TEC-HESQ-PR-03

Rev. 0
TECNIORIENTE WELL GESTION DE RIESGOS Y OPORTUNIDADES
SERVICES AND 1 / Feb / 18
GENERATION SAS Página 1 de 5

1. OBJETO

Establecer las disposiciones necesarias para identificar, analizar y eliminar las causas de los riesgos
asociados al proceso; así como definir una metodología formal para valorar los Riesgos asociados a
los procesos que permita la identificación del riesgo, análisis del riesgo y evaluación del riesgo en
los procesos que hacen parte del sistema integrado de gestión de la Organización y a los cambios
que la misma planifica e implementa con el fin de mantener la integridad de dicho sistema estableciendo las
acciones para abordarlos y evitarlos, disminuir, o prevenir la posibilidad de aparición o
materialización de los mismos.

2. ALCANCE

Aplica a todos los procesos del sistema integrado de gestión de la organización y a los cambios que la
organización planifica e implementa con el fin de mantener la integridad de dicho sistema.

3. RESPONSABILIDADES

 Responsable líder de proceso

Identificar los riesgos de los procesos a cargo.
Determinar las causas de los riesgos asociados a su proceso.
Definir y revisar los controles actuales y evaluar si son suficientes para prevenir su aparición.
Plantear acciones para abordarlos los riesgos y controlarlos.
Someter a aprobación las acciones identificadas para abordar los riesgos a fin de que se asignen los recursos
necesarios para la implementación de las mismas.

 Coordinador de HESQ
Definir y socializar la metodología para valoración de los riesgos de proceso.
Participar y apoyar la identificación de los riesgos, determinación de las causas y evaluación de los controles
actuales o necesarios para prevenir la aparición.
Someter a aprobación las acciones identificadas para abordar los riesgos a fin de que se asignen los recursos
necesarios para la implementación de las mismas.
Realizar seguimiento a las acciones planteadas para abordar los riesgos.
Verificar el estado y la eficacia de las acciones planteadas para controlar los riesgos.
Preparar informe de revisión por la dirección sobre el estado y la eficacia de las acciones implementadas para
abordar los riesgos.

4. DEFINICIONES.

 Riesgo: Efecto de la incertidumbre. Probabilidad de que ocurra un evento que tendrá consecuencias
negativas y un impacto en los objetivos institucionales o del proceso. Se expresa en términos de
probabilidad y severidad.
 Acciones para abordar riesgos: Acciones tomadas para abordar los riesgos con el fin de prevenir o
minimizar su materialización, estas acciones también pueden ser llamadas acciones preventivas que
buscan impedir que los riesgos se materialicen.

 Aceptar el riesgo: Decisión informada de aceptar las consecuencias y probabilidad de un riesgo en

particular.
 Análisis de riesgo: Elemento de control que permite establecer la probabilidad de ocurrencia de los
eventos positivos y/o negativos y el impacto de sus consecuencias, calificándolos y evaluándolos a fin de
determinar la capacidad de la empresa para su aceptación y manejo. Se debe llevar a cabo un uso
sistemático de la información disponible para determinar cuan frecuentemente pueden ocurrir eventos
especificados y la magnitud de sus consecuencias.

 Administración de Riesgos: Conjunto de elementos de control que al interrelacionarse permiten a la

