Gestión de la Calidad ISO 9001 – Gestión de la Energía ISO 50001 – Gestión de Riesgos ISO 31000 – Gestión Ambiental ISO 14001 – Gestión de SST ISO 45001
“La idea revolucionaria que define la frontera entre la era moderna y el pasado es el dominio del riesgo: la noción de que el futuro es más que un capricho divino y que los hombres y mujeres no son inermes frente a la naturaleza”.
Peter Bernstein
De acuerdo con lo que plantea en esta frase el economista y educador Peter Bernstein(EEUU, 1919 – 2009), cuyo desarrollo y refinamiento de la hipótesis del mercado eficiente lo convirtió en una de las mayores autoridades en economía, resulta fundamental para el futuro de cualquier organización que ésta dedique ingentes esfuerzos a dominar el riesgo.
Y una buena manera de dominar el riesgo es a través de la Gestión del Riesgo, cuyo paso inicial requiere de una herramienta que ofrezca una clara visualización de datos para comunicar los riesgos específicos que enfrenta una organización: un Mapa de Riesgos.
Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:
Anticiparse a los problemas para poder resolverlos de manera eficiente
Aprovechar las oportunidades cuando éstas se presenten
Un Mapa de Riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.
WEBINAR GRATUITO: CREA TU MAPA DE RIESGOS EN TRES SEMANAS
En este webinar con Adriana Garavaglia, arquitecta, especialista en gestión de proyectos, PMP (R) certificada y quien tiene experiencia en gestión de riesgos, y Hugo González, ingeniero civil, Auditor Líder IRCA – DNV de Sistemas de Gestión de la Energía y con experiencia en la implementación de sistema de gestión de riesgos (ISO 31000), energía (ISO 50001), calidad (ISO 9001) y otros, podrás conocer los aspectos clave de una hoja de ruta para crear un mapa de riesgos en tan solo tres semanas.
El objetivo es lograr que tu organización o proyecto incremente las posibilidades de alcanzar los resultados planeados y puedan detectar las oportunidades que representa el contexto actual para la misma.
Completa tus datos y reserva ya tu lugar para el webinar, completando nuestro formulario.
Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:
Anticiparse a los problemas para poder resolverlos de manera eficiente
Aprovechar las oportunidades cuando éstas se presenten
Un mapa de riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.
En términos generales, un Mapa de Riesgos a menudo consiste en un gráfico con dos ejes, en el cual se representan los conceptos de Probabilidad, Impacto y Nivel del riesgo (Probabilidad x Impacto) asociados a cada riesgo.
Pero en realidad, al ver con más atención, este tipo de herramienta gráfica también aporta otra información acerca de cómo gestiona el riesgo una organización, ya que pueden interpretarse, entre otros, los siguientes aspectos:
Nivel de Riesgos
Criterios de Riesgos
Tolerancia al riesgo
Capacidad de riesgo
Consecuencias
Un Mapa de Riesgos se considera un componente crítico de la gestión de riesgos empresariales porque ayuda a determinar los riesgos que requieren más atención.
PASOS A SEGUIR PARA ELABORAR UN MAPA DE RIESGOS
Un Mapa de Riesgos es el resultado gráfico de la Evaluación del Riesgo, el cual a su vez constituye un proceso global de:
Identificación del Riesgo
Análisis del Riesgo
Valoración del Riesgo
La identificación de los riesgos inherentes es el primer paso para crear un mapa de riesgos.
El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.
Los riesgos se pueden dividir en múltiples categorías, de acuerdo a las necesidades de cada organización, como por ejemplo riesgo estratégico, riesgo de cumplimiento, riesgo operacional, riesgo financiero, riesgo de reputación, etc.
Una buena estrategia para identificar los riesgos para el negocio consiste en revisar plan de negocio y determinar de qué no se podría prescindir, y qué tipo de incidentes podrían afectar las distintas áreas.
También, una práctica que puede resultar de utilidad para identificar riesgos es que en la organización se planteen las siguientes preguntas:
¿Cuándo, dónde, por qué y cómo es probable que sucedan riesgos en el negocio?
¿Existen riesgos internos?
¿Existen riesgos externos?
¿Quién podría estar involucrado o afectado si ocurre un incidente?
¿Cómo afecta la pérdida de la fuente de alimentación?
¿Y si no se cuenta con acceso a internet?
¿Es posible que los documentos clave para la organización sean destruidos?
