iso 31000

CREA TU MAPA DE RIESGOS EN TRES SEMANAS

Publicado el 9 noviembre, 2021 por Ing. Hugo Gonzalez

CÓMO ELABORAR UN MAPA DE RIESGOS EN TRES SEMANAS

“La idea revolucionaria que define la frontera entre la era moderna y el pasado es el dominio del riesgo: la noción de que el futuro es más que un capricho divino y que los hombres y mujeres no son inermes frente a la naturaleza”.

Peter Bernstein

De acuerdo con lo que plantea en esta frase el economista y educador Peter Bernstein (EEUU, 1919 – 2009), cuyo desarrollo y refinamiento de la hipótesis del mercado eficiente lo convirtió en una de las mayores autoridades en economía, resulta fundamental para el futuro de cualquier organización que ésta dedique ingentes esfuerzos a dominar el riesgo.

Y una buena manera de dominar el riesgo es a través de la Gestión del Riesgo, cuyo paso inicial requiere de una herramienta que ofrezca una clara visualización de datos para comunicar los riesgos específicos que enfrenta una organización: un Mapa de Riesgos.

Un Mapa de Riesgos es una potente herramienta de visualización de datos para comunicar los riesgos específicos que enfrenta una organización.

Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:

Anticiparse a los problemas para poder resolverlos de manera eficiente
Aprovechar las oportunidades cuando éstas se presenten

Un Mapa de Riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.

De este modo, contar con un Mapa de Riesgos en tres semanas es un logro de gran relevancia para cualquier organización.

WEBINAR GRATUITO: CREA TU MAPA DE RIESGOS EN TRES SEMANAS

WEBINAR - Crea un mapa de riesgos en tres semanas — WEBINAR – Crea un mapa de riesgos en tres semanas

En este webinar con Adriana Garavaglia, arquitecta, especialista en gestión de proyectos, PMP (R) certificada y quien tiene experiencia en gestión de riesgos, y Hugo González, ingeniero civil, Auditor Líder IRCA – DNV de Sistemas de Gestión de la Energía y con experiencia en la implementación de sistema de gestión de riesgos (ISO 31000), energía (ISO 50001), calidad (ISO 9001) y otros, podrás conocer los aspectos clave de una hoja de ruta para crear un mapa de riesgos en tan solo tres semanas.

El objetivo es lograr que tu organización o proyecto incremente las posibilidades de alcanzar los resultados planeados y puedan detectar las oportunidades que representa el contexto actual para la misma.

Completa tus datos y reserva ya tu lugar para el webinar, completando nuestro formulario.

CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ

Publicado el 14 septiembre, 202017 marzo, 2022 por Ing. Hugo Gonzalez

CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ

Identificación de riesgos

La identificación de los riesgos inherentes es el primer paso para crear un Mapa de Riesgos, y suele requerir un enfoque multidisciplinario dado la amplia gama de causas y
consecuencias.

El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.

En esta fase se identifican de forma sistemática las posibles causas concretas de los riesgos empresariales, así como los diversos y posibles efectos que debe afrontar la organización.

En general, la percepción del riesgo como amenaza es el sistema más utilizado para identificarlo. En este contexto, gestionar el riesgo significa instalar sistemas de control
que minimicen tanto la probabilidad de que ocurran sucesos negativos como su severidad. Es un enfoque de naturaleza defensiva, y su propósito es asignar recursos para reducir la probabilidad de sufrir impactos negativos.

Pero considerando la definición más precisa de Riesgo, que lo entiende como el Efecto de la incertidumbre sobre los objetivos, se entiende un concepto más amplio, ya que un efecto es una desviación respecto a lo previsto, que puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.

Entonces, desde la percepción del riesgo como oportunidad, la gestión significa utilizar técnicas que maximicen los resultados, limitando los posibles perjuicios o costos, obteniendo un enfoque de naturaleza ofensiva.

Identificación de riesgos. Factores a considerar

Con la finalidad de llevar adelante una eficaz identificación de riesgos, se requiere contar con información pertinente, apropiada y actualizada referida a:

La propia empresa
Mercado en el que opera
Partes interesadas
Contexto legal, social, político y cultural en el que se desenvuelve la organización.

Además, al momento de identificar sus riesgos, la organización debe considerar factores tales como:

Fuentes de riesgo tangibles e intangibles
Amenazas y oportunidades
Fortalezas y debilidades
Capacidades
Cambios en los contextos externo e interno
Naturaleza y valor de los activos y recursos
Eventuales consecuencias de los riesgos, y sus impactos en los objetivos
Limitaciones de conocimiento y de confiabilidad de la información

CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ

La identificación del riesgo permite tener en cuenta explícitamente la incertidumbre. Todas las fuentes de incertidumbre y los efectos tanto beneficiosos como perjudiciales pueden ser relevantes, según el contexto y el alcance de la evaluación.

Categorías de Riesgos

A fin de efectuar una identificación eficaz de los riesgos relacionados con la consecución de los objetivos de una organización, resulta de gran utilidad tomar en consideración las múltiples categorías en que se pueden agrupar estos riesgos.

Si bien existen categorías usualmente utilizadas para agrupar los diversos riesgos, la propia organización es la que debe establecer cuáles son las categorías que resulten más relevantes para su Gestión de Riesgos.

Así, si se clasifican según su Origen, los riesgos pueden ser:

Internos: están dentro de la propia organización, son intrínsecos de la empresa. Como la fijación de precios de productos y servicios, o los derivados de los procesos.
Externos: se encuentra fuera de la organización , y están definidos por el contexto en el que desempeña la empresa.

Considerando sus características, algunos ejemplos de tipos de riesgos son los siguientes:

- Estratégicos: se relacionan con las decisiones que toma la Alta Dirección sobre la gestión del negocio.
- Operacionales: como accidentes causados por materiales, equipos o ubicación de su trabajo.
- Comerciales: están relacionados con los contratos o compromisos asumidos con terceros.
- Pandemias: como coronavirus (COVID-19), influenza humana, gripe porcina o gripe aviar
- Legales y contractuales: como resolución de disputas, incumplimientos contractuales o regulatorios.
- Tecnológicos: relacionados con instrumentos, recursos técnicos o procedimientos empleados en las actividades de la empresa, como fallas en la red de computadoras, uso de equipos obsoletos, nuevas tecnologías aplicables.
- Reputacionales: están relacionados con la percepción que otras partes interesadas (consumidores, clientes, proveedores, etc.) tienen acerca de la organización.
- Políticos: cambios en las políticas regulatorias y gubernamentales, como restricciones de agua, restricciones de cuarentena, de emisiones de carbono e impuestos, etc.
- Financieros: relacionados con variaciones en el balance de la organización o en los mercados financieros.
- Sectoriales: factores que afectan especialmente al sector económico en el que se desenvuelve la empresa.
- Desastres naturales: como inundaciones, tormentas, incendios forestales y sequías
- Eventos globales: como interrupciones del tráfico aéreo
- Ambientales: eventos de cambio climático, derrames químicos y contaminación en general
- De mercado: por ejemplo, modelos de negocio obsoletos.
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ

Análisis del riesgo

El próximo paso en el mapeo de riesgos consiste en desarrollar el Análisis del riesgo, cuyo propósito es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo:

Nivel de riesgo = impacto x probabilidad

Esto implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.

Para analizar un riesgo, se debe determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo que se ha identificado.

Una vez determinado el Nivel de Riesgo, es posible priorizar los riesgos identificados, en función de la probabilidad de ocurrencia y el impacto de la materialización.

El principal beneficio de este proceso es que la priorización permite concentrar los recursos disponibles en aquellos riesgos que representan una mayor amenaza u oportunidad para la organización.

Un aspecto clave del Análisis del Riesgo es que este proceso sólo puede sustentarse en percepciones fundadas en un estudio objetivo, de manera de evitar sesgos que conduzcan a una toma de decisiones ineficiente.
A su vez, la objetividad necesaria en este proceso se logra mediante el énfasis puesto en la calidad de la información en que se basa la evaluación. Asimismo, es ampliamente recomendable realizar la evaluación en talleres o sesiones de trabajo grupales multidisciplinarias, donde se cuente con la participación de múltiples actores que puedan aportar perspectivas diferentes y opiniones expertas.
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
El Análisis del Riesgo puede llevarse a cabo con diferentes grados de detalle y complejidad, los que se establecen de acuerdo con aspectos tales como el propósito del análisis, la disponibilidad y la confiabilidad de la información, o los recursos disponibles.
Pero de manera independiente del grado de detalle y complejidad, el Análisis del Riesgo debería considerar factores tales como:
- Probabilidad de los eventos y sus consecuencias
- Naturaleza y magnitud de las consecuencias
- Factores relacionados con el tiempo y la volatilidad
- Eficacia de controles existentes
- Niveles de sensibilidad y de confianza.
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ

Técnicas para identificación y análisis de riesgos

Las técnicas para identificar y analizar el riesgo usualmente hacen uso del conocimiento y la experiencia de una variedad de partes interesadas, y toman en cuenta los siguientes aspectos:
- La incertidumbre existente y sus posibles efectos;
- Las circunstancias o problemas (tangibles o intangibles) que tienen el potencial de consecuencias futuras;
- Las fuentes de riesgo actuales y futuras;
- Eficacia de los controles actuales;
- Qué, cómo, cuándo, dónde y por qué pueden ocurrir eventos y consecuencias;
- Qué ha sucedido en el pasado y cómo esto podría relacionarse razonablemente con el futuro;
- Aspectos humanos y factores organizativos que pueden resultar aplicables.
También, y tal como ocurre en el caso de la categorías de riesgos, las técnicas para identificación y análisis de riesgos también son variadas y es la propia organización la que debe definir cuáles son las que más se adecuan a sus necesidades.

Entre estas técnicas para identificación y análisis de riesgos, se pueden incluir:
- Métodos basados en evidencia, como revisiones de la literatura y análisis de datos históricos
- Métodos empíricos, que incluyen pruebas y modelos para identificar lo que podría suceder en circunstancias particulares
- Encuestas de percepción, que analizan las opiniones de una amplia gama de personas experimentadas o con el conocimiento suficiente
- Técnicas en las que el tema que se está considerando se divide en elementos más pequeños, cada uno de los cuales se considera a su vez utilizando métodos que plantean preguntas hipotéticas, como por ejemplo los métodos FMEA o HAZOP.
- Técnicas para fomentar el pensamiento imaginativo sobre las posibilidades del futuro, como el análisis de escenarios
- Listas de verificación y clasificaciones basadas en datos pasados o modelos teóricos
En términos generales, las listas de verificación y clasificaciones son un tipo de técnicas ampliamente difundido, y se utilizan durante la evaluación de riesgos de diversas formas, como para ayudar a comprender el contexto, identificar el riesgo y agrupar los riesgos para diversos fines durante el análisis.

Tienen mucha utilidad también en la gestión de riesgos, por ejemplo, para clasificar controles y tratamientos, para definir responsabilidades, o para informar y comunicar los riesgos.

Listas de verificación y clasificaciones basadas en datos pasados o modelos teóricos se pueden diseñar para aplicarlas a nivel estratégico u operativo, y es posible aplicarlas mediante la elaboración de cuestionarios, entrevistas, talleres estructurados o combinaciones de los tres, en forma presencial o remota.

Entre las técnicas para identificación y análisis de riesgos que más ampliamente se utilizan a nivel estratégico, se pueden mencionar las siguientes:

Análisis FODA

El Análisis FODA identifica factores en el contexto interno y externo para ayudar a establecer objetivos y las estrategias para lograrlos tomando en cuenta el riesgo. Su nombre viene dado por las iniciales de los elementos que conforman la Matriz de análisis:
- Fortalezas (factores positivos con los que se cuenta).
- Oportunidades (aspectos positivos que podemos aprovechar utilizando nuestras fortalezas).
- Debilidades (factores negativos que se deben eliminar o reducir).
- Amenazas (aspectos negativos externos que podrían obstaculizar el logro de nuestros objetivos).
Esta Matriz FODA también se conoce como Análisis FODA, DAFO, o Matriz SWOT, por sus siglas en inglés.

