GESTIN DEL RIESGO

CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 1 de 10



1. OBJETIVO
Definir las actividades requeridas para la administracin del riesgo, en la identificacin,
anlisis y valoracin del mismo, con el fin de establecer e implementar las acciones de
control que permitan garantizar el cumplimiento del Sistema de Gestin en Control y
Seguridad BASC.

2. ALCANCE
Este procedimiento aplica para todos los procesos establecidos y aprobados de
EXTRUCOL S.A.


3. RESPONSABLES

Gerente general
Coordinador Laboratorio y Sistemas de Gestin


4. TRMINOS Y DEFINICIONES

ACCIONES: Mecanismos o estrategias a llevar a cabo para Evitar, Reducir,
Asumir o compartir el Riesgo.
AMENAZA: Factores externos de origen econmico, social, poltico, empresarial
etc., que comprometen la seguridad, estabilidad y proyeccin de una
determinada organizacin.
ANLISIS DE RIESGOS: Establecimiento de la probabilidad de ocurrencia de
los riesgos y el impacto de sus consecuencias, calificndolos y evalundolos con
el fin de obtener informacin para establecer el nivel de riesgo y las acciones que
se van a implementar.
CAUSAS: Medios, circunstancias y agentes generadores de riesgo.
CONTEXTO ESTRATGICO: Insumo bsico para la identificacin de los riesgos
en los procesos y actividades, el anlisis se realiza a partir del conocimiento de
situaciones del entorno de la institucin, tanto de carcter social, econmico,
cultural, de orden pblico, poltico, legal y /o cambios tecnolgicos, entre otros.
CONSECUENCIAS: Resultado de un evento expresado cualitativa o
cuantitativamente en trminos de prdidas materiales, humanas y afectacin a
las operaciones de la empresa.
CONTROL DEL RIESGO: Parte de la gestin del riesgo que involucra la
implementacin de polticas, normas, procedimientos y cambios fsicos a fin de
eliminar o minimizar de riesgos adversos.


GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 2 de 10

EVALUACIN: Nivel en que se encuentra el riesgo resultado de calificar el
Riesgo con base a la probabilidad y el impacto de ellos.
IMPACTO: Grado en que las Consecuencias pueden generar prdidas a la
empresa si se llega a materializar el riesgo.
PLAN DE CONTINGENCIA: Parte del plan de manejo de riesgos que contiene
las acciones a ejecutar en caso de la materializacin del riesgo, con el fin de dar
continuidad a los objetivos de la entidad.
PROBABILIDAD: Frecuencia o Factibilidad de ocurrencia del Riesgo.
PLAN DE TRATAMIENTO: Conjunto de actividades asociadas como acciones
(preventivas) dirigidas a la mitigacin del riesgo, donde se definen tiempos y
responsables.
RESPONSABLES: Dependencias o reas encargadas de asegurar la ejecucin
de las acciones para el tratamiento de los Riesgos.
RIESGOS: Es la posibilidad de ocurrencia de toda aquella situacin y/o amenaza
que pueda entorpecer el normal desarrollo de las funciones de la entidad y le
impidan el logro de sus objetivos.
VALORACIN: Resultado de confrontar el riesgo con la calidad de los controles
existentes.


5. CONSIDERACIONES GENERALES

La matriz de La Identificacin riesgos, Valoracin de Riesgos y Determinacin de
Controles debe revisarse y actualizarse mnimo una vez al ao: cada vez que se
modifique un proceso; o se modifiquen las instalaciones y/o Equipos o se identifiquen
nuevas amenazas o vulnerabilidades, o por Nueva legislacin y normatividad aplicable,
o ante cualquier otra circunstancia cuya falta de actualizacin provoque un desvo al
desempeo de la seguridad.

Para la elaboracin de la matriz de Identificacin de riesgos, Valoracin de Riesgos y
Determinacin de Controles se deben considerar todos los procesos y los riesgos que
existentes en el ejercicio de cada uno de estos, el cual se basa en la metodologia de la
NTC 5254.





GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 3 de 10

6. PROCEDIMIENTO

6.1 MATRIZ VALORACION DE RIESGOS

Cada una de las etapas desarrolladas en la identificacin y anlisis de riesgos se deben
registrar en el Formato (XXXXXXXXX) Matriz de Seguridad BASC.

AMENAZA / RIESGO: En este criterio se deben identificar los diferentes factores
a los cuales se encuentra expuesta la organizacin.

DESCRIPCIN: Es un listado general de todas las situaciones posibles que
pueden convertirse en amenazas potenciales o reales.

MODALIDAD: Se refiere a las diversas formas en que los grupos delincuenciales
pudieran realizar cada uno de las amenazas identificadas.

