Guia Para La Aplicacion de La Metodologia Amef Para La Gestion y Administracion Del Riesgo

Texto completo

(1)
(2)

ALCALDIA MUNICIPAL DE SOACHA-CUNDINAMARCA

GUIA PARA LA APLICACIÓN DE LA METODOLOGIA

AMEF PARA LA GESTIÓN Y ADMINISTRACIÓN DEL

RIESGO

JUAN CARLOS BELTRÁN MORENO

JIMMY RICARDO MUNEVAR RICO

SOACHA, CUNDINAMARCA – MARZO DE 2010

(3)

2 Pág.

INTRODUCCIÓN 3

1.OBJETO Y CAMPO DE APLICACIÓN 4

2. ALCANCE 4

3. RESPONSABILIDADES 4

4. DEFINICIONES 5

5. ASPECTOS GENERALES 10

5.1. ¿QUÉ ES LA GESTIÓN DE RIESGO? 7

5.2 ¿QUÉ ES LA METODOLOGIA AMEF Y PORQUE SERÁ APLICADA PARA EL PROCESO DE GESTIÓN DE RIESGO EN LA ALCALDIA DE

SOACHA? 11

5.3. ¿QUÉ BENEFICIOS LE REPORTARÁ A LA ALCALDIA MUNICIPAL LA METODOLOGIA AMEF

12 5.4. ¿QUÉ INFORMACIÓN SE DEBE TENER COMO PREREQUISITO

ANTES DE APLICAR LA METODOLOGIA AMEF?

12

5.5 ¿QUÉ PASOS SE DEBEN SEGUIR PARA APLICAR LA METODOLGIA

AMEF? 10

(4)

3

INTRODUCCIÓN

La Alcaldía Municipal de Soacha-Cundinamarca, se propuso en el Plan de Desarrollo Municipal “ Soacha para vivir mejor”, implementar el Modelo Estándar de Control Interno y el Sistema de Gestión de la Calidad bajo la norma NTCGP 1000, como una estrategia para fortalecer las prácticas de la organización hacia la calidad y de esa manera satisfacer de manera más integral las necesidades y expectativas que tiene la ciudadanía que vive en el municipio.

Para la implementación del MECI:2005 y del Sistema de Gestión de la Calidad, bajo la norma NTCGP 1000:2009, la aplicación de herramientas de gestión y administración del riesgo constituye una necesidad manifiesta para mitigar el efecto de aquellas circunstancias y eventos que impactan el cumplimiento de los objetivos y de los requisitos del cliente y las partes interesadas por la permanente exposición a las consecuencias de la incertidumbre o a las desviaciones potenciales con respecto a lo que se planifica o espera.

Este documento proporciona orientación para la comprensión de los conceptos y aplicación de la metodología AMEF como la herramienta metodológica seleccionada para la etapa de análisis dentro del Proceso de Gestión de Riesgo en la Alcaldía Municipal de Soacha.

(5)

4

1. OBJETO Y CAMPO DE APLICACIÓN

La presente guía describe la metodología para la aplicación de la metodología AMEF en las etapas de identificación, análisis y evaluación en el marco del proceso de Gestión del Riesgo.

2. ALCANCE

La guía de aplicación de la metodología AMEF aplica para los procesos del mapa de procesos de primer nivel identificado para el nivel central de la Alcaldía Municipal de Soacha.

3. RESPONSABILIDADES

3.1. SECRETARIA DE PLANEACIÓN Y DESARROLLO TERRITORIAL

La Secretaría de Planeación y Desarrollo Territorial tendrá la responsabilidad de liderar la aplicación de la metodología y de liderar el proceso de Gestión del Riesgo.

3.2. OFICINA ASESORA DE CONTROL INTERNO

La Oficina Asesora de Control Interno, tiene la responsabilidad de verificar que las diferentes dependencias implementen el proceso de gestión de riesgos y sobre todo que tengan claramente identificados los riesgos asociados a los procesos que ejecutan y los planes de mitigación.

3.3. DESPACHO DEL ALCALDE, SECRETARIAS, OFICINAS Y DIRECCIONES

Estas instancias tienen la responsabilidad de aplicar la metodología, establecer registros y monitorear de manera permanente sus procesos para identificar nuevos riesgos y darles el adecuado tratamiento.

(6)

5

3.4. COMITES O GRUPOS MECI: CALIDAD

Los Comités o Grupos MECI:CALIDAD, tienen la responsabilidad de orientar la aplicación de la metodología y de implementar acciones preventivas, acciones correctivas y de mejora para mitigar los efectos del riesgo en la Alcaldía Municipal.

4. DEFINICIONES

4.1. Acción Correctiva. Acción tomada para eliminar la causa de una no conformidad (incumplimiento de un requisito: ISO 9000:2005) detectada u otra

situación indeseable; que para el caso particular de este manual este afectando negativamente el resultado del indicador.

NOTA 1 Puede haber más de una causa para una no conformidad.

