Guia Para La Aplicacion de La Metodologia Amef Para La Gestion y Administracion Del Riesgo
Short Description
Download Guia Para La Aplicacion de La Metodologia Amef Para La Gestion y Administracion Del Riesgo...
Description
ALCALDIA MUNICIPAL DE SOACHA-CUNDINAMARCA
GUIA PARA LA APLICACIÓN DE LA METODOLOGIA AMEF PARA LA GESTIÓN Y ADMINISTRACIÓN DEL RIESGO JUAN CARLOS BELTRÁN MORENO JIMMY RICARDO MUNEVAR RICO SOACHA, CUNDINAMARCA – MARZO DE 2010
INDICE
Pág.
INTRODUCCIÓN
3
1.OBJETO Y CAMPO DE APLICACIÓN
4
2. ALCANCE
4
3. RESPONSABILIDADES
4
4. DEFINICIONES
5
5. ASPECTOS GENERALES
10
5.1. ¿QUÉ ES LA GESTIÓN DE RIESGO?
7
5.2 ¿QUÉ ES LA METODOLOGIA AMEF Y PORQUE SERÁ APLICADA PARA EL PROCESO DE GESTIÓN DE RIESGO EN LA ALCALDIA DE SOACHA?
11
5.3. ¿QUÉ BENEFICIOS LE REPORTARÁ A LA ALCALDIA MUNICIPAL LA METODOLOGIA AMEF 12 5.4. ¿QUÉ INFORMACIÓN SE DEBE TENER COMO PREREQUISITO ANTES DE APLICAR LA METODOLOGIA AMEF? 5.5 ¿QUÉ PASOS SE DEBEN SEGUIR PARA APLICAR LA METODOLGIA AMEF?
12
10
ANEXO: MATRIZ AMEF APLICADA AL PROCESO DE CONTRATACIÓN
2
INTRODUCCIÓN
La Alcaldía Municipal de Soacha-Cundinamarca, se propuso en el Plan de Desarrollo Municipal “ Soacha para vivir mejor”, implementar el Modelo Estándar de
Control
Interno y el Sistema de Gestión de la Calidad bajo la norma NTCGP 1000, como una estrategia para fortalecer las prácticas de la organización hacia la calidad y de esa manera satisfacer de manera más integral las necesidades y expectativas que tiene la ciudadanía que vive en el municipio.
Para la implementación del MECI:2005 y del Sistema de Gestión de la Calidad, bajo la norma NTCGP 1000:2009, la aplicación de herramientas de gestión y administración del riesgo constituye una necesidad manifiesta para mitigar el efecto de aquellas circunstancias y eventos que impactan el cumplimiento de los objetivos y de los requisitos del cliente y las partes interesadas por la permanente exposición a las consecuencias de la incertidumbre o a las desviaciones potenciales con respecto a lo que se planifica o espera.
Este documento proporciona orientación para la comprensión de los conceptos y aplicación de la metodología AMEF como la herramienta metodológica seleccionada para la etapa de análisis dentro del Proceso de Gestión de Riesgo en la Alcaldía Municipal de Soacha.
3
1.
OBJETO Y CAMPO DE APLICACIÓN
La presente guía describe la metodología para la aplicación de la metodología AMEF en las etapas de identificación, análisis y evaluación en el marco del proceso de Gestión del Riesgo.
2.
ALCANCE
La guía de aplicación de la metodología AMEF aplica para los procesos del mapa de procesos de primer nivel identificado para el nivel central de la Alcaldía Municipal de Soacha.
3. 3.1.
RESPONSABILIDADES
SECRETARIA DE PLANEACIÓN Y DESARROLLO TERRITORIAL
La Secretaría de Planeación y Desarrollo Territorial tendrá la responsabilidad de liderar la aplicación de la metodología y de liderar el proceso de Gestión del Riesgo.
3.2.
OFICINA ASESORA DE CONTROL INTERNO
La Oficina Asesora de Control Interno, tiene la responsabilidad de verificar que las diferentes dependencias implementen el proceso de gestión de riesgos y sobre todo que tengan claramente identificados los riesgos asociados a los procesos que ejecutan y los planes de mitigación. 3.3.
DESPACHO DEL ALCALDE, SECRETARIAS, OFICINAS Y DIRECCIONES
Estas instancias tienen la responsabilidad de aplicar la metodología, establecer registros y monitorear de manera permanente sus procesos para identificar nuevos riesgos y darles el adecuado tratamiento.
4
3.4.
COMITES O GRUPOS MECI: CALIDAD
Los Comités o Grupos MECI:CALIDAD, tienen la responsabilidad de orientar la aplicación de la metodología y de implementar acciones preventivas, acciones correctivas y de mejora para mitigar los efectos del riesgo en la Alcaldía Municipal.
4.
DEFINICIONES
4.1. Acción Correctiva. Acción tomada para eliminar la causa de una no conformidad (incumplimiento de un requisito: ISO 9000:2005) detectada u otra situación indeseable; que para el caso particular de este manual este afectando negativamente el resultado del indicador. NOTA 1 Puede haber más de una causa para una no conformidad. NOTA 2 La acción correctiva se toma para evitar que algo vuelva a producirse, mientras que la acción preventiva se toma para prevenir que algo suceda. NOTA 3 Existe diferencia entre corrección y acción correctiva.
