ISO 22301 – CUÁNDO IMPLEMENTAR UN PLAN DE CONTINUIDAD DE NEGOCIO

Publicado el por Ing. Hugo Gonzalez
PLAN DE CONTINUIDAD DE NEGOCIO - ISO 22301

CONTINUIDAD DE NEGOCIO – ISO 22301:2019

Un Plan de Continuidad de Negocio (Business Continuity Plan) tiene como finalidad proteger los intereses de la organización y de otras partes interesadas, así como la reputación, las finanzas, los activos críticos y otros aspectos generadores de valor de la propia empresa, y con esa finalidad describe el modelo sistemático que una organización debe seguir para responder a una disrupción, el cual se elabora anticipadamente para dirigirla y encauzarla a sostener en niveles previamente definidos y aceptados, aquellos productos y servicios considerados como críticos del negocio.

Este Plan de Continuidad de Negocio está basado en la estructuración de procedimientos, tecnología e información, los cuales son desarrollados, compilados y mantenidos en preparación para su uso, durante y después de una interrupción o desastre.

ISO 22301 - Plan de Continuidad de Negocio
ISO 22301 – Plan de Continuidad de Negocio

Al considerar una interrupción o desastre, cualquier organización, independientemente de su tipo, tamaño o naturaleza, puede ver interrumpida su actividad por fuerzas de causa mayor.

Situaciones o eventos como incendios, pandemias, ataques terroristas, fallos eléctricos o interrupciones de servicio público pueden ocurrir en cualquier momento sin aviso previo.  Con el fin de dotar a las empresas de un marco de referencia para gestionar de forma eficaz la continuidad de su negocio, fue diseñada la

Norma ISO 22301 – Seguridad y resiliencia. Sistema de gestión de continuidad de negocio. Requisitos

¿QUÉ ES LA NORMA ISO 22301?

La ISO 22301 se trata de una normativa creada por la Organización Internacional de Normalización (ISO), la cual brinda buenas prácticas y formas para llevar a cabo la gestión de la continuidad de negocio, con el fin de minimizar los impactos que pueden traer la materialización de un riesgo afectando de manera directa a la organización.

Este estándar internacional está basado en la norma británica BS 25999, la cual fue sustituida en mayo del 2012 por la primera versión de ISO 22301

A diferencia de la BS 25999, la Norma ISO 22301 trata con gran profundidad los siguientes aspectos:

  • Nivel de responsabilidad de la alta dirección en la continuidad del negocio frente a imprevistos. Será el órgano que deberá asegurarse de la persistencia de la actividad frente a interrupciones que puedan suceder.
  • Planificación de recursos y preparación para hacer frente a riesgos que puedan cesar de forma temporal el ejercicio del negocio.
  • Cursos de acción frente a clientes, proveedores, y otras partes interesadas en caso que exista alguna causa de fuerza mayor que impida desarrollar sus operaciones.
  • Homogenización del vocabulario y términos para alcanzar las mismas condiciones en relaciones internacionales comerciales con otras organizaciones.

Entre los principales cambios de ISO 22301:2012 vs ISO 22301:2019 se pueden mencionar los siguientes:

  • Actualización de términos y definiciones, incluyendo referencia a la norma ISO 22300 Seguridad y resiliencia – Vocabulario.
  • Más flexibilidad y pragmatismo, las secciones redundantes se han eliminado. Ejemplo de ello es la reducción o concreción de requisitos en los apartados referidos al Contexto de la organización, Liderazgo, Planificación, Evaluación del desempeño y Mejora.
  • Los requisitos específicos, núcleo de la Continuidad de Negocio, están recogidos en la cláusula 8. Se ha mejorado su contenido, especialmente en los siguientes aspectos:
    • El Análisis de impacto en el Negocio (BIA en sus siglas en inglés – Business Impact Analysis), en la definición de los tipos de impacto y su evaluación en el tiempo.
    • Pragmatismo con el deber de encontrar estrategias y soluciones para cada uno de los posibles impactos o riesgos específicos.
    • Lo importante no es el riesgo que se esté dispuesto a asumir, sino el nivel de impacto que los riesgos puedan provocar en las actividades.
    • Necesidad de tener en cuenta en los planes de continuidad de negocio el impacto en el medio ambiente al gestionar las consecuencias inmediatas de una interrupción.
    • Importancia de los equipos responsables de la respuesta ante un incidente: las acciones que deben realizar, sus roles y responsabilidades y las relaciones entre ellos.
    • Evaluaciones de las capacidades en continuidad de negocio de socios y proveedores relevantes.
  • Mantenimiento de un programa de ejercicios y pruebas.
  • Adaptación del Sistema de Gestión a los estándares del resto de normas de sistemas de gestión ISO, como la 27001 o la 9001.

