AGUAS DEL HUILA S.A. E.S.P.

NIT. 800.100.553-2

MATRIZ DE RIESGOS OPERACIONALES

Versión 5.0

NOMBRE DEL PROCESO: GESTIÓN DEL MEJORAMIENTO CONTINUO

OBJETIVO DEL PROCESO: Orientar la planificación del Sistema de Gestión de Calidad definiendo los procesos que contribuyan al cumplimiento eficaz del direccionamiento estratégico y
los requisitos, así como los documentos que soportan el SGC, promoviendo la mejora continua al interior de los mismos.

CONTEXTO DEL RIESGO IDENTIFICACIÓN Y ANÁLISIS DEL RIESGO EVALUACIÓN PRELIMINAR DEL RIESGO EVALUACIÓN DE CONTROLES EVALUACIÓN DEL RIESGO VS CONTROLES

VALORACIÓN
CALIFICACIÓN FINAL
PROBABILIDAD IMPACTO PRELIMINAR DEL EVALUACIÓN DE CONTROLES PROBABILIDAD IMPACTO
DEL RIESGO
RIESGO
PLAN DE TRATAMIENTO OBLITATORIO PARA LOS RIESGOS NO CONTROLADOS
POLÍTICAS Y OPCIONES DE

Muy probable

Muy probable
Insignificante

Insignificante
DESCRIPCIÓN DEL

Improbable

Improbable
Muy Grave

Muy Grave
(1) NIVEL DE

Probable

Probable
TRATAMIENTO DEL RIESGO

Factible

Factible
Remoto

Remoto
No. De EVENTO O RIESGO CLASIFICACIÓN CAUSA GENERADORA DEL CONSECUENCIAS DEL

Medio

Medio
Grave

Grave
Bajo

Bajo
NOMBRE DEL PROCESO VARIABLE CRÍTICAS DECISIÓN DEL

Insignificante

Insignificante
Riesgo (Implica incertidumbre y DEL RIESGO RIESGO RIESGO Está

Moderado

Moderado
DEL PROCESO RIESGO Resultado de la
pérdida) ¿Tiene Documentado, Se Es Estado del Riesgo

Bajo

Bajo
Alto

Alto
DESCRIPCIÓN TIPO evaluación del
Control? Actualizado y Aplica Efectivo (conclusión)
Control
Formalizado
F- PORCENTAJE
ACCIÓN F - INCIIO F - FIN SEGUIMIENTO

1
2
3

1
2
3
4
5

1
2
3
4
5

1
2
3
4
5
SEGUIMIENTO DE AVANCE

Asumir el riesgo. es decir, el riesgo se

* Deficiencia en el seguimiento encuentra en un nivel que la entidad * Formar a nuevos a funcionarios como
* Pérdida de imagen y auditores internos. 1/30/2019 12/31/2019 Anual Anual 100%
al cierre de no conformidades puede aceptarlo y asumirlo sin
credibilidad institucional.
generadas en las auditorias necesidad de tomar otras medidas de
* Inconformidad del cliente
Internas y externas. control o fortalecimiento diferentes a
interno y externo respecto *Seguimiento a los indicadores de Gestion
* falencias en el cierre de las las que se poseen y normalmente son
al sistema de gestión de *Análisis e interpretación de indicadores por
DESERTIFICACIÓN POR no conformidades detectadas El Riesgo está rutinarios; estos riesgos están
calidad. procesos.
1 Gestión del Mejoramiento continuo Personal contratado PARTE DEL ENTE administrativo Nivel Directivo y/o reiteración de las mismas. 5 3 Alto1 Si Preventivo Si Si Si EFICAZ Controlado 1 3 Aceptable3 controlados por el proceso, por lo que
*Perdidas economicas * Seguimiento oportuno al cierre de las no
CERTIFICADOR * desinterés por parte de los Suficientemente su frecuencia es baja y el impacto leve
* conformidades.
líderes de proceso. * y no ponen en peligro la estabilidad de
Sanciones disciplinarias, *Retroalimentacion y actualizacion de todos los
*Falta de compromiso por la organización. Estos riesgos no
legales penales y/o procediminetos y documentos del SGC
parte de la alta gerencia. requieren plan de tratamiento y por lo
economicas
* Falencias en los procesos de mismo es improbable que requieran *Mantener el SGC debidamente
*Perdida de Usuarios o
la entidad. asignación de recursos específicos implemetado para la conservacion 1/30/2019 12/31/2019 Anual Anual 100%
Suscriptores
adicionales para prevenirlos o tratarlos. de la certificacion NTC ISO9001