NOTA 2 La acción correctiva se toma para evitar que algo vuelva a producirse, mientras que la acción preventiva se toma para prevenir que algo suceda. NOTA 3 Existe diferencia entre corrección y acción correctiva.

4.2. Acción Preventiva. Acción tomada para eliminar la causa de una no conformidad

potencial u otra situación potencialmente no deseable; que para el caso particular de este manual este afectando negativamente el resultado del indicador.

NOTA 1 Puede haber más de una causa para una no conformidad potencial.

NOTA 2 La acción preventiva se toma para prevenir que algo suceda, mientras que la acción correctiva se toma para evitar que vuelva a producirse.

4.3. Acción de Mejora. Acción que incrementa la capacidad administrativa y el

desempeño organizacional y que no actúa sobre problemas reales o potenciales, ni sobre sus causas.

(7)

6

4.4. Administración de riesgos: Una rama de administración que aborda las

consecuencias del riesgo. Consta de dos etapas: El diagnóstico o valoración, mediante Identificación, Análisis y determinación del Nivel y el manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace seguimiento al Plan de manejo que contiene las Técnicas de Administración del riesgo propuestas por el grupo de trabajo, evaluadas y aceptadas por la alta dirección.

4.5. Amenaza: Es la intención y capacidad de afectar adversamente un sistema,

ocasionando daños y alteraciones.

4.6. Análisis de riesgos: Proceso sistemático para entender la naturaleza del riesgo y

deducir el nivel del riesgo.

NOTA 1 Proporciona la base para la evaluación del riesgo y las decisiones sobre el tratamiento del riesgo.

NOTA 2 Véase ISO/IEC Guía 51, para el análisis del riesgo en el contexto de la seguridad.

4.7. Calificación del Riesgo: Actividad encaminada a la estimación cualitativa de la

probabilidad y el impacto.

4.8. Causas (factores internos o externos): son los medios, las circunstancias y agentes

generadores de riesgos. Los agentes generadores se entienden como todos los sujetos y objetos que tienen la capacidad de originar un riesgo, se pueden clasificar en 5 categorías: personas materiales, comités, instalaciones y entorno.

4.9. Consecuencia. Resultado o impacto de un evento.

4.10. Control: Es toda acción que tiende a minimizar los riesgos, significa analizar el

desempeño de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos.

(8)

7

4.11. Corrección. Acción tomada para eliminar una no conformidad detectada.

NOTA 1 Una corrección puede realizarse junto con una acción correctiva. NOTA 2 Una corrección puede ser, por ejemplo, un reproceso o una reclasificación.

4.12. Criterios del riesgo. Términos de referencia mediante los cuáles se evalúa la

importancia del riesgo.

4.13 Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los

objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y confianza, interrupción del servicio.

4.14. Evaluación del control. Revisión sistemática de los riesgos para garantizar que

los controles aún son eficaces y adecuados.

4.15. Evaluación del riesgo: Proceso de comparar el nivel de riesgo frente a los

criterios del riesgo.

NOTA 1 La evaluación del riesgo ayuda en las decisiones sobre el tratamiento del riesgo.

NOTA 2 Véase la norma ISO/IEC Guía 51 para la evaluación del riesgo en el contexto de la seguridad.

4.16. Factores de riesgo: Manifestaciones o características medibles u observables

de un proceso que indican la presencia de riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad.

(9)

8

4.17. Frecuencia: Una medida de las veces que sucede un evento, expresado como la

cantidad de ocurrencias en un tiempo determinado.

4.18. Identificación de riesgos: Establece la estructura del riesgo; fuentes o factores,

internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: total entidad, por áreas, por procesos, incluso, bajo el viejo paradigma, por funciones; desde el nivel estratégico hasta el más humilde operativo.

4.19. Impacto: Consecuencias que puede ocasionar a la organización la

materialización del riesgo.

4.20 Indicador: Es la valoración de una o más variables que informa sobre una

situación y soporta la toma de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa.

4.21 Mapas de riesgos: Herramienta metodológica que permite hacer un inventario de

los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias.

4.22 Nivel de riesgo: Es el resultado de confrontar el impacto y la probabilidad, con los

controles existentes.

4.23. Mitigación: Planeación y ejecución de medidas dirigidas a reducir o disminuir el

riesgo.

4.24 Monitorear. Verificar, supervisar o medir regularmente el progreso de una

actividad, acción o sistema para identificar los cambios en el nivel de desempeño requerido.

4.25. Plan de Manejo de Riesgos: Plan de acción propuesto por el grupo de trabajo,

(10)

9

4.26. Probabilidad: Una medida (expresada como porcentaje o razón) para estimar la

posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su Frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.

4.27. Reducción de Riesgos: Aplicación selectiva de técnicas apropiadas y principios

de administración para reducir las probabilidades de ocurrencia de los riesgos, o sus consecuencias, o ambas.

Requisito: necesidad o expectativa establecida, generalmente implícita u obligatoria.

NOTA 1 "Generalmente implícita" significa que es habitual o una práctica común para la entidad, sus clientes y

otras partes interesadas, el que la necesidad o expectativa bajo consideración esté implícita.