CONCEPTOS MÁS RELEVANTES EN ISO 22301

ISO 22301 - Plan de Continuidad de Negocio

ISO 22301 – Plan de Continuidad de Negocio

Contenido del Plan de Continuidad de Negocio

El Plan de Continuidad de Negocio (PCN) es un método utilizado para crear y validar las acciones a seguir para asegurar la continuidad de las operaciones de procesos de negocio antes, durante y después de la ocurrencia de eventos disruptivos.

En un Plan de Continuidad de Negocio se plasman los objetivos que se quieren lograr aún en un ambiente de incertidumbre y la ocurrencia de una disrupción, hay una visión de la alta gerencia de cómo quiere ver operando su negocio en fases como reanudación, recuperación y restauración.

Este PCN también incluye la realización de un análisis de riesgos en las dimensiones de impacto positivo o negativo que causa la incertidumbre en los objetivos, y se preparan las respuestas de acuerdo con la información manejada y las necesidades e intereses de otras partes interesadas.

Los objetivos incluidos en el PCN pueden estar relacionados con los siguientes aspectos:

  • La situación financiera
  • Operaciones de producción o comercialización
  • Cumplimiento de obligaciones o compromisos
  • Conservación y mantenimiento de la reputación de la marca o del negocio
  • Asegurar que el negocio se mantenga operando durante la disrupción y salga fortalecido con capacidad de resiliencia para ser una mejor organización luego de confrontar un peligro o aprovechar una oportunidad.

A estos fines el PCN, y una vez definidos los objetivos a lograr, establece el alcance del proyecto, es decir las partes o componentes del negocio que serán cubiertos por el plan, pudiendo ser la totalidad de la organización o una parte de ella expresada en sus productos o servicios y en sus procesos de negocio.

Vale la pena indicar que cuando el plan no abarca a toda la organización se debe dejar constancia de las razones por las cuales unas partes son excluidas y la respectiva fundamentación por la cual se considera que su exclusión no afectará la continuidad del negocio y el logro de los objetivos planteados.

Los elementos básicos de un PCN incluyen:

  • Objetivos de negocio y alcance,
  • Análisis de impacto en el negocio,
  • Estrategias de recuperación y continuidad del negocio,
  • Pruebas e implementación, y
  • Mantenimiento y mejora continua;

Entonces la empresa ya se encuentra en condiciones de considerar las oportunidades y amenazas que se derivan de una disrupción, las estrategias a utilizar, los planes de respuestas adecuados y el desglose de las actividades que deban considerarse de acuerdo con el marco o norma utilizado para la elaboración del CNP.

En el caso la Norma ISO 22301 :2019 – Seguridad y resiliencia. Sistemas de gestión de continuidad del negocio, Requisitos, establece para un PCN los siguientes componentes:

  1. Una política
  2. Personas competentes con responsabilidades definidas
  3. Procesos de gestión relacionados con: la política; la planificación; la implementación y operación; evaluación del desempeño; revisión por la gerencia; mejora continua;
  4. Información documentada que apoye el control operacional y permita la evaluación del desempeño.

De este modo queda claro que un PCN no es un plan estratégico que define la visión de la organización en un horizonte temporal ni establece o revisa misión, valores u objetivos estratégicos.

Estos temas que pertenecen a la estrategia se manejan con otros métodos y herramientas, sin embargo es posible que en un PCN se encuentren resultados parciales de un objetivo estratégico o los resultados de un objetivo estratégico siempre que formen parte del alcance del plan y coincidan en el tiempo de ejecución del plan.

El PCN tampoco se utiliza para cambiar el giro del negocio ni su actividad principal, o para reemplazar o sustituir la misión de la organización. El PCN se utiliza y es su fundamento, para asegurar la continuidad de las operaciones de procesos de negocio antes, durante y después de la ocurrencia de una disrupción.

Diferencias con otros planes similares

En el contexto de la gestión de Continuidad de Negocio, además del PCN también es habitual el desarrollo de otros tipos de planes, como un plan de emergencia o de recuperación de desastre, el cual puede ser una parte del PCN o un plan separado para atender el impacto inmediato de un evento.