CONTROLES EXISTENTES: Son todos aquellas acciones operacionales que la
empresa ha establecido para minimizar la posibilidad de ocurrencia de eventos
que afecten la seguridad

PROBABILIDAD: Debemos enfocarlo a registrar la frecuencia o factibilidad de
ocurrencia de todo riesgo o amenaza.

CONSECUENCIAS: Debamos registrar todo aquello que sea producto o
resultado de un evento expresado cualitativa o cuantitativamente en trminos de
prdidas materiales, humanas y afectacin a las operaciones de la empresa.

RIESGOS: La posibilidad de ocurrencia de toda aquella situacin y/o amenaza
que pueda entorpecer el normal desarrollo de las funciones de la entidad y le
impidan el logro de sus objetivos


6.3. IDENTIFICACION DEL RIESGO

Para una adecuada gestin del riesgo en primera instancia la empresa deber
identificar todos los posibles riesgos que apliquen, para ello se deber proceder de la
siguiente forma:

La empresa realizar la identificacin de amenazas o riesgos potenciales con la
participacin de todos los responsables de cada uno de los procesos
establecidos por la organizacin con el fin que los riesgos sean analizados por
cada proceso.



GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 4 de 10

La metodologa a utilizar para dar la participacin a todo el equipo de trabajo
consiste en generar una lluvia de ideas con todas las amenazas o riesgos
identificados.

Al finalizar el anlisis de riesgo a todos los procesos, se proceder a identificar
las posibles causas y escenarios en que se pudiesen materializar las amenazas
planteadas, durante este ejercicio se debe dar respuesta a dos preguntas Qu
puede suceder? Y Cmo puede suceder?, basados en la experiencia de cada
uno y los eventos ocurridos en el transcurso del tiempo.

Cada una de las etapas desarrolladas en la identificacin y anlisis de riesgos se
deben registrar en el Formato (XXXXXXX) Matriz de Seguridad BASC.


6.3.1 Determinacin de controles existentes

La organizacin registrar detalladamente en el Formato (XXXXXXX) Matriz de
Seguridad BASC, todo tipo de controles existentes o implementados para cada uno de
los riesgos o amenazas identificados.


6.4. ANALISIS DEL RIESGO

EXTRUCOL S.A. deber analizar cada uno de los riesgos en el Formato (XXXXXXXXX)
Matriz de Seguridad BASC, teniendo en cuanta la probabilidad de ocurrencia y las
consecuencias que cada uno de estos pueda generarle a la empresa con el fin de
identificar los impactos negativos ms significativos.

Este anlisis de riesgos debe permitirle a la empresa identificar si se han tomado todas
las precauciones si es necesario replantear nuevas acciones para controlar cada
riesgo adecuadamente, para lo anterior se debe tener en cuenta la combinacin entre
estimaciones de consecuencias, la posibilidad de ocurrencia y a su vez las medidas o
controles existentes.


6.4.1 Probabilidad, Consecuencias y Tipo de Anlisis

Para determinar la probabilidad se debe evaluar la posibilidad que ocurra determinado
evento y la magnitud de las consecuencias si este ocurriera, es necesario en el anlisis
de la probabilidad tener en cuenta los controles existentes. Realizada esta actividad, se
deben tomar las consecuencias y la probabilidad y estas se combinan en la matriz de
evaluacin para producir un nivel de riesgo.



GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 5 de 10

Las consecuencias y la probabilidad se pueden determinar a partir del anlisis y
clculos estadsticos o se pueden hacer estimaciones subjetivas que reflejen el grado
de creencia y ocurrencia de un evento en particular

El mtodo escogido por EXTRUCOL S.A. para la valoracin del riesgo es el anlisis
mixto (cualitativo, cuantitativo), esto se aplicar teniendo en cuenta la informacin
suministrada por la empresa y/o cada uno de los procesos segn sea lo ms
conveniente para la organizacin.

A continuacin se presentan los diferentes criterios de anlisis de probabilidad y
consecuencias utilizadas para el anlisis de riesgos.

CRITERIOS DE PROBABILIDAD
CRITERIOS DE CONSECUENCIA


6.4.2. Criterios de probabilidad

10 - Lo ms probable es que ocurra
6 - Puede ocurrir el 65% de las veces
3 - Es posible pero poco usual
1 - Remotamente posible
0,5 - Concebible pero nunca ha ocurrido.


6.4.3. Criterios de consecuencia

100 - Catastrfico
50 - Desastroso
25 - Muy serio
5 - Importante
1 - Perceptible

6.5. VALORACIN DEL RIESGO

En esta actividad la empresa basada en el anlisis de riesgos debe determinar la
aceptabilidad del mismo, de acuerdo a su impacto sobre la empresa, la imagen de la
compaa o la afectacin a alguna de sus operaciones.