NOTA 2 La palabra obligatoria, se refiere, generalmente, a disposiciones de carácter legal.

NOTA 3 Pueden utilizarse calificativos para identificar un tipo específico de requisito, por ejemplo, requisito de un

producto y/o servicio, requisito de la gestión de la calidad, requisito del cliente.

NOTA 4 Los requisitos para la realización de un producto o la prestación de un servicio se refieren, pero

necesariamente no se limitan, a aquellos que una entidad debe cumplir para satisfacer al cliente o cumplir una

disposición legal.

NOTA 5 Un requisito especificado es aquel que se declara, por ejemplo, en un documento.

NOTA 6 Los requisitos pueden ser generados por las diferentes partes interesadas.

4.28 Retroalimentación: Información sistemática sobre los resultados alcanzados en la

(11)

10

4.29 Riesgo: La oportunidad de que suceda algo que tendrá impacto en los objetivos o

el cumplimiento de los requisitos.

NOTA 1 Un riesgo a menudo se especifica en términos de un evento o circunstancia y las consecuencias que se pueden presentar por él.

NOTA 2 El riesgo se mide en términos de una combinación de consecuencias de un evento y su posibilidad.

NOTA 3 El riego puede tener un impacto positivo o negativo.

NOTA 4 Véase ISO/IEC Guía 51, para asuntos relacionados con la seguridad.

Riesgo residual. Riesgo remanente después de la implementación del tratamiento del

riesgo.

4.30. Tratamiento del Riesgo. Proceso de selección e implementación de medidas

para modificar el riesgo.

NOTA 1 El término "tratamiento del riesgo" en ocasiones se utiliza para las medidas en sí.

NOTA 2 Las medidas para el tratamiento del riesgo pueden incluir evitar, modificar, compartir o retener el riesgo.

GTC 137 en parte (ISO/IEC Guía 73).

4.31. Valoración del riesgo: Primera fase en la administración de riesgos, diagnóstico

que consta de la identificación, análisis y determinación del nivel de riesgo.

.

5. ASPECTOS GENERALES 5.1. ¿QUE ES LA GESTIÓN DEL RIESGO?

Se entiende por gestión administración de riesgo el proceso mediante el cual se identifican, analizan, evalúan, tratan o manejan, monitorean, y comunican los riesgos

(12)

11

generados en una actividad, función o proceso, de tal forma que le sea posible a la Alcaldìa Municipal de Soacha minimizar las perdidas y maximizar las oportunidades. Es importante resaltar que la gestión del riesgo está relacionada, tanto identificación y aprovechamiento de posibles eventos favorables, como con la prevención y mitigación de inconvenientes para el cumplimiento de los objetivos.

La siguiente ilustración representa de manera gráfica el proceso de administración del riesgo en cada una de sus etapas:

5.2 ¿QUE ES LA METODOLOGIA AMEF Y PORQUE SERÁ APLICADA PARA EL PROCESO DE GESTIÓN DEL RIESGO EN LA ALCALDIA DE SOACHA?

La metodología AMEF traduce Análisis del Modo y Efecto de las Fallas y es un método dirigido a lograr el Aseguramiento de la Calidad, mediante el análisis sistemático. Esta metodología contribuye a identificar y prevenir los modos de fallo de un proceso, evaluando su gravedad, ocurrencia y detección, y con esta información se calcula el grado de impacto del riesgo, para priorizar las causas, sobre las cuales habrá que actuar para evitar que se presenten los modos de fallo1

1

(13)

12

La metodología será aplicada para el proceso de gestión de riesgo de la Alcaldía Municipal de Soacha dado que en su aplicación se identifica el modo, causa de la falla, los efectos, la severidad, la probabilidad de ocurrencia, la capacidad de los controles y sobre todo la formulación de planes de mitigación del riesgo. Además porque es una metodología muy sencilla de utilizar y con un alto grado de eficacia.

5.3. ¿QUE BENEFICIOS LE REPORTARÁ A LA ALCALDIA MUNICIPAL LA APLICACIÓN DE LA METODOLOGIA AMEF?

La Alcaldia Municipal de Soacha en el marco de su plan de Desarrollo “ Soacha para vivir mejor” se ha trazado la meta de implementar un Sistema Integrado con los Modelos MECI 1000:2005 y Sistema de Gestión de la Calidad con la norma NTCGP 1000:2009. Bajo ese escenario es prioritario que aplique una metodología sencilla; pero eficaz, para mitigar los riesgos asociados a la ejecución de los procesos y a que se presenten no conformidades que atenten contra el cumplimiento de los requisitos del cliente y la satisfacción de sus expectativas. Desde esta perspectiva, la metodología AMEF representa el camino para lograr este propósito, porque:

a) Mejora la calidad, confiabilidad y seguridad de los procesos b) Mejora la satisfacción del cliente

c) Reduce el tiempo y costo en la ejecución de los procesos d) Ayuda a implementar acciones eficaces para reducir los riesgos

e) Reduce las peticiones, quejas y reclamos relacionados con la prestación de los servicios.

f) Mejora la percepción de la partes interesadas como la Personería, la Contraloría y la Procuraduría con relación a la gestión.