Cuando son dos documentos diferentes es muy importante verificar de que sean complementarios y se apoyen en el logro de objetivos de cada uno, que no haya competencia por recursos y que ambos estén supeditados a la estrategia de negocio de la empresa.

Los elementos básicos de un plan de emergencia o de recuperación de desastre contemplan:

  • Declaración de contingencia,
  • Análisis de impacto en el negocio,
  • Plan de respuesta,
  • Medidas de control,
  • Pruebas e implementación,
  • Mantenimiento.

Además, existen otro tipos de planes vinculados con la Continuidad de Negocio, entre los cuales se pueden mencionar a los siguientes:

  • Plan de comunicación de crisis: documento que describe los procedimientos y comunicados de prensa que
    las organizaciones deben preparar para responder ante un incidente de manera correcta. Este plan debe estar
    coordinado con los otros planes de la organización para asegurar que sólo comunicados previamente revisados y
    aprobados sean divulgados y que solamente el personal autorizado, designado con anterioridad, sea el responsable de responder a las diferentes inquietudes que se generen y de diseminar los reportes de estado a los empleados y al público en general.
  • Planes de evacuación por edificio/sitio de operación: estos planes contienen los procedimientos que deben seguir los ocupantes de una instalación en el evento en que una situación se convierta en una amenaza potencial a la salud y a la seguridad del personal, al ambiente o la propiedad. Tales eventos podrían incluir fuego,  terremoto, huracán, ataque criminal o una emergencia médica. Estos planes son normalmente desarrollados a nivel de instalación o sitio de operación, específicos a la localización geográfica y al diseño estructural de la construcción.
  • Plan de respuesta a ciber incidentes: este plan establece los procedimientos para responder a los ataques en el
    ciberespacio contra los sistemas de información de una organización. Estos planes son diseñados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes tales como: acceso no autorizado a un sistema o información, negación del servicio, cambios no autorizados a hardware, software, entre otros. 
  • Planes de contingencia: planes de contingencia que representan un amplio espectro de actividades enfocadas a sostener y a recuperar los servicios críticos de TI después de una emergencia en un tiempo mínimo. Es posible en algunos casos contar con múltiples planes de contingencia, uno por cada componente, sistema o servicio crítico. Los planes de contingencia son de rápida activación y pueden asumir un tiempo objetivo de recuperación muy cercano a cero. Los planes de contingencia son típicos en los canales de comunicaciones, de tal manera que ante la falla de uno de estos canales, otro, entrará en operación muy rápidamente y en muchos casos de manera automatizada.

¿CUÁNDO IMPLEMENTAR UN PLAN DE CONTINUIDAD DE NEGOCIO ISO 22301?

ISO 22301 - Plan de Continuidad de Negocio
ISO 22301 – Plan de Continuidad de Negocio

Según lo que se ha tratado, la pregunta que naturalmente surge es:

¿Cuándo una empresa debería implementar un plan de continuidad de negocio ISO 22301?

A modo de orientación, la propia Norma ISO 22301 define que su campo de aplicación es para aquellas organizaciones que:

  • Procuren asegurar la conformidad con las políticas de continuidad de negocio establecidas;
  • Deseen desarrollar la capacidad de continuar ofreciendo sus productos y servicios en una aceptable capacidad predefinida durante una interrupción;
  • Procuren mejorar su resiliencia.

Desde luego, estos lineamientos tienen distintos alcances y significados en cada organización, y por lo tanto no resulta adecuado buscar una única respuesta a la pregunta de cuándo implementar un PCN ISO 22301.

Así, para llegar a responder de manera adecuada este interrogante, se debe efectuar un análisis de la organización que permita reflexionar acerca de las capacidades de la misma para, ante una disrupción, continuar con el giro del negocio
entregando los productos y servicios que de ella se esperan. 

Este análisis de la empresa debería incluir respuestas a preguntas tales como:

  • ¿La empresa está sujeta a obligaciones legales o contractuales que se relacionen con la continuidad del negocio?
  • ¿Qué esperarían los clientes en caso de que se experimente un incidente o disrupción?
  • ¿Qué hacen los competidores en materia de la planificación de la continuidad de negocio?
  • Si una disrupción impactara la disponibilidad de cualquier recurso clave, ¿Cuál sería el tiempo máximo de  inactividad aceptable para las operaciones y después qué pasaría?
  • ¿La empresa se encuentra preparada para comunicarse en situación de crisis con su junta directiva, trabajadores, proveedores, contratistas y clientes?

