PROCEDIMIENTO IDENTIFICACIÓN Y

Fecha emisión: 18-07-12

ELIMINACIÓN DE CONFLICTOS DE INTERÉS Revisión: 5
EN CERTIFICACIÓN DE SISTEMAS Fecha revisión: 15-11-16
Revisado por: Olga Junca
Clave: Aprobado por:
QL-P-031 JAIR HERNANDO AMAYA

Modificaciones efectuadas: Se realiza la inclusión de la metodología para medir el riesgo residual

1. OBJETO Y CAMPO DE APLICACIÓN

Este procedimiento tiene por objeto tratar de sistematizar la identificación de las empresas
relacionadas dentro del grupo y fijar las bases para la eliminación de los posibles conflictos
de interés.

2. REFERENCIAS

- QL-P-032 Matriz de identificación de riesgos para pérdida de la independencia e

imparcialidad.
- ISO 17021

3. DEFINICIONES

Recurso: Acción interpuesta por un tercero ante una decisión tomada por la comisión
de certificación.
Litigio: conflicto de intereses interpuesto por una persona u organización en contra de
algo.
Análisis del riesgo: el proceso que comprende la identificación del peligro, la
evaluación del riesgo, la gestión del riesgo y la información sobre el riesgo.
Evaluación del riesgo: evaluación de la probabilidad y de las consecuencias
imparcialidad en el proceso de certificación de sistemas.
Gestión del riesgo: proceso de identificación, selección y aplicación de las medidas que
permiten reducir el nivel de riesgo.
Identificación del peligro: proceso de identificación de las actividades inadecuadas.
Peligro: Cualquier involucrado (situación y/o persona) que pueda provocar efectos
indeseables con motivo de la certificación y todo lo relacionado a ella.
Riesgo: probabilidad de manifestación y magnitud probable de las consecuencias de
un evento perjudicial en el proceso de certificación de sistemas a empresas.

4. RESPONSABLES

Director de Certificación de Applus+ Colombia Ltda., es responsable del control y

ejecución de las medidas tomadas en la matriz de conflicto de interés.

Jefe del Sistemas de Certificación: Es responsable de dar cumplimiento al presente

procedimiento,

5. PROCEDIMIENTO

QL-P-031 ACCIONES PREVENTIVAS Y CORRECTIVAS Página 1 de 8

Calle 17 No. 69-46 Bogotá D.C.

Home page: http: //www.appluscorp.com
 PROCEDIMIENTO IDENTIFICACIÓN Y
Fecha emisión: 18-07-12
ELIMINACIÓN DE CONFLICTOS DE INTERÉS Revisión: 5
EN CERTIFICACIÓN DE SISTEMAS Fecha revisión: 15-11-16
Revisado por: Olga Junca
Clave: Aprobado por:
QL-P-031 JAIR HERNANDO AMAYA

Modificaciones efectuadas: Se realiza la inclusión de la metodología para medir el riesgo residual

5.1 ANTECEDENTES

• Con el fin de conocer de forma sistemática todas las empresas de Applus+ así
como las altas y bajas producidas en el grupo, como mínimo una vez al año, con
más frecuencia si se considera necesario y siempre que se incorpore una nueva
empresa, la Dirección de Calidad solicitará del departamento jurídico la variación
de empresas desde el último estudio.

• De todas las nuevas empresas y de las ya pertenecientes al grupo que hayan

efectuado algún cambio en su actividad, se hará un estudio de sus actividades y su
propaganda. Con esta documentación y la del apartado 1 se confeccionará el
listado de empresas relacionadas con las actividades de cada una de ellas.

• En el caso que detecten posibles conflictos de interés, esta Dirección lo comunicará

a la Dirección General de Applus con el fin de tomar las medidas correspondientes
dentro del grupo, las cuales quedarán reflejadas en un registro.

• Los requisitos de elaboración del estudio de conflictos de interés están descritos,

para los sectores de actividad que requieren dicho estudio, por diferentes
instrucciones operativas dependiendo del tipo de certificación, inspección o ensayo.

• Cualquier cambio que puede comprometer la acreditación deberá ser comunicada a

ONAC u otra entidad de acreditación involucrada.

