sistemas operativos Obsoletos Base de datos desactualizadas

14 15 16 17 18 19

35

Cantidad de Riesgos

5

Gestión de Servicios

20 21 22 23 24 25 26 27 28 29 30

Desacierto en Aplicaciones de apoyo al ERP Caída de canal en el centro de computo Caída de canal entre los puntos remotos y oficina principal Fallas en equipos de red Fallas en los equipos de seguridad perimetral, firewall Fortinet Fallas en los servidores Fallas en el fluido eléctrico Fallas en los equipos eléctricos Incendio en oficina principal y/o centro de computo Robo de equipos Acceso no autorizado de usuario Administrador Total

14

19

En la siguiente grafica 7, se denota que en el Maco Proceso de Operaciones, el área de Servicios cuenta con una mayor cantidad de riesgos frente al área de Gestión comercial y preventa. Grafica 7. Riesgos del Macro Proceso de Operaciones

Riesgos del Macro Proceso de Operaciones

26%

Gestión Comercial y Preventa Gestión de Servicios

74%

36

En el cuadro 7 se presenta la cantidad de riesgos para el caso de los procesos de Apoyo y Soporte, obteniendo lo siguiente: Cuadro 7. Riesgos del Macro Proceso de Apoyo y Soporte COLVISTA SAS Macro Proceso de Apoyo y Soporte Nombre del proceso

No . 31 32

Compras

33 34 35 36 37

Logística e Inventarios

Gestión Humana

38

39 40 41 42 43 44

45 Gestión Financiera

46 47 48

Riesgo

Cantidad de Riesgos

Inadecuada parametrización de la aplicación informática del proceso de compras Conflicto de intereses en las compras Pagos a proveedores fuera de las condiciones establecidas Inapropiadas solicitudes de compra erróneas o incompletas Carencia de un presupuesto Ausencia de datos estadísticos y lista de precios Carencia de medición y análisis de gestión en el proceso Ausencia de un control detallado, con relación al inventario de activos fijos e inventarios Inadecuada selección del personal Desactualización del manual de funciones Desacierto en indicadores de gestión Ausencia de políticas de conflicto de intereses y de código de conducta Carencia de capacitación Ausencia de campañas de sensibilización tendientes a fomentar los valores en la organización Ausencia de incentivos y estímulos al personal Inexactitud en la información contable Mediciones inadecuadas a los proyectos Debilidades en las provisiones, diferidos e 37

7

1

7

12

49 50 51 52 53 54 55 56 57

intangibles Activos y Pasivos Inexistentes Inadecuada segregación de funciones Ajustes globales y errados Carencia de libros oficiales Carencia de conciliaciones contables Estados financieros errados Desconocimiento del origen de las cifras Posibles jineteos de fondos Desviación de recursos Total

26

A continuación en la gráfica 8, se identifica que el área con mayor cantidad de riesgos identificados, fue Gestión Financiera con un 44%, por otro lado el proceso de Logística e Inventarios cuenta con apenas un 4% de riesgos. Grafica 8. Riesgos del Macro Proceso de Apoyo y Soporte

Riesgos del Macro Proceso de Apoyo y Soporte 4%

26%

Compras Gestión Humana

44%

Gestión Financiera Logística e Inventarios

26%

38

Cuadro 8. Cantidad Total de Riesgos COLVISTA SAS NO.

Nombre del proceso

Cantidad de Riesgos

1

Planeación Estratégica

11

2

Operaciones

19

3

Apoyo y Soporte

27 Total

57

Acontinuacion en la grafica 9, se puede visualizar que el area que presenta mayor cantidad de riesgos es Gestion de Servicios con un 25%, debido aque su objetivo esta dirigido a definir los criterios o directrices institucionales para el buen uso y preservación de la infraestructura tecnológica de Colvista. Por otro lado se evidencia que las areas con menor cantidad de riesgos son Procesos y Calidad y Gestion Comercial y Preventa, donde la diferencia de riesgos es del 16%. Grafica 9. Porcentaje de riesgos para los procesos de Colvista SAS.

PROCESOS COLVISTA SAS 0% 21%

Procesos Colvista

11% Dirección Estratégica

9% 9%

13% 12%

Procesos y Calidad Gestión Comercial y Preventa

25%

Gestión de Servicios

39

En la gráfica 10, se presenta de forma gráfica los riesgos identificados para cada macro proceso. Grafica 10. Riesgos por Macro Proceso

Riesgos por Macro Proceso

33% 48%

Operaciones Planeación Estratégica Apoyo y Soporte

19%

11.5.

Identificación de fuentes, causas y consecuencias

En el proceso de identificación de los riesgos, es importante determinar las fuentes de riesgo, tipos de causas y posibles consecuencias asociados a los mismos,es por esto que en segunda instancia y con base en la información obtenida en el primer momento, en el cual se identificaron los riesgos para cada uno de los procesos definidos para la gestión del riesgo, se procedió a determinar las fuentes de riesgo o también llamados agentes generadores, los cuales tienen la capacidad de actuar ocasionando un riesgo. Las fuentes que se definieron son las relacionadas a continuación en el cuadro 9, esto se realizó siguiendo el modelo definido por el departamento Administrativo de la Función Pública [6]. 40

Cuadro 9. Tipos de Fuentes Tipo de

Abreviatura

Descripción

R.E

Se asocia con la forma en que se administra la Entidad. El

Fuente Estratégico

manejo del riesgo estratégico se enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos estratégicos, la clara definición de políticas, diseño

y

conceptualización de la entidad por parte de la alta gerencia. Operativo

R.O

Comprende los riesgos relacionados tanto con la parte operativa como técnica de la entidad, incluye riesgos provenientes de deficiencias en los sistemas de información, en la definición de los procesos, en la estructura de la entidad, la desarticulación entre

dependencias,

oportunidades

de

lo

cual

corrupción

conduce e

a

ineficiencias,

incumplimiento

de

los

compromisos institucionales. Control Financiero

R.CTRL R.F

Ausencia de control en los procesos. Se relacionan con el manejo de los recursos de la entidad que incluye, la ejecución presupuestal, la elaboración de los estados financieros, los pagos, manejos de excedentes de tesorería y el manejo sobre los bienes de cada entidad. De la eficiencia y transparencia en el manejo de los recursos, así como su

41

interacción con las demás áreas dependerá en gran parte el éxito o fracaso de toda entidad. Cumplimiento

R.C

Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales, de ética pública y en general con su compromiso ante la comunidad.

Tecnológico

R.T

Se asocian con la capacidad de la Entidad para que la tecnología disponible satisfaga las necesidades actuales y futuras de la entidad y soporte el cumplimiento de la misión.

El formato para consolidar los riesgos identificados en los procesos de las áreas de Colvista SAS, las fuentes, causas y posibles consecuencias, contiene los elementos ilustrados en el cuadro 10, donde se detalla el nombre del proceso o área, objetivo del proceso, numero de riesgo, riesgos, descripción del riesgo, fuente del riesgo, posibles causas y posibles consecuencias. Para la identificación de fuentes, causas y posibles consecuencias de los riesgos identificados, fue necesario contar con el apoyo constante del Contralor de la organización, debido a su amplio conocimiento sobre Colvista SAS, también se contó con el constante apoyo de los directores de proceso dado a que son los dictante implicados en la ejecución de actividades.

42

Cuadro 10. Cuerpo del formato para la identificación de riesgos, fuentes, causas y consecuencias. OBJETIVO PROCESO DEL No. RIESGO PROCESO

FUENTES DESCRIPCIÓN DEL RIESGO DEL RIESGO

CAUSAS

CONSECUENCIAS

11.5.1. Fuentes, causas y consecuencias En el cuadro 11, se establecieron y documentaron las causas y posibles consecuencias de los riesgos, estas de identificaron teniendo en cuenta la fuente y la causa raíz del riegos, debido a que son los medios, circunstancias y agentes que generan los riesgos. Cuadro 11. Fuentes, causas y consecuencias

COLVISTA SAS

PROC No.