4.2. Acción Preventiva. Acción tomada para eliminar la causa de una no conformidad potencial u otra situación potencialmente no deseable; que para el caso particular de este manual este afectando negativamente el resultado del indicador.
NOTA 1
Puede haber más de una causa para una no conformidad potencial.
NOTA 2 La acción preventiva se toma para prevenir que algo suceda, mientras que la acción correctiva se toma para evitar que vuelva a producirse.
4.3. Acción de Mejora. Acción que incrementa la capacidad administrativa y el desempeño organizacional y que no actúa sobre problemas reales o potenciales, ni sobre sus causas.
5
4.4. Administración de riesgos: Una rama de administración que aborda las consecuencias del riesgo. Consta de dos etapas: El diagnóstico o valoración, mediante Identificación, Análisis y determinación del Nivel y el manejo o la administración propiamente dicha, en que se elabora, ejecuta y hace seguimiento al Plan de manejo que contiene las Técnicas de Administración del riesgo propuestas por el grupo de trabajo, evaluadas y aceptadas por la alta dirección.
4.5. Amenaza: Es la intención y capacidad de afectar adversamente un sistema, ocasionando daños y alteraciones.
4.6. Análisis de riesgos: Proceso sistemático para entender la naturaleza del riesgo y deducir el nivel del riesgo.
NOTA 1 Proporciona la base para la evaluación del riesgo y las decisiones sobre el tratamiento del riesgo. NOTA 2 Véase ISO/IEC Guía 51, para el análisis del riesgo en el contexto de la seguridad.
4.7. Calificación del Riesgo: Actividad encaminada a la estimación cualitativa de la probabilidad y el impacto. 4.8. Causas (factores internos o externos): son los medios, las circunstancias y agentes generadores de riesgos. Los agentes generadores se entienden como todos los sujetos y objetos que tienen la capacidad de originar un riesgo, se pueden clasificar en 5 categorías: personas materiales, comités, instalaciones y entorno. 4.9. Consecuencia. Resultado o impacto de un evento. 4.10. Control: Es toda acción que tiende a minimizar los riesgos, significa analizar el desempeño de las operaciones, evidenciando posibles desviaciones frente al resultado esperado para la adopción de medidas preventivas. Los controles proporcionan un modelo operacional de seguridad razonable en el logro de los objetivos.
6
4.11. Corrección. Acción tomada para eliminar una no conformidad detectada.
NOTA 1 Una corrección puede realizarse junto con una acción correctiva. NOTA 2 Una corrección puede ser, por ejemplo, un reproceso o una reclasificación.
4.12. Criterios del riesgo. Términos de referencia mediante los cuáles se evalúa la importancia del riesgo.
4.13 Efectos: Constituyen las consecuencias de la ocurrencia del riesgo sobre los objetivos de la entidad; generalmente se dan sobre las personas o los bienes materiales o inmateriales con incidencias importantes tales como: daños físicos y fallecimiento, sanciones, pérdidas económicas, de información, de bienes, de imagen, de credibilidad y confianza, interrupción del servicio. 4.14. Evaluación del control. Revisión sistemática de los riesgos para garantizar que los controles aún son eficaces y adecuados. 4.15. Evaluación del riesgo: Proceso de comparar el nivel de riesgo frente a los criterios del riesgo.
NOTA 1 La evaluación del riesgo ayuda en las decisiones sobre el tratamiento del riesgo. NOTA 2 Véase la norma ISO/IEC Guía 51 para la evaluación del riesgo en el contexto de la seguridad.
4.16. Factores de riesgo: Manifestaciones o características medibles u observables de un proceso que indican la presencia de riesgo o tienden a aumentar la exposición, pueden ser internos o externos a la entidad.
7
4.17. Frecuencia: Una medida de las veces que sucede un evento, expresado como la cantidad de ocurrencias en un tiempo determinado.
4.18. Identificación de riesgos: Establece la estructura del riesgo; fuentes o factores, internos o externos, generadores de riesgos; puede hacerse a cualquier nivel: total entidad, por áreas, por procesos, incluso, bajo el viejo paradigma, por funciones; desde el nivel estratégico hasta el más humilde operativo.
4.19. Impacto: Consecuencias materialización del riesgo.
que
puede
ocasionar
a
la
organización
la
4.20 Indicador: Es la valoración de una o más variables que informa sobre una situación y soporta la toma de decisiones, es un criterio de medición y de evaluación cuantitativa o cualitativa.
4.21 Mapas de riesgos: Herramienta metodológica que permite hacer un inventario de los riesgos ordenada y sistemáticamente, definiéndolos, haciendo la descripción de cada uno de estos y las posibles consecuencias.
4.22 Nivel de riesgo: Es el resultado de confrontar el impacto y la probabilidad, con los controles existentes.
4.23. Mitigación: Planeación y ejecución de medidas dirigidas a reducir o disminuir el riesgo. 4.24 Monitorear. Verificar, supervisar o medir regularmente el progreso de una actividad, acción o sistema para identificar los cambios en el nivel de desempeño requerido. 4.25. Plan de Manejo de Riesgos: Plan de acción propuesto por el grupo de trabajo, cuya evaluación de beneficio costo resulta positiva y es aprobado por la Dirección.