5.2. METODOLOGÍA DE IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS PARA

PREVENIR PÉRDIDA DE INDEPENDENCIA E IMPARCIALIDAD:

5.2.1. Análisis sobre conflictos de interés

Se realizará un análisis de conflictos de interés con el fin de demostrar que cumple con los
requisitos sobre vínculos con otras empresas u organizaciones, como también toda
amenaza a la imparcialidad e independencia para el organismo de certificación de sistemas
de gestión. En concreto, se especificará el número de variables identificadas y el tipo de
afectación con cada una de ellas.

Este estudio de conflictos de interés de las actividades de certificación de Sistemas de

gestión deberá ser dado a conocer al Comité de Imparcialidad de Applus+ Colombia
Ltda. Cada revisión que se realice del estudio deberá ser analizada y aprobada por el
Comité de Imparcialidad, para ello se deberá garantizar que el comité tiene acceso a toda
la información utilizada en la revisión y, en su caso, a las personas de Applus+
Colombia Ltda., con influencia en la preservación y gestión de la imparcialidad.

QL-P-031 ACCIONES PREVENTIVAS Y CORRECTIVAS Página 2 de 8

Calle 17 No. 69-46 Bogotá D.C.

Home page: http: //www.appluscorp.com
 PROCEDIMIENTO IDENTIFICACIÓN Y
Fecha emisión: 18-07-12
ELIMINACIÓN DE CONFLICTOS DE INTERÉS Revisión: 5
EN CERTIFICACIÓN DE SISTEMAS Fecha revisión: 15-11-16
Revisado por: Olga Junca
Clave: Aprobado por:
QL-P-031 JAIR HERNANDO AMAYA

Modificaciones efectuadas: Se realiza la inclusión de la metodología para medir el riesgo residual

Para la generación de la matriz QL-P-032 se aplicará los aspectos que se desarrollan a

continuación.
5.2.2. Identificación del peligro y riesgo:

El propósito general del análisis de riesgos para asegurar la imparcialidad e independencia

de los procesos de certificación, es que las actividades que se desarrollan dentro del
organismo aseguran a todos nuestros clientes un proceso de certificación confiable
desarrollado bajo un esquema normativo, que se controla los posibles conflictos de interés
de acuerdo con lo establecido en la norma NTC ISO/IEC 17021 así como los demás
documentos y lineamientos internos establecidos para la acreditación de Applus Colombia
Ltda.

Esta identificación análisis y control de desarrolla a partir del siguiente esquema:

• Identificación del peligro

• Tipologías de riesgo
• Consecuencia
• Análisis del riesgo
• Gestión sobre el riesgo

Para el desarrollo del análisis de riesgo se desarrolla de la siguiente manera:

Se identifica la actividad y factor específico que puede generar una amenaza, como
pueden ser ofertas de capacitación, contratación de auditores externos, trabajo con el
mismo personal interno, solicitud de servicios por las empresas certificadas o no
certificadas aun, entre otros.

Luego de ello se describe de manera específica el tipo de peligro potencial que causa cada
actividad. De acuerdo con ello se identifica el riesgo y consecuencias que puede traer
hacia el Organismos de Certificación.

Algunos de los peligros identificados son:

• Oferta y suministro de capacitación y entrenamiento en temas relacionados con

sistemas de gestión a diferentes empresas
• Capacitación ofertada a clientes internos
• Contratación de auditores externos
• Utilización de personal interno
• Utilización de contratistas
• Solicitud de servicios de pre auditoría
• Solicitud de servicios de evaluación de proveedores
• Solicitud de otros servicios por empresas ya certificadas
• Conocimiento de principios del sistema de Acreditación 1702
• Administración y manejo de las finanzas del organismo - cumplimiento de metas
QL-P-031 ACCIONES PREVENTIVAS Y CORRECTIVAS Página 3 de 8

Calle 17 No. 69-46 Bogotá D.C.