5.4. ¿QUE INFORMACIÓN SE DEBE TENER COMO PRE-REQUISITO ANTES DE APLICAR LA METODOLOGIA AMEF?

Conforme lo establece el Manual de Gestión del Riesgo de la Alcaldía Municipal y la norma NTC 5254 de Gestión del Riesgo, antes de entrar a las etapas de identificación, análisis y evaluación del riesgo, se debe haber establecido el contexto del mismo.

El establecimiento del contexto es necesario para definir los parámetros básicos dentro de los cuales deben administrarse los riesgos y para proveer una guía para las decisiones dentro de estudios de administración de riesgos más detallados. Esto establece el alcance para el resto del proceso de administración de riesgos. Deben incluirse el ambiente interno y externo y sus interfaces correspondientes.

(14)

13

Establecimiento del contexto externo.

Esta etapa define el ambiente externo en el cuál funciona el proceso, también la forma como se relaciona. Puede incluir por ejemplo:

a. Ambiente de negocio, social, reglamentario, cultural, competitivo, financiero y

político.

b. Fortalezas, debilidades, oportunidades y amenazas del proceso. c. Las partes externas involucradas.

d. Las directrices clave del negocio.

Es particularmente importante considerar las concepciones y los valores de las partes externas involucradas y establecer políticas para la comunicación de esas partes.

Esta etapa es importante porque con ello se puede asegurar que las partes involucradas y sus objetivos se tienen en cuenta cuando se desarrollan criterios para la gestión de riesgo y que las amenazas oportunidades y amenazas generadas externamente se consideran de forma adecuada.

Establecimiento del contexto interno.

Esta se debe realizar al antes de comenzar las actividades de gestión de riesgo para comprender la organización. Las áreas claves incluyen:

1. Cultura

2. Partes internas involucradas 3. Estructura

4. Capacidades en términos de recursos tales como personas, sistemas, procesos y capital.

5. Metas, objetivos y las estrategias establecidas para lograrlos. Es importante establecer el contexto interno porque:

 La gestión del riesgo tiene un lugar en el contexto de las metas y los objetivos de la organización.

 Las políticas y las metas organizacionales, así como los intereses ayudan a definir la política de riesgo de la organización.

Despliegue del Proceso

Implica subdividir el proceso utilizando el formato de despliegue de la Guía de Implementación del Modelo de Gestión por Procesos de la Alcaldía de Soacha, para

(15)

14

proporcionar un marco lógico que ayude a garantizar que no se omitan riesgos significativos.

5.5. ¿ QUÉ PASOS SE DEBEN SEGUIR PARA APLICAR LA METODOLOGIA “AMEF”

Después de haber definido el contexto del riesgo, para reconocer las variables de orden interno y externo que condicionan su comportamiento e influyen en el momento de formular el respectivo plan de manejo, ahora se pasará a las etapas de identificación, análisis y evaluación en la cuales como ya se mencionó se aplicará la metodología AMEF.

5.5.1. PRIMER PASO: Identificar el proceso

Para aplicar la metodología AMEF, como primera medida se identificarán con claridad los procesos que son responsabilidad de cada dependencia y sobre ellos se diligenciará la respectiva matriz de riesgos.

Para realizar este ejercicio; a continuación se presenta el Mapa de Macroprocesos o Procesos de primer nivel y la matriz de procesos vs dependencias

MAPA DE MACROPROCESOS O PROCESOS NIVEL CENTRAL

MAPA DE PROCESOS ( ACORDE NUMERAL 3.43 DE LA NTCGP 1000:2009)

NECESIDADES Y EXPECTATIVAS DE LA COMUNIDAD (Y OTRAS PARTES INTERESADAS) DIRECCIONAMIENTO ESTRATÉGICO GESTIÓN ADMINISTRATIVA GESTIÓN DE TALENTO HUMANO SATISFACCIÓN NECESIDADES Y EXPECTATIVAS DE LA COMUNIDAD ( Y OTRAS PARTES INTERESADAS) PROCESOS ESTRATÉGICOS

PROCESOS OPERATIVOS O MISIONALES

PROCESOS DE APOYO GESTIÓN COOPERACIÓN NACIONAL E INTERNACIONAL GESTIÓN INFORMACIÓN GESTIÓN JURIDICA GESTIÓN DE CONTROL GESTIÓN FINANCIERA PROCESOS DE EVALUACIÓN GESTIÓN DE LA

COMUNICACIÓN GESTIÓN FISCAL

GESTIÓN DEL DESARROLLO SOCIAL SALUD EDUCACIÓN Y CULTURA INCLUSIÓN SOCIAL DESARROLLO ECONÓMICO GESTIÓN INTEGRAL DEL TERRITORIO VIVIENDA ESP.FISICO Y URBANISMO GEST. INFRAESTRUCTURA MOVILIDAD