¿Qué es una matriz FODA?
Es una herramienta de análisis que puede ser aplicada a cualquier objeto de estudio en un determinado momento.
Permite obtener un cuadro de la situación actual del objeto de estudio, útil para la toma de decisiones, por lo que se aconseja que se realicen análisis sucesivos.

Objetivo de la matriz FODA
El objetivo de la Matriz FODA consiste en evaluar el equilibrio entre los recursos y las capacidades internas de una organización y las oportunidades y amenazas externas.

Resultado de la matriz FODA
El resultado del Análisis FODA es punto de referencia para crear las estrategias pertinentes, esto genera un modelo de negocio específico de acuerdo a los recursos y capacidades disponibles de la organización que se adapta al contexto en el que opera la empresa.

Se considera que los factores positivos y negativos, tanto dentro como fuera de la empresa, afectan a su éxito.

El análisis ayuda a visualizar la tendencias de cambios (presentes y futuros) en el contexto que podrían beneficiar el proceso de toma de decisiones de cualquier organización.

Análisis PESTLE

PESTLE, STEEP, STEEPLED, etc. son siglas que representan tipos de factores a considerar al establecer el contexto o identificar riesgos. Las letras representan las diferentes naturalezas de los factores a considerar:
- Político
- Económico
- Social
- Tecnológico
- Legal
- Ético
Se pueden seleccionar categorías relevantes para la situación particular y desarrollar listas de verificación para ejemplos de cada categoría.

Técnica estructurada «What – if»

El análisis what if (¿qué pasaría si…?) se usa en la etapa preliminar de la gestión cuando se comienzan a identificar los riesgos. Este método consiste en programar reuniones con expertos que conozcan en detalle un proceso concreto. En la reunión inicial se plantean interrogantes para evidenciar riesgos futuros. Las reuniones siguientes son para encontrar causas, consecuencias y acciones.

El objetivo es plantear posibles desviaciones en las actividades planificadas, y analizar las posibles consecuencias.

Análisis preliminar de riesgos (APR)

Esta metodología resulta de utilidad para identificar posibles riesgos al inicio de un proyecto o proceso. Como es un análisis sistémico, se aborda cada fase de un proceso específico. Al dividirlo en sus partes, se pueden asociar los riesgos generales a las etapas particulares. Se trata de un método inductivo.

Las categorizaciones generales de riesgo incluyen:
- Análisis de fuente de riesgo: por ejemplo precios de mercado, incumplimiento de la contraparte, fraude, peligros para la seguridad, etc .
- Consecuencia, aspectos o dimensiones de objetivos o desempeño.
Método de los «5 Porqués»

El propósito de este método para gestionar el riesgo es reconocer la causa raíz de un evento. Por medio de preguntas repetitivas, se identifican los orígenes de un evento de riesgo.

Esta metodología de riesgos consiste en un trabajo grupal en el que se presenta el problema y se plantean preguntas que lleven a descifrar su causa raíz. El número de preguntas que se haga dependerá de la complejidad del evento que se está analizando.

FMEA (failure mode and effective analysis)

El método FMEA busca identificar, clasificar y eliminar anticipadamente las fallas de los proyectos o de los procesos de una empresa.

Este método para gestionar el riesgo comienza con la identificación de los errores. Luego estos se clasifican puntuando los riesgos según la frecuencia, la gravedad y la detección. Después de haberlos clasificado y priorizado, se establecen las fallas más graves, que se atienden de manera prioritaria.

Lista de chequeo

Las listas de chequeo sirven para que una organización se asegure de que se están implementando las acciones pertinentes para dar tratamiento a los riesgos.

Este registro de requisitos busca hacer seguimiento de los riesgos y de las recomendaciones de tratamiento. Al frente de cada una de las condiciones se seleccionan las casillas que corresponden a las tareas que ya se hicieron.

Debido a esa facilidad de uso, este método de listas de chequeo se destaca por brindar una gran ayuda a la toma de decisiones.

Diagrama de Ishikawa

Es una representación gráfica en forma de espina de pescado que permite identificar las causas que afectan un determinado problema en una forma cualitativa. Este método de análiais es conocido como Diagrama de Causa – Efecto, Diagrama Espina de Pescado o Diagrama de Iskikawa en homenaje al nombre de su creador.

Se utiliza para descubrir de manera sistemática la relación de causas y efectos que afectan a un determinado problema. Adicionalmente permite separar las causas en diferentes ramas o causas principales conocidas como las 5 M:
- Métodos
- Mano de Obra
- Maquinaria
- Materiales
- Medio ambiente
Por medio de una lluvia de ideas o sesiones de creatividad, se intenta tener una mejor comprensión de las causas que originan una falla o un problema.

CÓMO SELECCIONAR TÉCNICAS PARA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS

Muchas de las técnicas mencionadas se desarrollaron originalmente para industrias particulares que buscan gestionar tipos particulares de resultados no deseados. Varias de las técnicas son similares, pero utilizan terminologías diferentes, lo que refleja su desarrollo independiente para un propósito similar en diferentes sectores.

Con el tiempo, la aplicación de muchas de las técnicas se ha ampliado, por ejemplo, extendiéndose desde aplicaciones de ingeniería técnica a situaciones financieras o administrativas, o para considerar resultados tanto positivos como negativos.

También han surgido nuevas técnicas y las antiguas se han adaptado a las nuevas circunstancias, de forma tal que tanto las técnicas como sus aplicaciones presentan una continua evolución.

Así, la organización debe seleccionar las técnicas para identificar y analizar los riesgos de forma tal que éstas cuenten con las siguientes características:

Ser justificable y apropiada a la situación o la organización.
Capaz de permitir la comprensión de la naturaleza del riesgo y como puede ser tratado.
Permitir su empleo en la empresa de una manera que resulte detectable, repetible y comprobable.

Entonces, estas técnicas se deben seleccionar sobre la base de factores tales como:

Objetivos del estudio.
Necesidades de funcionarios con poder de decisión.
Tipo de riesgos que están siendo analizados.
Magnitud potencial de las consecuencias.
Grado de experiencia, humano y otros recursos necesarios.
Disponibilidad de información y datos.
Capacidad de actualización de la evaluación de riesgo.

Orientación sobre Identificación y Análisis de Riesgos

Es posible que la consulta a los miembros de la propia organización no proporcione una comprensión suficiente y adecuada de los Riesgos, por lo que es recomendable recurrir a otras fuentes.

Un recurso habitual es prestar atención a organizaciones similares, y analizar estadísticas de la industria como ayuda para la Gestión de Riesgos.

También es factible consultar a un experto: una empresa de consultoría especializada en Gestión de Riesgos que ya ha realizado este tipo de trabajos puede representar una ayuda decisiva para definir y establecer un Mapa de Riesgos de manera efectiva, ahorrando tiempo y recursos de la organización.

Bibliografía:

- ISO 31000:2018 – Gestión del Riesgos – Directrices
- ISO IEC 31010:2019 – Risk management – Risk assessment techniques

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.

La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.

Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

- - ¿Cuáles riesgos pueden impedir el logro de la estrategia?
  - ¿Cuáles riesgos pueden representar oportunidades?
  - ¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
  - ¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión. Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO

CÓMO ELABORAR UN MAPA DE RIESGOS

Publicado el 4 julio, 202013 noviembre, 2020 por Ing. Hugo Gonzalez

CÓMO ELABORAR UN MAPA DE RIESGOS

Un Mapa de Riesgos es una potente herramienta de visualización de datos para comunicar los riesgos específicos que enfrenta una organización.

Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:

Anticiparse a los problemas para poder resolverlos de manera eficiente
Aprovechar las oportunidades cuando éstas se presenten

Un mapa de riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.

En términos generales, un Mapa de Riesgos a menudo consiste en un gráfico con dos ejes, en el cual se representan los conceptos de Probabilidad, Impacto y Nivel del riesgo (Probabilidad x Impacto) asociados a cada riesgo.

Pero en realidad, al ver con más atención, este tipo de herramienta gráfica también aporta otra información acerca de cómo gestiona el riesgo una organización, ya que pueden interpretarse, entre otros, los siguientes aspectos:

Nivel de Riesgos
Criterios de Riesgos
Tolerancia al riesgo
Capacidad de riesgo
Consecuencias

Un Mapa de Riesgos se considera un componente crítico de la gestión de riesgos empresariales porque ayuda a determinar los riesgos que requieren más atención.

PASOS A SEGUIR PARA ELABORAR UN MAPA DE RIESGOS

Un Mapa de Riesgos es el resultado gráfico de la Evaluación del Riesgo, el cual a su vez constituye un proceso global de:

Identificación del Riesgo
Análisis del Riesgo
Valoración del Riesgo

La identificación de los riesgos inherentes es el primer paso para crear un mapa de riesgos.

Los riesgos se pueden dividir en múltiples categorías, de acuerdo a las necesidades de cada organización, como por ejemplo riesgo estratégico, riesgo de cumplimiento, riesgo operacional, riesgo financiero, riesgo de reputación, etc.

Una buena estrategia para identificar los riesgos para el negocio consiste en revisar plan de negocio y determinar de qué no se podría prescindir, y qué tipo de incidentes podrían afectar las distintas áreas.

También, una práctica que puede resultar de utilidad para identificar riesgos es que en la organización se planteen las siguientes preguntas:

¿Cuándo, dónde, por qué y cómo es probable que sucedan riesgos en el negocio?
¿Existen riesgos internos?
¿Existen riesgos externos?
¿Quién podría estar involucrado o afectado si ocurre un incidente?
¿Cómo afecta la pérdida de la fuente de alimentación?
¿Y si no se cuenta con acceso a internet?
¿Es posible que los documentos clave para la organización sean destruidos?
¿Cómo se hace la toma de decisiones ante la renuncia de uno los mejores miembros del personal?
¿Los proveedores tienen capacidad suficiente?
¿Qué ocurre si se bloquean las carreteras y comunicaciones?

El próximo paso en el mapeo de riesgos consiste en desarrollar el Análisis del riesgo, cuyo propósito es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo:

Nivel de riesgo = impacto x probabilidad

Esto implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.

Para analizar un riesgo, se debe determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo que ha identificado.

Ejemplo de escala de Probabilidad:

Grado probabilidad 4 «Muy probable»: Sucede más de una vez al año en esta industria.
Grado probabilidad 3 «Probable»: Sucede aproximadamente una vez al año en esta industria.
Grado probabilidad 2 «Improbable»: Ocurre cada 10 años o más en esta industria.
Grado probabilidad 1 «Muy improbable»: No ha sucedido ninguna vez en esta industria.

Ejemplo de escala de Impacto

Tipo de impacto 4 «Grave»: Pérdidas financieras superiores a USD 100.000
Tipo de impacto 3 «Alto»: Pérdidas financieras entre USD 50.000 y USD 100.000
Tipo de impacto 2 «Moderado»: Pérdidas financieras entre USD 10.000 y USD 50.000
Tipo de impacto 1 «Bajo»: Pérdidas financieras de menos de USD 10.000

Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000

Una vez analizados los riesgos que fueron identificados, el paso siguiente en la construcción del Mapa de Riesgos corresponde a la Valoración del riesgo, cuyo propósito es apoyar a la toma de decisiones.

La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una acción adicional.

Ejemplo de escala de valoración de riesgos

Riesgo Crítico: Necesita tratamiento en forma inmediata
Riesgo Alto: Necesita tratamiento dentro de 1 mes
Riesgo Medio: Necesita tratamiento dentro de los próximos 3 meses
Riesgo Bajo: Actualmente no requiere tratamiento

Desde luego, estas escalas son indicativas y pueden cambiar de una empresa a otra dependiendo, por ejemplo, de la dinámica de la industria o de las características específicas de cada organización.

Se debería tomar en consideración el área del gráfico que corresponde a una probabilidad muy baja de ocurrencia y un impacto muy alto, allí se ubican los eventos denominados «Cisnes Negros», término popularizado por Nassem Taleb en su famoso libro El cisne negro: el impacto de lo altamente improbable.

Se pueden encontrar algunos detalles más sobre este aspecto en el siguiente artículo: GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS

POR QUÉ ES IMPORTANTE CREAR UN MAPA DE RIESGOS

Un mapa de riesgos ofrece una visión integral de la probabilidad y el impacto de los riesgos de una organización, que ayuda a mejorar la gestión de riesgos al priorizar los esfuerzos que se deben efectuar.