Home page: http: //www.appluscorp.com
 PROCEDIMIENTO IDENTIFICACIÓN Y
Fecha emisión: 18-07-12
ELIMINACIÓN DE CONFLICTOS DE INTERÉS Revisión: 5
EN CERTIFICACIÓN DE SISTEMAS Fecha revisión: 15-11-16
Revisado por: Olga Junca
Clave: Aprobado por:
QL-P-031 JAIR HERNANDO AMAYA

Modificaciones efectuadas: Se realiza la inclusión de la metodología para medir el riesgo residual

• Empresas relacionadas
• Oferta de servicios de certificación a empresas relacionadas con otros O.C.
• Solicitud de auditorías internas de empresas

Dentro de algunos de los riesgos identificados se tienen:

• Sesgo en el momento de ofertar

• Sesgo en el momento de la evaluación de la auditoría de certificación.
• Presión comercial por la empresa contratante.
• Familiaridad o confianza.
• Presión comercial por la empresa para mantener la certificación con el organismo
• Incumplimiento a los requisitos de la norma por desconocimiento

Se evalúa luego el impacto que el riesgo puede causar sobre el Organismo de certificación,
dado de la siguiente manera:

5.2.2.1. Tabla de medición de la Probabilidad

Para medir la frecuencia con que se podrían materializar los eventos de riesgo se
platearon cuatro niveles de probabilidad: 1) Baja; 2) Media; 3) Alta y 4) Muy alta tal y
como se aprecia en el siguiente cuadro:

PROBABILIDAD DE OCURRENCIA
MUY ALTA Se considera que el evento puede suceder fácilmente y con
(VALOR =4) frecuencia.
ALTA
Se considera que el evento puede suceder.
(VALOR =3)
MEDIO
Se considera que el evento podría suceder eventualmente.
(VALOR =2)
BAJA
Se considera que el evento no sucede.
(VALOR =1)

5.2.2.2. Tabla de Severidad:

TABLA DE SEVERIDAD POR OCURRENCIA DEL RIESGO

DIMENSION
DIMENSION
CATEGORIA IMAGEN DIMENSION DE INTEGRIDAD
ECONOMICA
INSTITUCIONAL
X > 500 Conocimiento de la Daño a las instituciones y pérdida de
QL-P-031 ACCIONES PREVENTIVAS Y CORRECTIVAS Página 4 de 8

Calle 17 No. 69-46 Bogotá D.C.

Home page: http: //www.appluscorp.com
 PROCEDIMIENTO IDENTIFICACIÓN Y
Fecha emisión: 18-07-12
ELIMINACIÓN DE CONFLICTOS DE INTERÉS Revisión: 5
EN CERTIFICACIÓN DE SISTEMAS Fecha revisión: 15-11-16
Revisado por: Olga Junca
Clave: Aprobado por:
QL-P-031 JAIR HERNANDO AMAYA

Modificaciones efectuadas: Se realiza la inclusión de la metodología para medir el riesgo residual

CRITICO situación en medios confianza total por alto impacto en

(VALOR masivos de actos indebidos tales como: pérdida o
=4) comunicación a nivel sustracción de información
nacional e confidencial del cliente, corrupción o
internacional. Multas o aceptación de prebendas para
sanciones por parte de favorecer un resultado.
los entes de control
300>X<500 Conocimiento de la Daño a las instituciones por pérdida
GRAVE situación en medios de confianza por actuaciones
(VALOR locales. Valor de sesgadas sin objetividad que afecten
=3) indemnizaciones por a una empresa o persona, tales como,
perjuicios causados. favorecer o desfavorecer intereses
creados por terceros por
incumplimiento de las BPA.
50>X<300 Conocimiento de la Daños a las instituciones por pérdida
MODERADO situación a nivel de la de confianza leve debido al
(VALOR institución. Demandas incumplimiento de procedimientos
=2) por parte de clientes establecidos de SGS y de las normas
que nos rigen tales como ISO 17021
de manera no intencionada.

0>X<50 Conocimiento de la Daños a las instituciones por pérdida

LEVE situación a nivel de un de confianza leve por errores
(VALOR proceso. Quejas y/o involuntarios que pueden ser
=1) reclamos por parte de subsanados con acciones de mejora
los clientes internas de la organización
X: Valor de la pérdida económica medido en S.M.M.L.V (Salario Mínimo Mensual Legal Vigente)

5.2.2.3. Mapa de Riesgo

El mapa de riesgos es un plano en el que se presentan simultáneamente las escalas de

impacto, con base en la probabilidad y la severidad de cada uno de los riesgos. En razón
a que se definieron 4 niveles de probabilidad de ocurrencia y 4 rangos de severidad, el
plano está integrado por las 16 posibles combinaciones que surgen al reunir las dos
evaluaciones del riesgo.