Asumir el riesgo. es decir, el riesgo se

encuentra en un nivel que la entidad
* Desmotivación por parte puede aceptarlo y asumirlo sin
de los líderes de procesos necesidad de tomar otras medidas de
* Falta de seguimiento y control y equipo de trabajo. control o fortalecimiento diferentes a
por parte de la alta dirección. las que se poseen y normalmente son
BAJO COMPROMISO * Desarticulación * Informe de Seguimiento y monitoreo por parte del El Riesgo está rutinarios; estos riesgos están
Nivel * Realizar el comité de Gestión de la 1/30/2019 12/31/2019
2 Gestión del Mejoramiento continuo alta gerencia POR PARTE DE LA ALTA administrativo * Desinterés por el del Sistema de Gestión de 1 3 Aceptable3 Si comité asesor de calidad, MIPG y jefe de Control Preventivo Si Si Si EFICAZ Controlado 1 3 Aceptable3 controlados por el proceso, por lo que calidad mensual. Mensual Anual
Profesional
GERENCIA. correcto funcionamiento del la Calidad. Interno. Suficientemente su frecuencia es baja y el impacto leve
Sistema de Gestión de Calidad. *Afectacion a la imagen y no ponen en peligro la estabilidad de
*Falta de Presupuesto corporativa la organización. Estos riesgos no
*Perdidas economicas requieren plan de tratamiento y por lo
mismo es improbable que requieran
asignación de recursos específicos
adicionales para prevenirlos o tratarlos.

* Retroalimentar y socializar los

1/30/2019 12/31/2019 Semestral Anual 80%
* Falta de Seguimiento a las listado maestro de documentos para
Evitar el riesgo, se deben tomar el manejo de los funcionarios.
acciones correctivas.
medidas encaminadas a impedir su
* Falta de re inducción a los
materialización para llevar los Riesgos
líderes de proceso a cerca del
* Apatía del cliente interno a la Zona Aceptable o Tolerable, en lo
cierre de acciones correctivas,
PRODUCTO NO hacia el sistema de gestión posible. Es siempre la primera
preventivas y de mejora. * Evaluación de la gestión de calidad.
CONFORME NO de calidad. alternativa a considerar, se logra
* No detección de falencias en * Reportes de no conformidades.
IDENTIFICACIÓN, * No implementación de la El Riesgo No está cuando al interior de los procesos se
Nivel procedimientos. * Análisis de indicadores por procesos.
3 Gestión del Mejoramiento continuo Personal contratado TRATADOS Y información documentación del 1 3 Aceptable3 Si Preventivo Si Si No DEFICIENTE Controlado 2 4 Moderado1 generan cambios sustanciales por
Profesional * Desconocimiento en la * Seguimiento al procedimiento de Re inducción
REPORTADOS EN LOS Sistema de Gestión de la Suficientemente mejoramiento/fortalecimiento, rediseño
metodología para la en temas de competencia del grupo de calidad.
PROCESOS calidad. o sustitución de actividades y/o * Realizar seguimiento periódico de
identificación del riesgo. *Ejecucion al Programa de Auditorias Internas 1/30/2019 12/31/2019
MISIONALES. * Desertificación por parte controles, por lo que requiere elaborar los procedimientos de control de Semestral Anual 100%
*
del ente certificador. el plan de tratamiento con acciones documentos y control de registros.
Desconocimiento de la
* Mala concretas. Gestionar mediante
documentación del sistema de
imagen institucional. procedimientos de monitoreo o
gestión de calidad, (físico y
respuesta específicas.
herramienta Extranet).