CLASIFICACIÓN DEL RIESGO

GESTIÓN ESTRATÉGICA

R.E

R.O

R.CTRL

R.F

R.C

POSIBLES CAUSAS (Factores internos, externos, agente generador)

R.T

Falta de capacitación en el tema de planeación estratégica (Planes, Políticas, objetivos e indicadores de gestión) a los colaboradores de los diferentes procesos 1

X

2

X

POSIBLES CONSECUENCIAS

Planes y programas mal formulados

Incumplimiento de los objetivos y los resultados esperados Información inexacta a nivel interno y externo Falta de claridad para la formulación de planes y programas, así como de responsabilidades y actividades que debe Desconocimiento externo e interno del negocio adelantar cada área Incumplimiento en políticas de buen gobierno y de gestión por procesos Cambios en la reglamentación del estado

43

Inadecuado plan estratégico

3

X

Desconocimiento en los procesos de contratación

Incumplimiento de los objetivos estratégicos Sanciones por parte de los entes del estado Información inconsistente para la toma de decisiones tanto a nivel externo como interno

Carencia de un procedimiento de planeación presupuestal

Modificaciones permanentes en el plan de compras

Inadecuada formulación de los requerimientos presupuestales por parte de los responsables de los procesos. Falta de conocimiento en el aspecto presupuestal y contable

Demoras en los pagos a los proveedores Observaciones al presupuesto por parte de los accionistas Recortes y traslados presupuestales entre rubros Errores en la ejecución de actividades realizadas por los funcionarios Pérdida de tiempo en la ejecución de actividades Resultados inapropiados

Desconocimiento de procesos y de la metodología utilizada para su actualización

4

X

Debilidades en el sistema de gestión de calidad

Falta de compromiso por parte de los jefes de proceso Desconocimiento del negocio Desconocimiento de los procesos

5

PROCESOS Y CALIDAD

7

Documentación obsoleta que genera retrasos en la ejecución de procesos Levantamiento de Hallazgos por parte de los entes externos de control y de la Contraloría Resultados deficientes en los procesos información deficiente para la toma de decisiones

Carencia de capacitación por el personal responsable de procesos

Reprocesos y sobrecostos

Carencia de liderazgo y seguimiento por parte del responsable del SGC

Mediciones inapropiadas

Alta rotación de personal en los procesos

Debilidades en el autocontrol

X

Cambios constantes en la Organización 6

Demora en la aprobación de la actualización, inclusión o eliminación del procedimiento por parte de los responsables del sistema de Gestión

X

Rotación de personal Directivo

X

X

X

Resultados deficientes y problemas de continuidad en el negocio. Pérdida de imagen ante terceros

Desequilibrio en salarios

Alta rotación de personal clave dentro de la organización, clima laboral bajo

Falta de compromiso de parte de los jefes de proceso, en cuanto a la entrega de indicadores

Incumplimiento en los objetivos de cada área

Ausencia de control por parte del área de procesos y calidad

Incertidumbre organizacional en cuanto al cumplimiento de las metas

44

Información deficiente para la toma de decisiones Falta de seguimiento por parte del responsable No tener soportes o resultados para la de Procesos y Calidad Revisión Semestral por la Dirección.

8

X

X

Desconocimiento de parte de los empleados, sobre como proponer un acción de mejora

No se generan acciones de mejora en los procesos de la organización

Falta de compromiso en cuanto a la mejora continua de la organización

No se evidencia el continuo mejoramiento en los procesos

Desconocimiento de los tiempos en que se ejecuta una propuesta de mejora

Incumplimiento en los procesos establecidos Ejecución de actividades con formatos antiguos y desactualizados

Falta de interés en las mejoras que se ejecutan

9

10

GESTIÓN COMERCIAL Y PREVENTA

11

X

X

X

X

X

No todas las actualizaciones corresponden a su respectivo proceso

Desinformación de formatos existentes

Ausencia de compromiso de parte de la dirección de Procesos y Calidad

Posible identificación de hallazgos en las auditorias por el ente certificador (Cotecna)

Desinformación de los empleados, sobre la importancia del cumplimiento de la norma Debilidad en el área de Procesos y Calidad y falta de compromiso de la Dirección Estratégica. Perdida de evidencia objetiva del proceso auditado

Resultados negativos en los procesos

Falta de información sobre el proceso, incumplimiento a los principios de los auditores Personal no calificado en el área comercial Desconocimiento en contratación estatal

12

13

X

X

X

X

Falta de claridad en el foco principal del negocio Salarios inapropiados para la remuneración del personal de ventas

Perdida de la certificación ISO 9001:2008

Falta de conclusiones de las auditorias

Medición inadecuada del proceso

Incumplimiento en el presupuesto de ventas perdidas de negocios importantes y problemas relacionados con la continuidad del mismo sobrecostos y baja generación de valor Clima laboral de la Compañía deficiente

Desconocimiento en el tema de riesgos por parte del personal comercial

Aceptación de clausulas que puedan ser poco viables para la Compañía

Falta de compromiso en el personal comercial

Desequilibrio económico

45

concentración de negocios en un solo sector ( público)

Perdidas económicas

Carencia de liderazgo en el proceso comercial

Negocios poco rentables con márgenes inapropiados

Falta de estadísticas e indicadores de la competencia Carencia de encuestas 14

Perfiles y competencias del personal inadecuadas

16

perdida de negocios

X Debilidades y desactualización en las bases de datos

15

Propuestas mal elaboradas

X

Mala imagen corporativa

Sobrecostos en personal

Estructura de personal comercial inadecuada y Resultados deficientes y costos fijos para la no comprometido con la organización Organización Estrategias de consecución de negocios erradas Reprocesos y sobrecostos Propuestas sobre costeadas Mala reputación Errores significativos y perdidas Carencia de filtro y revisiones en las propuestas económicas Carencia de trabajo en equipo Reprocesos y errores en la información Debilidades en el diligenciamiento de los cuadros de costos Perdida de negocios

X

Carencia de valores y sentido de pertenencia Personal inadecuado y resultados por parte del personal de preventa y comercial inapropiados Intereses personales y selección inadecuada de proveedores Perdidas económicas posibles fraudes

X

Falta de seguimiento en la asignación de proveedores

Sobrecostos para la Compañía

Inestabilidad del sistema operativo 17

x

Bloqueos sobre los servicios

GESTION TI

Permisos inapropiados

18

19

Desactualización del sistema operativo

Carencia de información para el usuario

Virus y ataques informáticos

Perdida en la integridad de la información y por ende económicas

omisión de los requerimientos de hardware X especificados por el proveedor

X

Daño del dispositivo

Malas acciones administrativas sobre el S.O.

Perdida de información

Conflicto en ejecución de aplicaciones instaladas

Perdidas de información

Desactualización del motor de la base de datos Carencia de soporte por parte del proveedor

46

Perdida de integridad y disponibilidad de la base de datos perdidas económicas por sobrecostos

Ejecución de procesos automáticos y/o programados que afecten el desempeño de la BD. Incumplimiento de requerimientos mínimos de software y hardware

20

21

22

Sobrecostos

Ejecuciones transaccionales, que dejen procesos abiertos al finalizar la ejecución

Hurto de información

Incompatibilidad entre le motor de B.D, el S.O y las aplicaciones instaladas

Fallas en la aplicación ( lentitud, bloqueos)

Daños sobre la instalación del software

No disponibilidad de la aplicación

24

25

Bloqueos en la aplicación Lentitud en el sistema Inestabilidad en la aplicación

Pérdida de sincronización entre los equipos del proveedor de comunicaciones

Carencia de acceso a canales de datos e Internet

Daños en los medios físicos (fibra óptica, cobre, radio enlace)

Improductividad, perdidas económicas

Fallas en el servicio ADSL del punto remoto

Carencia de acceso a la información y recursos de red de sedes alternas a cede principal

Fallas en el equipo de conectividad Firewall X fortinet Daños en los canales de comunicación

Daños en los componentes electrónicos por deterioro Puertos quemados por filtración de energía en X el cableado de datos o picos de voltaje