¿Cómo se hace la toma de decisiones ante la renuncia de uno los mejores miembros del personal?
¿Los proveedores tienen capacidad suficiente?
¿Qué ocurre si se bloquean las carreteras y comunicaciones?
El próximo paso en el mapeo de riesgos consiste en desarrollar el Análisis del riesgo, cuyo propósito es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo:
Nivel de riesgo = impacto x probabilidad
Esto implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
Para analizar un riesgo, se debe determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo que ha identificado.
Ejemplo de escala de Probabilidad:
Grado probabilidad 4 «Muy probable»: Sucede más de una vez al año en esta industria.
Grado probabilidad 3 «Probable»: Sucede aproximadamente una vez al año en esta industria.
Grado probabilidad 2 «Improbable»: Ocurre cada 10 años o más en esta industria.
Grado probabilidad 1 «Muy improbable»: No ha sucedido ninguna vez en esta industria.
Ejemplo de escala de Impacto
Tipo de impacto 4 «Grave»: Pérdidas financieras superiores a USD 100.000
Tipo de impacto 3 «Alto»: Pérdidas financieras entre USD 50.000 y USD 100.000
Tipo de impacto 2 «Moderado»: Pérdidas financieras entre USD 10.000 y USD 50.000
Tipo de impacto 1 «Bajo»: Pérdidas financieras de menos de USD 10.000
Una vez analizados los riesgos que fueron identificados, el paso siguiente en la construcción del Mapa de Riesgos corresponde a la Valoracióndel riesgo, cuyo propósito es apoyar a la toma de decisiones.
La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una acción adicional.
Ejemplo de escala de valoración de riesgos
Riesgo Crítico: Necesita tratamiento en forma inmediata
Riesgo Alto: Necesita tratamiento dentro de 1 mes
Riesgo Medio: Necesita tratamiento dentro de los próximos 3 meses
Riesgo Bajo: Actualmente no requiere tratamiento
Desde luego, estas escalas son indicativas y pueden cambiar de una empresa a otra dependiendo, por ejemplo, de la dinámica de la industria o de las características específicas de cada organización.
Se debería tomar en consideración el área del gráfico que corresponde a una probabilidad muy baja de ocurrencia y un impacto muy alto, allí se ubican los eventos denominados «Cisnes Negros», término popularizado por Nassem Taleb en su famoso libro El cisne negro: el impacto de lo altamente improbable.
Un mapa de riesgos ofrece una visión integral de la probabilidad y el impacto de los riesgos de una organización, que ayuda a mejorar la gestión de riesgos al priorizar los esfuerzos que se deben efectuar.
Esta priorización de riesgos permite enfocar los recursos en los riesgos más potencialmente dañinos identificados en el Mapa de Riesgos.
Un mapa de riesgos también facilita la comunicación interna entre los diversos sectores de la organización sobre los riesgos inherentes a ésta. También ayuda a las distintas organizaciones a visualizar los riesgos en relación entre sí, y guía el desarrollo de una evaluación de control de cómo enfrentar los riesgos y las consecuencias de esos riesgos.
El mapa puede ayudar a la empresa a visualizar cómo los riesgos en una parte de la organización pueden afectar las operaciones de otra unidad de negocio dentro de la organización.
Un mapa de riesgos también agrega precisión a la estrategia de evaluación de riesgos de una organización e identifica brechas en los procesos de gestión de riesgos de una organización.
El Mapa de Riesgos proporciona información integrada sobre la exposición global de la organización, sintetiza el valor económico de los riesgos asumidos, y favorece la exploración de las fuentes de tales riesgos
Se comprende entonces que construir un mapa de riesgos trae valiosos beneficios:
Comprender el entorno de riesgo: La gestión de riesgos comienza con la creación de una lista de todos los riesgos que enfrenta su organización. Dependiendo de su industria, este número puede variar de unos pocos a cientos.
El mapeo de riesgos es beneficioso porque requiere que evalúe cada riesgo y sus causas y consecuencias individualmente. También le permite observar su entorno de riesgo en su conjunto y comprender cómo se comparan las frecuencias y la gravedad.
Finalmente, un mapa de riesgos es un elemento visual que cualquier persona de su organización puede usar para ver el panorama general de los riesgos más destacados en su industria o lugar de trabajo.