CONTROL DE CAMBIOS

VERSIÓN VIGENCIA IDENTIFICACIÓN DE LOS CAMBIOS RESPONSABLE

Se incertó los campos para realizar el plan de tratamiento de los riesgos, se eliminó la columna de origen del riesgo, eliminándose el plan de tratamiento independiente, se incluyó una hoja adicional con el análisis de contexto del proceso, se revisaron y ajustaron algunas formulas de
4 12/11/2018 Líder del proceso
valoración de riesgos coherente con la matriz de vulnerabilidad

5 11/14/2019 Se realizo el seguimiento a la Matriz de Riesgos Operacionales de Mejora Continua y se socializo con el lider e involucrados del proceso, para analizar, modificar y actualizar los riesgos operacionales que afectan el proceso Líder del proceso

REVISÓ APROBÓ

NOMBRE Y FIRMA

CARGO
 CRITERIOS DE ANALIS

IMPACTO / CONSECUENCIA CUANTIFICACIÓN

Insignificante 1

Bajo 2

Medio 3

Grave 4

Muy grave 5

PROBABILIDAD CUANTIFICACIÓN
Improbable 1
2
Remoto
Factible 3
Probable 4
Muy probable 5

REVISÓ

NOMBRE Y FIRMA

CARGO
 CRITERIOS DE ANALISIS DE EVALUACIÓN

CALIFICACIÓN DEL RIESGO

IMPACTO
DESCRIPCIÓN PROBABILIDAD
· No hay daños o perjuicios. PROBABILIDAD
· La pérdida financiera es baja. Muy probable 5
· No hay pérdida de imagen. Probable 4
· Se puede subsanar los daños inmediatamente. Factible 3
· La pérdida financiera es media. Remoto 2
· No hay pérdida de imagen. Improbable 1
· Se necesita asistencia de un tercero para subsanar los
daños, ej: La intervención de otro proceso.
· La pérdida financiera es alta. Riesgo Insignificante
· Podría existir pérdida de imagen. Riesgo Bajo
· Daños extensivos, pérdida de la capacidad de operación Riesgo Moderado
que no tiene efectos perjudiciales.
· Pérdidas financieras mayores. Riesgo Alto
· Pérdida de imagen
· Pérdida de la capacidad de operación que tiene efectos
perjudiciales.
· Enorme pérdida financiera.
· Grave pérdida de imagen.

DESCRIPCIÓN
El evento ocurriría solamente en circunstancias excepcionales.
El evento podría ocurrir en algún momento y se considera que es
dificil que suceda.
El evento puede suceder eventualmente.
El evento probablemente ocurrirá.
Se espera que el evento ocurra en la mayoría de los casos.

REVISÓ APROBÓ
VALUACIÓN

CIÓN DEL RIESGO

Insignificante Bajo Medio Grave Muy Grave
1 2 3 4 5
5 10 15 20 25
4 8 12 16 20
3 6 9 12 15
2 4 6 8 10
1 2 3 4 5

Riesgo Insignificante
Riesgo Bajo
Riesgo Moderado
Riesgo Alto

APROBÓ
 MATRIZ DE VULNERABILIDADES

IMPACTO
Insignificante Bajo Medio Grave Muy Grave
PROBABILIDAD
PROBABILIDAD 1 2 3 4 5
Muy probable 5 5 10 15 20 25
Probable 4 4 8 12 16 20
Factible 3 3 6 9 12 15
Remoto 2 2 4 6 8 10
Improbable 1 1 2 3 4 5
Combinaciones
Nivel de
% de nivel Valoración POLÍTICAS Y OPCIONES DE
Probabilidad Impacto Producto Exposición
de riesgo de riesgo TRATAMIENTO DEL RIESGO
de riesgo