5.2.2.4. Impacto del Riesgo

El impacto lo determinan en forma conjunta la probabilidad y la severidad del riesgo, con

una presentación particular en el mapa (un punto)

A su turno, este mapa se dividió en cuatro zonas de severidad de los riesgos:

• Zona de riesgo aceptable

QL-P-031 ACCIONES PREVENTIVAS Y CORRECTIVAS Página 5 de 8

Calle 17 No. 69-46 Bogotá D.C.

Home page: http: //www.appluscorp.com
 PROCEDIMIENTO IDENTIFICACIÓN Y
Fecha emisión: 18-07-12
ELIMINACIÓN DE CONFLICTOS DE INTERÉS Revisión: 5
EN CERTIFICACIÓN DE SISTEMAS Fecha revisión: 15-11-16
Revisado por: Olga Junca
Clave: Aprobado por:
QL-P-031 JAIR HERNANDO AMAYA

Modificaciones efectuadas: Se realiza la inclusión de la metodología para medir el riesgo residual

• Zona de riesgo moderado

• Zona de riesgo importante
• Zona de riesgo inaceptable

Los mapas de riesgo constituyen una herramienta gerencial que brinda criterios de
decisión a la alta dirección frente a los cambios que deben ser realizados en la entidad
para controlar los riesgos existentes y prevenir su materialización.

MAPA DE RIESGO

P
R MUY ALTA 2 3 4 4
O
B ALTA 2 3 3 4
A MEDIA 1 2 3 4
B BAJA 1 1 2 3
I LEVE MODERADA GRAVE CRITICA
L
I IMPACTO SEVERIDAD
D
A
D

IMPACTO DEL RIESGO:

Zona de Riesgo Inaceptable

Zona de Riesgo Importante
Zona de Riesgo Moderada
Zona de Riesgo Aceptable

5.3. VALORACION DEL RIESGO

En la etapa precedente se analizaron los riesgos potenciales o inherentes, en los que no se
tiene en cuenta el efecto de los controles establecidos. En la etapa de valoración se
vuelven a examinar los riesgos pero evaluando esta vez la forma en que los controles
atenúan el nivel de exposición al riesgo.

Los riesgos potenciales o inherentes reducen su severidad como resultado de la aplicación

de controles. Sin embargo la magnitud de tal reducción depende de la efectividad de las
acciones que haya dispuesto el organismo para administrar sus riesgos. La valoración que
se realiza incluyendo los efectos de los controles da lugar a los riesgos residuales.

5.3.1 Eficiencia de los controles

QL-P-031 ACCIONES PREVENTIVAS Y CORRECTIVAS Página 6 de 8

Calle 17 No. 69-46 Bogotá D.C.

Home page: http: //www.appluscorp.com
 PROCEDIMIENTO IDENTIFICACIÓN Y
Fecha emisión: 18-07-12
ELIMINACIÓN DE CONFLICTOS DE INTERÉS Revisión: 5
EN CERTIFICACIÓN DE SISTEMAS Fecha revisión: 15-11-16
Revisado por: Olga Junca
Clave: Aprobado por:
QL-P-031 JAIR HERNANDO AMAYA

Modificaciones efectuadas: Se realiza la inclusión de la metodología para medir el riesgo residual

Los atributos que se tendrán en cuenta para evaluar la efectividad de los controles son los
siguientes:

• Preventivo, Detectivo o Correctivo

Los controles preventivos dependiendo de su grado de efectividad, permiten reducir la

probabilidad de ocurrencia del evento. Los controles detectives pueden mitigar tanto la
probabilidad de ocurrencia del suceso como su impacto, mientras que los correctivos
fundamentalmente actúan disminuyendo la magnitud del impacto.

• Frecuencia del control: Permanente, diaria, semanal, mensual etc.