Esta priorización de riesgos permite enfocar los recursos en los riesgos más potencialmente dañinos identificados en el Mapa de Riesgos.

Un mapa de riesgos también facilita la comunicación interna entre los diversos sectores de la organización sobre los riesgos inherentes a ésta. También ayuda a las distintas organizaciones a visualizar los riesgos en relación entre sí, y guía el desarrollo de una evaluación de control de cómo enfrentar los riesgos y las consecuencias de esos riesgos.

El mapa puede ayudar a la empresa a visualizar cómo los riesgos en una parte de la organización pueden afectar las operaciones de otra unidad de negocio dentro de la organización.

Un mapa de riesgos también agrega precisión a la estrategia de evaluación de riesgos de una organización e identifica brechas en los procesos de gestión de riesgos de una organización.

El Mapa de Riesgos proporciona información integrada sobre la exposición global de la organización, sintetiza el valor económico de los riesgos asumidos, y favorece la exploración de las fuentes de tales riesgos

Se comprende entonces que construir un mapa de riesgos trae valiosos beneficios:

Comprender el entorno de riesgo: La gestión de riesgos comienza con la creación de una lista de todos los riesgos que enfrenta su organización. Dependiendo de su industria, este número puede variar de unos pocos a cientos.
El mapeo de riesgos es beneficioso porque requiere que evalúe cada riesgo y sus causas y consecuencias individualmente. También le permite observar su entorno de riesgo en su conjunto y comprender cómo se comparan las frecuencias y la gravedad.
Finalmente, un mapa de riesgos es un elemento visual que cualquier persona de su organización puede usar para ver el panorama general de los riesgos más destacados en su industria o lugar de trabajo.

RECOMENDACIONES PARA CONSTRUIR UN MAPA DE RIESGOS

Involucrar al personal de la organización – Comité de Riesgos

Elaborar un Mapa de Riesgos requiere obtener y analizar información de diversas perspectivas de la organización, razón por la cual no es un proceso que deba ser realizado por una única persona, sino que se requiere de la participación de las personas que se desempeñan en las diversas actividades de la empresa, y que por lo tanto son las que conocen los riesgos asociados a éstas.

Definir un Comité de Riesgos, compuesto por personas que representan a las diversas áreas de la organización, es una adecuada iniciativa para asegurar el involucramiento del personal.

Entre las funciones más relevantes del Comité de Riesgos se pueden mencionar las siguientes:

Elaborar el Mapa de Riesgos.
Revisar, aprobar y recomendar los límites de exposiciones al riesgo.
Fijar límites y facultades para la toma de riesgos.
Asegurarse de que el perfil de riesgo de la organización esté acorde con los lineamientos establecidos por la Alta Dirección.
Verificar el desarrollo de un plan de contingencia.
Establecer políticas de riesgo para la organización.
Verificar el desempeño y la mejora de la Gestión del Riesgo.
Asegurarse de que la Alta Dirección cuente con la información sobre Riesgos necesaria para asegurar el éxito de la organización.
Promover el cumplimiento de los lineamientos sobre riesgos definidos por la organización.
Efectuar el monitoreo periódico del Mapa de Riesgos.

Definir Contextos para identificar los riesgos

A fin de identificar los riesgos para la organización de manera efectiva, una práctica recomendable consiste en definir diversos contextos a partir de los cuales se efectuará la identificación de los riesgos.

Algunos ejemplos de contextos son los siguientes:

Contexto Estratégico: Se define como la relación existente entre la organización y su entorno, la cual debe ser valorada a partir de la matriz FODA. En este contexto, también deben ser identificados todas las partes interesadas de la organización, tanto internas como externas.
Contexto Organizacional: Este contexto hace referencia a la definición de las políticas, objetivos y metas de la organización. La importancia de tener claramente definidos los objetivos radica en poder relacionarlos con los eventos de riesgo y así conocer el impacto que podría tener para la organización la materialización de un evento de riesgo.
Contexto Operativo: A escala a procesos o actividades se debe establecer para estas últimas los eventos de riesgo que pueden generar incertidumbre en el cumplimento de sus objetivos.

Comprensión de cada riesgo

La etapa de evaluación de cada riesgo debe contar con una sólida comprensión del negocio y de cómo los riesgos pueden afectar la capacidad para continuar con las operaciones, o representar oportunidades para la organización.

Cada área de la empresa debe analizar los procesos y procedimientos para establecer cómo pueden ser afectados por los riesgos identificados y describir cada uno de ellos para conocer sus posibles consecuencias, esto promueve el trabajo en equipo de la organización, hay mayor nivel de responsabilidad y colaboración, así como toma de conciencia.

También es importante ser coherente en la forma en que clasifica cada riesgo en términos de frecuencia y gravedad para que el producto final sea una descripción clara de cómo se comparan los riesgos entre sí.

Orientación sobre Gestión de Riesgos

Es posible que la consulta a los miembros de la propia organización no proporcione una comprensión suficiente y adecuada de los Riesgos, por lo que es recomendable recurrir a otras fuentes.

Un recurso habitual es prestar atención a organizaciones similares, y analizar estadísticas de la industria como ayuda para la Gestión de Riesgos.

Monitoreo del Mapa de Riesgos

Una vez creado y establecido el Mapa de Riesgos, éste representa una gran ayuda para administrar y mitigar los riesgos, pero es importante recordar que el panorama de riesgos cambia constantemente.

Así, es una actividad muy relevante revisar de manera periódica los análisis efectuados sobre riesgos, para verificar si el estado de los riesgos existentes ha cambiado y por lo tanto deben realizarse modificaciones en el mapa.

Al hacerlo, se asegura que el Mapa de Riesgos continúe siendo una herramienta útil y constante para la Gestión de Riesgos.

Bibliografía:

ISO 31000:2018 – Gestión del Riesgos – Directrices

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS

Publicado el 1 junio, 202013 noviembre, 2020 por Ing. Hugo Gonzalez

GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS

En la actualidad las organizaciones enfrentan el reto de sobrevivir, de dar continuidad al negocio y superar los efectos económicos de esta pandemia de COVID-19 / Coronavirus.
Esta circunstancia pone de manifiesto la necesidad de reflexionar acerca de algunos aspectos de la actual crisis:

¿Es posible a nivel global identificar riesgos como la actual pandemia de COVID-19 / Coronavirus, y estar preparados por si ocurren?

GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS

Tratando de responder a esta pregunta, se puede considerar el trabajo que hacen expertos internacionales, provenientes de diversas áreas de experiencia, en el marco del Reporte Global de Riesgos del Foro Económico Mundial para el año 2020.

Este trabajo permite identificar y evaluar los riesgos más relevantes a nivel global clasificados en 5 categorías:

Economía
Medio ambiente
Geopolítica
Sociedad
Tecnología

La posterior evaluación que hacen estos expertos, permite determinar los riesgos más relevantes, tanto en lo referente a su probabilidad de ocurrencia como en el impacto que tendría en el caso de materializarse el riesgo.

En el Reporte Global mencionado, se puede verificar que para el año 2020 mayoritariamente ganan terreno los riesgos vinculados con el medio ambiente, como eventos de clima extremos, pérdida de biodiversidad, o desastres medioambientales ocasionados por la actividad humana.

Recién en décimo lugar, en términos de impacto, aparece el riesgo asociado a la propagación de enfermedades infeccionas.

Además, haciendo un resumen de los últimos cinco años, de los 10 riesgos principales en términos de impacto, según el Foro Económico Mundial, con excepción del año 2017, la propagación de enfermedades infecciosas aparece como uno de los 10 primeros riesgos.

Entonces, ahora que la actual Pandemia de COVID-19 / Coronavirus ha colapsado la economía mundial y ha impactado en todos los negocios desde una interrupción temporal hasta una interrupción total de sus operaciones, que se han presentado cuarentenas masivas, cierres comerciales obligatorios a gran escala, decenas de empleados enfermos y despedidos e interrupción masiva de la cadena de suministro e incluso la no continuidad del negocio, es natural que surja el siguiente cuestionamiento: ¿Por qué la Pandemia no fue considerada como una seria amenaza por las organizaciones?

Bueno, una posible explicación pueda estar dada por el fenómeno denominado Cisne Negro.

LA EMPRESA EN ENTORNOS INCIERTOS

Un Cisne Negro es un suceso con los tres atributos que siguen: rareza, impacto extremo y predictibilidad retrospectiva.

Es una rareza, pues habita fuera del reino de las expectativas normales, porque nada del pasado puede apuntar de forma convincente a su posibilidad.
Produce un impacto tremendo.
La naturaleza humana tiende a inventar explicaciones de su existencia después del hecho, con lo que se hace explicable y predecible.

Según esta definición, pueden ser ejemplos de Cisnes Negros los siguientes sucesos:

El ascenso de Hitler y la posterior guerra
La precipitada desaparición del bloque soviético
La difusión de Internet
El ataque terrorista al World Trade Center (9-11)
La Pandemia COVID-19 / Coronavirus

Este concepto de Cisne Negro proviene del extraordinario libro, con el mismo nombre, escrito en 2007 por Nassim Taleb.

La obra gira en torno a una pregunta: ¿Por qué no podemos identificar este fenómeno hasta que ya ha sucedido?

Según el autor, ello se debe a que los humanos nos empeñamos en investigar las cosas ya sabidas, olvidándonos de lo que desconocemos, lo que nos impide reconocer las oportunidades y nos hace demasiado vulnerables al impulso de simplificar, narrar y categorizar, olvidándonos de recompensar a quienes saben imaginar lo «imposible».

De este modo, trasladando este concepto de Cisne Negro desde una perspectiva global hacia el punto de vista de aquellas mujeres y hombres de negocios que deben tomar decisiones en las organizaciones, el efecto que genera es el de un entorno incierto, que puede asimilarse al Contexto VICA / VUCA, en el cual se destacan 4 conceptos:

Volatilidad: se producen cambios antes de lo esperado
Incertidumbre: no hay certezas acerca del futuro
Complejidad: varios factores a considerar
Ambigüedad: puede interpretarse de más de una manera

Estos 4 elementos dan nombre así al Contexto VICA o Contexto VUCA, por sus siglas en inglés (Volatility, Uncertainty, Complexity, y Ambiguity), usado por primera vez en los años 90 por el US Army War College para referirse al mundo multilateral que surgió después del final de la Guerra Fría y se caracterizó por ser más volátil, incierto, complejo y ambiguo que nunca antes en la historia.

El Contexto VICA / VUCA habla de hacer negocios en un entorno en el que las teorías, suposiciones, y presunciones pierden terreno frente a un entorno vulnerable en el que predomina lo aleatorio y en el que se deben encontrar y reconocer los riesgos.

De este modo, los entornos inciertos otorgan mayor relieve a la Gestión de Riesgos.

Entonces ¿Porqué reconocer los riesgos? Pues porque los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz, de modo que también deberíamos preguntarnos:

¿Cuáles riesgos pueden impedir el logro de la estrategia?

¿Cuáles riesgos pueden representar oportunidades?

¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?

¿Qué tratamiento van a recibir?

Las respuestas a estas preguntas se pueden encontrar a través de un modelo de Gestión de Riesgos que garantice el éxito de la organización.

ISO 31000 – GESTIÓN DE RIESGOS PARA EL ÉXITO DE LA ORGANIZACIÓN

Las directrices que propone la Norma ISO 31000:2018 están orientadas a gestionar eficazmente el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y a su contexto, a través de un enfoque común para gestionar cualquier tipo de riesgo y sin ser específico de una industria o un sector.

Este modelo de Gestión de Riesgos puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.

La implementación de un modelo de gestión de riesgos basado en las directrices de la norma ISO 31000 puede ayudar a las organizaciones a cerrar las brechas operativas derivadas de los riesgos que generan los entornos inciertos, y así estimular la consecución rentable de los objetivos de la organización, a través de la creación de un enfoque integral de la organización para la gestión de riesgos que facilita la comunicación y proporciona los pasos fundamentales sobre cómo diseñar, implementar y mejorar continuamente un marco para la gestión de riesgos.