Mediante nuestra página web puedes acceder a un CUESTIONARIO ADMINISTRATIVO PLAN CONTINUIDAD DE NEGOCIO el cual te permitirá elaborar el análisis de la organización de modo de poder establecer si la misma requiere implementar un plan de continuidad de negocio ISO 22301.

Puedes descargar el cuestionario en FORMA GRATUITA completando nuestro formulario:

ISO 22301 - Plan de Continuidad de Negocio
ISO 22301 – Plan de Continuidad de Negocio

 

¿Por qué es importante ISO 22301 para una organización?

Los lineamientos establecidos en la Norma ISO 22301 constituyen una eficiente forma de mantener la seguridad, afianzando la gobernanza corporativa, el cumplimiento legal y protegiendo la imagen y reputación empresarial, creando un clima de confianza con los empleados, proveedores, partes interesadas y clientes.

La continuidad de negocio forma parte de la gestión general del riesgo dentro de una organización, por lo que tiene áreas y aspectos comunes con la gestión de la seguridad de la información.

 La  norma ISO 22301 permite a las organizaciones:

    • Asegurar la continuidad de negocio y de la comercialización de productos y servicios.
    • Identificar aquellos procesos críticos y ver su impacto en la continuidad.
    • Fortalecer la capacidad de recuperación, la protección de los empleados y la reputación de la marca.
    • Reducir costos al disminuir el impacto de los posibles incidentes e interrupciones.
    • Brindar las respuestas necesarias a tiempo ante las posibles interrupciones.
    • Generar más coordinación entre equipos.

BENEFICIOS DE IMPLEMENTAR LA NORMA ISO 22301

Entre los beneficios asociados a la implementación de la Norma ISO 22301, se destacan los enumerados a continuación:

  • Generar la cultura de continuidad de negocio dentro de la compañía.
  • Brindar confianza a todas las partes interesadas de la organización como clientes, proveedores, la comunidad en general y empleados acerca de la adopción de medidas internacionales que garantizan el buen funcionamiento del negocio.
  • Establecer indicadores medibles que permitirán alcanzar los objetivos propuestos.
  • Identificar de mejor manera los riesgos y oportunidades a los que se enfrenta la organización.
  • Reducción de costos.
  • Protección de todos los activos.
  • Evitar propagar una crisis y mala reputación.
  • Permite la coordinación entre los empleados y otras partes interesadas.
  • Contar con las respuestas adecuadas al momento de enfrentar una crisis.
  • Tener la capacidad para recuperarse rápidamente.
  • Contribuye a mejorar la reputación.
  • Valor agregado frente a la competencia. 

IMPLEMENTACIÓN DE ISO 22301 – GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Con la finalidad de lograr una adecuada adecuada implementación de ISO 22301, que le permita a la organización contar con un plan de recuperación operativo que funcione de acuerdo con las expectativas, es conveniente tomar en consideración los siguientes aspectos:

  • Promover el compromiso y el apoyo de la alta dirección.
  • Involucrar a toda la empresa con una buena comunicación interna.
  • Obtener comentarios de clientes y proveedores sobre los procesos actuales de gestión de la continuidad del negocio.
  • Establecer un equipo de implementación para obtener los mejores resultados.
  • Planificar y compartir roles, responsabilidades y plazos.
  • Adaptar los principios básicos de la norma ISO 22301 al negocio de la organización.
  • Definir un presupuesto para poder desarrollar y mejorar los planes de continuidad.
  • Establecer procedimientos fáciles de comprender que estén documentados, como por ejemplo los planes de evacuación en caso de incendio.
  • Realizar simulacros y ejercicios regulares para asegurarse que los procedimientos funcionan de la forma que se han diseñado.