SERVICIOS PÚBLICOS MEDIO AMBIENTE

SEGURIDAD, JUSTICIA Y CONVIVENCIA CIUDADANA SEGURIDAD Y CONVIVENCIA PREVENCIÓN Y ATENCIÓN DE EMERGENCIAS APOYO A LA JUSTICIA PARTICIPACIÓN COMUNITARIA PROMOCIÓN SOCIAL AL CONTROL DE LA GESTIÓN PARTICIPACIÓN Y PROMOCIÓN SOCIAL GESTIÓN DE LA EVALUACIÓN Y EL MEJORAMIENTO

ATENCIÓN AL CIUDADANO ( PQRYS Y EVALUACIÓN PERCEPCIÓN SERVICIO)

GESTIÓN CONTRATACIÓN

(16)

15 D ir e c c io n a m ie n to E s tr a té g ic o G e s tió n d e la C o m u n ic a c ió n G e s tió n C o o p e ra c ió n N a c io n a l e I n te rn a c io n a l G e s tió n F is c a l S a lu d E d u c a c ió n y C u ltu ra In c lu s ió n S o c ia l D e s a rr o llo E c o n ó m ic o V iv ie n d a S e rv ic io s P ú b lic o s E s p a c io F ís ic o y U rb a n is m o G e s ti ó n d e I n fr a e s tr u c tu ra M o v ili d a d M e d io A m b ie n te S e g u ri d a d y C o n v iv e n c ia C iu d a d a n a P re v e n c ió n y A te n c ió n d e E m e rg e n c ia s A p o y o a la J u s tic ia P a rt ic p a c ió n C o m u n ita ri a P ro m o c ió n S o c ia l a l C o n tr o l d e la G e s tió n S is te m a d e P e tic io n e s , Q u e ja s , R e c la m o s y S u g e re n c ia s G e s tió n d e T a le n to H u m a n o G e s ti ó n F in a n c ie ra G e s tió n d e C o n tr a ta c ió n DESPACHO ALCALDE OFICINA ASESORA DE CONTROL INTERNO OFICINA ASESORA JURIDICA OFICINA ASESORA DE CONTROL DISCIPLINARIO SECRETARIA GENERAL SECRETARIA DE GOBIERNO SECRETARIA DE PLANEACIÓN Y ORDENAMIENTO TERRITORIAL CLOPAD SECRETARIA DE HACIENDA SEECRETARIA DE DESARROLLO SOCIAL Y PARTICIPACIÓN COMUNITARIA SECRETARIA DE EDUCACIÓN Y CULTURA SECRETARIA DE SALUD SECRETARIA DE INFRAESTRUCTURA Y VALORIZACIÓN MUNICIPAL VALORIZACIÓN GESTIÓN INTEGRAL DEL TERRITORIO PROCESOS DE APOYO PROCESOS ESTRATÉGICOS PROCESOS MISIONALES PARTICIPACIÓN Y PROMOCIÓN SOCIAL ATENCIÓN AL CIUDADANO SEGURIDAD, JUSTICIA Y CONVIVENCIA CIUDADANA GESTIÓN DEL DESARROLLO SOCIAL DEPENDENCIAS PROCESOS

5.5.2. SEGUNDO PASO: Establecer escalas de valoración

Para la aplicación de la metodología AMEF se deben establecer unas escalas de valoración del riesgo, para medir la severidad o impacto, la ocurrencia o probabilidad y la detección.

Estas escalas aunque pueden particularizarse teniendo en cuenta la naturaleza del proceso, pueden también partir de esquemas estandarizados aplicados a todos ellos, tal como se presenta a continuación.

(17)

16

5.5.2.1. Escala de valoración para medir el impacto o severidad

Valoración Grado de Impacto Descripción

1 Insignificante Es un evento que amerita una corrección, es aislado y no impacta el logro de los objetivos del proceso.

2 Menor Es un evento que amerita una corrección o acción de mejora, porque ha sucedido con anterioridad y puede impactar el logro de los objetivos del proceso.

3 Moderado Es un evento que amerita una acción correctiva o acción preventiva, porque impacta el logro de los objetivos del proceso, sin generar conflictos con los clientes y partes interesadas.

4 Mayor Es un evento que amerita una acción correctiva o acción

preventiva a corto o mediano plazo, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes y partes interesadas.

5 Catastrófico Es un evento que amerita una acción correctiva o acción preventiva inmediata, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes, partes interesadas y conlleva responsabilidades del servidor público.