X

Funcionamiento erróneo en la aplicación

Actualización mal instalada

Daños físicos en las líneas telefónicas

23

Perdida de información

Acciones administrativas erróneas que generen un mal uso de los recursos

Actualizaciones incompatibles Mal funcionamiento de los servicios por X consumo excesivo Procesos ejecutados paralelamente, que detengan la ejecución del software

X

Disminución de rendimientos en la base de datos

Vulnerabilidad a ataques de todo tipo Improductividad, perdidas económicas Incomunicados con cliente interno y externo Perdida de información Pedidas económicas

Falla por ataque interno o externo

Perdida de información

Daño en componentes de hardware

Vulnerabilidad a ataques de todo tipo

Daño en el sistema operativo

Pedidas económicas

Falla por ataque interno o externo

perdidas económicas

X Daño en componentes de hardware

47

Inestabilidad en el sistema , carencia de servicio, perdida de información

26

X

27

Daño en el sistema operativo

Pedidas económicas

Falta de mantenimiento preventivo

Fallas de hardware y perdidas económicas

Daños en el software de producción

Perdidas económicas

Picos de voltaje

Daño de equipos

Altas o bajas de voltaje

Daño de equipos

Interrupción del servicio eléctrico

Improductividad, perdidas económicas

Falla planta eléctrica

NO disponibilidad de servicios

Falla de UPS

Interrupción de servicio

Falta de mantenimiento preventivo

Fallas de hardware y perdidas económicas

X Desgaste de las baterías Mala calidad de le energía de entrada

Daño de equipos

Falta de mantenimiento preventivo en los equipos electrónicos

Perdidas económicas

X sobrecargas eléctricas

28

Daño de equipos

Corto circuito

Daño de equipos

29

X Fallas en el esquema de seguridad

30

X Falta de medidas de seguridad para el manejo de la Clave

Robo de la clave

COMPRAS

31

x

32

33

x

x

x

x

x

x

Disminución en capacidad de reacción

Perdida de información y perdidas económicas Perdida de información

Carencia de parametrización en el sistema Carencia de capacitación a los operarios del software Carencia de seguimiento a la política de compras Ausencia de procedimientos para el manejo y control del Software

Perdida de información, hurto de identidad

Sobre costos en la adquisición de bienes y/o servicios Sobrepasar los topes de compras autorizados Fraude y perdidas económicas

Incumplimiento en los procedimientos establecidos

Sobre costos para la Organización

Personal con carencia de valores inadecuada segregación de funciones y carencia de control

Fraude y perdidas económicas Mala reputación y desmotivación en algunos proveedores

Insuficiente flujo de efectivo en el momento del vencimiento de la factura Condiciones de pago desfavorables para la compañía

Mala reputación y desmotivación en algunos proveedores

Sobre costos por intereses por mora en los pagos Ausencia de planeación y cronograma de pagos Incumplimiento y mala reputación

48

Falta de control en las requisiciones y en las solicitudes de compra 34

x

x

Falta de comunicación entre preventa, Retraso en los proyectos y sanciones comercial y compras pecuniarias Desconocimiento técnico por parte del personal Sobrecostos de compras

Informalidad y ausencia de seguimiento

Información inconsistente para la toma de decisiones tanto a nivel externo como interno Sobrecostos y mala reputación en la imagen de la compañía Fraudes y perdidas económicas

Carencia de una aplicación informática que permita tener una base de datos con precios

Perdidas económicas y sobrecostos en los mimas

Personal con competencias inadecuadas en el área Carencia de un archivo de datos históricos, confiable.

Demoras en proceso de cotización y elaboración de propuestas

Ausencia de indicadores de Gestión

Toma de decisiones erróneas

Debilidad en los controles

Posibles fraudes y perdidas económicas

Ausencia de Supervisión y Seguimiento

Resultados inapropiados para el proceso

Falta de compromiso por parte de los jefes de proceso para implementar un control de existencias

Información errada para toma de decisiones

Ausencia de capacitación y conocimiento de las normas establecidas para los activos fijos e inventarios

Sanciones pecuniarias para la organización

Inconsistencias y desactualización de los registros existentes

Fraude y perdidas económicas

No existe control por parte del área financiera 35

x

x Debilidades en la competencias del personal

36

ACTIVOS FIJOS E INVENTARIOS

37

38

x

x

x

X

X

Devoluciones y perdidas económicas

Productos de mala calidad

Ausencia de procedimientos claros que definan las actividades y el control sobre los activos e Reprocesos y costos para la organización inventarios Debilidad en cuanto a la distribución, segregación de funciones y niveles de Pérdidas económicas, resultados deficientes autoridad. Carencia de aplicaciones tecnológicas que permitan realizar trazabilidad y control de Desactualización de información registros Carencia de una distribución física y demarcaciones de bodega

Reprocesos y costos para la organización

Los registros existentes no se cruzan ni conciliados con la contabilidad

Información deficiente

49

39

X

X

Carencia de seguimiento y control al proceso de selección

fraude y sobrecostos

Falta de fuentes de información para recolectar hojas de vida

Demora en la contratación de personal

Carencia de planeación en la requisición de personal

contrataciones erradas

Carencia de estudios de seguridad y confirmación de referencias

Posibles fraudes

Desempeño inadecuado en los procesos Desconocimiento de las competencias que debe tener cada cargo Insatisfacción en la prestación del servicio por parte de los usuarios finales

40

X

GESTIÓN HUMANA

X

41

X

X

Falta de compromiso por parte de la gerencia de Gestión Humana

Desarrollo de actividades que no se encuentran formalmente establecidas

Alta rotación de personal en el área

Clima laboral inadecuado

Ausencia de conocimiento de los procedimientos existentes

Deficiencias en los procesos a desarrollar

Desconocimiento de los procesos ejecutados

Deficiencia en los resultados obtenidos

Carencia de compromiso y seguimiento por parte del responsable del SGC

Mediciones y toma de decisiones erróneas en los procesos

Alta rotación de personal en el área

Pérdidas en curva de aprendizaje y reprocesos

Ausencia de conocimiento de parte del Información deficiente para la toma de responsable de Gestión Humana, con relación a decisiones las mediciones Improvisación en la contratación de personal Fraude y sobrecostos Informalidad en los procesos 42

x

x

Ausencia de control en el proceso

Resultados inapropiados de los procesos

Falta de imparcialidad en la selección de personal Falta de presupuesto para capacitaciones

43

X

X

Audiencia de pruebas técnicas en el proceso de selección Ausencia de plan carrera dentro de la Organización Ausencia de compromiso por parte de la Alta Dirección

50

Conocimientos desactualizados sobre los procesos Personal inapropiado y deficiencias en la Gestión Desmotivación y mala reputación Incumplimiento de los objetivos estratégicos

44

x

x

Carencia de interés por parte de los empleados Carencia de un procedimiento efectivo que permita promulgar los valores al interior de la organización. Falta de voluntad y compromiso por parte del personal responsable. Ausencia de buen ejemplo por parte de personal directivo

45

x

x

X

X

Resultados ineficientes

Desconocimiento de las necesidades del personal

Desmotivación del personal

Carencia de políticas contables Alta rotación de personal del área Debilidades de criterio y ética profesional

47

X

Mala imagen corporativa

Carencia de presupuesto

Desconocimiento de las normas 46

Cultura organizacional deficiente

Posibles sanciones por organismos de control Toma de decisiones inadecuada

Carencia de información en línea Carencia de medición y toma de decisiones inadecuada

GESTIÓN FINANCIERA

48

X

X

Desconocimiento de las normas Carencia de pruebas en detalle

49

50

51

X

X

X

X

X

X

Contingencias sin definir Manejos inadecuados Exceso de confianza y falta de seguimiento y control a algunos colaboradores en la organización (tesorería y compras) Personal contable con carencia de conocimiento Sistemas contables complejos para identificar partidas Carencia de control en los ajustes Desconocimiento de las normas contables

52

X

X

Debilidades en el control interno (revisoría fiscal), alta rotación del jefe contable

X

Desconocimiento de la importancia de las conciliaciones, personal inapropiado

X

Carencia de control por parte de la Gerencia financiera, rotación del Jefe de contabilidad, desconocimiento del impacto en las sanciones que puede acarrear

Información errada

Posibles fraudes

Información con errores

Información con errores

Información con errores 53

54

X

X

51

Posibles fraudes y sanciones pecuniarias por órganos de control

55

X

X

Inexistencia de libros de libros contables

Posibles sanciones por organismos de control

Fraudes y pérdidas económicas

Posibles fraudes y sanciones pecuniarias por órganos de control

56

X

X

Exceso de confianza en personal con manejo de efectivo Inadecuada segregación de funciones Carencia de control por parte del Gerente financiero

57

X

X

Exceso de confianza en personal con manejo de efectivo y carencia de control

11.6.