La norma ISO 31000 establece claramente, a través de sus 8 principios, que el propósito de la gestión de riesgos es la creación y protección del valor de la organización.

Según los principios elementales que ISO 31000 define para una gestión del riesgo eficaz, ésta requiere cumplir con los siguientes elementos:

Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización.
Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.
Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.
Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.
Mejor información disponible: Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
Factores humanos y culturales: El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.
Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.

INTEGRAR LA GESTIÓN DEL RIESGO EN LOS PROCESOS DE LA ORGANIZACIÓN

La integración de la gestión de riesgos puede resultar una actividad compleja, ya que depende de la comprensión de la estructura organizativa y el contexto. Las estructuras organizativas varían según el propósito, los objetivos, los objetivos y la complejidad de la organización.

Pero sin dudas, la adecuada identificación de riesgos a los que está vinculada la organización es un factor clave que puede favorecer esta integración, ya que el propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos.

Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada, y revisar el plan de negocio determinando de qué no podría prescindir, y qué tipo de incidentes podrían afectar las distintas áreas.

Una práctica que puede resultar de utilidad para identificar riesgos es que en la organización se planteen las siguientes preguntas:

¿Cuándo, dónde, por qué y cómo es probable que sucedan riesgos en el negocio?
¿Existen riesgos internos?
¿Existen riesgos externos?
¿Quién podría estar involucrado o afectado si ocurre un incidente?
¿Cómo afecta la pérdida de la fuente de alimentación?
¿Y si no se cuenta con acceso a internet?
¿Es posible que los documentos clave para la organización sean destruidos?
¿Cómo se hace la toma de decisiones ante la renuncia de uno los mejores miembros del personal?
¿Los proveedores tienen capacidad suficiente?
¿Qué ocurre si se bloquean las carreteras y comunicaciones?

Y en particular a la actual situación, preguntas que ayudan a identificar los riesgos vinculados a la Pandemia:

¿En qué medida la situación afecta o puede llegar a afectar al sector en el que opera la organización?
¿La organización está preparada para recibir y enviar productos u ofrecer servicios manteniendo las medidas de seguridad y salud necesarias en la actualidad?
¿Los empleados y la estructura tecnológica de la organización son adecuadas para asumir el trabajo en casa, o teletrabajo, como una forma de producción prevista para un periodo de tiempo considerable?
¿La organización ha previsto formas de reemplazar reuniones internas y externas a través de sistemas de comunicación?
¿Se han previsto acciones para minimizar el impacto de diferentes escenarios de duración de medidas extraordinarias?
¿Existen alternativas para mantener operativo el negocio de acuerdo con las diferentes circunstancias?
¿Se puede aprovechar este momento para avanzar en otros aspectos que puedan ayudar a superar después la situación?

BENEFICIOS DE LA INTEGRACIÓN DE LA GESTIÓN DE RIESGOS

A través de las directrices que define ISO 31000, las organizaciones pueden contar con un marco de gestión de riesgos que garantiza que el proceso de gestión de riesgos forme parte de todas las actividades en toda la organización, incluida la toma de decisiones, y que los cambios en contextos externos e internos se capten adecuadamente.

Las organizaciones pueden mejorar continuamente la idoneidad, la adecuación y la eficacia del marco de gestión de riesgos y la forma en que se integra el proceso de gestión de riesgos.

La integración de la gestión de riesgos en una organización es un proceso iterativo y dinámico que no cuenta con una forma de aplicación universal, que debe adaptarse a las necesidades y la cultura de cada organización, razón por la cual la gestión de riesgos debe ser parte de, y no estar aislada del propósito organizativo, gobierno, liderazgo y compromiso, estrategia, objetivos y operaciones.

Además, la Norma ISO 31000 proporciona directrices y no requisitos de cumplimiento, de modo que las organizaciones pueden elegir qué parte de las recomendaciones desean seguir para administrar el riesgo de manera adecuada.

Tal como se ha visto, el Riesgo es un concepto que bien se podría catalogar como vital, por su vínculo con todas las actividades que efectúan las organizaciones, de forma tal que no hay actividad en los negocios o de cualquier asunto, que no implique asumir un riesgo.

Todas las organizaciones, grandes o pequeñas, de capital privado o del ámbito publico, industriales o de servicios, se enfrentan a factores internos y externos que le restan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es lo que se define como “Riesgo” y es inherente a todas las actividades.

Para entender, analizar, valorizar, gerenciar y decidir sobre la manera como prevenir la gestión corporativa frente al riesgo, la dirección moderna de las empresas concibió una disciplina denominada “Administración de Riesgos” o “Gestión de Riesgos”, que representa un conjunto de estrategias que a partir de los recursos (físicos, humanos y financieros) limitados, busca mantener la estabilidad financiera de la empresa protegiendo sus activos e ingresos de los riesgos a que está expuesta; y también aprovechar las oportunidades que podrían estar asociadas a dichos riesgos.

Bibliografía:

ISO 31000:2018 – Gestión del Riesgos – Directrices
El Cisne Negro, Nassim Nicholas Taleb (2007)
The Global Risks Report 2020, World Economic Forum
ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES

Publicado el 5 May, 202013 noviembre, 2020 por Ing. Hugo Gonzalez

ISO 31000 GESTIÓN DE RIESGOS – PREGUNTAS FRECUENTES

En el marco del recientemente realizado I FORO PARA MANEJO DE CRISIS Y LA CONTINUIDAD DE NEGOCIO, los asistentes efectuaron numerosas preguntas, algunas de las cuales fueron respondidas durante la emisión del evento, pero muchas quedaron con una respuesta pendiente.

Este artículo recopila una parte sustancial de las preguntas que efectuó la audiencia de la conferencia «ISO 31000. IMPACTO DE LA GESTIÓN DE RIESGOS EN LA CONTINUIDAD DEL NEGOCIO» que se desarrolló durante el I FORO PARA MANEJO DE CRISIS Y LA CONTINUIDAD DE NEGOCIO, y que también suelen ser consultas frecuentes entre las organizaciones que muestran interés por establecer una gestión del riesgo que resulte parte de la gobernanza y el liderazgo de la organización, y que comprenda una actividad fundamental en la manera en que se gestiona la organización en todos sus niveles, contribuyendo a la mejora de los sistemas de gestión.

ISO 31000 GESTION DE RIESGOS - PREGUNTAS FRECUENTES — ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES

¿La implementación de las directrices que establece ISO 31000 para la Gestión del Riesgo, se agiliza si la organización practica la Gestión por Procesos?

Sí, efectivamente. Para una organización que es gestionada por procesos resultan parte de su naturaleza los principios en los que se basa la Norma ISO 31000 y que proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.

Los siguientes son los principios que conforman el fundamento de la gestión del riesgo:

Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización.
Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.
Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.
Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.
Mejor información disponible: Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
Factores humanos y culturales: El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.
Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.

¿Los criterios de los riesgos están definidos en la norma o son definidos por cada organización?

La Norma ISO 31000 proporciona algunas definiciones, para precisar los conceptos centrales a los que se refiere, pero no especifica criterios para análisis, los que deben ser establecidos por cada organización.

De este modo, es la organización la que debería precisar cantidad y tipo de riesgo que puede o no puede tomar con relación a los objetivos. También debería definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de decisiones.

Estos criterios se deberían alinear con el marco de referencia de la gestión del riesgo y adaptar al propósito y al alcance específicos de la actividad considerada, reflejando los valores, objetivos y recursos de la organización, en total coherencia con las políticas y declaraciones acerca de la gestión del riesgo.

Para establecer los criterios del riesgo, se debería tomar en consideración lo siguiente:

La naturaleza y los tipos de las incertidumbres que pueden afectar a los resultados y objetivos (tanto tangibles como intangibles);
Cómo se van a definir y medir las consecuencias (tanto positivas como negativas) y la probabilidad;
Los factores relacionados con el tiempo;
La coherencia en el uso de las mediciones;
Cómo se va a determinar el nivel de riesgo;
Cómo se tendrán en cuenta las combinaciones y las secuencias de múltiples riesgos;
La capacidad de la organización.

¿Cuáles son las ventajas o beneficios para la organización que implementa ISO 31000?

Entre las ventajas o beneficios que la implementación de la Norma ISO 31000 implican para una organización se pueden mencionar a las siguientes:

Mejora la integración de los riesgos y oportunidades con la estrategia definida por la empresa.
Asegura que el costo del control de riesgos es justificable y acorde con las necesidades de la empresa.
Mejora la evaluación de los riesgos y el control de sus efectgos.
Aumenta la probabilidad de lograr los objetivos que la organización se plantea.
Fomenta la gestión proactiva.
Mejora la identificación de oportunidades y amenazas.
Ayuda a cumplir con los requisitos legales y normativos aplicables, y otros requisitos.
Mejora la información financiera y la gestión empresarial.
Mejora la confianza de las partes interesadas.
Establece una base fiable para la toma de decisiones y planificación.
Mejora los controles implementados para los riesgos que se materializaron en la empresa.
Mejora la eficacia y la eficiencia operacional.
Minimiza las pérdidas ante un incidente.
Mejora el aprendizaje organizativo.

¿Cuál es la diferencia entre las Normas ISO 22301 y 31000?

Si bien están relacionadas, estas normas se ocupan de diferentes aspectos.

La norma ISO 31000 es un estándar de carácter internacional que proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier tipo de organización y a su contexto. Proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es
específico de una industria o un sector.

Puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.

En cambio, la Norma ISO 22301 especifica la estructura y los requisitos para implementar y mantener un Sistema de Gestión de la Continuidad del Negocio (BCMS, por sus siglas en inglés) que desarrolle la continuidad del negocio apropiada para la cantidad y el tipo de impacto que la organización puede aceptar o no después de una interrupción.
Los resultados de mantener un BCMS están determinados por los requisitos legales, reglamentarios, organizativos e industriales de la organización, los productos y servicios proporcionados, los procesos empleados, el tamaño y la estructura de la organización, y los requisitos de sus partes interesadas.

Un BCMS enfatiza la importancia de:

Comprender las necesidades de la organización y la necesidad de establecer políticas y objetivos de continuidad del negocio;
Operar y mantener procesos, capacidades y estructuras de respuesta para garantizar que la organización sobreviva a las interrupciones;
Monitorear y revisar el desempeño y la efectividad del BCMS;
Mejora continua basada en medidas cualitativas y cuantitativas.

¿Cómo define el riesgo la Norma ISO 31000?

La norma ISO 31000 no sólo concibe el riesgo de manera negativa, sino que lo define como la exposición a la incertidumbre, pudiendo ser las consecuencias de esta incertidumbre tanto positivas como negativas. Con mayor detalle, de lo que se ocupa la Gestión de Riesgos es de analizar las desviaciones producidas con respecto a lo previsto, para una vez identificadas poder maximizar aquellas vistas como oportunidades y minimizar las consideradas amenazas. De esta forma, es posible mejorar las decisiones y resultados.

Específicamente, ISO 31000 define al Riesgo como el efecto de la incertidumbre sobre los objetivos.

Esta definición consta de las siguientes notas aclaratorias:

NOTA 1: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
NOTA 2: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.
NOTA 3: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo, eventos, potenciales, sus consecuencias y sus probabilidades.

¿Qué debe tener en cuenta una empresa para la Identificación del riesgo?

El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.

A fin de identificar los riesgos, una organización puede utilizar la técnica o método que le resulte más apropiado, y se deberían tomar en cuenta los siguientes aspectos:

Las fuentes de riesgo tangibles e intangibles;
Las causas y los eventos,
Las amenazas y las oportunidades;
Las vulnerabilidades y las capacidades;
Los cambios en los contextos externo e interno;
Los indicadores de riesgos emergentes;
La naturaleza y el valor de los activos y los recursos;
Las consecuencias y sus impactos en los objetivos;
Las limitaciones de conocimiento y la confiabilidad de la información;
Los factores relacionados con el tiempo;
Los sesgos, los supuestos y las creencias de las personas involucradas.

¿Como se conforma el equipo de Gestión del Riesgo?