8
4.26. Probabilidad: Una medida (expresada como porcentaje o razón) para estimar la posibilidad de que ocurra un incidente o evento. Contando con registros, puede estimarse a partir de su Frecuencia histórica mediante modelos estadísticos de mayor o menor complejidad.
4.27. Reducción de Riesgos: Aplicación selectiva de técnicas apropiadas y principios de administración para reducir las probabilidades de ocurrencia de los riesgos, o sus consecuencias, o ambas. Requisito: necesidad o expectativa establecida, generalmente implícita u obligatoria. NOTA 1 "Generalmente implícita" significa que es habitual o una práctica común para la entidad, sus clientes y otras partes interesadas, el que la necesidad o expectativa bajo consideración esté implícita. NOTA 2 La palabra obligatoria, se refiere, generalmente, a disposiciones de carácter legal. NOTA 3 Pueden utilizarse calificativos para identificar un tipo específico de requisito, por ejemplo, requisito de un producto y/o servicio, requisito de la gestión de la calidad, requisito del cliente. NOTA 4 Los requisitos para la realización de un producto o la prestación de un servicio se refieren, pero necesariamente no se limitan, a aquellos que una entidad debe cumplir para satisfacer al cliente o cumplir una disposición legal. NOTA 5 Un requisito especificado es aquel que se declara, por ejemplo, en un documento. NOTA 6 Los requisitos pueden ser generados por las diferentes partes interesadas.
4.28 Retroalimentación: Información sistemática sobre los resultados alcanzados en la ejecución de un plan, que sirven para actualizar y mejorar la planeación futura.
9
4.29 Riesgo: La oportunidad de que suceda algo que tendrá impacto en los objetivos o el cumplimiento de los requisitos.
NOTA 1 Un riesgo a menudo se especifica en términos de un evento o circunstancia y las consecuencias que se pueden presentar por él. NOTA 2 El riesgo se mide en términos de una combinación de consecuencias de un evento y su posibilidad. NOTA 3 El riego puede tener un impacto positivo o negativo. NOTA 4 Véase ISO/IEC Guía 51, para asuntos relacionados con la seguridad. Riesgo residual. Riesgo remanente después de la implementación del tratamiento del riesgo. 4.30. Tratamiento del Riesgo. Proceso de selección e implementación de medidas para modificar el riesgo.
NOTA 1 El término "tratamiento del riesgo" en ocasiones se utiliza para las medidas en sí. NOTA 2 Las medidas para el tratamiento del riesgo pueden incluir evitar, modificar, compartir o retener el riesgo. GTC 137 en parte (ISO/IEC Guía 73).
4.31. Valoración del riesgo: Primera fase en la administración de riesgos, diagnóstico que consta de la identificación, análisis y determinación del nivel de riesgo. . 5. ASPECTOS GENERALES 5.1. ¿QUE ES LA GESTIÓN DEL RIESGO? Se entiende por gestión administración de riesgo el proceso mediante el cual se identifican, analizan, evalúan, tratan o manejan, monitorean, y comunican los riesgos 10
generados en una actividad, función o proceso, de tal forma que le sea posible a la Alcaldìa Municipal de Soacha minimizar las perdidas y maximizar las oportunidades. Es importante resaltar que la gestión del riesgo está relacionada, tanto identificación y aprovechamiento de posibles eventos favorables, como con la prevención y mitigación de inconvenientes para el cumplimiento de los objetivos.
La siguiente ilustración representa de manera gráfica el proceso de administración del riesgo en cada una de sus etapas:
5.2 ¿QUE ES LA METODOLOGIA AMEF Y PORQUE SERÁ APLICADA PARA EL PROCESO DE GESTIÓN DEL RIESGO EN LA ALCALDIA DE SOACHA? La metodología AMEF traduce Análisis del Modo y Efecto de las Fallas y es un método dirigido a lograr el Aseguramiento de la Calidad, mediante el análisis sistemático. Esta metodología contribuye a identificar y prevenir los modos de fallo de un proceso, evaluando su gravedad, ocurrencia y detección, y con esta información se calcula el grado de impacto del riesgo, para priorizar las causas, sobre las cuales habrá que actuar para evitar que se presenten los modos de fallo1 1
Definición adaptada del concepto de la página www.scribd.com
11
La metodología será aplicada para el proceso de gestión de riesgo de la Alcaldía Municipal de Soacha dado que en su aplicación se identifica el modo, causa de la falla, los efectos, la severidad, la probabilidad de ocurrencia, la capacidad de los controles y sobre todo la formulación de planes de mitigación del riesgo. Además porque es una metodología muy sencilla de utilizar y con un alto grado de eficacia.
5.3. ¿QUE BENEFICIOS LE REPORTARÁ A LA ALCALDIA MUNICIPAL LA APLICACIÓN DE LA METODOLOGIA AMEF? La Alcaldia Municipal de Soacha en el marco de su plan de Desarrollo “ Soacha para vivir mejor” se ha trazado la meta de implementar un Sistema Integrado con los Modelos MECI 1000:2005 y Sistema de Gestión de la Calidad con la norma NTCGP 1000:2009. Bajo ese escenario es prioritario que aplique una metodología sencilla; pero eficaz, para mitigar los riesgos asociados a la ejecución de los procesos y a que se presenten no conformidades que atenten contra el cumplimiento de los requisitos del cliente y la satisfacción de sus expectativas. Desde esta perspectiva, la metodología AMEF representa el camino para lograr este propósito, porque: a) b) c) d) e)
Mejora la calidad, confiabilidad y seguridad de los procesos Mejora la satisfacción del cliente Reduce el tiempo y costo en la ejecución de los procesos Ayuda a implementar acciones eficaces para reducir los riesgos Reduce las peticiones, quejas y reclamos relacionados con la prestación de los servicios. f) Mejora la percepción de la partes interesadas como la Personería, la Contraloría y la Procuraduría con relación a la gestión.