Valoración de riegos en los procesos

Seguido al trabajo realizado en cada proceso y ejecutadas las tres etapas presentadas anteriormente, se continuo estableciendo la probabilidad o frecuencia e impacto de los riesgos, mediante una calificación, para así obtener información y luego definir el nivel de exposición, zona de riesgo y la estrategia de administración sugerida. Para realizar un adecuado análisis de la información obtenida en el formato de identificación de riesgos, fue necesario el apoyo y soporte de un auditor interno de Colvista SAS, debido a que tiene un amplio conocimiento en todos los procesos de la organización. Para el eficaz análisis de riesgos existen diferentes metodologías, sin embargo para este caso se tuvo en cuenta la planteada por la norma técnica NTC 5254, que tiene en cuenta tres aspectos o niveles para realizar la calificación. La otra metodología de la cual se tomó referencia fue la planteada por el Departamento Administrativo de la Función Pública en su documento “Guía de Administración del Riesgo” [6]. Según lo planteado anteriormente se analizaron los riesgos bajo un criterio cualitativo, en el cual se utiliza una escala que clasifica aspectos con valoración numérica, de esta manera lograr definir e identificar el nivel de riesgo; dicho desarrollo se realizó en dos (2) etapas:

52

-

Frecuencia o Probabilidad.

-

Impacto.

11.6.1. Frecuencia o Probabilidad e Impacto.

Luego de lo mencionado anteriormente, se determinaron los rangos tanto para la probabilidad como para el impacto, desarrollados bajo los parámetros mencionados anteriormente. Las escalas determinadas para la frecuencia e impacto están desarrolladas en tres (3) niveles, de la combinación de estos dos (2) criterios dependerá el éxito de la gestión del riesgo, ya que matemáticamente el riesgo es proporcional a cada uno de sus dos componentes, siendo por esta razón la función del riesgo esencialmente un producto. A continuación, se presenta la escala de frecuencia o probabilidad que se utilizó para el análisis de los riesgos organizacionales, previamente identificados en la fase anterior. En el cuadro 12, se presentan los elementos para definir la escala de probabilidad: un valor, un nivel de la probabilidad y la descripción del significado del nivel. Los niveles de riesgo, se describen en valores del número uno (1) al tres (3), siendo uno (1) el de menor ocurrencia y tres (3) el de mayor ocurrencia. Cuadro 12. Escala de probabilidad Valor 1 2 3

Probabilidad Baja Media Alta

Descripción La amenaza no posee la suficiente motivación y capacidad. La amenaza es posible. La amenaza está altamente motivada y es suficientemente capaz de llevarse a cabo.

53

Teniendo en cuenta los parámetros anteriores y antes de realizar el análisis completo de los riesgos identificados, fue necesario definir la escala de impacto. En el cuadro 13, se presentan los valores de los tres (3) niveles de impacto definidos: cinco (5) impacto leve, diez (10) impacto moderado y veinte (20) impacto moderado. Cuadro 13. Escala de Impacto Valor 5 10 20

Impacto Leve Moderado Catastrófico

Teniendo en cuenta lo mencionado anteriormente y en base a lo planteado en la norma técnica NTC 5254 y lo presentado por el Departamento Administrativo de la Función Pública en su documento “Guía de Administración del Riesgo” [6], con el fin de facilitar la calificación y evaluación a los riesgos, a continuación se presenta una matriz (Cuadro 13.) que contempla un análisis cualitativo, que hace referencia a la utilización de formas descriptivas para presentar la magnitud de las consecuencias potenciales (impacto) y la posibilidad de ocurrencia (probabilidad). Tomando las siguientes categorías: leve, moderada y catastrófica en relación con el impacto y alta, media y baja respecto a la probabilidad. La calificación se realizó de la siguiente manera: -

Probabilidad Alta se calificó con 3.

-

Probabilidad Media con 2

-

Probabilidad Baja con 1

-

Impacto si es Leve con 5

54

-

Impacto si es Moderado con 10

-

Impacto si es Catastrófico con 20.

Lugo de darle el valor a los riesgos según lo mencionado anteriormente, se procedió a identificar la ubicación dependiendo la zona de riesgo Aceptable, Tolerable, Moderado, Importante o Inaceptable. Si el riesgo se ubica en la Zona de riesgo aceptable donde su calificación es 5, quiere decir que la probabilidad es baja y su impacto es leve, para lo cual se debe asumir el riesgo, lo que indica que el riesgo se encuentra en un nivel que puede ser aceptado sin tomar medidas adicionales o nuevas a las que posiblemente existen. Por otro lado cuando el riesgo queda en la zona de riesgo inaceptable donde su calificación es 60, quiere decir que su probabilidad es alta y su impacto catastrófico, para este caso la medida a tomar según lo indica la norma técnica NTC 5254, es eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario se deben implementar controles de prevención para evitar la probabilidad del riesgo. Finalmente si el riesgo está ubicado en las zonas de riesgo tolerable o moderado o importante, se deben tomar medidas para llevar los riesgos a la zona aceptable. Para todos los riesgos sin excepción alguna, las medidas dependen de la zona en la que se encuentra ubicado el riesgo. La ubicación de cada zona se encuentra establecida en el cuadro 14.

55

Cuadro 14. Matriz modelo de calificación, evaluación y respuesta a los riesgos PROBABILIDAD

ALTA

MEDIA

BAJA

VALOR

3

15 Zona de riesgo moderado evitar el riesgo

30 Zona de riesgo importante Reducir el riesgo Evitar el riesgo Compartir o transferir

60 Zona de riesgo inaceptable Reducir el riesgo Evitar el riesgo Compartir o transferir

2

10 Zona de riesgo tolerable Asumir el riesgo Reducir el riesgo

20 Zona de riesgo moderado Reducir el riesgo Evitar el riesgo Compartir o transferir

40 Zona de riesgo importante Reducir el riesgo Evitar el riesgo Compartir o transferir

1

5 Zona de riesgo aceptable Asumir el riesgo

10 Zona de riesgo tolerable Reducir el riesgo Compartir o transferir

20 Zona de riesgo moderado Reducir el riesgo Compartir o transferir

IMPACTO VALOR

Leve 5

Moderado 10

Catastrófica 20

Se debe tomar una acción inmediata, especificar planes de acción y atención de la alta dirección. Gestionar mediante procedimientos de monitorio o respuesta específicos. Gestionar mediante procedimientos de rutina, es improbable que se necesite la planificación especifica de recursos. A continuación en el cuadro 15, se presenta el consolidado del análisis y valoración de cada uno de los riesgos identificados.

56

Cuadro 15. Matriz de calificación, evaluación y zona de riesgos

PROCESOS Y CALIDAD

GESTIÓN ESTRATÉGICA

PROC

No.