5.5.2.2. Escala de valoración para medir la probabilidad u ocurrencia

Valoración Criterio Descripción

1 Raro Puede ocurrir sólo en circunstancias excepcionales

2 Improbable Pudo ocurrir en algún momento

3 Posible Podría ocurrir en algún momento

4 Probable Probablemente ocurrirá en la mayoría de las circunstancias

5 Casi con certeza Se espera que ocurra en la mayoría de las circunstancias.

5.5.2.3. Escala de valoración para medir el grado de detección

Valoración Criterios Descripción

1 Casi seguro Controles actuales detectan el modo o causa de fallo.

2 Alto Los controles actuales tienen una alta probabilidad de detectar modo o causa de fallo

3 Moderado Los controles actuales tienen una probabilidad moderada de detectar modo o causa de fallo

4 Muy bajo Los controles actuales tienen una probabilidad muy baja de detectar modo o causa de fallo

5 Casi imposible Ninguno de los controles disponibles puede detectar incidente, modo o causa

5.5.3. TERCER PASO: Diligenciar la matriz AMEF

Teniendo claridad de las escalas de valoración para medir la severidad o impacto (S), la ocurrencia o probabilidad (O) y la detección (D) procederemos a diligenciar la matriz AMEF, la cual se presenta a continuación:

(18)

17 PROCESO:

CLIENTE:

OBJETIVO DEL PROCESO:

REQUISITOS DEL PROCESO MODO DE FALLO EFECTO DE FALLA S CAUSAS O PREVENCION DETECCION D NPR CONTROLES ACTUALES

Columna Requisitos del Proceso: En esta columna se deben listar los requisitos del

proceso.

La definición de requisito de acuerdo a la norma NTCGP1000:2009, es oportuno recordarla, para diligenciar esta columna:

Requisito: necesidad o expectativa establecida, generalmente implícita u obligatoria. NOTA 1. "Generalmente implícita" significa que es habitual o una práctica común para la entidad, sus clientes y otras partes interesadas, el que la necesidad o expectativa bajo consideración esté implícita.

NOTA 2. La palabra obligatoria, se refiere, generalmente, a disposiciones de carácter legal.

NOTA 3. Pueden utilizarse calificativos para identificar un tipo específico de requisito, por ejemplo, requisito de un producto y/o servicio, requisito de la gestión de la calidad, requisito del cliente.

NOTA 4. Los requisitos para la realización de un producto o la prestación de un servicio se refieren, pero necesariamente no se limitan, a aquellos que una entidad debe cumplir para satisfacer al cliente o cumplir una disposición legal.

NOTA 5. Un requisito especificado es aquel que se declara, por ejemplo, en un documento.

Para hacer claridad sobre la manera de identificar los requisitos asociados a un proceso, vamos a realizar un ejercicio asociado al proceso denominado gestión contratación2 en el mapa de macroprocesos o procesos de la Alcaldía Municipal.

Bien a continuación vamos a realizar un listado de los requisitos asociados al proceso de contratación para atender las necesidades y expectativas de los clientes o usuarios

2

El ejemplo no ilustra necesariamente los eventos asociados al proceso de contratación de la Alcaldía Municipal de Soacha, fue desarrollado por el Ingeniero Juan Carlos Beltrán Moreno sobre bases hipotéticas con fines de capacitación y aprendizaje en la aplicación del Modelo.

(19)

18

internos ( de la Alcaldia) y externos ( ciudadanos y partes interesadas). Lo que se espera del proceso entonces es:

• Atención oportuna a las necesidades de bienes, servicios y el cumplimiento de las metas de los planes, programas y proyectos

• Observancia estricta de la normatividad legal vigente, puntos de control y evaluación para seleccionar al mejor contratista.

• Suscribir contratos que protejan los intereses de la administración con apego a la legalidad y al nivel de riesgo.

• Cumplimiento de los Objetos y Obligaciones por parte del Contratante y el Contratista

• Adquisición de Bienes y Servicios de Calidad que satisfagan las necesidades y expectativas de los clientes

• Aplicación de sanciones para proteger el patrimonio y los intereses de la administración.

Columna Modo de Fallo: En esta columna se deben describir las desviaciones,

disfuncionalidades o fallas reales3 o potenciales4 que impiden o impactan negativamente el cumplimiento de los objetivos o los requisitos establecidos para el proceso; recordemos que el riesgo fue definido como la oportunidad de que suceda algo que tendrá impacto en los objetivos o el cumplimiento de los requisitos.

Veamos en el ejemplo del proceso de contratación, que modos de fallo fueron identificados5 para el requisito de “Atención oportuna a las necesidades de bienes,

servicios y el cumplimiento de las metas de los planes, programas y proyectos”:

 Interrupción en la prestación del servicio

 Errores en las minutas de los contratos

 Adiciones o Prórrogas

 Atraso en el cumplimiento de las metas establecidas en los planes de acción

3 Son reales porque ya existen registros y/o antecedentes de su ocurrencia. 4

Recordemos que en la etapa de identificar el contexto del riesgo se han identificado debilidades y amenazas que permiten advertir fallos potenciales.

5

La identificación de los modos de fallo implica revisar los registros que se tengan como informes de auditoria, planes de mejora, la matriz DOFA, quejas, reclamos, derechos de petición; entre otros.

(20)

19

Columna efecto de fallo: Las desviaciones, disfuncionalidades o fallos reales6 o

potenciales7 que se presentan en la ejecución de un proceso tienen unas consecuencias o efectos que se deben relacionar en esta columna.