1 1 1 4% Insignificante Aceptable1 Asumir el riesgo. es decir, el

riesgo se encuentra en un nivel que
la entidad puede aceptarlo y
asumirlo sin necesidad de tomar
otras medidas de control o
1 2 2 8% Insignificante Aceptable2 fortalecimiento diferentes a las que
se poseen y normalmente son
rutinarios; estos riesgos están
controlados por el proceso, por lo
2 1 2 8% Insignificante Aceptable2 que su frecuencia es baja y el
impacto leve y no ponen en peligro
la estabilidad de la organización.
Estos riesgos no requieren plan de
1 3 3 12% Insignificante Aceptable3 tratamiento y por lo mismo es
improbable que requieran asignación
de recursos específicos adicionales
para prevenirlos o tratarlos.
 impacto leve y no ponen en peligro
la estabilidad de la organización.
Estos riesgos no requieren plan de
tratamiento y por lo mismo es
improbable que requieran asignación
de recursos específicos adicionales
para prevenirlos o tratarlos.
3 1 3 12% Insignificante Aceptable3

4 1 4 16% Bajo Tolerable1 Asumir o reducir el riesgo. Es

decir, la dirección tolera el riesgo, ya
que está por debajo de un valor de
1 4 4 16% Bajo Tolerable1 riesgo asumible o bien porque no se
puede hacer frente razonable al
riesgo, por costoso o por dificil. No
obstante, mediante procedimientos
2 2 4 16% Bajo Tolerable1 o controles de rutina, es posible
llevarlos a la zona Aceptable o
Tolerable. Para estos riesgos no
amerita plan de tratamiento, basta
5 1 5 20% Bajo Tolerable2 con aplicar los controles existentes y
por lo mismo es improbable que
requieran asignación de recursos
específicos adicionales para
1 5 5 20% Bajo Tolerable2 prevenirlos o tratarlos.

Asumir o reducir o compartir el

riesgo. se deben tomar medidas
para llevar los Riesgos a la Zona
3 2 6 24% Bajo Tolerable3 Aceptable o Tolerable, en lo posible.
Se debe realizar un análisis del
costo beneficio con el que se pueda
decidir entre reducir el riesgo,
asumirlo o compartirlo. Es posible
gestionar procedimientos o controles
de rutina, que los lleve a zona de
mayor control, es improbable que se
necesite la aplicación especifica de
recursos para su tratamiento, por lo
2 3 6 24% Bajo Tolerable3 que es recomendable establecer
plan de tratamiento, para establecer
acciones del análisis de costo
beneficio, si se considera.
 Evitar el riesgo, se deben tomar
4 2 8 32% Medio Moderado1 medidas encaminadas a impedir su
materialización para llevar los
Riesgos a la Zona Aceptable o
Tolerable, en lo posible. Es siempre
la primera alternativa a considerar,
se logra cuando al interior de los
2 4 8 32% Medio Moderado1 procesos se generan cambios
sustanciales por
mejoramiento/fortalecimiento,
rediseño o sustitución de actividades
y/o controles, por lo que requiere
elaborar el plan de tratamiento con
acciones concretas. Gestionar
3 3 9 36% Medio Moderado2 mediante procedimientos de
monitoreo o respuesta específicas.