empresa evaluar aquellos eventos negativos, tanto internos como externos, que puedan afectar o impedir
el logro de sus objetivos empresariales o los eventos positivos, que permitan identificar oportunidades
para un mejor cumplimiento de su función. Se constituye en el componente de control que al interactuar
sus diferentes elementos le permite a la empresa autocontrolar aquellos eventos que pueden afectar el
cumplimiento de sus objetivos.
 Autoevaluación del control: Elemento de Control que basado en un conjunto de mecanismos de
verificación y evaluación determina la calidad y efectividad de los controles internos a nivel de los
procesos y de cada área organizacional responsable, permitiendo emprender las acciones de
mejoramiento del control requeridas. Se basa en una revisión periódica y sistemática de los procesos de la
empresa para asegurar que los controles establecidos son aún eficaces y apropiados.
 Causa: Son los medios, circunstancias y agentes que generan los riesgos.
 Compartir el riesgo: Cambiar la responsabilidad o carga por las pérdidas que ocurran luego de la
materialización de un riesgo mediante legislación, contrato, seguro o cualquier otro medio.
 Consecuencia: El resultado de un evento expresado cualitativa o cuantitativamente, sea este una
pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la empresa o el
proceso.
 Condición Normal: Significa que la operación se lleva a cabo según las especificaciones establecidas
y no existen perturbaciones.
 Condición Anormal: Existe una perturbación de una operación, es cuando el impacto ambiental es
producido como consecuencia directa de un suceso externo que ocurre súbitamente y se puede registrar
puntualmente.
 Control: Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de las
operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción de
medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el
logro de los objetivos.
 Consecuencia: El resultado de un evento expresado cualitativa o cuantitativamente, sea este una
pérdida, perjuicio, desventaja o ganancia, frente a la consecución de los objetivos de la empresa o el
proceso.
 Evaluación del Riesgo: Proceso utilizado para determinar las prioridades de la Administración del
Riesgo comparando el nivel de un determinado riesgo con respecto a un estándar determinado.
 Evento: Incidente o situación, que ocurre en un lugar determinado durante un periodo determinado.
Este puede ser cierto o incierto y su ocurrencia puede ser única o ser parte de una serie.
 Factores de riesgo: Manifestaciones o características medibles u observables de un proceso que
indican la presencia de riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la
empresa.
 Frecuencia: Medida del coeficiente de ocurrencia de un evento expresado como la cantidad de veces
que ha ocurrido un evento en un tiempo dado.
 Fuente de riesgo: Son factores o circunstancias del trabajo que puede generar uno o más riesgos
aisladamente o combinados.
 Identificación del Riesgo: Elemento de control que posibilita conocer los eventos potenciales, estén o
no bajo el control de la empresa, que ponen en riesgo el logro de su misión, estableciendo los agentes
generadores, las causas y los efectos de su ocurrencia. Se puede entender como el proceso que permite
determinar qué podría suceder, por qué sucedería y de qué manera se llevaría a cabo.
 Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo.
 Nivel de riesgo: Es el resultado de confrontar el impacto, la probabilidad y la exposición, con los
controles existentes.
 Monitorear: Comprobar, supervisar, observar o registrar la forma en que se lleva a cabo una
actividad con el fin de identificar posibles cambios.
 Pérdida: Consecuencia negativa que trae consigo un evento.
 Plan de Mitigación: Es el conjunto de acciones que debe emprender cada dueño de proceso e
identificado a nivel de los subprocesos y la empresa en conjunto, para minimizar los riesgos. El plan de
mitigación tiene como propósito mantener los riesgos bajo control, evaluación y verificación.
 Probabilidad: Entendida como la posibilidad de ocurrencia del riesgo; ésta puede ser medida con
criterios de frecuencia, si se ha materializado (por ejemplo: No. de veces en un tiempo determinado), o de
factibilidad teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo,
aunque éste no se haya materializado.
 Líderes de procesos: Son las dependencias o áreas encargadas de adelantar las acciones
propuestas.
 Reducción del Riesgo: Aplicación de controles para reducir las probabilidades de ocurrencia de un
evento y/o su ocurrencia.
 Riesgo Residual: Nivel de riesgo que permanece luego de tomar medidas de tratamiento de riesgo.
 Seguimiento: Recolección regular y sistemática sobre la ejecución del plan, que sirven para
actualizar y mejorar la planeación futura.
 Tratamiento a Riesgos: Opciones de respuesta ante los riesgos tendientes a evitar, reducir, dispersar
o transferir el riesgo; o asumir el riesgo residual.
 Tolerancia: Es lo que la empresa está dispuesta a asumir dependiendo del nivel del riesgo.
5. DESARROLLO
5.1 CONDICIONES GENERALES