5.4. ¿QUE INFORMACIÓN SE DEBE TENER COMO PRE-REQUISITO ANTES DE APLICAR LA METODOLOGIA AMEF? Conforme lo establece el Manual de Gestión del Riesgo de la Alcaldía Municipal y la norma NTC 5254 de Gestión del Riesgo, antes de entrar a las etapas de identificación, análisis y evaluación del riesgo, se debe haber establecido el contexto del mismo. El establecimiento del contexto es necesario para definir los parámetros básicos dentro de los cuales deben administrarse los riesgos y para proveer una guía para las decisiones dentro de estudios de administración de riesgos más detallados. Esto establece el alcance para el resto del proceso de administración de riesgos. Deben incluirse el ambiente interno y externo y sus interfaces correspondientes.
12
Establecimiento del contexto externo. Esta etapa define el ambiente externo en el cuál funciona el proceso, también la forma como se relaciona. Puede incluir por ejemplo: a. Ambiente de negocio, social, reglamentario, cultural, competitivo, financiero y político. b. Fortalezas, debilidades, oportunidades y amenazas del proceso. c. Las partes externas involucradas. d. Las directrices clave del negocio. Es particularmente importante considerar las concepciones y los valores de las partes externas involucradas y establecer políticas para la comunicación de esas partes. Esta etapa es importante porque con ello se puede asegurar que las partes involucradas y sus objetivos se tienen en cuenta cuando se desarrollan criterios para la gestión de riesgo y que las amenazas oportunidades y amenazas generadas externamente se consideran de forma adecuada. Establecimiento del contexto interno. Esta se debe realizar al antes de comenzar las actividades de gestión de riesgo para comprender la organización. Las áreas claves incluyen: 1. 2. 3. 4.
Cultura Partes internas involucradas Estructura Capacidades en términos de recursos tales como personas, sistemas, procesos y capital. 5. Metas, objetivos y las estrategias establecidas para lograrlos.
Es importante establecer el contexto interno porque: � La gestión del riesgo tiene un lugar en el contexto de las metas y los objetivos de la organización. � Las políticas y las metas organizacionales, así como los intereses ayudan a definir la política de riesgo de la organización.
Despliegue del Proceso Implica subdividir el proceso utilizando el formato de despliegue de la Guía de Implementación del Modelo de Gestión por Procesos de la Alcaldía de Soacha, para
13
proporcionar un marco lógico que ayude a garantizar que no se omitan riesgos significativos. 5.5. ¿ QUÉ PASOS SE DEBEN SEGUIR PARA APLICAR LA “AMEF”
METODOLOGIA
Después de haber definido el contexto del riesgo, para reconocer las variables de orden interno y externo que condicionan su comportamiento e influyen en el momento de formular el respectivo plan de manejo, ahora se pasará a las etapas de identificación, análisis y evaluación en la cuales como ya se mencionó se aplicará la metodología AMEF. 5.5.1. PRIMER PASO: Identificar el proceso Para aplicar la metodología AMEF, como primera medida se identificarán con claridad los procesos que son responsabilidad de cada dependencia y sobre ellos se diligenciará la respectiva matriz de riesgos. Para realizar este ejercicio; a continuación se presenta el Mapa de Macroprocesos o Procesos de primer nivel y la matriz de procesos vs dependencias
MAPA DE MACROPROCESOS O PROCESOS NIVEL CENTRAL PROCESOS ESTRATÉGICOS
DIRECCIONAMIENTO ESTRATÉGICO
GESTIÓN DE LA COMUNICACIÓN
GESTIÓN COOPERACIÓN NACIONAL E INTERNACIONAL
GESTIÓN FISCAL
PROCESOS OPERATIVOS O MISIONALES
GESTIÓN DEL DESARROLLO SOCIAL
NECESIDADES Y EXPECTATIVAS DE LA COMUNIDAD (Y OTRAS PARTES INTERESADAS)
GESTIÓN INTEGRAL DEL TERRITORIO
SEGURIDAD, JUSTICIA Y CONVIVENCIA CIUDADANA
PARTICIPACIÓN Y PROMOCIÓN SOCIAL