Veamos en el ejemplo del proceso Gestión Contratación que efectos tendría el hecho que se presente el fallo de interrupción en la prestación del servicio:

 Quejas y Reclamos por parte de los usuarios internos y la ciudadanía

 Incumplimiento de metas

 Demandas

 Sanciones por parte de los entes de control

Columna “S” de Severidad o Impacto: En esta columna se debe establecer mediante

la tabla establecida en el numeral 5.5.2.1.; la valoración del grado de severidad del modo de fallo identificado asociado las consecuencias o efecto de fallo relacionado. Veamos en el ejemplo del proceso Gestión Contratación como se diligencia esta columna:

MODO DE FALLO EFECTO DE FALLO S

Interrupción en la prestación del servicio

Quejas y Reclamos por parte de los usuarios internos y la

ciudadania 4

Incumplimiento de metas 3

Demandas 5

Sanciones por parte de los entes de control 5

En el cuadro se observa que para el modo de fallo de “Quejas y Reclamos por parte de

los usuarios internos y la ciudadanía” se asignó una valoración de 4 que corresponde a un grado de impacto “Mayor” que indica que es un evento que amerita una acción

correctiva o acción preventiva a corto o mediano plazo, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes y partes interesadas.

6

Son reales porque ya existen registros y/o antecedentes de su ocurrencia. 7

Recordemos que en la etapa de identificar el contexto del riesgo se han identificado debilidades y amenazas que permiten advertir fallos potenciales.

(21)

20

Para explicar la valoración de los otros efectos de fallo identificados se presenta nuevamente la tabla de valoración del grado de severidad o impacto:

Valoración Grado de Impacto Descripción

1 Insignificante Es un evento que amerita una corrección, es aislado y no impacta el logro de los objetivos del proceso.

2 Menor Es un evento que amerita una corrección o acción de mejora, porque ha sucedido con anterioridad y puede impactar el logro de los objetivos del proceso.

3 Moderado Es un evento que amerita una acción correctiva o acción preventiva, porque impacta el logro de los objetivos del proceso, sin generar conflictos con los clientes y partes interesadas.

4 Mayor Es un evento que amerita una acción correctiva o acción

preventiva a corto o mediano plazo, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes y partes interesadas.

5 Catastrófico Es un evento que amerita una acción correctiva o acción preventiva inmediata, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes, partes interesadas y conlleva responsabilidades del servidor público.

Columna Causas: En esta columna se beben registrar el origen o causa que está

originando el modo de fallo. Para identificarlas se debe tener en cuenta lo relacionado con el talento humano, los recursos financieros, los recursos físicos, la infraestructura tecnológica, los procesos, procedimientos y métodos de trabajo; entre otras variables. El diligenciamiento de esta columna es de vital importancia; dado que la planificación de acciones correctivas y acciones preventivas se orienta sobre lo registrado en esta columna. Si las causas se identifican de manera errónea, es posible que las acciones correctivas, las acciones preventivas y los planes de mitigación resulten estériles y no se mitigue el riesgo. Se recomienda utilizar para identificar las causas asociadas a cada efecto de fallo el diagrama de Ishikawa, conocido también como el diagrama causa y efecto.

Para el caso de las causas que originan el fallo de Interrupción en la prestación del

servicio se estableció que este evento se produce por la “Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos”.

Columna “O” de ocurrencia o probabilidad:

En esta columna se debe establecer mediante la tabla establecida en el numeral 5.5.2.2.; la valoración del grado de ocurrencia o probabilidad del modo de fallo identificado, asociado a un efecto o consecuencia y a una causa específica

(22)

21

Para establecer la valoración del grado de ocurrencia o probabilidad de que se presente el suceso asociado a un efecto y una(s) causa(s), es importante acudir a los registros (si se tienen) o de lo contrario asignarla de manera subjetiva teniendo en cuenta las debilidades y amenazas del proceso.

Veamos en el ejemplo que estamos desarrollando como se diligenció esta columna:

MODO DE FALLO EFECTO DE FALLO S CAUSAS O

Interrupción en la prestación del servicio

Quejas y Reclamos por parte de los usuarios internos y la ciudadanía

4 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

3

Incumplimiento de metas 3 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

2

Demandas 5 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

1

Sanciones por parte de los entes de control

5 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

2

Se traerá la tabla del grado de valoración de la ocurrencia o probabilidad, para que el lector identifique porque se asignaron los valores:

Valoración Criterio Descripción

1 Raro Puede ocurrir sólo en circunstancias excepcionales

2 Improbable Pudo ocurrir en algún momento

3 Posible Podría ocurrir en algún momento

4 Probable Probablemente ocurrirá en la mayoría de las circunstancias

5 Casi con certeza Se espera que ocurra en la mayoría de las circunstancias.

Controles actuales

Columna de prevención: En esta columna se deben registrar los puntos de control que

se tienen establecidos y que se expresan a través de políticas, procesos, procedimientos y estrategias que ayudan a mitigar que el efecto de fallo se presente. Para efectos del Sistema Integrado de Gestión lo que se registre en esta columna nos permitirá dimensionar lo que estamos haciendo para asegurar que los requisitos y objetivos del proceso se cumplan.