 Para lograr una efectiva determinación de los riesgos en cada proceso, elemento del sistema de gestión
o cambio que surja en la organización, se debe asegurar de que estos sean coherentes con los objetivos
respectivos lo cual es de suma importancia que dichos objetivos estén cuidadosamente definidos.
 Las fuentes de generación de acciones para abordar riesgos de calidad, ambientales y de seguridad y
salud en el trabajo pueden ser entre otras los controles operacionales citados en las matrices de riesgos
de calidad, identificación de aspectos ambientales y matriz de peligros y riesgos o en su defecto en los
panoramas respectivos, y las actividades citadas en los planes de acción de cada uno de los programas
definidos en la empresa.
En cuanto a la valoración de los riesgos:
 El grupo de trabajo para la valoración del Riesgo está compuesto por personas que dispongan
de amplia experiencia y conocimientos del proceso o elemento objeto de valoración.
 Para realizar la valoración del Riesgo se identifican todas las posibles consecuencias que
éstos pueden implicar para el cliente. Al decir cliente, nos referimos tanto al cliente externo
como al interno.

5.2 DESCRIPCION DE ACTIVIDADES

ACTIVIDAD RESPONSABLE DESCRIPCIÓN ACTIVIDAD REGISTRO

Identifica los riesgos y oportunidades que afectan
las etapas del proyecto y/o proceso. Así como
determinar su clasificación, causa y consecuencia y/o
Matriz de
Identificar Líderes de cambios que la organización planifica e implementa con
riesgos de
riesgos proceso el fin de mantener la integridad de dicho sistema y las
proceso
consecuencias de los mismos de acuerdo con el
objetivo del mismo. para ello se diligencia la matriz de
riesgos.
Líderes de Identificar si el riesgo se ha presentado y las acciones
Determinar procesos. Matriz de
que se tomaron de esa experiencia.
causas de los riesgos de
Determina las causas atribuibles a los riesgos.
riesgos proceso
Definición y Líderes de Si el riesgo se materializó se debe describir la
procesos. Matriz de
revisión de consecuencia que tuvo; en caso de no haberse
riesgos de
controles presentado se debe determinar la consecuencia que
actuales proceso
tendría en caso de materializarse.
Líderes de Analizar el tipo de riesgo o la oportunidad, el cual puede Matriz de
proceso ser de tipo: riesgos de
Análisis del Operacional, Lavado de activos y financiación del proceso
Riesgo terrorismo, tecnológico, estratégico, jurídico, mercado,
continuidad del negocio, Liquidez, Cumplimiento,
Seguridad de la Información, Ambiental, Reputacional,
Contractual, entre otros.
Define y revisar si los controles actuales y
 ACTIVIDAD RESPONSABLE DESCRIPCIÓN ACTIVIDAD REGISTRO
determina si éstos son suficientes.