ISO 31000 no establece cómo se debe conformar el equipo de Gestión de Riesgos, aunque aclara que tanto la alta dirección como los órganos de supervisión de la empresa, cuando sea aplicable, deberían asegurar que la gestión del riesgo esté integrada en todas las actividades de la organización, y demostrar el liderazgo y compromiso:

Adaptando e implementando todos los componentes del marco de referencia;
Publicando una declaración o una política que establezca un enfoque, un plan o una línea de acción para la gestión del riesgo;
Asegurando que los recursos necesarios se asignan para gestionar los riesgos;
Asignando autoridad, responsabilidad y obligación de rendir cuentas en los niveles apropiados dentro de la organización;

De este modo, el equipo de personas a cargo de la Gestión del Riesgo es recomendable que esté conformado por personas de diversas áreas de la empresa, de forma tal que le proporcionen a su actividad diversos puntos de vista y diferentes perspectivas.

También, el equipo de Gestión del Riesgo debería contar con una asignación de recursos adecuada a sus actividades que puede incluir, pero no limitarse a:

Las personas, las habilidades, la experiencia y las competencias;
Los procesos, los métodos y las herramientas de la organización a utilizar para gestionar el riesgo;
Los procesos y procedimientos documentados;
Los sistemas de gestión de la información y del conocimiento;
El desarrollo profesional y las necesidades de formación.

La organización debería considerar las competencias y limitaciones de los recursos existentes.

¿Podría indicar ejemplos de Acciones Prácticas a implementar para iniciar la Gestión del Riesgo?

A fin de comenzar a poner en práctica la Gestión del Riesgo, una organización podría llevar adelante algunas de las siguientes iniciativas:

Identificación de los principales riesgos que pueden afectar a la organización.
Acciones para mitigar los riesgos identificados.
Compra de seguros contra pérdidas inesperadas significativas.
Contratación de outsourcing para procesos del negocio.
Compartir el riesgo con acuerdos o contratos con otras partes interesadas, como clientes, proveedores u otros socios de negocios.
Fortalecimiento del control interno en los procesos del negocio.
Diversificación/especialización de productos.
Establecimiento de límites a las operaciones y monitoreo.
Capacitación y formación sobre manejo del equipamiento.
Establecimiento de políticas.
Revisión periódica de los requisitos legales y de su cumplimiento.
Contratación de asesores externos especializados.

¿Cómo preparar a una empresa cuando los factores externos son extremadamente adversos, como en el caso de contingencias de tipo «Cisne Negro»?

Tal como se ha mencionado en el Foro, la gestión de riesgos en muchas organizaciones se basa en la identificación de riesgos en función de la experiencia de los equipos involucrados. Los eventos de baja probabilidad y alto impacto, conocidos como “Cisnes Negros”, no suelen formar parte de esa experiencia, y por tal razón, quedan por fuera de la gestión.

Así, resulta una práctica habitual concentrar los recursos de la empresa en el tratamiento de los riesgos más probables, en detrimento de aquellos que son apenas «posibles» y muy poco probables, pero que cuando ocurren tienen un impacto altísimo, como la actual pandemia del coronavirus COVID-19, con consecuencias muy importantes para las empresas.

Ampliando el rango de riesgos a analizar, incluyendo a los eventos de baja probabilidad y alto impacto, es muy probable que para una organización tengan consecuencias similares que inciden en mayor o menor medida en determinadas áreas:

Seguridad humana.
Afectaciones físicas a la estructura de atención inmediata.
Interrupción de la capacidad operacional a largo y medio plazo, incluyendo la cadena de suministro y los servicios financieros.
Estructura de comunicaciones.
Afectación de la marca.
Continuidad del negocio.
Preparación integral ante emergencias

¿Cuáles son los elementos del proceso de gestión de riesgos según ISO 31000?

El proceso de gestión de riesgos que establece ISO 31000 está conformado por los siguientes elementos:

Comunicación y consulta. Para ampliar información sobre esta fase, recomendamos ISO 31000 y la comunicación y consulta.
Definición del contexto, alcance y criterios
Evaluación del riesgo, que a su vez consta de identificación, análisis y valoración del riesgo
Tratamiento de los riesgos
Seguimiento y revisión
Registro de informes

¿Cuáles son los aspectos que se deben tomar en consideración para analizar los riesgos identificados?

El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo.

El análisis del riesgo implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia.

Se debe considerar también que un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.

El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles.

Las técnicas de análisis a utilizar pueden ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y del uso previsto.

El análisis del riesgo debería considerar factores tales como:

La probabilidad de los eventos y de las consecuencias;
La naturaleza y la magnitud de las consecuencias;
La complejidad y la interconexión;
Los factores relacionados con el tiempo y la volatilidad;
La eficacia de los controles existentes;
Los niveles de sensibilidad y de confianza.

¿Con qué frecuencia se deben valorar los riesgos o medir el riesgo residual?

ISO 31000 no establece frecuencia o período específico para revisar la valoración de riesgos, o para alguna otra etapa del proceso de Gestión de Riesgos. Sin embargo sí define como necesario el seguimiento y la revisión del proceso, con el propósito de asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso de Gestión del Riesgo.

El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas.

El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y proporcionar retroalimentación.

Los resultados del seguimiento y la revisión deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de informe de la organización.

Bibliografía:

ISO 31000:2018 – Gestión del Riesgos – Directrices
El Cisne Negros, Nassim Nicholas Taleb (2007)
ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

NORMA ISO 31000:2018 PARA GESTIÓN DE RIESGOS – LECTURA GRATUITA

Publicado el 27 abril, 20208 julio, 2020 por Ing. Hugo Gonzalez

NORMA ISO 31000:2018 PARA GESTIÓN DE RIESGOS – LECTURA GRATUITA

Las organizaciones y empresas hoy se enfrentan a dificultades operativas y económicas ocasionadas por la contingencia del COVID-19 /Coronavirus, y buscan soluciones prácticas de gestión empresarial para dar continuidad a sus operaciones, salir adelante de la calamidad y estar siempre preparadas para futuras dificultades.

Esta incertidumbre ha puesto en relieve el valor que tiene una adecuada Gestión de Riesgos. Por este motivo, la International Organization for Standardization (ISO) ha habilitado la lectura gratuita de hasta 30 estándares ISO, con la finalidad de apoyar los esfuerzos mundiales en el manejo de la crisis COVID-19.

ISO 31000:2018 PARA GESTION DE RIESGOS - LECTURA GRATUITA — ISO 31000:2018 PARA GESTION DE RIESGOS – LECTURA GRATUITA

De esta forma, es posible acceder a la norma ISO 31000 gratis, mediante el siguiente enlace:

NORMA ISO 31000:2018 PARA GESTIÓN DE RIESGOS – LECTURA GRATUITA

También es posible acceder a la lectura gratuita de la Norma ISO 22301 de continuidad del negocio, mediante el siguiente enlace:

NORMA ISO 22301 DE CONTINUIDAD DEL NEGOCIO

ISO también ha liberado la lectura de otros estándares que pueden resultar de ayuda para las organizaciones en esta etapa de incertidumbre por la contingencia del COVID-19 /Coronavirus. La lista completa está en el siguiente enlace:

LECTURA GRATUITA DE NORMAS ISO POR COVID-19

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

ISO 31000:2018 – FUNDAMENTOS DE GESTION DE RIESGOS

Publicado el 31 May, 201913 noviembre, 2020 por Ing. Hugo Gonzalez

ISO 31000:2018 – FUNDAMENTOS DE GESTION DE RIESGOS

Un daño a la reputación de la empresa o de la marca, un delito cibernético, un accidente laboral, incumplimientos legales y/o regulatorios, o un acto de terrorismo son ejemplos de algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con mayor frecuencia.

La versión 2018 de la Norma ISO 31000 busca ayudar a manejar la incertidumbre que se presenta en cada decisión de una organización, ya que hacer frente al riesgo es parte de la gobernanza y el liderazgo, y es fundamental para la gestión de una organización en todos los niveles.

ISO 31000:2018 - GESTION DE RIESGOS — ISO 31000:2018 – GESTION DE RIESGOS

De este modo, ISO 31000:2018 ofrece una guía más clara, breve y concisa que ayuda a las organizaciones a utilizar principios de gestión de riesgos para mejorar la planificación y tomar mejores decisiones, estableciendo a su vez una referencia en lo relativo al riesgo para los estándares de ISO que dan lugar a otros sistemas de gestión, tales como ISO 9001:2015 (Calidad), 14001:2015 (Medio Ambiente), 45001:2018 (Salud y Seguridad en el Trabajo), 50001:2018 (Energía), etc., los que, tras la aprobación por parte de ISO de la estructura de alto nivel (HLS) en 2012 para todos los estándares ISO y sus revisiones, tienen que incluir una consideración del riesgo.

CONCEPTOS SOBRE GESTION DE RIESGOS

De acuerdo con la norma ISO 31000:2018, el Riesgo es el «efecto de la incertidumbre sobre los objetivos» y un efecto es una desviación positiva o negativa de lo que se espera.

Este estándar reconoce que las organizaciones operan en un medio incierto, de forma tal que cuando se trata de lograr un objetivo, siempre existe la posibilidad de que las cosas no vayan de acuerdo al plan. Cada paso tiene un elemento de riesgo que necesita ser gestionado y todo resultado es incierto: a veces se obtienen resultados positivos, otras veces se obtienen resultados negativos y en otras ocasiones se obtienen ambos.

La definición tradicional de riesgo combina tres elementos: comienza con un evento potencial y luego combina su probabilidad con su potencial severidad.
Un evento de alto riesgo tendría una alta probabilidad de ocurrir y un severo impacto si realmente ocurrió.

Mientras que ISO 31000 define el riesgo de una manera nueva e inusual, ambas definiciones son ampliamente compatibles, ya que hablan de los mismos fenómenos pero desde dos perspectivas diferentes. ISO 31000 piensa en Riesgo en términos orientados a objetivos, mientras que la definición tradicional piensa en riesgo en términos orientados a eventos.

Además de la propia definición del concepto de Riesgo, en el contexto de la Norma ISO 31000:2018 para gestión de riesgos, es muy importante tomar en consideración estos otros conceptos relacionados:

Comunicación y consulta: La comunicación y la consulta es un diálogo entre una organización y sus partes interesadas. Este diálogo es a la vez continuo, un proceso bidireccional, que implica compartir y recibir información sobre la gestión de riesgos, aunque no implica una toma de decisiones conjunta. Una vez concluida la comunicación y consulta, las decisiones se toman y las instrucciones son establecidas por la organización, no por las partes interesadas.
Consecuencia: Una consecuencia es el resultado de un evento y tiene un efecto en los objetivos. Un solo evento puede generar un rango de consecuencias que pueden tener efectos positivos y negativos sobre los objetivos. Las consecuencias iniciales también pueden escalar a través de efectos en cascada y efectos acumulativos.
Contexto: Establecer el contexto significa definir aspectos externos e internos, parámetros que las organizaciones deben tener en cuenta cuando gestionan el riesgo. El contexto externo de una organización incluye sus partes interesadas externas, su entorno local, nacional e internacional, así como cualquier otro factor externo que influya en sus objetivos. El contexto interno de una organización incluye sus partes interesadas internas, su enfoque de la gobernanza, sus relaciones contractuales y sus capacidades, cultura y estándares.
Control: Un control es cualquier medida o acción que modifica o regula el riesgo, como por ejemplo incluir cualquier política, procedimiento, práctica, proceso, tecnología, técnica, método,
o dispositivo que modifique o regule el riesgo.
Evento: Un evento puede ser una ocurrencia, varias ocurrencias o incluso una no ocurrencia (cuando algo no sucede como debería haber ocurrido). También puede ser un cambio en las circunstancias. Los eventos siempre tienen causas y suelen tener consecuencias.
Gobernanza: La gobernanza incluye la estructura de la organización, políticas, objetivos, roles, responsabilidades, y el proceso de toma de decisiones.
Nivel de riesgo: El nivel de riesgo es su magnitud. Se estima considerando y combinando consecuencias y probabilidades. Se puede asignar un nivel de riesgo a un solo riesgo o a una combinación de riesgos. Las categorías comunes de riesgo incluyen las siguientes: riesgo extremo, riesgo alto, riesgo moderado y riesgo bajo. Por supuesto, cada organización debe definir cada categoría para asegurar que todos los involucrados están usando la misma terminología de la misma manera.
Probabilidad: es la posibilidad de que algo pueda suceder. La probabilidad puede ser definida, determinada y medida objetiva o subjetivamente, y puede expresarse de forma cualitativa o cuantitativa.
Riesgo residual: El riesgo residual es el riesgo que queda después de haber implementado un tratamiento de riesgo. Es el riesgo restante después de que se haya reducido el riesgo, se haya eliminado la fuente del riesgo, se modificaron las consecuencias o las probabilidades, se transfirió el riesgo, o fue retenido el riesgo.
Análisis de riesgo: El análisis de riesgos es un proceso que se utiliza para comprender la naturaleza, las fuentes, y las causas de los riesgos que se han identificado y para estimar el nivel de
riesgo. También se utiliza para estudiar los impactos y consecuencias y para examinar los controles que existen actualmente. El nivel de detalle del análisis de riesgo dependerá del riesgo, el propósito del análisis, y la información y los recursos disponibles.
Evaluación de riesgos: Es un proceso que se utiliza para comparar el análisis de riesgos, con respecto a criterios de riesgo para determinar si un nivel especificado de riesgo es aceptable o tolerable.
Actitud de riesgo: La actitud de riesgo de una organización define su enfoque general del riesgo. La actitud de riesgo de la organización influye en cómo los riesgos son evaluados y abordados, y afecta también si los riesgos son o no tomados, tolerados, retenidos, compartidos, reducidos, o evitados, y si los tratamientos son o no implementados o pospuestos.