PASOS PARA GESTIONAR LA CONTINUIDAD DE NEGOCIO

El proceso para la Gestión de la Continuidad de Negocio incluye seis pasos:

  1. Elaboración del programa: en este primer paso se ha de diseñar el programa de gestión de la continuidad de negocio, considerando el tamaño y la propia complejidad de la organización. 
  2. Comprensión de la organización: en esta etapa, se recaba la información para priorizar las actividades, diferenciando aquellas que son claves de las que son de apoyo, así como los recursos requeridos por las mismas. Se analiza el impacto del negocio y se evalúan los riesgos.
  3. Definición de las estrategias para la gestión de la continuidad de negocio: mediante esta fase se determinan las actividades de negocios claves por las que la organización puede recuperar su servicio dentro de un determinado plazo tras una interrupción.
  4. Elaboración y ejecución de respuesta: aquí se desarrollarán las respuestas necesarias ante las situaciones de emergencia. 
  5. Puesta en práctica: mediante este paso se pone de relieve el grado en que las estrategias y planes son adecuados al propósito perseguido.
  6. Incorporar la Continuidad de Negocio en la cultura de la organización: este paso es sumamente importante, pues se ha de conseguir que la Continuidad de Negocio sea parte de los valores de todos los miembros de la organización, creando confianza en la capacidad de la organización de hacer frente a las interrupciones.

Bibliografía:

  • ISO 22301:2019 – Seguridad y resiliencia. Sistema de gestión de continuidad de negocio. Requisitos (2019)
  • ¿Qué es un plan de continuidad de negocio? – Por José Luis Alfinger, CEO de Vinci Empresarial, empresa de consultoría en sistemas de gestión de continuidad de negocio con base en la Norma ISO 22301 (2021).
  • Metodología para la Gestión de la Continuidad del Negocio – Rodrigo Ferrer V. (2015)

 

DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO
DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO

 

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 - ISO 14001 - ISO 45001 - ISO 50001

SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 – ISO 14001 – ISO 45001 – ISO 50001

El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL

Publicado el por Ing. Hugo Gonzalez
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL

GESTIÓN DE RIESGOS EN ISO 14001:2015

La Norma ISO 14001:2015, uno de los estándares más populares del mundo para la gestión ambiental, incluye el tratamiento de Riesgos como uno de sus rasgos más relevantes.

En términos generales, ISO enfoca los sistemas de gestión como herramienta para reducir la incertidumbre propia del funcionamiento de las organizaciones, entendida como la falta de información que pueda ocasionar desviaciones sobre los resultados esperados.

En el caso de ISO 14001:2015 no se refiere al riesgo de daños al medio ambiente en sentido estricto –que deberían abordarse en la identificación de aspectos ambientales- si no de los riesgos relacionados con la gestión ambiental, incluyendo las expectativas de las partes interesadas en la organización.

Así pues, el análisis y la gestión del riesgo pasan a ser los motores de la mejora continua.

GESTIÓN DE RIESGOS EN LOS REQUISITOS DE ISO 14001:2015

Se destaca la gestión del riesgo, desarrollado en los capítulos 6 y 9 de la Norma ISO 14001:2015.

Lo primero que conviene aclarar es que la Norma ISO 14001:2015 establece identificar los riesgos, pero no obliga a hacer una evaluación de riesgos como tal, adoptando las siguientes definiciones:

Riesgo:
Efecto de la incertidumbre.
Nota 1. Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2. Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la  comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3. Con frecuencia el riesgo se caracteriza por referencia a “eventos” potenciales y «consecuencias», o a una combinación de estos.
Nota 4. Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la ”probabilidad” asociada de que ocurra.

Riesgos y Oportunidades:
Efectos potenciales adversos (amenazas) y efectos potenciales beneficiosos (oportunidades).

El punto principal de la gestión de riesgos en los requisitos de ISO 14001:2015 se encuentra en el capítulo «6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades»:

6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades
Para planificar el SGA, se debe tomar en consideración:

  • Contexto de la organización
  • Requisitos de las partes interesadas
  • Riesgos y oportunidades

Estos riesgos y oportunidades deben identificarse en relación con:

  • Loas Aspectos ambientales significativos
  • Los Requisitos legales aplicables
  • Las Obligaciones voluntarias
  • Otros riesgos y oportunidades de negocio que interfieren con el SGA

Sobre esta base se deben planificar las acciones destinadas a abordar dichos riesgos y oportunidades, considerando:

  • las opciones tecnológicas,
  • los requisitos financieros,
  • los requisitos operacionales y
  • los requisitos de negocio;

Los propósitos que orientan la gestión de riesgos y oportunidades deben ser:

  • Asegurar los resultados previstos del SGA
  • Prevenir o reducir efectos no deseados
  • Lograr la mejora continua
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL

El objetivo de la gestión de riesgos y oportunidades es determinar el tratamiento a seguir con cada uno de ellos: eliminar, reducir o, si se considera aceptable, asumir dichos riesgos. La planificación de acciones debe incluir qué acción se va a abordar, con qué recursos, quién va a ejecutarla, cuándo, y cómo se va a evaluar su eficacia. De esta plan de acción nacen los objetivos ambientales de la organización.