IMPACTO LEVE 5 MODERADO 10 CATASTROFICO 20

PROBABILIDAD BAJA 1 MEDIO 2 ALTO 3

TOTAL NIVEL DE EXPOSICIÓN

ZONA DE RIESGO

1

10

2

20

ZONA DE RIESGO MODERADO

2

20

3

60

ZONA DE RIESGO INACEPTABLE

3

20

3

60

ZONA DE RIESGO INACEPTABLE

4

10

2

20

ZONA DE RIESGO MODERADO

5

20

3

60

ZONA DE RIESGO INACEPTABLE

6

20

3

60

ZONA DE RIESGO INACEPTABLE

7

20

3

60

ZONA DE RIESGO INACEPTABLE

8

10

2

20

ZONA DE RIESGO MODERADO

9

10

2

20

ZONA DE RIESGO MODERADO

10

20

1

20

ZONA DE RIESGO MODERADO

11

20

2

40

ZONA DE RIESGO IMPORTANTE

57

GESTIÓN COMERCIAL Y PREVENTA GESTION TI

12

20

3

60

ZONA DE RIESGO INACEPTABLE

13

20

2

40

ZONA DE RIESGO IMPORTANTE

14

20

2

40

ZONA DE RIESGO IMPORTANTE

15

20

3

60

ZONA DE RIESGO INACEPTABLE

16

20

3

60

ZONA DE RIESGO INACEPTABLE

17

20

2

40

ZONA DE RIESGO IMPORTANTE

18

20

2

40

ZONA DE RIESGO IMPORTANTE

19

20

1

20

ZONA DE RIESGO MODERADO

20

10

2

20

ZONA DE RIESGO MODERADO

21

20

2

40

ZONA DE RIESGO IMPORTANTE

22

20

2

40

ZONA DE RIESGO IMPORTANTE

23

20

2

40

ZONA DE RIESGO IMPORTANTE

24

20

1

20

ZONA DE RIESGO MODERADO

25

20

2

40

ZONA DE RIESGO IMPORTANTE

58

COMPRAS

20

1

20

ZONA DE RIESGO MODERADO

27

10

1

10

ZONA DE RIESGO TOLERABLE

28

20

1

20

ZONA DE RIESGO MODERADO

29

20

2

40

ZONA DE RIESGO IMPORTANTE

30

20

1

20

ZONA DE RIESGO MODERADO

31

10

3

30

ZONA DE RIESGO IMPORTANTE

32

20

2

40

ZONA DE RIESGO IMPORTANTE

33

10

3

30

ZONA DE RIESGO IMPORTANTE

34

10

1

10

ZONA DE RIESGO TOLERABLE

35

20

3

60

ZONA DE RIESGO INACEPTABLE

36

10

2

20

ZONA DE RIESGO MODERADO

37

20

3

60

ZONA DE RIESGO INACEPTABLE

20

3

60

ZONA DE RIESGO INACEPTABLE

ACTIVO S FIJOS E INVENT ARIOS

26

38

59

GESTIÓN HUMANA GESTIÓN FINANCIERA

39

10

2

20

ZONA DE RIESGO MODERADO

40

20

2

40

ZONA DE RIESGO IMPORTANTE

41

20

3

60

ZONA DE RIESGO INACEPTABLE

42

20

2

40

ZONA DE RIESGO IMPORTANTE

43

10

2

20

ZONA DE RIESGO MODERADO

44

10

2

20

ZONA DE RIESGO MODERADO

45

20

2

40

ZONA DE RIESGO IMPORTANTE

46

20

2

40

ZONA DE RIESGO IMPORTANTE

47

20

2

40

ZONA DE RIESGO IMPORTANTE

48

10

2

20

ZONA DE RIESGO MODERADO

49

20

2

40

ZONA DE RIESGO IMPORTANTE

50

10

3

30

ZONA DE RIESGO IMPORTANTE

51

20

2

40

ZONA DE RIESGO IMPORTANTE

52

20

2

40

ZONA DE RIESGO IMPORTANTE

60

53

20

3

60

ZONA DE RIESGO INACEPTABLE

54

20

2

40

ZONA DE RIESGO IMPORTANTE

55

20

2

40

ZONA DE RIESGO IMPORTANTE

56

20

1

20

ZONA DE RIESGO MODERADO

57

20

1

20

ZONA DE RIESGO MODERADO

En la gráfica 6, se evidencia que con un 42% de los riesgos que se identificación se ubican en la zona de riesgo Importante, seguido se encuentra la zona de riesgo Moderado con un 32%, presentando así para la zona de riesgo Inaceptable un porcentaje del 23% y para completar la totalidad de los riesgos, ocupando tan solo un 3% se encuentra la zona de riesgo Tolerable. Grafico 11. Zonas de riesgo

Zonas de riesgo 3% 23% 32%

Zona de riesgo Tolerable Zona de riesgo Moderado Zona de riesgo Importrante Zona de riesgo Inaceptable

42%

61

11.7.

Tratamiento Específico para cada de los Riesgo

El tratamiento de los riesgos corresponde al establecimiento de medidas para modificar el nivel del riesgo. De acuerdo a esto, la norma NTC 5254 define las opciones para tratar el riesgo, en cuatro (4) tipos de acciones: evitar, reducir, compartir o transferir el riesgo. Según la guía para la administración del riesgo, las estrategias de administración sugeridas se clasifican como se muestra en el cuadro 15. Teniendo claro los controles existentes por cada uno de los riesgos, se procedió a determinar qué tipo de acción a implementar para responder ante los riesgos e impedir la materialización de los efectos, para esto fue necesario recordar la definición de las acciones según la norma NTC 5254 que establece: - Evitar el riesgo: Se decide no proceder con la actividad que probablemente generaría el riesgo. - Reducir el riesgo: Reducir las consecuencias del riesgo o el impacto sobre los objetivos, bienes materiales e inmateriales, personas. - Transferir los riesgos: Participa otra parte que asume o comparte algún porcentaje del riesgo. - Retener los riesgos: Luego que los riesgos hayan sido reducidos o transferidos, podría haber riesgos residuales que sean retenidos. Deberían ponerse en práctica planes para administrar las consecuencias de esos riesgos si los mismos ocurrieran, incluyendo identificar medios de financiar dichos riesgos.

62

Cuadro 16. Clasificación de la estrategia de administración sugerida Zona de Riesgo

Estrategia de administración sugerida ASUMIR, REDUCIR EL RIESGO REDUCIR, EVITAR, COMPARTIR O TRANSFERIR EL RIESGO REDUCIR, EVITAR, COMPARTIR O TRANSFERIR EL RIESGO

Cuadro 17. Tratamiento específico para cada riesgo

ZONA DE RIESGO

ESTRATEGIA DE ADMINISTRACIÓN DE RIESGOS SUGERIDA

1

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

2

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

3

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

4

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

GESTIÓN ESTRATÉGICA

PROCESO No.

63

PROCESOS Y CALIDAD GESTIÓN COMERCIAL Y PREVENTA

5

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

6

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

7

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

8

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

9

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

10

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

11

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

12

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

13

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

14

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

64

GESTION TI

15

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

16

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

17

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

18

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

19

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

20

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

21

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

22

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

23

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

65

COMPRAS

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

24

ZONA DE RIESGO MODERADO

25

ZONA DE RIESGO IMPORTANTE

26

ZONA DE RIESGO MODERADO

27

ZONA DE RIESGO TOLERABLE

ASUMIR EL RIESGO, REDUCIR EL RIESGO

28

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

29

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

30

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

31

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

32

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

33

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

66

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

GESTIÓN HUMANA

ACTIVOS FIJOS E INVENTAR IOS

34

ZONA DE RIESGO TOLERABLE

ASUMIR EL RIESGO, REDUCIR EL RIESGO

35

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

36

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

37

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

38

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

39

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

40

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

41

ZONA DE RIESGO INACEPTABLE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

42

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

43

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

67

GESTIÓN FINANCIERA

44

ZONA DE RIESGO MODERADO

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

45

ZONA DE RIESGO IMPORTANTE

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

46

ZONA DE RIESGO IMPORTANTE

47

ZONA DE RIESGO IMPORTANTE

48

ZONA DE RIESGO MODERADO

49

ZONA DE RIESGO IMPORTANTE

50

ZONA DE RIESGO IMPORTANTE

51

ZONA DE RIESGO IMPORTANTE

52

ZONA DE RIESGO IMPORTANTE

53

ZONA DE RIESGO INACEPTABLE

54

ZONA DE RIESGO IMPORTANTE

55

ZONA DE RIESGO IMPORTANTE

68

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO,

56

ZONA DE RIESGO MODERADO

57

ZONA DE RIESGO MODERADO

COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

En la gráfica 12 se presenta, una notoria comparación en cuando a la estrategia sugerida por la norma técnica NTC 5254, donde se identifica que apenas un 4% del total de los riesgos identificados, su tratamiento podría ser: asumir o reducir el riesgo, el 96% restante de los riesgos corresponde al tratamiento sugerido: reducir, evitar, compartir o transferir el riesgo, esto indica que casi el 100% de los riesgos corresponde a riesgos que se identificaron como moderados, importantes o inaceptables. Grafica 12. Tramitemos específico para cada riesgo

ESTRATEGIA DE ADMINISTRACIÓN DE RIESGOS SUGERIDA 4%

REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR ASUMIR O REDUCIR EL RIESGO 96%

69

11.8.