SEGURIDAD Y CONVIVENCIA PARTICIPACIÓN SALUD ESP.FISICO Y URBANISMO EDUCACIÓN Y CULTURA COMUNITARIA GEST. INFRAESTRUCTURA PREVENCIÓN Y ATENCIÓN INCLUSIÓN SOCIAL DESARROLLO ECONÓMICO DE EMERGENCIAS MOVILIDAD PROMOCIÓN SOCIAL AL VIVIENDA CONTROL DE LA GESTIÓN APOYO A LA JUSTICIA MEDIO AMBIENTE SERVICIOS PÚBLICOS
SATISFACCIÓN NECESIDADES Y EXPECTATIVAS DE LA COMUNIDAD ( Y OTRAS PARTES INTERESADAS)
ATENCIÓN AL CIUDADANO ( PQRYS Y EVALUACIÓN PERCEPCIÓN SERVICIO) PROCESOS DE APOYO
GESTIÓN DE TALENTO HUMANO
GESTIÓN FINANCIERA
GESTIÓN CONTRATACIÓN
GESTIÓN ADMINISTRATIVA
GESTIÓN INFORMACIÓN
GESTIÓN JURIDICA
GESTIÓN DE LA EVALUACIÓN Y EL MEJORAMIENTO
PROCESOS DE EVALUACIÓN
GESTIÓN DE CONTROL MAPA DE PROCESOS ( ACORDE NUMERAL 3.43 DE LA NTCGP 1000:2009)
14
PROCESOS MISIONALES
Gestión Financiera
Gestión de Contratación
PROCESOS DE APOYO
Gestión de Talento Humano
Sistema de Peticiones, Quejas, Reclamos y Sugerencias
Promoción Social al Control de la Gestión
Apoyo a la Justicia
PARTICIPACIÓN ATENCIÓN AL Y PROMOCIÓN CIUDADANO SOCIAL Particpación Comunitaria
Prevención y Atención de Emergencias
SEGURIDAD, JUSTICIA Y CONVIVENCIA CIUDADANA Seguridad y Convivencia Ciudadana
Movilidad
Medio Ambiente
Gestión de Infraestructura
Vivienda
Servicios Públicos
Desarrollo Económico
Inclusión Social
Espacio Físico y Urbanismo
GESTIÓN INTEGRAL DEL TERRITORIO
GESTIÓN DEL DESARROLLO SOCIAL
Salud
Gestión Fiscal
Gestión Cooperación Nacional e Internacional
DEPENDENCIAS
Gestión de la Comunicación
Direccionamiento Estratégico
PROCESOS ESTRATÉGICOS
Educación y Cultura
PROCESOS
DESPACHO ALCALDE OFICINA ASESORA DE CONTROL INTERNO OFICINA ASESORA JURIDICA OFICINA ASESORA DE CONTROL DISCIPLINARIO SECRETARIA GENERAL SECRETARIA DE GOBIERNO SECRETARIA DE PLANEACIÓN Y ORDENAMIENTO TERRITORIAL
CLOPAD
SECRETARIA DE HACIENDA SEECRETARIA DE DESARROLLO SOCIAL Y PARTICIPACIÓN COMUNITARIA SECRETARIA DE EDUCACIÓN Y CULTURA SECRETARIA DE SALUD SECRETARIA DE INFRAESTRUCTURA Y VALORIZACIÓN MUNICIPAL
VALORIZACIÓN
5.5.2. SEGUNDO PASO: Establecer escalas de valoración Para la aplicación de la metodología AMEF se deben establecer unas escalas de valoración del riesgo, para medir la severidad o impacto, la ocurrencia o probabilidad y la detección. Estas escalas aunque pueden particularizarse teniendo en cuenta la naturaleza del proceso, pueden también partir de esquemas estandarizados aplicados a todos ellos, tal como se presenta a continuación.
15
5.5.2.1. Escala de valoración para medir el impacto o severidad
Valoración 1
Grado de Impacto Insignificante
2
Menor
3
Moderado
4
Mayor
5
Catastrófico
Descripción Es un evento que amerita una corrección, es aislado y no impacta el logro de los objetivos del proceso. Es un evento que amerita una corrección o acción de mejora, porque ha sucedido con anterioridad y puede impactar el logro de los objetivos del proceso. Es un evento que amerita una acción correctiva o acción preventiva, porque impacta el logro de los objetivos del proceso, sin generar conflictos con los clientes y partes interesadas. Es un evento que amerita una acción correctiva o acción preventiva a corto o mediano plazo, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes y partes interesadas. Es un evento que amerita una acción correctiva o acción preventiva inmediata, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes, partes interesadas y conlleva responsabilidades del servidor público.
5.5.2.2. Escala de valoración para medir la probabilidad u ocurrencia Valoración 1 2 3 4 5
Criterio Raro Improbable Posible Probable Casi con certeza
Descripción Puede ocurrir sólo en circunstancias excepcionales Pudo ocurrir en algún momento Podría ocurrir en algún momento Probablemente ocurrirá en la mayoría de las circunstancias Se espera que ocurra en la mayoría de las circunstancias.