La Alta Dirección puede tratar eficazmente sus riesgos y oportunidades mediante una integración de la Gestión Ambiental en sus procesos de negocio, dirección estratégica y toma de decisiones, incorporando la gestión ambiental en su sistema de gestión global.

Las cuestiones vinculadas con la gestión de riesgos también se tratan en el capítulo 9, en lo referente a la Revisión por la alta dirección, la cual tiene la responsabilidad de revisar los eventuales cambios que se produzcan en los riesgos y oportunidades identificados.

La dirección de la organización puede tratar de forma eficaz los riesgos y las oportunidades mediante la integración de la gestión ambiental en sus procesos de negocio.

RIESGOS Y OPORTUNIDADES RELACIONADOS CON LA GESTIÓN AMBIENTAL

Tal como se ha mencionado, “Riesgos y oportunidades” se define en ISO 14001: 2015 cláusula 3.2.11 como posibles efectos adversos (amenazas) y posibles efectos beneficiosos (oportunidades).

Con esta definición se busca que las organizaciones centren principalmente su atención en los resultados relacionados  con las determinaciones de riesgo, incluidos los efectos tanto positivos como negativos, en lugar de simplemente la incertidumbre relacionada con la ocurrencia de eventos.

La clave para recordar acerca de estos nuevos requisitos es que no todos los riesgos y oportunidades que enfrenta una organización deben incluirse en esta determinación de riesgos, sino sólo aquellos que resulten pertinentes.

Para definir esto, en primer lugar debe haber un nexo o conexión con el Sistema de Gestión Ambiental (SGA), como por ejemplo los riesgos asociados a la eliminación de desechos peligrosos. De acuerdo con ISO 14001, la organización debe considerar la relación que tiene un riesgo particular con:

  • Los problemas ambientales importantes de la organización (su «contexto»)
  • Los requisitos del SGA de la organización, incluidas sus requisitos legales y reglamentarios
  • El alcance definido del sistema de gestión ambiental de la organización

Esta determinación de riesgo (amenazas y oportunidades) puede ser subjetiva, es decir, basarse en las opiniones, interpretaciones y juicios de los miembros de la organización. No tiene por qué ser una determinación objetiva. No tiene que basarse en números, cálculos u hojas de cálculo, aunque puede serlo si una organización así lo decide.

La determinación de qué riesgos y oportunidades se abordarán en el SGA es decisión de la organización. No es necesario que se base en lo que cualquier parte interesada en particular o el auditor del sistema de gestión crea que debería ser la decisión. Para cumplir con la norma ISO 14001:2015, una organización simplemente necesita poder demostrar que consideró los factores de nexo enumerados anteriormente cuando tomó sus determinaciones de riesgo para el SGA.

Un enfoque adecuado para este análisis es tomar como punto de partida a los aspectos ambientales de la organización.

Los aspectos ambientales hacen referencia al potencial impacto que pueden tener sobre el medio ambiente los procesos de negocios de una determinada organización.

Estos impactos, que pueden ser negativos o positivos, deben ser identificados y medidos, de tal forma que sea posible tomar medidas para minimizarlos o eliminarlos. Ello se logra mediante el control de los aspectos ambientales. Es esta la forma en que se puede lograr este propósito, y a ello apuntan los requisitos de la norma ISO 14001.

Ejemplo: en una organización que utiliza productos químicos tóxicos en sus procesos productivos, el uso y la posterior eliminación de esos desechos químicos, implica considerar varios aspectos ambientales.

Un posible derrame de los compuestos puede ser uno de esos aspectos ambientales. ¿Qué acciones preventivas se pueden tomar para minimizar ese riesgo? Una opción es contar con los servicios de una organización dedicada al transporte de residuos, calificada y certificada, que pueda manipular estos productos con seguridad y de acuerdo con los requerimientos legales locales.

14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL

¿CUÁLES SON LOS RIESGOS Y LAS OPORTUNIDADES EN ISO 14001?

Los impactos que resultan de los aspectos ambientales, son un riesgo evidente para la organización y el negocio, pero no son los únicos riesgos que reconoce la norma ISO 14001:2015.