Diseño del mapa de riesgos

Antes de definir las opciones para tratar el riesgo, fue necesario identificar y conocer si Colvista SAS ya contaba con actividades de control asociadas a los riesgos. En tal sentido y teniendo en cuenta que la empresa cuenta con un Sistema de Gestión de la Calidad certificado, se encontró que tiene procesos definidos y auditados, que les han permitido iniciar algunas actividades de control relacionadas con los riesgos. Con base en esto, para poder determinar qué tipo de acción tomar, fue necesario conocer los controles o actividades que ya se estaban desarrollando en los procesos para la gestión del riesgo, siendo necesario realizar una valoración de los controles existentes por cada riesgo. En el cuadro 18, se presenta cada uno de los riesgos identificados, se menciona el método de control existente para los que tienen, se informa si está documentado o no y en qué documento, en la última casilla se evidencia según la norma técnica NTC 5254, el criterio propuesto para evaluar la efectividad de las medidas de control existentes. Cuadro 18. Método de control existente

PROC No.

GESTIÓN ESTRATÉGICA

1 2 3

4

METODO DE CONTROL EXISTENTES

ESTA DOCUMENTADO SI NO EN QUE DOCUMENTO

No existe No existe No existe Requerimientos permanentes a los responsables de X los procesos para el suministro de la información.

CRITERIOS PARA EVALUAR LA EFECTIVIDAD DE LAS MEDIDAS DE CONTROL EXISTENTES

X

No existe

NO EXISTEN CONTROL

X X

No existe No existe

NO EXISTEN CONTROL NO EXISTEN CONTROL

INTRANET Y/O CORREO INTERNO DE LA EMPRESA

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

70

X

INTRANET Y SGC

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

6

Organigrama

X

Organigrama

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

7

Se envían correos mensualmente a los jefes de proceso solicitando Indicadores de Gestión, la directora de x Investigación y Desarrollo, asumió las responsabilidades del área de Proceso y Calidad.

Matriz de Métricas FMGG-003

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

8

Formato para registrar acciones x de mejora

Propuesta de Mejora FMPYC-012

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

No existe

NO EXISTEN CONTROL

Aseguramiento de la Calidad DI-PYC-002 Acciones Preventivas y de Mejora DI-PYC-020 Programa de Auditorías Informe de Auditoria Resumen de Auditorías Plan de Auditoria

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

9

No existe Se tienen algunas acciones que exigen la norma, pero no un 10 control para x verificar el cumplimiento de todos los requisitos. Se realiza 11 evaluación de X auditores

GESTI ON COME RCIAL Y PREVE NTA

PROCESOS Y CALIDAD

5

Matriz de indicadores del sistema de gestión de calidad

12

Organigrama

X

x

Evaluación Auditores Internos FM-PYC-024 Organigrama

71

LOS CONTROLES EXISTENTES NO SON EFECTIVOS LOS CONTROLES EXISTENTES NO SON EFECTIVOS

13

X

Correo electrónico

14 Cuadro de costos X

Cuadro de costos

15 16

17

18

GESTION TI

Análisis y observaciones a los pliegos

19

20

Cuotas de ventas trimestrales por X Consultor No existe Nagios envía constantemente una alerta del x estado de la red al correo de los encargados. Se realizan mantenimientos preventivos mínimo dos veces al año, y si x se requiere se cambian los equipos en caso de ser necesario. Verificación del Log de motor para identificar problemas potenciales. Monitorización permanente Gestión de servicios únicamente apoya el sistema ERP con la instalación de dicho programa en los equipos. Monitorizar frecuentemente las aplicaciones y

Otro si al contrato X

No existe

LOS CONTROLES EXISTENTES NO SON EFECTIVOS LOS CONTROLES EXISTENTES NO SON EFECTIVOS LOS CONTROLES EXISTENTES NO SON EFECTIVOS NO EXISTEN CONTROL

Indicadores de Gestión: -Aplicaciones -Servidores

NO EXISTEN CONTROL

En la Intranet hay un documento llamado "Planeación y Ejecución del Mantenimiento Preventivo"

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

x

No existe

NO EXISTEN CONTROL

x

No existe

NO EXISTEN CONTROL

72

mantener registros de bases de conocimiento.

21

22

23

24

25

26

27

Monitorizar continuamente los servicios de internet y canales dedicados de datos y telefonía. Monitorizar continuamente los servicios de internet y canales dedicados de datos y telefonía. Nagios envía constantemente una alerta del estado de la red al correo de los encargados. Nagios envía constantemente una alerta del estado de la red al correo de los encargados. Se realizan Backups diarios en discos locales X y mensual en cintas Se tiene planta eléctrica y UPS Se realizan mantenimientos preventivos mínimo dos X veces al año, y si se requiere se cambian los equipos o

No existe

LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS

No existe

LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS

X

No existe

LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS

X

No existe

NO EXISTEN CONTROL

En la Intranet hay un documento llamado "Establecimiento de Backups"

LOS CONTROLES SON EFECTIVOS Y ESTAN DOCUMENTADOS

No existe

NO EXISTEN CONTROL

En la Intranet hay un documento llamado "Planeación y Ejecución del Mantenimiento Preventivo"

LOS CONTROLES SON EFECTIVOS Y ESTAN DOCUMENTADOS

X

x

X

73

cableado en caso de ser necesario.

COMPRAS

Se tiene información en cintas en la sede alterna en ETC, 28 mantenimiento preventivo a los circuitos eléctricos. Existe un protocolo de seguridad. Sistemas de vigilancia por 29 medio de x cámaras y una empresa externa de vigilancia presta sus servicios. Realizar monitoreo de accesos con el usuarios 30 administrador y registro de logs a los cambios realizados. Auditorías internas por parte 31 del área de x Contraloría y Calidad

X

X

No existe

NO EXISTEN CONTROL

protocolo de seguridad

LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS

No existe

LOS CONTROLES EXISTENTES SON EFECTIVOS PERO NO ESTAN DOCUMENTADOS

Informes de Gestión de la Entidad e Informe de Auditoría, Procedimiento de acciones correctivas a través de planes de mejoramiento y aseguramiento de la calidad.

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

74

Política de Compras, Pro_Administración de Acuerdos con Proveedores Y Selección, Evaluación y Re-Evaluación Proveedores.

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

Balances a corte de periodo

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

Pro_Administración de Acuerdos con Proveedores, Solicitud compra y Política de Compras.

NO EXISTEN CONTROL

x x

No existe No existe

NO EXISTEN CONTROL NO EXISTEN CONTROL

x

No existe

NO EXISTEN CONTROL

X

Activos Fijos DI-GA-003

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

Revisión de todos los formatos de evaluación diligenciados, 39 verificando X cumplimiento de requisitos exigidos por la compañía.

DI-GH-002 Reclutamiento y Selección Personal

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

FM-GH-026 Manual de Cargos Desactualizado

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

32

Seguimiento de los procesos de selección de proveedores.

33

Seguimiento por parte del área de X tesorería.