RIESGO = Probabilidad x Consecuencia




GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 6 de 10

Esta valoracin debe considerar la probabilidad ante un evento y todas las
consecuencias que debe incluir, a continuacin se describen las Fuentes e
identificacin de Riesgo existentes:
:

RIESGOS EN LA SALUD: Afecciones humanas, ocasionados por transmisin de
virus y bacterias.

RIESGOS ECONMICOS: Fluctuaciones del dinero, tasas de inters,
participacin en el mercado, perdida de capital

RIESGOS MEDIOAMBIENTALES: Ruido, contaminacin del aire, suelo y ros.

RIESGOS FINANCIEROS: riesgos contractuales, fraudes, malversacin de
fondos, multas, inversiones fraudulentas, lavado de activos, Documentacin
fraudulenta, Documentacin incompleta o incorrecta.

RIESGOS HUMANOS: disturbios, ataques, sabotajes y errores humanos,
chantajes, extorciones, seleccin y contratacin de personal, personal no
capacitado, personal con antecedentes, Filtracin en la compaa de personas
que quieren cometer actos ilcitos

RIESGOS NATURALES: condiciones climticas, terremotos, incendios
forestales, inundaciones, plagas y actividades propias de desastres naturales.

RIESGOS EN SALUD OCUPACIONAL Y SEGURIDAD: medidas inadecuadas
de seguridad, deficiente gestin de seguridad; Accidentes en las instalaciones,
no cumplimiento de los requisitos legales, consumo de alcohol y drogas.

RIESGO DE DAOS EN LA PROPIEDAD: incendio, terremotos, inundaciones,
contaminacin, errores humanos;

RIESGO PBLICO: terrorismo, secuestro, sabotaje, asaltos y atracos, extorcin,
accidentes de trnsito, afectacin a peatones.

RIESGO DE SEGURIDAD: Hurto de dinero, vandalismo, robo, uso ilegal de la
informacin, entrada ilegal de personas, suplantacin, saqueo, contaminacin
por elementos ilcitos, plagio de informacin.

RIESGO TECNOLGICO: innovacin, fuga de informacin, Backup de
informacin, alteracin de claves.

RIESGOS OPERATIVOS: Contaminacin de la carga, utilizacin de marcas
ilegalmente



GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 7 de 10


El resultado de esta valoracin del riesgo debe permitirnos como siguiente paso generar
una lista como la priorizacin de riesgos con el fin de implementar los correctivos
pertinentes. A continuacin se describen los criterios que definen la importancia de cada
riesgo:


6.5.1. Criterios de Evaluacin

NIVEL DE RIESGO CLASIFICACION
0 20 Aceptable
21 70 Posible
71 200 Considerable
201 400 Alto
400 - 10000 Muy Alto



6.6. PLAN DE TRATAMIENTO DEL RIESGO

Para el tratamiento del riesgo se deben describir las opciones y las formas en que la
empresa tratar cada uno de los riesgos, la empresa deber iniciar la atencin a los
riesgos teniendo en cuenta atender en primera instancia todos aquellos riesgos con
calificacin Muy Alto (entindase esto como la priorizacin de los riesgos), en esta
actividad se deben definir los objetivos, metas, indicadores, fechas de cumplimiento,
responsables de cada actividad, asignacin de recursos econmicos y humanos a su
vez se debe describir detalladamente los controles operacionales para la adecuada
atencin y manejo de las amenazas o riesgos identificados en este anlisis.



6.6.1. Identificacin de opciones para el tratamiento de los riesgos

La empresa en esta etapa podr determinar el tratamiento para cada riesgo identificado,
teniendo en cuenta los siguientes criterios que se establecen en este procedimiento
para determinar el nivel de aceptacin por parte de la empresa ante cada uno de los
riesgos o amenazas registrados:

NO AFRONTAR EL RIESGO: Ante esta situacin la empresa ignora o hace caso
omiso de este riesgo y no emprende ninguna accin correctiva por lo tanto est
asumiendo las consecuencias que este riesgo pueda generarle a la empresa (el
hecho de no afrontar un riesgo puede incrementar la importancia de otros
riesgos)



GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 8 de 10

REDUCIR LA PROBABILIDAD DE LA OCURRENCIA: La empresa reconoce el
riesgo y establece acciones y medidas para reducir o controlar la probabilidad de
ocurrencia de cada uno de los riesgos identificados, para lograrlo deber hacer
inspecciones de campo, implementar controles operacionales, determinar
acciones y campaas preventivas y a su vez la empresa deber destinar los
recursos necesarios para garantizar la ejecucin de lo planeado.