La razón es clara. Los riegos y las oportunidades que considera la norma, y que están incluidos en la sección 6.1.1, que habla de la planificación, son los siguientes:

  • Asegurarse de que el Sistema de Gestión Ambiental cumple con los resultados esperados.
  • Prevenir o reducir los efectos no deseados o los efectos potenciales de la organización.
  • Asegurar la mejora continua del sistema.

De lo anterior se deduce que es necesario identificar los riesgos y las oportunidades para el SGA, priorizar aquellos que deban ser abordados, documentar y conservar la documentación sobre ellos.

Por supuesto, existe una relación entre los aspectos ambientales y los riesgos y oportunidades en el SGA. Los aspectos ambientales, no son los únicos riesgos que afronta el Sistema de Gestión Ambiental, aunque sí son un punto de partida importante.

Los riesgos también pueden aparecer, como consecuencia de requerimientos legales o de los cambios en ellos, de la información de los clientes o la obtenida con base en investigaciones de mercado, de la modificación de procesos productivos, de las sugerencias de algunos empleados o incluso de los comentarios de otras partes interesadas diferentes a las mencionadas.

Una vez se han identificado los riesgos que deben ser abordados, es necesario planificar acciones para gestionarlos. Esto puede ayudar a su organización a tomar decisiones en lo relacionado con la definición de objetivos ambientales.

¿ISO 14001: 2015 REQUIERE UNA EVALUACIÓN FORMAL DE RIESGOS?

Desde la publicación de la versión vigente de ISO 14001, en septiembre de 2015, quienes participaron en la redacción de la norma han sido enfáticos al decir que no.

De modo que depende de la organización decidir qué enfoques de evaluación de riesgos son apropiados. La organización tiene total discreción para determinar lo que cree que es mejor para su conjunto único de circunstancias., y puede elegir los métodos, enfoques o criterios de evaluación que desee.

Puede utilizar un enfoque cualitativo o puede utilizar un enfoque cuantitativo. Puede utilizar un enfoque único o una combinación de enfoques. Puede crear una única matriz maestra de riesgos o puede utilizar un registro de riesgos combinado.

Estos procesos de evaluación de riesgos pueden ser un componente de sus otros procesos del SGA, pueden ser parte de otros procesos comerciales o pueden configurarse como un proceso separado. Depende totalmente de la organización decidir qué proceso o procesos utilizará, y deben documentarse en la medida necesaria para tener la confianza de que se llevan a cabo según lo planificado.

Una vez que se completa la determinación del riesgo, la organización debe registrar los resultados, manteniendo información documentada de los riesgos y oportunidades que deben abordarse dentro de su SGA.

Desde luego, la Norma ISO 14001:2015 no especifica un número requerido de riesgos y oportunidades que deban abordarse. Se requiere que la organización determine los riesgos y oportunidades relacionados con:

  • Los elementos de sus actividades, productos y servicios que pueden interactuar con el medio ambiente (es decir, sus aspectos)
  • Sus requisitos legales y otros requisitos que la organización debe cumplir o decide cumplir (sus obligaciones de cumplimiento)
  • Otros problemas y requisitos que identificó en su determinación de contexto
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL

 

CÓMO INCLUIR LOS RIESGOS EN EL SISTEMA DE GESTIÓN AMBIENTAL

Como queda dicho, la Norma ISO 14001:2015 no establece requisitos formales para la gestión de riesgos, ni la obligatoriedad de un proceso documentado, en virtud de lo cual depende de cada organización definir la metodología a utilizar para identificar sus riesgos y oportunidades.

Esta metodología puede ser un simple proceso cualitativo o una evaluación más compleja que considere también aspectos cuantitativos, siendo la más adecuada aquella metodología que considere el contexto de la organización (su tamaño, cultura, tipo de producto/servicio, mercado en el actúa, etc.).

Como una guía, podrían considerarse los procesos considerados en la familia de normas ISO 31000 y en la iniciativa del Committee of Sponsoring Organizations of the Treadway Commission (COSO).

La familia de normas ISO 31000: conjunto de normas sobre Gestión del riesgo codificadas por la International Organization for Standardization ISO. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de riesgos y el proceso implementado en el nivel estratégico y operativo.

GESTIÓN DE RIESGOS ISO 31000
GESTIÓN DE RIESGOS ISO 31000

En la actualidad, la familia ISO 31000 incluye:

  • ISO 31000:2018 – Gestión de riesgos – principios y directrices
  • ISO/IEC 31010:2019 – Gestión de riesgos – técnicas de evaluación del riesgo
  • ISO Guide 73:2009 – Gestión de riesgos–vocabulario

Algunas definiciones relacionadas con la familia ISO 31000:

  • Riesgo. Efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos; y también que los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).