Evaluar el Riesgo u oportunidad: El análisis del

riesgo u oportunidad busca establecer la
probabilidad de ocurrencia y el impacto de sus
Evaluacion consecuencias, calificándolos y evaluándolos, con
el fin de obtener información para establecer el
nivel de riesgo y las acciones que se van a
implementar.
Definir Definir la tolerancia al riesgo u oportunidad, la cual
tolerancia del y podrá ser dependiendo el nivel: Intolerable,
riesgo y tolerable o insignificante.
oportunidad.
Tratamiento del Realizar tratamiento del riesgo: Involucra la
riesgo selección de una o más opciones para modificar los
riesgos y se puede realizar a través de diferentes
lineamientos de gestión del riesgo, transmite la
posición de la gerencia y establecen las guías de
acción necesarias a todos los empleados de la
empresa. Se deben tener en cuenta alguna de las
siguientes opciones, las cuales pueden
considerarse cada una de ellas
independientemente, interrelacionadas o en
conjunto.
Prevenir el riesgo: tomar las medidas encaminadas
a prevenir su materialización. Es siempre la primera
alternativa a considerar, se logra cuando al interior
de los procesos se genera cambios sustanciales
por mejoramiento, rediseño o eliminación, resultado
de unos adecuados controles y acciones
emprendidas. Un ejemplo de esto puede ser el
control de calidad, manejo de los insumos,
mantenimiento preventivo de los equipos,
desarrollo tecnológico, etc.
Reducir el riesgo: implica tomar medidas
encaminadas a disminuir tanto la probabilidad
(medidas de prevención), como el impacto
(medidas de protección). La reducción del riesgo es
probablemente el método más sencillo y económico
para superar las debilidades antes de aplicar
medidas más costosas y difíciles. Se consigue
mediante la optimización de los procedimientos y la
implementación de controles.
Transferir el riesgo: reduce su efecto a través del
traspaso de las pérdidas a otras organizaciones,
como en el caso de los contratos de seguros o a
través de otros medios que permiten distribuir una
porción del riesgo con otra empresa, como en los
contratos a riesgo compartido. Es así como por
ejemplo, la información de gran importancia se
 ACTIVIDAD RESPONSABLE DESCRIPCIÓN ACTIVIDAD REGISTRO
puede duplicar y almacenar en un lugar distante y
de ubicación segura, en vez de dejarla concentrada
en un solo lugar.
Asumir el riesgo: luego de que el riesgo ha sido
reducido o transferido puede quedar un riesgo
residual que se mantiene, en este caso el líder del
proceso simplemente acepta la pérdida residual
probable y elabora planes de mejoramiento para su
manejo.
Plantear e Líderes de En caso de que los controles actuales no sean Matriz de
implementar proceso suficientes plantea e implementa acciones para riesgos de
acciones para abordar los riesgos proceso
abordar riesgos
Líderes de Somete a aprobación por parte de la alta dirección, Matriz de
Aprobar plan proceso y las acciones planteadas para abordar los riesgos, riesgos de
de acción Coord HESQ con el fin de obtener los recursos para su debida proceso
implementación.
Seguimiento al Realizar seguimiento al desarrollo de las accionesMatriz de
Coordinador planteadas para abordar los riesgos.
desarrollo del riesgos de
plan de acción HESQ
proceso
Verificar Verificar el estado y la eficacia de las acciones Matriz de
Coordinador planteadas para abordar los riesgos
eficacia del riesgos de
plan de acción HESQ /Auditor
proceso
Preparar Prepara informe del estado de las acciones Matriz de
informe para Coordinador planteadas para abordar los riesgos para revisión riesgos de
revisión por la HESQ por la dirección. proceso
dirección

5.3 VALORACION DEL RIESGO

La valoración de los riesgos se realiza mediante un sistema de puntuación para cuantificar la

probabilidad de ocurrencia del Riesgo, la probabilidad de detección y la severidad del efecto que
causaría en el evento que se presentara.

Puntuaciones para el Análisis de Riesgos

5.3.1 Severidad
Evalúa la gravedad del efecto o consecuencia de que se produzca una determinada falla para el
cliente. Cada una de las causas potenciales correspondientes a un mismo efecto se evalúa con el
mismo índice de gravedad.
En el caso en que una misma causa pueda contribuir a varios efectos distintos del mismo modo de
falla, se le asignará el índice de severidad mayor.
La severidad del efecto de la posible falla se pondera o cuantifica en una escala de uno (1) a diez
(10), basándose en la satisfacción o insatisfacción del cliente por el efecto de una falla, se usa la
siguiente tabla:
SEVERIDAD PUNTOS DESCRIPCIÓN
 Irrazonable esperar que el fallo produjese un efecto perceptible
Menor 1 en el rendimiento del bien o servicio. Probablemente, el cliente no
podrá detectar la falla.
Falla de menor intensidad que el cliente puede detectar pero no
Baja 2-3 nota desmejoramiento en el bien o servicio; causaría en el cliente
un ligero descontento.
Falla que causa alguna insatisfacción, y el cliente se da cuenta
Moderada 4-5-6 que el rendimiento del servicio se reduce; causaría en el cliente
cierto descontento.
Falla que causa un alto grado de insatisfacción, y el cliente se da
Alta 7-8 cuenta que el rendimiento del bien o servicio se altera
notablemente;
Falla que imposibilita la función o resultado del bien o servicio,
Muy alta 9-10
puede causar daños y el cliente queda muy insatisfecho.