5.5.2.3. Escala de valoración para medir el grado de detección Valoración
Criterios
1
Casi seguro
2
Alto
3
Moderado
4
Muy bajo
5
Casi imposible
Descripción Controles actuales detectan el modo o causa de fallo. Los controles actuales tienen una alta probabilidad de detectar modo o causa de fallo Los controles actuales tienen una probabilidad moderada de detectar modo o causa de fallo Los controles actuales tienen una probabilidad muy baja de detectar modo o causa de fallo Ninguno de los controles disponibles puede detectar incidente, modo o causa
5.5.3. TERCER PASO: Diligenciar la matriz AMEF Teniendo claridad de las escalas de valoración para medir la severidad o impacto (S), la ocurrencia o probabilidad (O) y la detección (D) procederemos a diligenciar la matriz AMEF, la cual se presenta a continuación:
16
PROCESO: CLIENTE: OBJETIVO DEL PROCESO: CONTROLES ACTUALES REQUISITOS DEL PROCESO MODO DE FALLO EFECTO DE FALLA S CAUSAS O PREVENCION DETECCION D NPR
Columna Requisitos del Proceso: En esta columna se deben listar los requisitos del proceso. La definición de requisito de acuerdo a la norma NTCGP1000:2009, es oportuno recordarla, para diligenciar esta columna:
Requisito: necesidad o expectativa establecida, generalmente implícita u obligatoria. NOTA 1. "Generalmente implícita" significa que es habitual o una práctica común para la entidad, sus clientes y otras partes interesadas, el que la necesidad o expectativa bajo consideración esté implícita. NOTA 2. La palabra obligatoria, se refiere, generalmente, a disposiciones de carácter legal. NOTA 3. Pueden utilizarse calificativos para identificar un tipo específico de requisito, por ejemplo, requisito de un producto y/o servicio, requisito de la gestión de la calidad, requisito del cliente. NOTA 4. Los requisitos para la realización de un producto o la prestación de un servicio se refieren, pero necesariamente no se limitan, a aquellos que una entidad debe cumplir para satisfacer al cliente o cumplir una disposición legal. NOTA 5. Un requisito especificado es aquel que se declara, por ejemplo, en un documento.
Para hacer claridad sobre la manera de identificar los requisitos asociados a un proceso, vamos a realizar un ejercicio asociado al proceso denominado gestión contratación2 en el mapa de macroprocesos o procesos de la Alcaldía Municipal. Bien a continuación vamos a realizar un listado de los requisitos asociados al proceso de contratación para atender las necesidades y expectativas de los clientes o usuarios
2
El ejemplo no ilustra necesariamente los eventos asociados al proceso de contratación de la Alcaldía Municipal de Soacha, fue desarrollado por el Ingeniero Juan Carlos Beltrán Moreno sobre bases hipotéticas con fines de capacitación y aprendizaje en la aplicación del Modelo.
17
internos ( de la Alcaldia) y externos ( ciudadanos y partes interesadas). Lo que se espera del proceso entonces es: • •
Atención oportuna a las necesidades de bienes, servicios y el cumplimiento de las metas de los planes, programas y proyectos Observancia estricta de la normatividad legal vigente, puntos de control y evaluación para seleccionar al mejor contratista.
•
Suscribir contratos que protejan los intereses de la administración con apego a la legalidad y al nivel de riesgo.
•
Cumplimiento de los Objetos y Obligaciones por parte del Contratante y el Contratista
•
Adquisición de Bienes y Servicios de Calidad que satisfagan las necesidades y expectativas de los clientes
•
Aplicación de sanciones para proteger el patrimonio y los intereses de la administración.
Columna Modo de Fallo: En esta columna se deben describir las desviaciones, disfuncionalidades o fallas reales3 o potenciales4 que impiden o impactan negativamente el cumplimiento de los objetivos o los requisitos establecidos para el proceso; recordemos que el riesgo fue definido como la oportunidad de que suceda algo que tendrá impacto en los objetivos o el cumplimiento de los requisitos.
Veamos en el ejemplo del proceso de contratación, que modos de fallo fueron identificados5 para el requisito de “Atención oportuna a las necesidades de bienes, servicios y el cumplimiento de las metas de los planes, programas y proyectos”: � Interrupción en la prestación del servicio � Errores en las minutas de los contratos � Adiciones o Prórrogas � Atraso en el cumplimiento de las metas establecidas en los planes de acción 3
Son reales porque ya existen registros y/o antecedentes de su ocurrencia.
4
Recordemos que en la etapa de identificar el contexto del riesgo se han identificado debilidades y amenazas que permiten advertir fallos potenciales. 5 La identificación de los modos de fallo implica revisar los registros que se tengan como informes de auditoria, planes de mejora, la matriz DOFA, quejas, reclamos, derechos de petición; entre otros.
18
Columna efecto de fallo: Las desviaciones, disfuncionalidades o fallos reales6 o potenciales7 que se presentan en la ejecución de un proceso tienen unas consecuencias o efectos que se deben relacionar en esta columna.
Veamos en el ejemplo del proceso Gestión Contratación que efectos tendría el hecho que se presente el fallo de interrupción en la prestación del servicio: � Quejas y Reclamos por parte de los usuarios internos y la ciudadanía � Incumplimiento de metas � Demandas � Sanciones por parte de los entes de control
Columna “S” de Severidad o Impacto: En esta columna se debe establecer mediante la tabla establecida en el numeral 5.5.2.1.; la valoración del grado de severidad del modo de fallo identificado asociado las consecuencias o efecto de fallo relacionado. Veamos en el ejemplo del proceso Gestión Contratación como se diligencia esta columna:
MODO DE FALLO
EFECTO DE FALLO Quejas y Reclamos por parte de los usuarios internos y la ciudadania
S 4
Interrupción en la prestación del servicio Incumplimiento de metas Demandas Sanciones por parte de los entes de control
3 5 5
En el cuadro se observa que para el modo de fallo de “Quejas y Reclamos por parte de los usuarios internos y la ciudadanía” se asignó una valoración de 4 que corresponde a un grado de impacto “Mayor” que indica que es un evento que amerita una acción correctiva o acción preventiva a corto o mediano plazo, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes y partes interesadas. 6
Son reales porque ya existen registros y/o antecedentes de su ocurrencia.