La frecuencia del control debe guardar relación con la periodicidad con que se presenta el
evento riesgoso. Potencialmente podría plantearse que los controles se aplicaran siempre
que ocurra el riesgo. Sin embargo esto puede resultar muy costoso para la organización y
es por ello que se debe definir la frecuencia de los controles tomando en cuenta el costo
de aplicación y la efectividad deseada.

5.4. NIVELES DE EFECTIVIDAD DE LOS CONTROLES

Tomando en consideración los anteriores criterios se pueden establecer niveles de

efectividad de los controles, los cuales se pueden denominar como Ninguno, Bajo, Medio,
Alto y Destacado, siendo este último el más efectivo. Alto: denota que el control reduce al
máximo el nivel de probabilidad y/o impacto del riesgo inherente, Medio: disminuye en
dos escalas el nivel de probabilidad y/o impacto, Bajo: disminuye en una escala el nivel de
probabilidad y/o impacto y Ninguno: no tiene efecto sobre la probabilidad y/o el impacto
del riesgo inherente; por lo cual se requiere Fortalecer o implantar un nuevo control.

Efectividad Descripción del Control

Mitigación
Del control
No tiene efecto sobre la probabilidad y/o el
Ninguno 1
impacto del riesgo inherente.
disminuyen en una escala el nivel de probabilidad
Bajo 2
y/o impacto del riesgo inherente
disminuyen en dos escalas el nivel de probabilidad
Medio 3
y/o impacto del riesgo inherente
reduce al máximo el nivel de probabilidad y/o
Alto 4
impacto del riesgo inherente

5.4.1. Cálculo y Análisis del Riesgo Residual:

QL-P-031 ACCIONES PREVENTIVAS Y CORRECTIVAS Página 7 de 8

Calle 17 No. 69-46 Bogotá D.C.

Home page: http: //www.appluscorp.com
 PROCEDIMIENTO IDENTIFICACIÓN Y
Fecha emisión: 18-07-12
ELIMINACIÓN DE CONFLICTOS DE INTERÉS Revisión: 5
EN CERTIFICACIÓN DE SISTEMAS Fecha revisión: 15-11-16
Revisado por: Olga Junca
Clave: Aprobado por:
QL-P-031 JAIR HERNANDO AMAYA

Modificaciones efectuadas: Se realiza la inclusión de la metodología para medir el riesgo residual

El Riesgo Residual resulta de la relación entre el grado de manifestación de los riesgos

inherentes y la gestión de la mitigación de los riesgos establecida; de esta manera el
riesgo residual se evalúa estimando la importancia efectiva de la amenaza con los
controles aplicados. Teniendo en cuenta lo anterior el cálculo se realiza de la siguiente
manera, tomando como Riesgo Residual 1: Aceptable, Riesgo 2: Moderado, Riesgo 3:
Importante y Riesgo Residual 4: Inaceptable. De acuerdo al Resultado, se deben tomar las
medidas aplicables, ya sea Fortalecimiento del control para Riesgo 2 y 3 o Implantación de
un nuevo control para Riesgo 4:

Ejemplo:

Promedio
Riesgo
Efectividad Efectividad
Riesgos Inherentes Impacto Control Residual
de Control de Control
(**)
(*)
Oferta y suministro de
capacitación y 1 4
entrenamiento en temas
4 2 4 4.0 1
relacionados con
sistemas de gestión a
diferentes empresas 3 4
Perfil del Riesgo (Riesgo Residual Total)(***) 1

(*) Promedio de los datos de Efectividad de Control

(**) Resultado de la división entre Impacto / Promedio de Efectividad de Control
(***) Promedio: Se considera un mismo peso de ponderación a los Riesgos Residuales.

Toda la metodología descrita anteriormente se evidencia en el formato de análisis de

riesgo de identificación de conflicto de interés QL-P-032.

6. REGISTROS

QL-P-032 Matriz de identificación de riesgos para pérdida de la independencia e

imparcialidad

QL-P-031 ACCIONES PREVENTIVAS Y CORRECTIVAS Página 8 de 8

Calle 17 No. 69-46 Bogotá D.C.

Home page: http: //www.appluscorp.com