TRANSFERIR EL RIESGO: En este caso la empresa despus de identificar el
riesgo decide si comparte parcial o totalmente este riesgo con un asociado de
negocio o aliado estratgico, para cualquiera de los casos en los que se
determine transferir o compartir el riesgo la empresa deber establecer acuerdos
de seguridad con la empresa implicada en determinado riesgo. La organizacin
deber asegurarse en los casos que transfiera totalmente el riesgo a un tercero
que este establezca los controles necesarios con el fin de poder verificar la
efectividad de las acciones implementadas y el control de cada riesgo
identificado.

RETENER EL RIESGO: Despus de haber reducido o transferido los riesgos,
puede haber riesgos residuales que se han retenido. Es recomendable
implementar planes para manejar las consecuencias de estos riesgos, si
ocurrieran, incluida la identificacin de un medio de financiacin del riesgo. Los
riesgos tambin pueden retenerse por defectos es decir cuando existen fracasos
en la identificacin u otro tratamiento de estos.



6.6.2. Valoracin de Opciones de Tratamiento

La empresa evaluar las opciones sobre la base del grado de reduccin del riesgo y el
alcance de cualquier beneficio adicional u oportunidades creadas. Se pueden
considerar varias opciones y aplicarse ya sea de forma individual o en combinacin. La
seleccin de la opcin contra los beneficios derivados de ella. En general el costo de la
gestin de riesgos debe ser proporcional a los beneficios obtenidos.


La empresa basada en el anlisis de riesgos podr visualizar la priorizacin de los
riesgos presentes en la organizacin y es en esta etapa donde la compaa debe
evaluar las propuestas planteadas para el tratamiento de cada uno de los riesgos


6.6.3. Definicin de Objetivos, Metas, Indicadores, Fechas de cumplimiento y
Responsables

Para ejecutar el plan de tratamiento la empresa deber identificar y establecer objetivos,
metas, indicadores, fechas de cumplimiento y responsables, de acuerdo a las opciones


GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 9 de 10

de tratamiento determinada para cada uno de los riesgos detectados anteriormente esta
actividad se deber registrar en el Formato (XXXXXXXXX) Matriz de Seguridad BASC

Se definirn indicadores que permitan medir la gestin de la empresa frente a las
diferentes amenazas detectadas en la valoracin de riesgos.

Los responsables del cumplimiento de las acciones de control y las fechas en que sern
implementadas deben ser determinados en conjunto con la direccin de la organizacin.


6.7. SEGUIMIENTO Y REVISIN

EXTRUCOL S.A. realizar monitoreo de los riesgos y verificar la eficacia de las
medidas tomadas para controlar el riesgo, esta actividad se registrar en el Formato
(XXXXXXXXX) Matriz de Seguridad BASC, la empresa debe asegurarse que las
actividades realizadas estn encaminadas a la prevencin.

El seguimiento se efectuara semestralmente en reunin establecida con los lderes de
procesos y la Gerencia. Esto con el fin de asegurar que los planes se implementen
oportunamente o cuando ocurran fallas relacionadas con seguridad, incidentes, no
conformidades, antes de implementar acciones correctivas y preventivas. Anualmente
es necesario repetir el ciclo de gestin de riesgo y por consiguiente se debe dejar
evidencia de revisin y actualizacin de la Matriz de riesgos existente, con el fin de
reevaluar los riesgos teniendo en cuenta las condiciones del negocio y analizando todo
aquello que en determinado momento puedan causar impacto en las operaciones de la
organizacin.


6.8. COMUNICACIN

De acuerdo con la informacin de la (XXXXXXXXX) Matriz de Seguridad BASC se
sensibilizar peridicamente a todos los colaboradores con el fin de concientizarlos
respecto a los riesgos y a los controles implementados por la empresa de igual forma se
dar a conocer las funciones, responsabilidades y consecuencias del no cumplimiento
de los procedimientos.

Se establecen como fuentes de comunicacin de los riesgos los siguientes medios:

Induccin
Profesiogramas
Publicaciones de cartelera
Informacin por Email
Reuniones con la Gerencia
Reuniones Semestral con los responsables de cada proceso
Acuerdos de seguridad con los asociados de negocio


GESTIN DE RIESGO
CDIGO
VERSIN
Procedimiento del Sistema Integrado de
Gestin
FECHA

Pgina 10 de 10

Informacin a nuestros clientes y proveedores sobre las certificaciones SGI de
EXTRUCOL S.A.




7. Control de cambios

Revisin Descripcin Fecha Elaborado por Aprobado por
01 Emisin inicial 10/10/2014
Coordinador
SIG
GERENCIA