  • Incertidumbre. Es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.

  • Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
 

En cuanto a la iniciativa del Committee of Sponsoring Organizations of the Treadway Commission (COSO), que es patrocinada conjuntamente desde 1985 por las cinco principales asociaciones profesionales con sede en Estados Unidos: la Asociación Americana de Contabilidad (AAA), el Instituto Americano de Contadores Públicos Certificados (AICPA), Financial Executives International (FEI), el Instituto de Auditores Internos (IIA ), y la Asociación Nacional de Contadores (ahora el Instituto de Contadores de Gestión [IMA]).

Totalmente independiente de cada una de las organizaciones patrocinadoras, la Comisión incluyó a representantes de la industria, la contabilidad pública, las empresas de inversión, y la Bolsa de Nueva York.

El primer presidente de la Comisión Nacional fue James C. Treadway, Jr., derivando de allí el nombre popular de «Comisión Treadway». En la actualidad, el Presidente de COSO es Robert Hirth.

El objetivo de COSO es proporcionar liderazgo en tres temas interrelacionados: la gestión del riesgo empresarial (Enterprise Risk Management – ERM), el control interno y la disuasión del fraude.

GESTION DE RIESGOS DE EMPRESAS - Enterprise Risk Management
GESTION DE RIESGOS DE EMPRESAS – Enterprise Risk Management

Con respecto a ERM, en 2004 COSO publicó Enterprise Risk Management – Marco Integrado, que define una metodología para tratar estos riesgos identificando los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio.

El ERM de COSO describe un Marco basado en Principios. Dicho marco provee:

  • La definición de administración de riesgos corporativos.
  • Los principios críticos y componentes de un proceso de administración de riesgos corporativos efectivo.
  • Pautas para las organizaciones sobre como mejorar su administración de riesgos
  • Criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se necesita para que lo sea.

  • Concepto de Administración de Riesgos Corporativos: “Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la organización, diseñado para identificar eventos potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.”

El marco que describe el ERM de COSO considera 8 componentes mutuamente relacionados:

  1. Ambiente Interno
  2. Establecimiento de Objetivos
  3. Identificación de Eventos
  4. Evaluación de Riesgos
  5. Respuesta al Riesgo
  6. Actividades de Control
  7. Información y Comunicación
  8. Monitoreo

En 2013 se publicó la tercera versión, COSO III. Esta revisión del marco COSO de riesgos se centró en mejorar aspectos como la agilidad de los sistemas de gestión de riesgos, una mayor concreción en lo que se consideraba comunicación e información, un mayor énfasis en la eliminación de riesgos, y la incorporación clara del concepto “consecución de los objetivos”.

La metodología COSO ERM 2017

El marco actual vigente para el control interno de los riesgos es el llamado COSO ERM 2017, también conocido como “COSO Enterprise Risk Management – Integrating with Strategy and Performance”.

Esta actualización mantiene el enfoque financiero de sus predecesores, pero, no obstante, su flexibilidad y estructura permite que sea utilizado indistintamente por cualquier tipo de actividad.

 

GESTIÓN DE RIESGOS AMBIENTALES

En el caso de que la organización decida ir más allá de lo que establece la norma ISO 14001:2015, y aplicar una gestión formal de los riesgos, una herramienta metodológica para llevar adelante una efectiva GESTION DE RIESGOS AMIBIENTALES es la Norma UNE 150008 – Análisis y evaluación del riesgo ambiental, que describe el método para analizar y evaluar el riesgo ambiental y establecer una eficaz gestión del mismo.

Este estándar es aplicable a emplazamientos, actividades y organizaciones de cualquier naturaleza y sector productivo, considerados tanto en conjunto como por unidades de proceso, y sirve además de referencia para la elaboración de informes en las fases de diseño, construcción, puesta en marcha, operación o explotación, así como para el desmantelamiento o demolición.

Este aspecto es tratado con más detalle en el siguiente artículo: GESTION DE RIESGOS AMBIENTALES

 

DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO
DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO

 

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

 

SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 - ISO 14001 - ISO 45001 - ISO 50001
SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 – ISO 14001 – ISO 45001 – ISO 50001

El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.