RECOMENDACIONES PARA CONSTRUIR UN MAPA DE RIESGOS
Involucrar al personal de la organización – Comité de Riesgos
Elaborar un Mapa de Riesgos requiere obtener y analizar información de diversas perspectivas de la organización, razón por la cual no es un proceso que deba ser realizado por una única persona, sino que se requiere de la participación de las personas que se desempeñan en las diversas actividades de la empresa, y que por lo tanto son las que conocen los riesgos asociados a éstas.
Definir un Comité de Riesgos, compuesto por personas que representan a las diversas áreas de la organización, es una adecuada iniciativa para asegurar el involucramiento del personal.
Entre las funciones más relevantes del Comité de Riesgos se pueden mencionar las siguientes:
Elaborar el Mapa de Riesgos.
Revisar, aprobar y recomendar los límites de exposiciones al riesgo.
Fijar límites y facultades para la toma de riesgos.
Asegurarse de que el perfil de riesgo de la organización esté acorde con los lineamientos establecidos por la Alta Dirección.
Verificar el desarrollo de un plan de contingencia.
Establecer políticas de riesgo para la organización.
Verificar el desempeño y la mejora de la Gestión del Riesgo.
Asegurarse de que la Alta Dirección cuente con la información sobre Riesgos necesaria para asegurar el éxito de la organización.
Promover el cumplimiento de los lineamientos sobre riesgos definidos por la organización.
Efectuar el monitoreo periódico del Mapa de Riesgos.
Definir Contextos para identificar los riesgos
A fin de identificar los riesgos para la organización de manera efectiva, una práctica recomendable consiste en definir diversos contextos a partir de los cuales se efectuará la identificación de los riesgos.
Algunos ejemplos de contextos son los siguientes:
Contexto Estratégico: Se define como la relación existente entre la organización y su entorno, la cual debe ser valorada a partir de la matriz FODA. En este contexto, también deben ser identificados todas las partes interesadas de la organización, tanto internas como externas.
Contexto Organizacional: Este contexto hace referencia a la definición de las políticas, objetivos y metas de la organización. La importancia de tener claramente definidos los objetivos radica en poder relacionarlos con los eventos de riesgo y así conocer el impacto que podría tener para la organización la materialización de un evento de riesgo.
Contexto Operativo: A escala a procesos o actividades se debe establecer para estas últimas los eventos de riesgo que pueden generar incertidumbre en el cumplimento de sus objetivos.
Comprensión de cada riesgo
La etapa de evaluación de cada riesgo debe contar con una sólida comprensión del negocio y de cómo los riesgos pueden afectar la capacidad para continuar con las operaciones, o representar oportunidades para la organización.
Cada área de la empresa debe analizar los procesos y procedimientos para establecer cómo pueden ser afectados por los riesgos identificados y describir cada uno de ellos para conocer sus posibles consecuencias, esto promueve el trabajo en equipo de la organización, hay mayor nivel de responsabilidad y colaboración, así como toma de conciencia.
También es importante ser coherente en la forma en que clasifica cada riesgo en términos de frecuencia y gravedad para que el producto final sea una descripción clara de cómo se comparan los riesgos entre sí.
Orientación sobre Gestión de Riesgos
Es posible que la consulta a los miembros de la propia organización no proporcione una comprensión suficiente y adecuada de los Riesgos, por lo que es recomendable recurrir a otras fuentes.
Un recurso habitual es prestar atención a organizaciones similares, y analizar estadísticas de la industria como ayuda para la Gestión de Riesgos.
También es factible consultar a un experto: una empresa de consultoría especializada en Gestión de Riesgos que ya ha realizado este tipo de trabajos puede representar una ayuda decisiva para definir y establecer un Mapa de Riesgos de manera efectiva, ahorrando tiempo y recursos de la organización.
Monitoreo del Mapa de Riesgos
Una vez creado y establecido el Mapa de Riesgos, éste representa una gran ayuda para administrar y mitigar los riesgos, pero es importante recordar que el panorama de riesgos cambia constantemente.
Así, es una actividad muy relevante revisar de manera periódica los análisis efectuados sobre riesgos, para verificar si el estado de los riesgos existentes ha cambiado y por lo tanto deben realizarse modificaciones en el mapa.
Al hacerlo, se asegura que el Mapa de Riesgos continúe siendo una herramienta útil y constante para la Gestión de Riesgos.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
En la actualidad las organizaciones enfrentan el reto de sobrevivir, de dar continuidad al negocio y superar los efectos económicos de esta pandemia de COVID-19 / Coronavirus.