7
Recordemos que en la etapa de identificar el contexto del riesgo se han identificado debilidades y amenazas que permiten advertir fallos potenciales.
19
Para explicar la valoración de los otros efectos de fallo identificados se presenta nuevamente la tabla de valoración del grado de severidad o impacto: Valoración 1
Grado de Impacto Insignificante
2
Menor
3
Moderado
4
Mayor
5
Catastrófico
Descripción Es un evento que amerita una corrección, es aislado y no impacta el logro de los objetivos del proceso. Es un evento que amerita una corrección o acción de mejora, porque ha sucedido con anterioridad y puede impactar el logro de los objetivos del proceso. Es un evento que amerita una acción correctiva o acción preventiva, porque impacta el logro de los objetivos del proceso, sin generar conflictos con los clientes y partes interesadas. Es un evento que amerita una acción correctiva o acción preventiva a corto o mediano plazo, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes y partes interesadas. Es un evento que amerita una acción correctiva o acción preventiva inmediata, porque impacta el logro de los objetivos del proceso, y genera conflictos con los clientes, partes interesadas y conlleva responsabilidades del servidor público.
Columna Causas: En esta columna se beben registrar el origen o causa que está originando el modo de fallo. Para identificarlas se debe tener en cuenta lo relacionado con el talento humano, los recursos financieros, los recursos físicos, la infraestructura tecnológica, los procesos, procedimientos y métodos de trabajo; entre otras variables. El diligenciamiento de esta columna es de vital importancia; dado que la planificación de acciones correctivas y acciones preventivas se orienta sobre lo registrado en esta columna. Si las causas se identifican de manera errónea, es posible que las acciones correctivas, las acciones preventivas y los planes de mitigación resulten estériles y no se mitigue el riesgo. Se recomienda utilizar para identificar las causas asociadas a cada efecto de fallo el diagrama de Ishikawa, conocido también como el diagrama causa y efecto. Para el caso de las causas que originan el fallo de Interrupción en la prestación del servicio se estableció que este evento se produce por la “Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos”. Columna “O” de ocurrencia o probabilidad: En esta columna se debe establecer mediante la tabla establecida en el numeral 5.5.2.2.; la valoración del grado de ocurrencia o probabilidad del modo de fallo identificado, asociado a un efecto o consecuencia y a una causa específica
20
Para establecer la valoración del grado de ocurrencia o probabilidad de que se presente el suceso asociado a un efecto y una(s) causa(s), es importante acudir a los registros (si se tienen) o de lo contrario asignarla de manera subjetiva teniendo en cuenta las debilidades y amenazas del proceso. Veamos en el ejemplo que estamos desarrollando como se diligenció esta columna:
MODO DE FALLO
Interrupción en la prestación del servicio
EFECTO DE FALLO
S
CAUSAS
Quejas y Reclamos por parte de los usuarios internos y la ciudadanía
4
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
O 3
Incumplimiento de metas
3
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
2
Demandas
5
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
1
Sanciones por parte de los entes de control
5
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
2
Se traerá la tabla del grado de valoración de la ocurrencia o probabilidad, para que el lector identifique porque se asignaron los valores: Valoración 1 2 3 4 5
Criterio Raro Improbable Posible Probable Casi con certeza
Descripción Puede ocurrir sólo en circunstancias excepcionales Pudo ocurrir en algún momento Podría ocurrir en algún momento Probablemente ocurrirá en la mayoría de las circunstancias Se espera que ocurra en la mayoría de las circunstancias.
Controles actuales Columna de prevención: En esta columna se deben registrar los puntos de control que se tienen establecidos y que se expresan a través de políticas, procesos, procedimientos y estrategias que ayudan a mitigar que el efecto de fallo se presente. Para efectos del Sistema Integrado de Gestión lo que se registre en esta columna nos permitirá dimensionar lo que estamos haciendo para asegurar que los requisitos y objetivos del proceso se cumplan. Para el caso del proceso de contratación que se tomó como ejemplo, se identificó los siguientes controles actuales de prevención:
21
MODO DE FALLO
Interrupción en la prestación del servicio
EFECTO DE FALLO
S
CAUSAS
O
PREVENCION
Quejas y Reclamos por parte de los usuarios internos y la ciudadania
4
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
3 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación
Incumplimiento de metas
3
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
2 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación
Demandas
5
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
1 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación
Sanciones por parte de los entes de control
5
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
2 Implementación de politicas de tiempos para el tramite de los procesos de contratación y presentación anticipada de planes de acción de contratación
Columna de Detección: En esta columna se deben registrar los mecanismos a través de los cuales se evidencia que el fallo se está presentando y que generan alarma al responsable del proceso y a la administración. Son como los sensores o tacómetros que indican cuando el proceso esta fallando. Veamos en el ejemplo que se está desarrollando que se consignó en esta columna: MODO DE FALLO
EFECTO DE FALLO
S
Quejas y Reclamos 4 por parte de los usuarios internos y la ciudadania
Incumplimiento Interrupción en metas la prestación del servicio
de 3
Demandas
5
Sanciones por parte de los entes de control
5
CAUSAS
O