Para el caso del proceso de contratación que se tomó como ejemplo, se identificó los siguientes controles actuales de prevención:

(23)

22

MODO DE FALLO

EFECTO DE FALLO S CAUSAS O PREVENCION

Interrupción en la prestación del servicio

Quejas y Reclamos por parte de los usuarios internos y la ciudadania

4 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

3 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación Incumplimiento de metas 3 Falta de programación y ausencia

de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

2 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación Demandas 5 Falta de programación y ausencia

de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

1 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación Sanciones por parte de

los entes de control

5 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

2 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Columna de Detección: En esta columna se deben registrar los mecanismos a través

de los cuales se evidencia que el fallo se está presentando y que generan alarma al responsable del proceso y a la administración. Son como los sensores o tacómetros que indican cuando el proceso esta fallando.

Veamos en el ejemplo que se está desarrollando que se consignó en esta columna: MODO DE

FALLO

EFECTO DE FALLO S CAUSAS O PREVENCION DETECCION

Interrupción en la prestación

del servicio

Quejas y Reclamos por parte de los usuarios internos y la ciudadania 4 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos 3 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Recepción de Quejas y Reclamos presentados por los usuarios internos y la ciudadania Incumplimiento de metas 3 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos 2 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Recepción informes de auditoria y de seguimiento a la ejecución

Demandas 5 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos 1 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Notificación de la demanda

Sanciones por parte de los entes de control 5 Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos 2 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Notificación inicio de investigaciones por parte de los entes de control

(24)

23

Columna “D” grado de detección: Para diligenciar esta columna debemos acudir a la

tabla de escala de valoración del numeral 5.5.2.3. para medir el grado de detección, para calificar el grado de eficacia que tienen los controles actuales para prevenir que el modo de fallo se presente o para mantenerlo controlado.

Veamos la valoración que se realizó para el ejemplo que se está desarrollando:

MODO DE FALLO EFECTO DE FALLO S CAUSAS O PREVENCION DETECCION D

Quejas y Reclamos por parte de los usuarios internos y la ciudadania

4

Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

3

Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Recepción de Quejas y Reclamos presentados por los usuarios internos y la ciudadania

3

Incumplimiento de metas 3

Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

2

Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Recepción informes de auditoria y de seguimiento a la ejecución 2 Demandas 5

Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

1

Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Notificación de la demanda 1

Sanciones por parte de los entes de control 5

Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

2

Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Notificación inicio de investigaciones por parte de los entes de control

3

Interrupción en la prestación del servicio

CONTROLES ACTUALES

A continuación se presenta la escala de valoración para relacionar la calificación con los criterios y la descripción.

Valoración Criterios Descripción

1 Casi seguro Controles actuales detectan el modo o causa de fallo.

2 Alto Los controles actuales tienen una alta probabilidad de detectar modo o causa de fallo

3 Moderado Los controles actuales tienen una probabilidad moderada de detectar modo o causa de fallo

4 Muy bajo Los controles actuales tienen una probabilidad muy baja de detectar modo o causa de fallo

5 Casi imposible Ninguno de los controles disponibles puede detectar incidente, modo o causa

Columna NPR o de Nivel de Prioridad del Riesgo: El número de prioridad de riesgo

(NPR) es el producto matemático de la severidad, la ocurrencia y la detección, es decir: NPR = S * O * D

(25)

24

En el formato o matriz, esta columna se encuentra formulada y se utilizará más adelante para ordenar los riesgos con los valores de mayor a menor para intervenirlos en orden de criticidad.

Veamos en el ejemplo los resultados:

MODO DE FALLO EFECTO DE FALLO S CAUSAS O PREVENCION DETECCION D NPR

Quejas y Reclamos por parte de los usuarios internos y la ciudadania

4

Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

3

Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Recepción de Quejas y Reclamos presentados por los usuarios internos y la ciudadania

3 36

Incumplimiento de metas 3

Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

2

Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Recepción informes de auditoria y de seguimiento a la ejecución 2 12 Demandas 5

Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

1

Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Notificación de la demanda 1 5 Sanciones por parte de los

entes de control 5

Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos

2

Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación

Notificación inicio de investigaciones por parte de los entes de control

3 30 Interrupción en la prestación

del servicio

CONTROLES ACTUALES

PARA LLEVAR EL PROCESO DE IMPLEMENTACIÓN DEL MODELO DE GESTIÓN

INTEGRAL DE RIESGO POR ETAPAS, EN UNA SEGUNDA VERSIÓN DE LA GUIA SE

INDICARÁN LOS PASOS A SEGUIR EN LO RELACIONADO CON LA INTERVENCIÓN

DEL RIESGO Y LAS DEMÁS ETAPAS ESTABLECIDAS EN LA NORMA NTC 5254.

(26)

Figure

Actualización...

Referencias

Actualización...