Criterios de riesgo: Los criterios de riesgo son términos de referencia y se utilizan para evaluar la importancia de los riesgos de una organización. Se utilizan para determinar si un nivel específico de riesgo es aceptable o tolerable. Los criterios de riesgo deben reflejar los valores, políticas y objetivos de la organización, y deben basarse en su estructura y el contexto interno, debe considerar las opiniones de los interesados y debe derivarse de normas, leyes, políticas y otros requisitos.
Gestión de riesgos: La gestión de riesgos se refiere a un conjunto coordinado de actividades y métodos que se utiliza para dirigir una organización y para controlar los muchos riesgos que pueden afectar su capacidad para lograr objetivos. El término gestión de riesgos también se refiere al programa que se utiliza para gestionar el riesgo, el cual incluye principios de gestión de riesgos, un
marco de gestión de riesgos, y un proceso de gestión de riesgos.
Plan de gestión de Riesgos: El plan de gestión de riesgos de una organización describe cómo ésta pretende gestionar el riesgo. Describe los componentes de gestión, el enfoque y los recursos que se utilizan para gestionar el riesgo. Los componentes de gestión típicos incluyen procedimientos, prácticas, responsabilidades y actividades (incluyendo su secuencia y tiempo). Los planes de gestión pueden aplicarse a productos, procesos y proyectos, a toda la organización o cualquier parte de ella.
Política de gestión de riesgos: Una declaración de política define un compromiso general, dirección o intención. Entonces, una declaración de política de gestión de riesgos expresa el compromiso de una organización a la gestión de riesgos y aclara su orientación general o intención.
Propietario del riesgo: Un propietario de riesgo es una persona o entidad que ha recibido la autoridad para gestionar un riesgo particular y es responsable de hacerlo.
Fuente de riesgo: Una fuente de riesgo tiene el potencial intrínseco de generar riesgo. Una fuente de riesgo es donde se origina un riesgo. Entre las fuentes potenciales de riesgo se encuentran las relaciones y obligaciones comerciales, requisitos legales, expectativas y pasivos, cambios y circunstancias económicas, aspectos tecnológicos, innovaciones y trastornos, cambios y tendencias políticas, eventos naturales, fuerzas, debilidades y tendencias humanas, y deficiencias y excesos de gestión. Todas estas cosas podrían generar un riesgo que debe ser gestionado.
Parte interesada: Una parte interesada es una persona u organización que puede afectar o ser afectada por una decisión o una actividad. Las partes interesadas también incluyen aquellos que tienen la percepción de que una decisión o una actividad puede afectarlos. ISO 31000 2018 distingue entre grupos de interés externos e internos.

CONCLUSIONES DE LA NORMA ISO 31000: 2018

A continuación se presentan algunas de las principales conclusiones de la norma ISO 31000:2018:

El Liderazgo es clave: El documento incluye un lenguaje claro sobre la importancia de un liderazgo fuerte y el compromiso con el programa de gestión de riesgos. La Alta Dirección debe garantizar que el proceso de gestión de riesgos esté totalmente integrado en todos los niveles de la organización y que esté fuertemente alineado con los objetivos, la estrategia y la cultura.
Considerar riesgos en las decisiones de negocios: ISO 31000: 2018 también incluye un recordatorio de que la Alta Dirección es responsable de garantizar que los riesgos se consideren adecuadamente cuando se toman las decisiones, ya que esos riesgos pueden afectar la capacidad de la organización para entregar valor.
Enfatizar la implementación apropiada: La Alta Dirección también deben garantizar que el proceso de administración de riesgos se implemente correctamente y que los controles tengan el efecto deseado.
Ser proactivo: la norma ISO 31000:2018 proporciona una guía poderosa para ayudar a los ejecutivos a tomar una postura proactiva sobre el riesgo y asegurar que la gestión del riesgo esté integrada con todos los aspectos de la toma de decisiones en todos los niveles de la organización. Esto incluye continuidad de negocios, cumplimiento, gestión de crisis, recursos humanos, TI y resiliencia organizacional.
Naturaleza cíclica de la gestión de riesgos: ISO 31000: 2018 se enfoca en la naturaleza cíclica de la administración de riesgos, ayudando a los líderes de seguridad a entender y controlar el impacto de los riesgos en los objetivos comerciales. Los diversos elementos de las directrices, desde los principios hasta el marco y el proceso, convergen para mejorar y fortalecer la capacidad de la organización para evaluar, comunicar y considerar los riesgos en las decisiones comerciales, y para seleccionar controles que ayuden a mitigar o transferir los riesgos para que se ajusten a las tolerancias de la organización.
Mejor información disponible: Gran parte de la gestión de riesgos se centra en la mejor información disponible, con toda la ambigüedad e imperfecciones que implica el término. En lugar de tratar de compartir solo información de riesgo absoluto, los CISO (directores de seguridad de la información) deben adoptar esta nebulosa comprensión y reflexionar sobre los datos de riesgo cibernético que proporcionan para consolidar su papel como asesores efectivos del negocio. Los datos que los CISO proporcionan deben ser relevantes y comprensibles, entregarse dentro de un marco de tiempo razonable y calificarse con las declaraciones apropiadas con respecto a su precisión.
Medir el éxito: Las directrices también enfatizan el valor de medir, evaluar y mejorar el propio sistema de gestión de riesgos. La idea no es hacer todo bien la primera vez, sino mejorar cada vez que se completa el ciclo. Incluso los datos de riesgo imperfectos pueden ser útiles, siempre que se presenten junto con una línea de tiempo que muestre una tendencia. Las líneas de tendencia plana pueden ser aceptables para algunos riesgos y controles, mientras que para otros, la Alta Dirección debe esperar ver claros signos de progreso.

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

ISO 31000:2018-DIRECTRICES PARA GESTION DE RIESGOS

Publicado el 31 octubre, 201813 noviembre, 2020 por Ing. Hugo Gonzalez

ISO 31000:2018-DIRECTRICES PARA GESTION DE RIESGOS

Toda organización nace con un propósito, y para cumplirlo requiere reunir diversas condiciones que le permitan crecer y desarrollarse de manera permanente, independientemente de su tamaño, naturaleza o actividades; la primera condición a cumplir será conocer y comprender su contexto, a fin de determinar los factores internos y externos y la influencia que estos ejercen y afectan su propósito, este conocimiento incluye la definición de sus partes interesadas y necesidades.

En el conocimiento y comprensión del contexto, deberá definir las amenazas que lo aquejan para prever acciones que le ayuden a mitigar sus posibles impactos adversos; es precisamente aquí en donde se genera una incertidumbre sobre los riesgos que representan esas amenazas; para ello debe adoptar una gestión de riesgos que le aporte los insumos suficientes para administrar de forma más acertada la incertidumbre y tomar las decisiones más adecuadas.

La Gestión del Riesgo, de cualquier tipo de riesgo sin especificar industria o sector alguno, se estandarizó mediante la Norma ISO 31000:2009, el primer estándar internacional que ha proporcionado un acercamiento común para gestionar los riesgos a los que están expuestos las organizaciones.

En este contexto, la revisión 2018 de la ISO 31000 supone un paso firme para la norma como guía de referencia en lo relativo al riesgo para los estándares de ISO que dan lugar a otros sistemas de gestión, tales como ISO 9001, 14001, 45001, etc, los que, tras la aprobación por parte de ISO de la estructura de alto nivel (HLS) en 2012, estos estándares ISO y sus revisiones tienen que incluir una consideración del riesgo.

El comité técnico ISO ha publicado la nueva versión de ISO 31000:2018. Esta norma para la Gestión de Riesgos ha sido simplificada, y permite a las empresas y organizaciones revaluar sus metodologías de gestión sobre cualquier tipo de riesgo.

La norma se centra de forma exhaustiva en la atención de la gestión del riesgo, como una herramienta para minimizar de forma anticipada las posibles inseguridades que pudieran producirse. Por tanto, ISO 31000:2018 se actualiza para dar respuesta con eficacia y seguridad a los riesgos y peligros actuales a los que se enfrentan las organizaciones y empresas.

ISO 31000 - GESTION DE RIESGOS — ISO 31000 – GESTION DE RIESGOS

PRINCIPIOS DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

En la nueva actualización de ISO 31000 se reducen de once a ocho principios como factores clave de éxito:

Integración en todas las actividades. El proceso de gestión de riesgos debe ser parte integral de los diferentes procesos que conforman el Sistema de Gestión de la organización.
Estructuración. El proceso de gestión de riesgos debe estar adecuadamente definido y contar con su propia estructura, además deber ser completo y detallado.
Adaptación a la organización. El proceso de gestión de riesgos debe adaptarse al contexto específico de la organización, es decir, tener su propio marco de referencia.
Inclusión de todas las partes interesadas. El proceso de gestión de riesgos debe promover la participación de todas las partes interesadas, lo que resulta en información confiable y una mayor toma de conciencia.
Dinamismo y respuesta a los cambios. Los riesgos aparecen, cambian o desaparecen con los cambios en el contexto de la organización. La organización debe responder a esos cambios de manera apropiada y oportuna.
Base en la mejor información disponible. La gestión de riesgos se debe hacer con información histórica actualizada, así como las expectativas en el futuro. La información debe ser oportuna, clara y disponible para las partes interesadas.
Consideración de factores humanos y culturales. El comportamiento humano y la cultural deben ser considerados por el proceso de gestión de riesgos.
Foco en la mejora continua. El proceso de gestión de riesgos debe mostrar mejora en el tiempo en eficacia y eficiencia.

ESTRUCTURA DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

La estructura de la nueva Norma ISO 31000:2018 Directrices para la Gestión de Riesgos es la siguiente:

1. Objeto y campo de aplicación.
2. Referencias normativa.
3. Términos y definiciones.
4. Principios.
5. Marco de trabajo.
5.1 Generalidades.
5.2 Liderazgo y compromiso.
5.3 Integración.
5.4 Diseño.
5.5 Implementación.
5.6 Evaluación.
5.7 Mejora.
6. Proceso.
6.1 Generalidades.
6.2 Comunicación y consulta.
6.3 Alcance, contexto y criterios.
6.4 Apreciación del riesgo.
6.5 Tratamiento del riesgo.
6.6 Seguimiento y revisión.
6.7 Registro y presentación de informes.