PREVENCION
Falta de programación y 3 Implementación de politicas de ausencia de planes de tiempos para el tramite de los compras, inversiones, procesos de contratación y planes de acción y presentación anticipada de problemas en la planes de acción de contratación formulación de los proyectos Falta de programación y 2 Implementación de politicas de ausencia de planes de tiempos para el tramite de los compras, inversiones, procesos de contratación y planes de acción y presentación anticipada de problemas en la planes de acción de contratación formulación de los proyectos Falta de programación y 1 Implementación de politicas de ausencia de planes de tiempos para el tramite de los compras, inversiones, procesos de contratación y planes de acción y presentación anticipada de problemas en la planes de acción de contratación formulación de los proyectos Falta de programación y 2 Implementación de politicas de ausencia de planes de tiempos para el tramite de los compras, inversiones, procesos de contratación y planes de acción y presentación anticipada de problemas en la planes de acción de contratación formulación de los proyectos
DETECCION Recepción de Quejas y Reclamos presentados por los usuarios internos y la ciudadania
Recepción informes de auditoria y de seguimiento a la ejecución
Notificación de la demanda
Notificación inicio de investigaciones por parte de los entes de control
22
Columna “D” grado de detección: Para diligenciar esta columna debemos acudir a la tabla de escala de valoración del numeral 5.5.2.3. para medir el grado de detección, para calificar el grado de eficacia que tienen los controles actuales para prevenir que el modo de fallo se presente o para mantenerlo controlado. Veamos la valoración que se realizó para el ejemplo que se está desarrollando: MODO DE FALLO
S
CAUSAS
Quejas y Reclamos por parte de los usuarios internos y la ciudadania
4
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
Implementación de politicas de tiempos para el tramite de los Recepción de Quejas y Reclamos 3 procesos de contratación y presentados por los usuarios presentación anticipada de planes internos y la ciudadania de acción de contratación
3
3
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
Implementación de politicas de tiempos para el tramite de los Recepción informes de auditoria 2 procesos de contratación y y de seguimiento a la ejecución presentación anticipada de planes de acción de contratación
2
Demandas
5
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
Implementación de politicas de tiempos para el tramite de los 1 procesos de contratación y Notificación de la demanda presentación anticipada de planes de acción de contratación
1
Sanciones por parte de los entes de control
5
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
Implementación de politicas de tiempos para el tramite de los Notificación inicio de 2 procesos de contratación y investigaciones por parte de los presentación anticipada de planes entes de control de acción de contratación
3
Incumplimiento de metas Interrupción en la prestación del servicio
O
CONTROLES ACTUALES PREVENCION DETECCION
EFECTO DE FALLO
D
A continuación se presenta la escala de valoración para relacionar la calificación con los criterios y la descripción. Valoración
Criterios
1
Casi seguro
2
Alto
3
Moderado
4
Muy bajo
5
Casi imposible
Descripción Controles actuales detectan el modo o causa de fallo. Los controles actuales tienen una alta probabilidad de detectar modo o causa de fallo Los controles actuales tienen una probabilidad moderada de detectar modo o causa de fallo Los controles actuales tienen una probabilidad muy baja de detectar modo o causa de fallo Ninguno de los controles disponibles puede detectar incidente, modo o causa
Columna NPR o de Nivel de Prioridad del Riesgo: El número de prioridad de riesgo (NPR) es el producto matemático de la severidad, la ocurrencia y la detección, es decir: NPR = S * O * D
23
En el formato o matriz, esta columna se encuentra formulada y se utilizará más adelante para ordenar los riesgos con los valores de mayor a menor para intervenirlos en orden de criticidad. Veamos en el ejemplo los resultados: MODO DE FALLO
EFECTO DE FALLO
S
CAUSAS
Quejas y Reclamos por parte de los usuarios internos y la ciudadania
4
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
Incumplimiento de metas
Demandas
Sanciones por parte de los entes de control
CONTROLES ACTUALES PREVENCION DETECCION
D
NPR
Implementación de politicas de tiempos para el tramite de los Recepción de Quejas y Reclamos 3 procesos de contratación y presentados por los usuarios presentación anticipada de planes internos y la ciudadania de acción de contratación
3
36
3
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
Implementación de politicas de tiempos para el tramite de los Recepción informes de auditoria 2 procesos de contratación y y de seguimiento a la ejecución presentación anticipada de planes de acción de contratación
2
12
5
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
Implementación de politicas de tiempos para el tramite de los 1 procesos de contratación y Notificación de la demanda presentación anticipada de planes de acción de contratación
1
5
5
Falta de programación y ausencia de planes de compras, inversiones, planes de acción y problemas en la formulación de los proyectos
Implementación de politicas de tiempos para el tramite de los Notificación inicio de 2 procesos de contratación y investigaciones por parte de los presentación anticipada de planes entes de control de acción de contratación
3
30
Interrupción en la prestación del servicio
O
PARA LLEVAR EL PROCESO DE IMPLEMENTACIÓN DEL MODELO DE GESTIÓN INTEGRAL DE RIESGO POR ETAPAS, EN UNA SEGUNDA VERSIÓN DE LA GUIA SE INDICARÁN LOS PASOS A SEGUIR EN LO RELACIONADO CON LA INTERVENCIÓN DEL RIESGO Y LAS DEMÁS ETAPAS ESTABLECIDAS EN LA NORMA NTC 5254.
24
View more...
Comments