Esta circunstancia pone de manifiesto la necesidad de reflexionar acerca de algunos aspectos de la actual crisis:
¿Es posible a nivel global identificar riesgos como la actual pandemia de COVID-19 / Coronavirus, y estar preparados por si ocurren?
Tratando de responder a esta pregunta, se puede considerar el trabajo que hacen expertos internacionales, provenientes de diversas áreas de experiencia, en el marco del Reporte Global de Riesgos del Foro Económico Mundial para el año 2020.
Este trabajo permite identificar y evaluar los riesgos más relevantes a nivel global clasificados en 5 categorías:
Economía
Medio ambiente
Geopolítica
Sociedad
Tecnología
La posterior evaluación que hacen estos expertos, permite determinar los riesgos más relevantes, tanto en lo referente a su probabilidad de ocurrencia como en el impacto que tendría en el caso de materializarse el riesgo.
En el Reporte Global mencionado, se puede verificar que para el año 2020 mayoritariamente ganan terreno los riesgos vinculados con el medio ambiente, como eventos de clima extremos, pérdida de biodiversidad, o desastres medioambientales ocasionados por la actividad humana.
Recién en décimo lugar, en términos de impacto, aparece el riesgo asociado a la propagación de enfermedades infeccionas.
Además, haciendo un resumen de los últimos cinco años, de los 10 riesgos principales en términos de impacto, según el Foro Económico Mundial, con excepción del año 2017, la propagación de enfermedades infecciosas aparece como uno de los 10 primeros riesgos.
Entonces, ahora que la actual Pandemia de COVID-19 / Coronavirus ha colapsado la economía mundial y ha impactado en todos los negocios desde una interrupción temporal hasta una interrupción total de sus operaciones, que se han presentado cuarentenas masivas, cierres comerciales obligatorios a gran escala, decenas de empleados enfermos y despedidos e interrupción masiva de la cadena de suministro e incluso la no continuidad del negocio, es natural que surja el siguiente cuestionamiento: ¿Por qué la Pandemia no fue considerada como una seria amenaza por las organizaciones?
Bueno, una posible explicación pueda estar dada por el fenómeno denominado Cisne Negro.
LA EMPRESA EN ENTORNOS INCIERTOS
Un Cisne Negro es un suceso con los tres atributos que siguen: rareza, impacto extremo y predictibilidad retrospectiva.
Es una rareza, pues habita fuera del reino de las expectativas normales, porque nada del pasado puede apuntar de forma convincente a su posibilidad.
Produce un impacto tremendo.
La naturaleza humana tiende a inventar explicaciones de su existencia después del hecho, con lo que se hace explicable y predecible.
Según esta definición, pueden ser ejemplos de Cisnes Negros los siguientes sucesos:
El ascenso de Hitler y la posterior guerra
La precipitada desaparición del bloque soviético
La difusión de Internet
El ataque terrorista al World Trade Center (9-11)
La Pandemia COVID-19 / Coronavirus
Este concepto de Cisne Negro proviene del extraordinario libro, con el mismo nombre, escrito en 2007 por Nassim Taleb.
La obra gira en torno a una pregunta: ¿Por qué no podemos identificar este fenómeno hasta que ya ha sucedido?
Según el autor, ello se debe a que los humanos nos empeñamos en investigar las cosas ya sabidas, olvidándonos de lo que desconocemos, lo que nos impide reconocer las oportunidades y nos hace demasiado vulnerables al impulso de simplificar, narrar y categorizar, olvidándonos de recompensar a quienes saben imaginar lo «imposible».
De este modo, trasladando este concepto de Cisne Negro desde una perspectiva global hacia el punto de vista de aquellas mujeres y hombres de negocios que deben tomar decisiones en las organizaciones, el efecto que genera es el de un entorno incierto, que puede asimilarse al Contexto VICA / VUCA, en el cual se destacan 4 conceptos:
Volatilidad: se producen cambios antes de lo esperado
Incertidumbre: no hay certezas acerca del futuro
Complejidad: varios factores a considerar
Ambigüedad: puede interpretarse de más de una manera
Estos 4 elementos dan nombre así al Contexto VICA o Contexto VUCA, por sus siglas en inglés (Volatility, Uncertainty, Complexity, y Ambiguity), usado por primera vez en los años 90 por el US Army War College para referirse al mundo multilateral que surgió después del final de la Guerra Fría y se caracterizó por ser más volátil, incierto, complejo y ambiguo que nunca antes en la historia.