PRINCIPALES CAMBIOS EN ISO 31000:2018

Entre los principales cambios de la ISO 31000:2018 con respecto a la versión anterior de 2009, se pueden mencionar a los siguientes:

Revisión de los principios de la gestión de riesgos, que son los criterios clave para su éxito.
La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo y presenta otros principios relacionados tales como la mejora continua, la inclusión de partes interesadas, la personalización de la organización y la consideración de factores humanos y culturales.
Centrarse en el liderazgo de la alta dirección que debe garantizar que la gestión de riesgos se integre en todas las actividades de la organización, comenzando con su gobernanza.
Mayor énfasis en la naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas experiencias, el conocimiento y el análisis para la revisión de los elementos del proceso, las
acciones y los controles en cada etapa del proceso.
Optimización del contenido con un mayor enfoque en el mantenimiento de un modelo de sistemas abiertos que regularmente intercambia retroalimentación con su entorno externo
para adaptarse a múltiples necesidades y contextos.
Mayor foco en la integración de la gestión del riesgo con la organización y el papel de los líderes y su responsabilidad. La gestión del riesgo es una parte integral de los negocios.
Cada sección de la norma se revisó con un espíritu de claridad, utilizando un lenguaje más simple para facilitar la comprensión y hacerla accesible a todos los interesados.
Mayor énfasis en el logro de objetivos de la gestión del riesgo, haciendo una revisión de procesos, acciones y controles en cada etapa del proceso.

BENEFICIOS DE IMPLEMENTAR ISO 31000:2018

La implementación de la Norma ISO 31000:2018 para Gestión de Riesgos implica una serie de beneficios, y entre los más relevantes se encuentran los siguientes:

Beneficios para las partes interesadas:

Ofrece seguridad a sus partes interesadas, al tratar con una organización comprometida con la adecuada gestión de sus amenazas y riesgos.
Aumenta la eficacia en la respuesta ante situaciones de emergencia.
Permite contar con planes adecuados para enfrentar posibles amenazas o riesgos.

Beneficios en el mercado:

Imagen de credibilidad y prestigio.
Brinda seguridad y confianza a sus partes interesadas.
Competitividad, fortaleza y adecuada gestión de riesgos, evitando afectar a sus partes interesadas.

Beneficios para la organización:

Imagen de credibilidad y prestigio del organismo.
Brinda seguridad y confianza a sus colaboradores y clientes.
Competitividad, fortaleza y adecuada gestión de riesgos.
Con la norma ISO 31000:2018 permite a las partes interesadas destacar en la toma de decisiones, el logro de objetivos y la mejora del desempeño ante amenazas y riesgos que se presenten en la organización.
Cualquier organización está expuesta a factores externos, internos e influencias que hacen que sea incierto si lograrán sus objetivos, sin embargo, con las buenas prácticas y los conocimientos obtenidos en gestión de riesgos, se pueden mejorar los procesos de implementación.
La gestión del riesgo es dinámica y ayuda a las organizaciones a establecer estrategias, alcanzar objetivos y tomar decisiones informadas.
Contribuye a la mejora de los sistemas de gestión de riesgos.

PLAN PARA TRATAMIENTO DEL RIESGO

Un daño a la reputación de la empresa o de la marca, un delito cibernético, incumplimientos legales y/o regulatorios, o un acto de terrorismo son ejemplos de algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con mayor frecuencia.

La versión 2018 de ISO 31000 busca ayudar a manejar la incertidumbre que se presenta en cada decisión de una organización. Hacer frente al riesgo es parte de la gobernanza y el liderazgo, y es fundamental para la gestión de una organización en todos los niveles. ISO 31000: 2018 ofrece una guía más clara, breve y concisa que ayuda a las organizaciones a utilizar principios de gestión de riesgos para mejorar la planificación y tomar mejores decisiones.

De este modo, en el capítulo 6.5 Tratamiento del riesgo, en el ítem 6.5.3 Preparación e implementación de los planes de tratamiento del riesgo la Norma ISO 31000:2018 establece que un Plan para Tratamiento del Riesgo debe especificar la manera en que se implementarán las opciones elegidas para el tratamiento de tales riesgos, y además debe incluir como mínimo la siguiente información:

Los fundamentos de la selección de las opciones para el tratamiento de riesgos
Las personas responsables por la implementación del Plan
Las acciones propuestas
Los recursos necesarios
Las medidas del desempeño
Los informes de seguimiento requeridos
Los plazos previstos

Con el objeto de elaborar un Plan para Tratamiento del Riesgo que resulte adecuado a lo especificado por la Norma ISO 31000:2018, se deberían tomar en consideración los siguientes aspectos:

Definición del alcance del plan de riesgos. Los riesgos a tratar se circunscriben a un proyecto, a un proceso, o abarcan a toda la compañía?
Recopilación de información sobre riesgos. Se debe obtener información sobre los riesgos a tratar. Una buena iniciativa puede ser vincular a las personas clave de la empresa en las actividades de gestión de riesgos para favorecer la comunicación interna de riesgos y hacer que las prácticas de gestión de riesgos se multipliquen por la empresa.
Identificación de los riesgos y sus consecuencias. Confeccionar lista de riesgos, asociando cada riesgo con sus consecuencias de manera específica.
Identificación de los controles de cada riesgo. Los controles son actividades, procedimientos o mecanismos que, una vez implementados, pueden actuar sobre un riesgo, alterando su probabilidad o su impacto.
Análisis de probabilidad. Para cada riesgo de la lista, se debe determinar la probabilidad de que este riesgo se materialice.
Análisis del impacto. Para cada riesgo de la lista, se debe determinar la magnitud de las consecuencias de que este riesgo se materialice.
Determinación del nivel del riesgo, en base a la probabilidad y al impacto de cada riesgo.
Definición de prioridades, en función del nivel de riesgo.
Planificación de estrategias de mitigación (reducir la probabilidad de que un riesgo se materialice) y contingencia (reducir el impacto de un riesgo si se materializa)
Analisis de eficacia de las estrategias implementadas.
Monitoreo de los riesgos. Se debería disponer de herramientas cuantitativas que permitan monitorear, realizar seguimiento y establecer cuándo tomar acciones para mitigar riesgos. Dichos indicadores cuantitativos son comúnmente conocidos como o KRI (key risk indicator), y se trata de métricas creadas para poder sintetizar objetivamente aquellos riesgos considerados como significativos y que necesitan un tratamiento diferenciado. Estas métricas permiten llevar un registro de incidencias, monitorear su comportamiento, informar sobre su evolución, reportarlos y establecer planes de acción cuando salen de la tendencia esperada.

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

GESTION DEL RIESGO – ISO 31000

Publicado el 28 octubre, 201613 noviembre, 2020 por Ing. Hugo Gonzalez

GESTION DEL RIESGO – ISO 31000

Todas las organizaciones, grandes o pequeñas, de capital privado o del ámbito publico, industriales o de servicios, se enfrentan a factores internos y externos que le restan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es lo que se define como “Riesgo” y es inherente a todas las actividades.

Un Riesgo es el efecto de la incertidumbre sobre los objetivos.

NOTA 1 Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos.
NOTA 2 Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).
NOTA 3 A menudo el riesgo está caracterizado por la referencia a los eventos potenciales y las consecuencias o a una combinación de ellos.
NOTA 4 Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la probabilidad de que suceda.
NOTA 5 Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.

Ante esta situación, las organizaciones deben gestionar el riesgo de manera eficaz para poder asegurar el cumplimiento de sus objetivos estratégicos, y una manera adecuada de hacerlo es siguiendo los lineamientos que define la Norma ISO 31000 – Gestión del Riesgos. Principios y Directrices, la cual provee de los principios, el marco de trabajo (framework) y un proceso destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble dentro de cualquier alcance o contexto.

Así, la Norma ISO 31000 es un excelente complemento para normas de sistemas de gestión, como ISO 9001:2015 o ISO 14001:2015, ya que permite abordar los riesgos pertinentes definidos en el capítulo 6 de ambas normas.

ISO 31000 - GESTION DEL RIESGO — ISO 31000 – GESTION DEL RIESGO

Este estándar ISO 31000:2009 puede ser utilizada por cualquier organización, de carácter público, privado, sin fines de lucro, asociación, grupo o individuo, y no es específica a alguna industria o sector.

Cuando la gestión del riesgo se implementa y se mantiene de acuerdo con esta norma ISO 31000, le permite a la organización:

Aumentar la probabilidad de alcanzar los objetivos;
Fomentar la gestión proactiva;
Ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización;
Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas internacionales;
Mejorar la presentación de informes obligatorios y voluntarios;
Mejorar el gobierno;
Mejorar la confianza y honestidad de las partes involucradas,
Establecer una base confiable para la toma de decisiones y la planificación;
Mejorar los controles;
Asignar y usar eficazmente los recursos para el tratamiento del riesgo;
Mejorar la eficacia y la eficiencia operativa;
Incrementar el desempeño de la salud y la seguridad, así como la protección ambiental;
Mejorar la prevención de pérdidas y la gestión de incidentes;
Minimizar las pérdidas;
Mejorar el aprendizaje organizacional; y
Mejorar la flexibilidad organizacional.

Esta norma está destinada a satisfacer las necesidades de un rango amplio de partes involucradas, incluyendo:

a) aquellos responsables del desarrollo de la política de gestión del riesgo dentro de la organización;
b) aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro de la organización como unidad o dentro de un área, proyecto o actividad específicos;
c) aquellos que necesitan evaluar la eficacia de una organización en cuanto a la gestión del riesgo; y
d) aquellos que desarrollan normas, guías, procedimientos y códigos de práctica que, parcial o totalmente, establecen la manera de gestionar el riesgo dentro del contexto específico de estos documentos.

La norma ISO 31000:2009 establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo. Esta Norma Internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura.

La relación entre los Principios Básicos de la Gestión de Riesgos, el Marco de Trabajo (Framework), así como el Proceso de Gestión del Riesgo desarrollado en la Norma ISO 31000 se resume en la figura siguiente:

GESTIÓN DEL RIESGO – VOCABULARIO

En el marco de la Gestión de Riesgos, se utilizan conceptos para los cuales es muy importante contar con una adecuada definición. Al respecto, la norma «ISO/Guide 73:2009 Risk management — Vocabulary» proporciona un vocabulario básico para desarrollar un entendimiento común sobre los conceptos de gestión de riesgos y las condiciones, entre entidades y funciones, a través de diferentes aplicaciones y tipos.
En el contexto de la terminología de gestión de riesgos, se pretende que se dará preferencia a las definiciones que figuran en esta guía.

Esta Guía ISO/Guide 73:2009 es genérica y se compila para abarcar el campo general de la gestión de riesgos. Los términos están dispuestos en el orden siguiente:

Las disposiciones relacionadas con el riesgo;
Los términos relacionados con la gestión de riesgos;
Los términos relacionados con el proceso de gestión de riesgos;
Las condiciones relacionadas con la comunicación y la consulta;
Los términos relacionados con el contexto;
Término relacionado con la evaluación de riesgos;
Los términos relativos a la identificación de riesgos;
Los términos relacionados con el análisis de riesgos;
Los términos relativos a la evaluación de riesgos;
Los términos relacionados con el tratamiento del riesgo;
Las disposiciones relacionadas con el seguimiento y la medición.

PROCESO PARA GESTIÓN DEL RIESGO – APRECIACIÓN DEL RIESGO

Todas las actividades de una organización implican riesgos que se deberían gestionar. El proceso de gestión del riesgo ayuda a tomar decisiones teniendo en cuenta la incertidumbre y la posibilidad de futuros sucesos o circunstancias (previstas o imprevistas) y sus efectos sobre los objetivos acordados.

La gestión del riesgo incluye la aplicación de métodos lógicos y sistemáticos para:

Comunicar y consultar a lo largo de este proceso;
Establecer del contexto para la identificación, análisis, evaluación, tratamiento del riesgo asociado con cualquier actividad, proceso, función o producto;Realizar el seguimiento y revisar los riesgos;
Informar y registrar los resultados de manera apropiada.

El Proceso para Gestión del Riesgo que establece la norma ISO 31000 comprende, entre otras, una etapa de Evaluación o Apreciación del Riesgo, que es la parte de la gestión del riesgo que proporciona un proceso estructurado que identifica la manera en que los objetivos pueden resultar afectados, y analiza el riesgo en términos de consecuencias y de sus probabilidades antes de decidir si se necesita un tratamiento adicional.