5.3.2 Ocurrencia
Es la frecuencia estimada con que la causa de la falla puede ocurrir. La probabilidad de ocurrencia
de la posible falla se pondera o cuantifica en una escala de uno (1) a diez (10), a partir de las
causas posibles de la falla potencial. Se usa la siguiente tabla:
OCURRENCIA PUNTOS PROBABILIDAD DESCRIPCIÓN
Sería irrazonable esperar que se
Remota 1 1/10.000
produjera la falla.
2 1/5.000 Ocasionalmente podría
Baja producirse un número relativo
3 1/2.000 bajo de fallas.
4 1/1.000 Asociado a situaciones similares
que hayan tenido fallas
Moderada 5 1/500
esporádicas, pero no en grandes
6 1/200 proporciones.
7 1/100 Las fallas se presentan con
Alta frecuencia.
8 1/50
9 1/20 Se producirá la falla casi con total
Muy alta seguridad
10 1/10

5.3.3 Detección
Es una evaluación de la probabilidad de que los controles actuales del proceso detecten la causa
(debilidad del proceso), o la probabilidad de que los controles del proceso detecten el subsiguiente
modo de falla. La probabilidad de detección de la posible falla se pondera o cuantifica en una
escala de uno (1) a diez (10), con base en la efectividad de los sistemas de control y medición
establecidos en el proceso analizado. Se usa la siguiente tabla:
CATEGORIA PUNTOS PROBABILIDAD DESCRIPCIÓN
10 1/10 Fallas que llegan al cliente por
defectos imposibles de detectar
Muy baja
9 1/20 durante el proceso objeto de
estudio.
 8 1/50
Baja
7 1/100
6 1/200
Moderada 5 1/500
4 1/1.000
3 1/2.000
Alta
2 1/5.000
Muy alta 1 1/10.000
Fallas que llegan al cliente por
defectos, que por su naturaleza, no
pueden ser detectados por medios
convencionales de control.
Fallas que pueden llegar al cliente
por defectos que no se detectan
durante el proceso objeto de
estudio.
Fallas que raramente llegan al
cliente por defectos que son
detectados durante el proceso
objeto de estudio.
Fallas que no llegan al cliente por
defectos detectables durante el
proceso objeto de estudio, por
pruebas de calidad o auditorias.

5.4 Puntuaciones para NPR y establecimiento de acciones para abordar acciones

preventivas (acciones para bordar riesgos)
El mayor Riesgo de ocurrencia de falla potencial se mide por el número de probabilidades de
Riesgo NPR. Este valor se obtiene del producto de las tres calificaciones anteriores (ocurrencia,
detección y severidad).
Los valores menores a 125 puntos indica que el Riesgo es bajo y simplemente se requiere de
asegurar que los controles actuales se apliquen eficazmente; los valores que se encuentren entre
125 y 343 puntos representa una advertencia para la organización sobre la necesidad de
incrementar la frecuencia de los controles establecidos, y cuando dicho valor supere los 343
puntos indica a la organización sobre cuáles son las posibles causas que presentan la mayor
probabilidad de ocurrencia y que deben ser atacadas con mayor prioridad para prevenir o disminuir
la ocurrencia de la falla potencial analizada lo cual amerita la necesidad de establecer acciones
preventivas (acciones para abordar riesgos) que conduzcan al establecimiento de nuevos
controles.
Finalmente, se registran las medidas efectivamente introducidas y la fecha en que se hayan
adoptado. Lo anterior se resume en la siguiente tabla:
VALORES RIESGO ACCIÓN A TOMAR
< a 125 BAJO Asegurar eficacia de los controles actuales
Entre 125 y 343 MODERADO Incrementar frecuencia de los controles actuales
> a 343 ALTO Establecer nuevos controles

5.5 Aplicación del Análisis de Riesgos

Para realizar el análisis de Riesgos se empleará la matriz de riesgos de proceso

6. DOCUMENTOS RELACIONADOS
Matriz de riesgos de proceso
7. CONTROL DE REVISIONES

REVISIÓN DETALLE ELABORO REVISO APROBO

Creación del Jenny Ibañez
1 / Feb / 18 Jenny Ibañez M. Edinson Perez.
documento Morgado