El Contexto VICA / VUCA habla de hacer negocios en un entorno en el que las teorías, suposiciones, y presunciones pierden terreno frente a un entorno vulnerable en el que predomina lo aleatorio y en el que se deben encontrar y reconocer los riesgos.
De este modo, los entornos inciertos otorgan mayor relieve a la Gestión de Riesgos.
Entonces ¿Porqué reconocer los riesgos? Pues porque los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz, de modo que también deberíamos preguntarnos:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
ISO 31000 – GESTIÓN DE RIESGOS PARA EL ÉXITO DE LA ORGANIZACIÓN
Las directrices que propone la Norma ISO 31000:2018 están orientadas a gestionar eficazmente el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y a su contexto, a través de un enfoque común para gestionar cualquier tipo de riesgo y sin ser específico de una industria o un sector.
Este modelo de Gestión de Riesgos puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.
La implementación de un modelo de gestión de riesgos basado en las directrices de la norma ISO 31000 puede ayudar a las organizaciones a cerrar las brechas operativas derivadas de los riesgos que generan los entornos inciertos, y así estimular la consecución rentable de los objetivos de la organización, a través de la creación de un enfoque integral de la organización para la gestión de riesgos que facilita la comunicación y proporciona los pasos fundamentales sobre cómo diseñar, implementar y mejorar continuamente un marco para la gestión de riesgos.
La norma ISO 31000 establece claramente, a través de sus 8 principios, que el propósito de la gestión de riesgos es la creación y protección del valor de la organización.
Según los principios elementales que ISO 31000 define para una gestión del riesgo eficaz, ésta requiere cumplir con los siguientes elementos:
Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización.
Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.
Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.
Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.
Mejor información disponible: Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
Factores humanos y culturales: El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.
Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
INTEGRAR LA GESTIÓN DEL RIESGO EN LOS PROCESOS DE LA ORGANIZACIÓN
La integración de la gestión de riesgos puede resultar una actividad compleja, ya que depende de la comprensión de la estructura organizativa y el contexto. Las estructuras organizativas varían según el propósito, los objetivos, los objetivos y la complejidad de la organización.
Pero sin dudas, la adecuada identificación de riesgos a los que está vinculada la organización es un factor clave que puede favorecer esta integración, ya que el propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos.
Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada, y revisar el plan de negocio determinando de qué no podría prescindir, y qué tipo de incidentes podrían afectar las distintas áreas.
Una práctica que puede resultar de utilidad para identificar riesgos es que en la organización se planteen las siguientes preguntas:
¿Cuándo, dónde, por qué y cómo es probable que sucedan riesgos en el negocio?
¿Existen riesgos internos?
¿Existen riesgos externos?
¿Quién podría estar involucrado o afectado si ocurre un incidente?
¿Cómo afecta la pérdida de la fuente de alimentación?
¿Y si no se cuenta con acceso a internet?
¿Es posible que los documentos clave para la organización sean destruidos?
¿Cómo se hace la toma de decisiones ante la renuncia de uno los mejores miembros del personal?
¿Los proveedores tienen capacidad suficiente?
¿Qué ocurre si se bloquean las carreteras y comunicaciones?
Y en particular a la actual situación, preguntas que ayudan a identificar los riesgos vinculados a la Pandemia:
¿En qué medida la situación afecta o puede llegar a afectar al sector en el que opera la organización?
¿La organización está preparada para recibir y enviar productos u ofrecer servicios manteniendo las medidas de seguridad y salud necesarias en la actualidad?
¿Los empleados y la estructura tecnológica de la organización son adecuadas para asumir el trabajo en casa, o teletrabajo, como una forma de producción prevista para un periodo de tiempo considerable?
¿La organización ha previsto formas de reemplazar reuniones internas y externas a través de sistemas de comunicación?
¿Se han previsto acciones para minimizar el impacto de diferentes escenarios de duración de medidas extraordinarias?
¿Existen alternativas para mantener operativo el negocio de acuerdo con las diferentes circunstancias?
¿Se puede aprovechar este momento para avanzar en otros aspectos que puedan ayudar a superar después la situación?
BENEFICIOS DE LA INTEGRACIÓN DE LA GESTIÓN DE RIESGOS
A través de las directrices que define ISO 31000, las organizaciones pueden contar con un marco de gestión de riesgos que garantiza que el proceso de gestión de riesgos forme parte de todas las actividades en toda la organización, incluida la toma de decisiones, y que los cambios en contextos externos e internos se capten adecuadamente.