35 36

Autorizaciones de los responsables de área como gerente de proyecto y gerente financieros. No Existe No Existe

37

No Existe

GESTIÓN HUMANA

ACTIVOS FIJOS E INVENTARIOS

34

38

40

No se tiene

No existe

x

X

X

75

41

42

No Existe

x

45

No Existe

x

No existe

NO EXISTEN CONTROL

46 47 48 49 50 51 52

No existe No existe No existe No existe No existe No existe No existe Periódicamente se realizan controles Periódicamente se realizan controles Periódicamente se realizan controles No existe No existe

X X X X X X X

No existe No existe No existe No existe No existe No existe No existe

NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL NO EXISTEN CONTROL

X

No existe

NO EXISTEN CONTROL

x

No existe

NO EXISTEN CONTROL

X

No existe

NO EXISTEN CONTROL

X X

No existe No existe

NO EXISTEN CONTROL NO EXISTEN CONTROL

54

55 56 57

x

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

44

53

No Existe

DI-GH-007 Caracterización

No existe Pro Capacitación y Desarrollo Organizacional, Evaluación Capacitación, Registro De Asistencia a Capacitación, Formato Necesidades de Capacitación, Registro de Inducción y Entrega de Documentos, Evaluación de Inducción, Evaluación Efectividad Capacitación. (codificación) No existe

43

GESTIÓN FINANCIERA

Trimestralmente se realizan reuniones para X evaluar el desempeño.

Inducción de calidad, riesgos profesionales y X conocimiento de la entidad.

76

NO EXISTEN CONTROL

LOS CONTROLES EXISTENTES NO SON EFECTIVOS

NO EXISTEN CONTROL

En la gráfica 7, se muestra una clara evidencia que más del 50% de los riesgos que se identificaron y presentaron algún tipo de control no están documentados.

Grafica 13. Controles documentados

¿ESTA DOCUMENTADO SI

NO

44%

56%

Continuando con la ejecución del mapa de riesgos como se muestra en el cuadro 19, se procedió con la colaboración del contralor de Colvista SAS a identificar cual podría ser la mejor opción o plan de manejo para darle a cada uno de los riesgos identificados dentro de la misma.

77

Cuadro 19. Plan de manejo para los riesgos.

PROCESOS Y CALIDAD

GESTIÓN ESTRATÉGICA

PROCESO No.

FUNCIONARIO RESPONSABLE

ACCIONES PREVENTIVAS

CARGO

DEPENDENCIA

1

Establecer y documentar una periodicidad definida para presentar ante Gladys Rosario toda la organización los planes y proyectos de la organización.

Presidente

Presidencia

2

Diseñar un Instructivo con los lineamientos claros para elaborar un plan Gladys Rosario estratégico a cordC7:C13e al negocio de común acuerdo con los accionistas.

Presidente

Presidencia

3

Diseñar un procedimiento y automatizar la elaboración del presupuesto en cada Gladys Rosario una de las áreas en el nuevo ERP Sotfland

Presidente

Presidencia

4

Validar en las auditorias que los procesos Auditores Auditores Internos del SGC se actualicen Internos

Procesos Calidad

5

Automatizar los indicadores de gestión Gladys Rosario en la nueva aplicación.

Presidente

Presidencia

6

Diseño de un organigrama de acuerdo al Gladys Rosario tamaño y expectativas del negocio.

Presidente

Presidencia

7

Automatizar los procesos de la organización, con el propósito de generar Sirle Delgadillo indicadores automáticos.

Directora Procesos Calidad

de Procesos y Calidad

y

Paola Rodriguez

Asistente Procesos Calidad

de Procesos y Calidad

y

9

El área de Calidad deberá evaluar a los integrantes de la organización sobre los Sirle Delgadillo cambios en el SGC, de forma periódica.

Directora Procesos Calidad

de Procesos y Calidad

y

10

Crear un Check List donde se establezcan requisitos mínimos para el cumplimiento de la norma.

Directora Procesos Calidad

de Procesos y Calidad

y

8

Ejecutar campañas incentivando la mejora continua y la forma de pasar propuestas para mejorar los procesos (FM-PYC-012).

78

Sirle Delgadillo

y

GESTIÓN COMERCIAL Y PREVENTA

11

12

Sirle Delgadillo

Diseño de un organigrama de acuerdo al Jorge tamaño y expectativas del negocio. Garcia

Directora Procesos Calidad

de Procesos y Calidad

William Gerente Comercial

Comercial

Diseñar un Instructivo que cubra el 13 análisis y la mitigación de riesgos en los Nelson Mora negocios

Contralor

Contraloría

14 Automatización del cuadro de costos

Director Preventa

Preventa

15

16

Nelson Bocanegra

Hacer cumplir la cuota por parte de los consultores Implementar un código de buen gobierno que permita establecer que se debe hacer y que no, a fin de contar con funcionarios de alto nivel con grandes valores y ética profesional. Mantener el licenciamiento y las garantías vigentes. Implementar controles de mantenimiento preventivo más veces al año, para evitar daños en los computadores. Mantener actualizado el licenciamiento, y aplicación controlada de las últimas revisiones de los SO Mantener actualizado el licenciamiento, y el soporte técnico con los fabricantes

Jorge Garcia

William Gerente Comercial

Maria del Fernández

Pilar

Comercial

Gerente Gestión Humana

Gestión Humana

Alberto Lopez

Director Servicios

de

Alberto Lopez

Director Servicios

de

Alberto Lopez

Director Servicios

de

Capacitar al equipo de Servicios sobre el funcionamiento y la administración del 20 Alberto Lopez ERP. Mantener contratos de soporte con los proveedores.

Director Servicios

de

Alberto Lopez

Director Servicios

de

Alberto Lopez

Director Servicios

de

Alberto Lopez

Director Servicios

de

17

18

GESTION TI

Realizar inspección por recorrido para las actividades clave en casa proceso.

19

21

22 23

Contratar con los ISP (Internet Servicie Provider) disponibilidad del servicio hasta del 99.9%. Contratar con los ISP (Internet Service Provider) disponibilidad del servicio hasta del 99.9%. Mantener el licenciamiento y las garantías vigentes. 79

Servicios

Servicios

Servicios

Servicios

Servicios

Servicios Servicios

y

Director Servicios

de

Director Servicios

de

Director Servicios

de

27

Generar contratos de mantenimiento preventivo a equipos y red eléctrica con Alberto Lopez terceros especializados. Revisar el sistema de polo a tierra.

Director Servicios

de

28

Instalar sistemas automáticos de detección y extinción de incendios Alberto Lopez conectados a los sistemas de monitoreo.

Director Servicios

de

Alberto Lopez

Director Servicios

de

Cambio de claves de acceso a todos los 30 usuarios administradores y consolidarlos Alberto Lopez en archivos con contraseña.

Director Servicios

de

24

25

26

29

31

COMPRAS

32

33

34 35

Mantener el licenciamiento y las Alberto Lopez garantías vigentes. Monitorizar física y virtualmente los servidores. Mantener garantías vigentes y Alberto Lopez mantenimiento preventivo al menos dos veces al año. Mantenimiento preventivo a la planta eléctrica y UPS. Alberto Lopez Monitorizar el funcionamiento de las mismas.

Establecer auditorias para verificar el procedimiento.

Implementacion de las compras en la aplicación Sotfland de acuerdo a las necesidades del negocio. Contar con personal con grandes valores, que cumplan los procedimientos de la organización. Diseñar una política de pagos a proveedores y ligarla a un cronograma en el ERP Sotfland que alerte sobre futuros vencimientos. Estudio previo de una ficha técnica que muestra especificaciones del producto a comprar. Realizar presupuestos por área por parte de la gerencia financiera.

80

Servicios

Servicios

Servicios

Servicios

Servicios

Servicios

Servicios

Carolina Urrego

Profesional de Compras Compras

Carolina Urrego

Profesional de Compras Compras

Carolina Urrego

Profesional de Compras Compras

Carolina Urrego

Profesional de Compras Compras

Carolina Urrego

Profesional de Compras Compras

ACTIVOS FIJOS E INVENTARIOS

En la nueva aplicación ERP Sotfland se deben generar reportes que permitan 36 consultar proveedores, lista de precios, Carolina Urrego frecuencia de compras, características, ect. Diseñar indicadores de gestión que 37 Carolina Urrego midan el proceso.

38

Implementar un software y capacitar al personal encargado para llevar a cabo el Javier Ramírez control de inventarios y activos fijos.