Reducir o Evitar o Compartir o

transferir el riesgo. se deben tomar
2 5 10 40% Medio Moderado3 medidas para reducir los riesgos y
llevarlos a la Zona Aceptable o
Tolerable, en lo posible, elaborando
un plan de tratamiento que incluya la
implementación de acciones y/o
controles para disminuir el riesgo
hasta la zona tolerable o aceptable,
por lo que requiere elaborar el plan
de tratamiento con acciones
5 2 10 40% Medio Moderado3 concretas. Gestionar mediante
procedimientos de monitoreo o
respuesta específicas.
 Reducir, Compartir o transferir el
riesgo. Cuando el riesgo tiene una
Probabilidad baja y Impacto grave o
catastrófico se debe tratar de
3 4 12 48% Medio Moderado4 compartir el riesgo, ya que Reduce
su efecto a través de traspaso de las
pérdidas a otras organizaciones
como en el caso de los contratos de
seguros u otros medios que
permitan distribuir una porción del
riesgo en otra entidad como en los
contratos a riesgo compartido. por
lo que requiere elaborar el plan de
4 3 12 48% Medio Moderado4 tratamiento con acciones concretas.
Gestionar mediante procedimientos
de monitoreo o respuesta
específicas.

Reducir, Evitar, Compartir o

transferir el riesgo. se deben tomar
medidas para llevar los Riesgos a la
5 3 15 60% Alto Alto1 Zona Aceptable o Tolerable, en lo
posible. También es viable combinar
estas medidas con evitar el riesgo
cuando éste presenta una
Probabilidad alta y media, y el
Impacto es moderado o catastrófico.
Algunas formas de evitar un riesgo
es no emprendiendo un nuevo
proyecto evaluado como no vialble,
eliminando o suspendiendo la
actividad que genera el riesgo o
sustituyendola por otra que no sea
3 5 15 60% Alto Alto1 tan peligrosa o que no produzca
tantas perdidas; por lo que se
requiere establecer el plan de
tratamiento con acciones inmediatas
y atención de la alta dirección.
 Reducir, Evitar, Compartir o
transferir el riesgo. Se deben tomar
medidas para llevar los Riesgos a la
Zona Aceptable o Tolerable, en lo
posible. También es viable combinar
estas medidas con evitar el riesgo,
implicando tomar medidas
encaminadas a disminuir tanto la
probabilidad (medias de prevención)
como el impacto ( medidas de
4 4 16 64% Alto Alto2 protección); resultado de fortalecer o
implementar controles. Siempre que
el riesgo es calificado con Impacto
grave o catastrófico la Entidad debe
diseñar planes de contingencia, para
protegerse en caso de su
ocurrencia; por lo que requiere
establecer el plan de tratamiento con
acciones inmediatas, especificar
planes de acción y atención de la
alta dirección.

5 4 20 80% Alto Inaceptable1 Evitar, Reducir, Compartir o

transferir el riesgo. Es aconsejable
eliminar la actividad que genera el
riesgo en la medida que sea posible,
de lo contrario se deben
implementar controles de prevención
para evitar la Probabilidad del
riesgo, de Protección para disminuir
el Impacto o compartir o transferir el
4 5 20 80% Alto Inaceptable1 riesgo si es posible a través de
pólizas de seguros u otras opciones
que estén disponibles. Siempre que
el riesgo sea calificado con Impacto
muy grave la Entidad debe diseñar
planes de contingencia, para
protegerse en caso de su
ocurrencia. por lo que requiere
establecer el plan de tratamiento con
acciones inmediatas, especificar
planes de acción y atención de la
 riesgo si es posible a través de
pólizas de seguros u otras opciones
que estén disponibles. Siempre que
el riesgo sea calificado con Impacto
muy grave la Entidad debe diseñar
planes de contingencia, para
protegerse en caso de su
ocurrencia. por lo que requiere
establecer el plan de tratamiento con
acciones inmediatas, especificar
5 5 25 100% Alto Inaceptable2 planes de acción y atención de la
alta dirección.

CONTROL DE CAMBIOS
VERSIÓN VIGENCIA IDENTIFICACIÓN DE LOS CAMBIOS

Se precisó la política de gestión de riesgos y las

opciones generales de tratamiento, de acuerdo a la
1 12/11/2018 valoración en la matriz de vulnerabilidades,
mejorándose la metodología

REVISÓ APROBÓ

NOMBRE Y FIRMA

CARGO