Las organizaciones pueden mejorar continuamente la idoneidad, la adecuación y la eficacia del marco de gestión de riesgos y la forma en que se integra el proceso de gestión de riesgos.
La integración de la gestión de riesgos en una organización es un proceso iterativo y dinámico que no cuenta con una forma de aplicación universal, que debe adaptarse a las necesidades y la cultura de cada organización, razón por la cual la gestión de riesgos debe ser parte de, y no estar aislada del propósito organizativo, gobierno, liderazgo y compromiso, estrategia, objetivos y operaciones.
Además, la Norma ISO 31000 proporciona directrices y no requisitos de cumplimiento, de modo que las organizaciones pueden elegir qué parte de las recomendaciones desean seguir para administrar el riesgo de manera adecuada.
Tal como se ha visto, el Riesgo es un concepto que bien se podría catalogar como vital, por su vínculo con todas las actividades que efectúan las organizaciones, de forma tal que no hay actividad en los negocios o de cualquier asunto, que no implique asumir un riesgo.
Todas las organizaciones, grandes o pequeñas, de capital privado o del ámbito publico, industriales o de servicios, se enfrentan a factores internos y externos que le restan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es lo que se define como “Riesgo” y es inherente a todas las actividades.
Para entender, analizar, valorizar, gerenciar y decidir sobre la manera como prevenir la gestión corporativa frente al riesgo, la dirección moderna de las empresas concibió una disciplina denominada “Administración de Riesgos” o “Gestión de Riesgos”, que representa un conjunto de estrategias que a partir de los recursos (físicos, humanos y financieros) limitados, busca mantener la estabilidad financiera de la empresa protegiendo sus activos e ingresos de los riesgos a que está expuesta; y también aprovechar las oportunidades que podrían estar asociadas a dichos riesgos.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
El Cisne Negro, Nassim Nicholas Taleb (2007)
The Global Risks Report 2020, World Economic Forum
ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
ISO 31000 GESTIÓN DE RIESGOS – PREGUNTAS FRECUENTES
En el marco del recientemente realizado I FORO PARA MANEJO DE CRISIS Y LA CONTINUIDAD DE NEGOCIO, los asistentes efectuaron numerosas preguntas, algunas de las cuales fueron respondidas durante la emisión del evento, pero muchas quedaron con una respuesta pendiente.
Este artículo recopila una parte sustancial de las preguntas que efectuó la audiencia de la conferencia «ISO 31000. IMPACTO DE LA GESTIÓN DE RIESGOS EN LA CONTINUIDAD DEL NEGOCIO» que se desarrolló durante el I FORO PARA MANEJO DE CRISIS Y LA CONTINUIDAD DE NEGOCIO, y que también suelen ser consultas frecuentes entre las organizaciones que muestran interés por establecer una gestión del riesgo que resulte parte de la gobernanza y el liderazgo de la organización, y que comprenda una actividad fundamental en la manera en que se gestiona la organización en todos sus niveles, contribuyendo a la mejora de los sistemas de gestión.
¿La implementación de las directrices que establece ISO 31000 para la Gestión del Riesgo, se agiliza si la organización practica la Gestión por Procesos?
Sí, efectivamente. Para una organización que es gestionada por procesos resultan parte de su naturaleza los principios en los que se basa la Norma ISO 31000 y que proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.
Los siguientes son los principios que conforman el fundamento de la gestión del riesgo:
Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización.
Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.
Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.
Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.
Mejor información disponible: Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
Factores humanos y culturales: El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.
Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
¿Los criterios de los riesgos están definidos en la norma o son definidos por cada organización?
La Norma ISO 31000 proporciona algunas definiciones, para precisar los conceptos centrales a los que se refiere, pero no especifica criterios para análisis, los que deben ser establecidos por cada organización.
De este modo, es la organización la que debería precisar cantidad y tipo de riesgo que puede o no puede tomar con relación a los objetivos. También debería definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de decisiones.
Estos criterios se deberían alinear con el marco de referencia de la gestión del riesgo y adaptar al propósito y al alcance específicos de la actividad considerada, reflejando los valores, objetivos y recursos de la organización, en total coherencia con las políticas y declaraciones acerca de la gestión del riesgo.
Mejora la integración de los riesgos y oportunidades con la estrategia definida por la empresa.
Asegura que el costo del control de riesgos es justificable y acorde con las necesidades de la empresa.
Mejora la evaluación de los riesgos y el control de sus efectgos.