GESTIÓN HUMANA

Conocimiento previo de las competencias para el cargo y desarrollo 39 de pruebas técnicas, validación de Oscar Sarmiento referencias y certificaciones de estudio y laborales, estudios de seguridad. 40

Sistematizar y actualizar el Manual de Funciones de la Compañía

41

Diseñar y sistematizar indicadores que midan de manera efectiva el proceso (Ver Borradores de Contraloría).

42

43

Profesional de Compras Compras

Gerente Administrativo Administrativo

Director de Gestión Humana

Gestión Humana

de

Oscar Sarmiento

Director Gestión Humana Director Gestión Humana

de

Oscar Sarmiento

Director Gestión Humana

de

Director Gestión Humana

de

Director Gestión Humana

de

Diseñar una política de conflicto de intereses en la cual se definan los parámetros y grados de afinidad y Oscar Sarmiento consanguinidad en la contratación de personal. Dar a conocer el cronograma de capacitación, realizar seguimiento a las capacitaciones por parte del área d e Oscar Sarmiento Procesos y Calidad y diseñar un indicador que mida el cumplimiento del cronograma.

Implementar un código de buen gobierno al interior de la organización en el cual 44 Oscar Sarmiento se promulguen los valores, lo que se debe hacer y lo que no.

81

Profesional de Compras Compras

Gestión Humana

Gestión Humana

Gestión Humana

Gestión Humana

Gestión Humana

GESTIÓN FINANCIERA y TESORERIA

Diseñar una política de incentivos para el 45 personal que se destaca en la Oscar Sarmiento organización.

Director Gestión Humana

46 Capacitar al personal en cuanto a normas Javier Ramírez y políticas contables

Gerente Financiero

Gestión Financiera

47 Diseñar un procedimiento adecuado para Javier Ramírez realizar mediciones a los proyectos

Gerente Financiero

Gestión Financiera

48 Validar en las auditorias que los procesos Javier Ramírez del SGC se actualicen

Gerente Financiero

Gestión Financiera

Diseñar una política que donde se 49 establezca con que frecuencia se deben realizar inventarios de activos y pasivos.

Javier Ramírez

Gerente Financiero

Gestión Financiera

50

Javier Ramírez

Gerente Financiero

Gestión Financiera

51 Capacitar al personal en cuanto a normas Javier Ramírez y políticas contables

Gerente Financiero

Gestión Financiera

52 Actualizar los libros contables existentes con información verídica. Diseñar una política interna, para 53 establecer con qué frecuencia se deben ejecutar conciliaciones contables. Delegar una persona con las competencias necesarias y 54 conocimientos suficientes para analizar estados financieros. Capacitar al personal en cuanto a normas y políticas contables para adquirir los 55 conocimientos necesarios para identificar orígenes de las cifras. Establecer en un documento interno una política para determinar con qué 56 frecuencia realizar auditorías esporádicas, para evitar el jineteo de fondos. Establecer en un documento interno una política para determinar con qué 57 frecuencia realizar auditorías esporádicas, para evitar que los recursos se desvíen.

Javier Ramírez

Gerente Financiero

Gestión Financiera

Javier Ramírez

Gerente Financiero

Gestión Financiera

Javier Ramírez

Gerente Financiero

Gestión Financiera

Javier Ramírez

Gerente Financiero

Gestión Financiera

Javier Ramírez

Gerente Financiero

Gestión Financiera

Javier Ramírez

Gerente Financiero

Gestión Financiera

Diseñar una matriz de cargos en el área.

82

de Gestión Humana

12. CRONOGRAMA CRONOGRAMA MAYO JUNIO MARZO ABRIL Semana Semana Semana Semana 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

ACTIVIDADES

Analizar el contexto actual, con la información básica de la empresa utilizando los diagramas de procesos.

Identificar los procesos organizacionales, por medio del manual de calidad de la empresa. Conocer el estado actual de las áreas de la empresa, realizando encuestas a los jefes de proceso. Identificar los riesgos que se generan en los procesos de las áreas de la empresa Colvista SAS con la información recolectada, documentándolos en matrices de análisis. Identificar las causas y consecuencias que producen y generan dichos riesgos identificados en la actividad anterior, documentándolos en matrices de análisis. Valorar los riesgos que se identificaron en las áreas, utilizando los parámetros de la norma NTC 5254 con relación a evaluación de riesgos, documentándolos en matrices de análisis. Realizar un tratamiento específico para cada riesgo, utilizando los parámetros de la norma NTC 5254 con relación al tratamiento de riesgos, documentándolos en matrices de análisis. Diseñar el mapa de riesgos, según los riesgos identificados en los procesos, mediante la herramienta Excel.

83

Evaluar los controles que se identifiquen para cada tipo de riesgo, por medio de pruebas reales que validen la eficacia del desarrollo.

Modificar si es necesario las actividades de control que se seleccionaron en la matriz de riesgos.

13. CONCLUSIONES Luego del desarrollo del proyecto se pueden presentar las siguientes conclusiones: o En la identificación de los riesgos corporativos presentes en los procesos de planeación estratégica, operaciones y de apoyo y soporte definidos para la gestión del riesgo, se obtuvieron cincuenta y siete (57) riesgos, de los cuales un 48% corresponde a riesgos de apoyo y soporte, 33% a riesgos de operaciones y 19% a planeación estratégica. o En cuanto a los riesgos del macro proceso de operaciones, se identificó que el área con mayor cantidad de riesgos es Gestión de Servicios con un 25% del total de los riesgos, esto se da debido a que la misión de Colvista es proveer soluciones y servicios que hagan más eficiente el entorno tecnológico, por eso el enfoque y el tratamiento a Servicios. o Mantener una adecuada implementación de la Gestión de Riesgos, principalmente depende del compromiso de la Gerencia General, pero todo el personal de la organización debe adquirir responsabilidad en la ejecución de los mismos, lo anterior sin hacer ningún tipo de distinción de los mimos.

84

o Un Sistema de Gestiรณn de Riesgos, debe ser optado en la organizaciรณn como una cultura que debe ser guiada y controlada por la Alta Gerencia, con el objetivo de que cada empleado sin importar su cargo o funciรณn administre el riesgo inherente en sus actividades diarias.

85

14. RECOMENDACIONES Al concluir el proyecto se plantean las siguientes recomendaciones: o Se recomienda monitorear de forma constante el comportamiento de los riesgos en Colvista SAS, para determinar si los controles establecidos están actuando de manera efectiva. o Sensibilizar y capacitar constantemente al personal de Colvista SAS, en temas de Gestión de Riesgos, para que continúen actualizando el mapa de riesgos que se levantó en este proceso. o Se recomienda tener en cuenta la matriz de riesgos organizacional, para cada uno de los proyectos que se vayan a ejecutar en Colvista SAS.

86

15. LISTA DE REFERENCIAS [1]

Norma

Técnica

Colombiana

NTC

5254:2004

Recuperado

de:

http://190.25.225.118/esing/MAESTRIA/DVD4/GESTION%20DEL%20RIESGO%20DE %20DESASTRES/FASE%202%20ATENCION/III.%20MANEJO/b.%20Preparacion%20r ecuperacion/1.%20Suelos%20de%20proteccion%20por%20riesgo/NTC5254%5B1%5D%2 0-%20preparativos%20-%20londer.pdf [2] Fuente: Bravo, O., & Sánchez, M. (2012). Bogotá: Bravo & Sánchez. [3] Cuello, R., Pallares, L., &Wehdeking, E. (2008). Aplicación del estándar australiano de administración del riesgo AS/NZS 4360:1999 en la empresa GECELCA S.A. ESP. Fundación Universidad del Norte, Barranquilla, Colombia. [4] http://www.colvista.com/ [5] http://tienda.icontec.org/brief/GTC137.pdf [6] file:///C:/Users/prodriguez/Downloads/GUIA_ADMINISTRACION_DEL_RIESGO__DAFP%20(1).pdf

87

16. ANEXOS Anexo 1. Ver archivo Excel adjunto “Diseño de un Sistema de Gestión de Riesgos Organizacional en los Procesos de la Empresa Colvista SAS” Anexo 2. Soporte encuestas

88