Aumenta la probabilidad de lograr los objetivos que la organización se plantea.
Fomenta la gestión proactiva.
Mejora la identificación de oportunidades y amenazas.
Ayuda a cumplir con los requisitos legales y normativos aplicables, y otros requisitos.
Mejora la información financiera y la gestión empresarial.
Mejora la confianza de las partes interesadas.
Establece una base fiable para la toma de decisiones y planificación.
Mejora los controles implementados para los riesgos que se materializaron en la empresa.
Mejora la eficacia y la eficiencia operacional.
Minimiza las pérdidas ante un incidente.
Mejora el aprendizaje organizativo.
¿Cuál es la diferencia entre las Normas ISO 22301 y 31000?
Si bien están relacionadas, estas normas se ocupan de diferentes aspectos.
La norma ISO 31000 es un estándar de carácter internacional que proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier tipo de organización y a su contexto. Proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es específico de una industria o un sector.
Puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.
En cambio, la Norma ISO 22301especifica la estructura y los requisitos para implementar y mantener un Sistema de Gestión de la Continuidad del Negocio (BCMS, por sus siglas en inglés) que desarrolle la continuidad del negocio apropiada para la cantidad y el tipo de impacto que la organización puede aceptar o no después de una interrupción.
Los resultados de mantener un BCMS están determinados por los requisitos legales, reglamentarios, organizativos e industriales de la organización, los productos y servicios proporcionados, los procesos empleados, el tamaño y la estructura de la organización, y los requisitos de sus partes interesadas.
Un BCMS enfatiza la importancia de:
Comprender las necesidades de la organización y la necesidad de establecer políticas y objetivos de continuidad del negocio;
Operar y mantener procesos, capacidades y estructuras de respuesta para garantizar que la organización sobreviva a las interrupciones;
Monitorear y revisar el desempeño y la efectividad del BCMS;
Mejora continua basada en medidas cualitativas y cuantitativas.
¿Cómo define el riesgo la Norma ISO 31000?
La norma ISO 31000 no sólo concibe el riesgo de manera negativa, sino que lo define como la exposición a la incertidumbre, pudiendo ser las consecuencias de esta incertidumbre tanto positivas como negativas. Con mayor detalle, de lo que se ocupa la Gestión de Riesgos es de analizar las desviaciones producidas con respecto a lo previsto, para una vez identificadas poder maximizar aquellas vistas como oportunidades y minimizar las consideradas amenazas. De esta forma, es posible mejorar las decisiones y resultados.
Específicamente, ISO 31000 define al Riesgo como el efecto de la incertidumbre sobre los objetivos.
Esta definición consta de las siguientes notas aclaratorias:
NOTA 1: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
NOTA 2: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.
NOTA 3: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo, eventos, potenciales, sus consecuencias y sus probabilidades.
¿Qué debe tener en cuenta una empresa para la Identificación del riesgo?
El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.
A fin de identificar los riesgos, una organización puede utilizar la técnica o método que le resulte más apropiado, y se deberían tomar en cuenta los siguientes aspectos:
Las fuentes de riesgo tangibles e intangibles;
Las causas y los eventos,
Las amenazas y las oportunidades;
Las vulnerabilidades y las capacidades;
Los cambios en los contextos externo e interno;
Los indicadores de riesgos emergentes;
La naturaleza y el valor de los activos y los recursos;
Las consecuencias y sus impactos en los objetivos;
Las limitaciones de conocimiento y la confiabilidad de la información;
Los factores relacionados con el tiempo;
Los sesgos, los supuestos y las creencias de las personas involucradas.
¿Como se conforma el equipo de Gestión del Riesgo?
ISO 31000 no establece cómo se debe conformar el equipo de Gestión de Riesgos, aunque aclara que tanto la alta dirección como los órganos de supervisión de la empresa, cuando sea aplicable, deberían asegurar que la gestión del riesgo esté integrada en todas las actividades de la organización, y demostrar el liderazgo y compromiso:
Adaptando e implementando todos los componentes del marco de referencia;
Publicando una declaración o una política que establezca un enfoque, un plan o una línea de acción para la gestión del riesgo;
Asegurando que los recursos necesarios se asignan para gestionar los riesgos;
Asignando autoridad, responsabilidad y obligación de rendir cuentas en los niveles apropiados dentro de la organización;
De este modo, el equipo de personas a cargo de la Gestión del Riesgo es recomendable que esté conformado por personas de diversas áreas de la empresa, de forma tal que le proporcionen a su actividad diversos puntos de vista y diferentes perspectivas.
También, el equipo de Gestión del Riesgo debería contar con una asignación de recursos adecuada a sus actividades que puede incluir, pero no limitarse a:
Las personas, las habilidades, la experiencia y las competencias;
Los procesos, los métodos y las herramientas de la organización a utilizar para gestionar el riesgo;
Los procesos y procedimientos documentados;
Los sistemas de gestión de la información y del conocimiento;
El desarrollo profesional y las necesidades de formación.
La organización debería considerar las competencias y limitaciones de los recursos existentes.
¿Podría indicar ejemplos de Acciones Prácticas a implementar para iniciar la Gestión del Riesgo?
A fin de comenzar a poner en práctica la Gestión del Riesgo, una organización podría llevar adelante algunas de las siguientes iniciativas:
Identificación de los principales riesgos que pueden afectar a la organización.
Acciones para mitigar los riesgos identificados.
Compra de seguros contra pérdidas inesperadas significativas.
Contratación de outsourcing para procesos del negocio.
Compartir el riesgo con acuerdos o contratos con otras partes interesadas, como clientes, proveedores u otros socios de negocios.
Fortalecimiento del control interno en los procesos del negocio.
Diversificación/especialización de productos.
Establecimiento de límites a las operaciones y monitoreo.
Capacitación y formación sobre manejo del equipamiento.
Establecimiento de políticas.
Revisión periódica de los requisitos legales y de su cumplimiento.
Contratación de asesores externos especializados.
¿Cómo preparar a una empresa cuando los factores externos son extremadamente adversos, como en el caso de contingencias de tipo «Cisne Negro»?
Tal como se ha mencionado en el Foro, la gestión de riesgos en muchas organizaciones se basa en la identificación de riesgos en función de la experiencia de los equipos involucrados. Los eventos de baja probabilidad y alto impacto, conocidos como “Cisnes Negros”, no suelen formar parte de esa experiencia, y por tal razón, quedan por fuera de la gestión.
Así, resulta una práctica habitual concentrar los recursos de la empresa en el tratamiento de los riesgos más probables, en detrimento de aquellos que son apenas «posibles» y muy poco probables, pero que cuando ocurren tienen un impacto altísimo, como la actual pandemia del coronavirus COVID-19, con consecuencias muy importantes para las empresas.
Ampliando el rango de riesgos a analizar, incluyendo a los eventos de baja probabilidad y alto impacto, es muy probable que para una organización tengan consecuencias similares que inciden en mayor o menor medida en determinadas áreas:
Seguridad humana.
Afectaciones físicas a la estructura de atención inmediata.
Interrupción de la capacidad operacional a largo y medio plazo, incluyendo la cadena de suministro y los servicios financieros.
Estructura de comunicaciones.
Afectación de la marca.
Continuidad del negocio.
Preparación integral ante emergencias
¿Cuáles son los elementos del proceso de gestión de riesgos según ISO 31000?
Comunicación y consulta. Para ampliar información sobre esta fase, recomendamos ISO 31000 y la comunicación y consulta.
Definición del contexto, alcance y criterios
Evaluación del riesgo, que a su vez consta de identificación, análisis y valoración del riesgo
Tratamiento de los riesgos
Seguimiento y revisión
Registro de informes
¿Cuáles son los aspectos que se deben tomar en consideración para analizar los riesgos identificados?
El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo.
El análisis del riesgo implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia.
Se debe considerar también que un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles.
Las técnicas de análisis a utilizar pueden ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y del uso previsto.
El análisis del riesgo debería considerar factores tales como:
La probabilidad de los eventos y de las consecuencias;
La naturaleza y la magnitud de las consecuencias;
La complejidad y la interconexión;
Los factores relacionados con el tiempo y la volatilidad;
La eficacia de los controles existentes;
Los niveles de sensibilidad y de confianza.
¿Con qué frecuencia se deben valorar los riesgos o medir el riesgo residual?
ISO 31000 no establece frecuencia o período específico para revisar la valoración de riesgos, o para alguna otra etapa del proceso de Gestión de Riesgos. Sin embargo sí define como necesario el seguimiento y la revisión del proceso, con el propósito de asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso de Gestión del Riesgo.
El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas.
El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y proporcionar retroalimentación.
Los resultados del seguimiento y la revisión deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de informe de la organización.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
El Cisne Negros, Nassim Nicholas Taleb (2007)
ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).