La apreciación del riesgo trata de dar respuesta a las siguientes cuestiones fundamentales:

¿Qué puede suceder y porque (para la identificación del riesgo)?
¿Cuáles son las consecuencias?
¿Cuál es la probabilidad de su ocurrencia futura?
¿Existen factores que mitiguen las consecuencias del riesgo o que reduzcan la probabilidad del riesgo?

En este punto, resulta de gran utilidad tomar en consideración la norma ISO 31010:2009 Gestión del riesgo – Técnicas de apreciación del riesgo, que proporciona directrices para la selección y aplicación de técnicas sistemáticas para la apreciación o evaluación del riesgo.

Esta norma presenta una serie de técnicas, y hace referencia a otras normas donde se describe con mayor detalle el concepto y la aplicación de algunas de ellas. ISO 31010:2009 no especifica el método de análisis del riesgo que se requiere para una aplicación particular ni hace referencia a todas las técnicas. El hecho de que una técnica no sea mencionada no significa que no sea válida.

La finalidad de la apreciación del riesgo consiste en proporcionar evidencias basadas en información y análisis para tomar decisiones informadas sobre cómo tratar riesgos particulares y cómo hacer la selección entre distintas opciones.

Entre los principales beneficios de realizar la apreciación del riesgo, se incluyen:

Comprender el riesgo y su impacto potencial sobre los objetivos;
Proporcionar información a las personas que toman decisiones;
Contribuir a comprender los riesgos, para ayudar en la selección de las opciones de tratamiento;
Identificar a los factores principales que contribuyan a los riesgos, y los puntos débiles en los sistemas y organizaciones;
Comparar los riesgos en sistemas, tecnologías o enfoques alternativos;
Comunicar los riesgos y las incertidumbres;
Ayudar a establecer prioridades;
Contribuir a la prevención de incidentes en base a investigaciones posteriores de incidentes;
Seleccionar diferentes formas de tratamiento del riesgo;
Cumplir los requisitos reglamentarios;
Proporcionar información que ayudará a evaluar si se debería aceptar el riesgo cuando se compara con criterios predefinidos;
Realizar la apreciación de los riesgos unidos al final de la vida útil.

SELECCIÓN DE TÉCNICAS DE APRECIACIÓN DEL RIESGO

Las técnicas descritas en la norma ISO 31010:2009 son las siguientes:

Tormenta de ideas
Entrevistas estructuradas o semiestructuradas
Delphi
Listas de ejemplo
Análisis de riesgos preliminar (PHA)
Estudio de Peligros y Operabilidad – HAZOP
Análisis de peligros y puntos críticos de control (HACCP)
Evaluación del riesgo ambiental
Análisis de causas y consecuencias
Análisis de casa y efecto
Análisis de Capas de Protección (LOPA)
Árboles de decisión
Análisis de la fiabilidad humana
Árbol de fallos y sucesos iniciadores (bow tie)
Mantenimiento Centrado en la Fiabilidad (RCM)
Análisis de circuitos de fugas
Análisis de cadenas de Markov
Análisis Qué pasa si
Análisis de escenarios
Análisis de Impacto de negocio (BIA)
Análisis de Causa Raíz (RCA)
Análisis de modo y efecto de la falla ( FMEA )
Análisis de árbol de fallos
Análisis de árbol de eventos
Simulación de Monte Carlo
Análisis Bayesiano
Curvas FN
Índices de riesgo
Matrices de probabilidad y consecuencia
Análisis costo beneficio
Análisis de decisión multicriterio (MCDA)

La apreciación del riesgo se puede realizar con diferentes grados de profundidad y de detalle, y utilizando uno o varios de los métodos o técnicas ya mencionados, y que varían desde simples a complejos. La forma de la apreciación y de sus resultados debería ser consecuente con los criterios de riesgo desarrollados como parte del establecimiento del contexto.

En términos generales, las técnicas adecuadas deberían tener las siguientes características:

Deberían ser justificables y apropiadas a la situación u organización que se está considerando;
Deberían proporcionar resultados de una forma que mejoren la comprensión de la naturaleza del riesgo y de cómo se puede tratar;
Deberían poderse utilizar de una manera que sea trazable, reproducible y verificable.

Se deberían dar las razones para la elección de técnicas, en cuanto a la importancia y a la idoneidad. Cuando se integran los resultados procedentes de estudios diferentes, las técnicas utilizadas y los resultados deberían ser comparables.

Bibliografía:

ISO 9001:2015 – Requisitos para sistemas de gestión de la calidad
ISO 9000:2015 – Sistemas de Gestión de la Calidad. Fundamentos y Vocabulario
ISO 31000:2009 – Gestión del Riesgo. Principios y Directrices
ISO/Guide 73:2009 Risk management — Vocabulary
ISO 31010:2009 Gestión del riesgo – Técnicas de apreciación del riesgo

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

TRANSICIÓN A ISO 9001:2015. CONSIDERACIONES

Publicado el 1 marzo, 201613 noviembre, 2020 por Ing. Hugo Gonzalez

TRANSICIÓN A ISO 9001:2015. CONSIDERACIONES

Todas las normas ISO de sistemas de gestión están sujetas a una revisión periódica según sus propias reglas. La revisión de la Norma ISO 9001 se orientó a mantener su relevancia en el mercado actual y futuro, para lo cual definió los siguientes objetivos:

Favorecer la integración con otros sistemas de gestión
Proporcionar un enfoque integrado de la gestión organizacional
Reflejar los entornos cada vez más complejos en los que operan las organizaciones
Mejorar la capacidad de la organización para satisfacer a sus clientes

De este modo, en Septiembre de 2015 la Organización Internacional de Normalización – ISO publicó la nueva Norma ISO 9001:2015, estableciendo un nuevo hito en su evolución.

NUEVA ISO 9001:2015 - EVOLUCIÓN DE ISO 9001 — NUEVA ISO 9001:2015 – EVOLUCIÓN DE ISO 9001

Esta evolución requiere que las organizaciones que utilizan este estándar para sus Sistemas de Gestión lleven a cabo una cuidadosa transición desde la Norma ISO 9001:2008 a la ISO 9001:2015, para lo cual es conveniente tener en consideración los aspectos que se detallan seguidamente.

Formación necesaria sobre ISO 9001:2015

La nueva ISO 9001:2015 incorpora nuevos requisitos e introduce muchos conceptos significativos que requieren de la formación necesaria para la transición a los nuevos requisitos de ISO 9001:2015.

En este sentido, es conveniente tener en cuenta que tal formación no sólo debe involucrar al responsable del SGC, la principal persona responsable de la norma ISO 9001 dentro de su organización, sino que tal formación debe incluir también a cualquier persona que esté involucrada en cualquier parte del proceso ISO 9001 dentro de una organización, ya que ésta deberá comprender los cambios más relevantes en la norma ISO 9001:2015.

ISO 9001: 2015. Partes Interesadas

Las llamadas «Partes Interesadas» son uno de los cambios de la nueva ISO 9001:2015, y constituyen la combinación de factores internos y externos que determina el así denominado «Contexto de la organización».

Por tanto, uno de los aportes fundamentales que la revisión de la Norma ISO 9001:2015 ha traído consigo es el enfoque desde el que se debe definir el contexto de la organización y la consideración que se debe hacer de las partes interesadas en la organización, cuya importancia radica en el hecho de que la detección de los factores pertinentes a la planificación e implementación de un Sistema de Gestión de la Calidad está estrechamente vinculado con la consecución de los resultados previstos.

Así, es posible definir a las partes interesadas como el conjunto de factores internos y externos que ejercen influencia sobre la organización. De manera más formal, la Norma ISO 9001:2015 las define como todos los grupos de interés que de alguna forma se puedan ver afectados por la actividad de la empresa o cuyas decisiones puedan afectar al Sistema de Gestión de la Calidad de la organización.

A manera de ejemplo de las partes interesadas de origen externo, por lo general relacionadas con aspectos sobre los que la organización no puede ejercer control alguno, las reglas del juego que son igual para todas las empresas y a las que toda empresa debe acogerse, pueden incluirse a los propios clientes de la empresa, los empleados, socios, propietarios o accionistas, proveedores, competidores, sindicatos, organismos reguladores, grupos de ciudadanos que puedan ejercer una determinada presión, etc.

Entre los factores internos se encuentran el conjunto de elementos sobre los que la organización puede ejercer un control, son inherentes a la propia empresa, y la Alta Dirección los puede cambiar y adaptar a las condiciones existentes.

Ejemplos de factores internos son los siguientes:

Recursos Humanos: interés orientado hacia la estabilidad laboral, los planes de carrera y el desarrollo profesional.
Accionistas/Socios/Propietarios: interés en el crecimiento en términos de rentabilidad y productividad, y en la reducción de costos de operación.

Una vez identificados los factores internos y externos, es importante saber cuáles de ellos son pertinentes en la implementación del SGC, es decir aquellos que son especialmente relevantes para considerar el efecto que ejercen sobre el logro de los resultados previstos.

ISO 9001: 2015. Documentación

La documentación requerida en la nueva Norma ISO 9001:2015 no debe suponer un aumento de la burocracia, por el contrario esta versión es más liberal en cuanto a los requisitos de documentación.

En la nueva ISO 9001:2015 desaparece de su redacción la expresión “procedimiento documentado”. En su lugar, la norma establece que las organizaciones deberán mantener en relación con sus actividades la “información documentada”, la cual es la información que debe ser controlada y mantenida por una organización y el medio en el que está contenida.

En este sentido, el objetivo primordial de ISO 9001:2015 no es la descripción exhaustiva de todos los procesos, sino la obtención de los resultados que se planificaron, de manera tal que el protagonismo deja de estar centrado en la documentación para poner en primer plano a los procesos y su gestión.

La «información documentada» requerida por la Norma ISO 9001:2015 es la siguiente:

El alcance del sistema de Calidad debe estar disponible y mantenerse como información documentada (capítulo 4.3 – Determinación del alcance del sistema de gestión de la calidad).
En la medida que sea necesario, la organización debe mantener información documentada para apoyar la operación de sus procesos. (Capítulo 4.4 – Sistema de gestión de calidad y sus procesos).
En la medida que sea necesario, la organización debe conservar la información documentada para tener la confianza que los procesos se realizan según lo planificado (capítulo 4.4 – » Sistema de Gestión de Calidad y sus procesos»).
Política de Calidad (capítulo 5.2.2 a – Política).
Objetivos de la calidad (capítulo 6.2 -Objetivos de la Calidad y planificación para lograrlos).
La organización debe conservar la información documentada apropiada como evidencia de que los recursos de seguimiento y medición son idóneos para su propósito. (capitulo 7.1.5.- Recursos de seguimiento y medición).
Los instrumentos de medición deben verificarse o calibrarse, o ambas, a intervalos especificados, o antes de su utilización, contra patrones de medición trazables a patrones de medición internacionales o nacionales; cuando no existan tales patrones, debe conservarse como información documentada la base utilizada para la calibración o la verificación (capítulo 7.1.5.- Trazabilidad de las mediciones).
Evidencias de la competencia del personal (capítulo 7.2 – “Competencia”).
Información documentada en la medida necesaria para tener confianza que los procesos se han llevado a cabo según lo previsto y para demostrar la conformidad de los productos y servicios con los requisitos. (capítulo 8.1- «Planificación y control operacional»).
La organización debe conservar la información documentada que describe los resultados de la revisión, incluyendo los requisitos nuevos o modificados para los productos y servicios. (capítulo 8.2.3.2 – «Revisión de los requisitos para los productos y servicios»).
Información acerca del diseño y el desarrollo. (capítulo 8.3.3. «Entradas para el diseño y desarrollo”).
Información acerca de los controles al proceso de diseño y el desarrollo. (Capítulo 8.3.4 – Controles del diseño y desarrollo”).
La organización debe conservar información documentada sobre las salidas del diseño y desarrollo. (capítulo 8.3.5 – «Salidas del Diseño y desarrollo»).
La organización debe conservar información documentada sobre los cambios del diseño y desarrollo. (capítulo 8.3.6 – «Cambios del Diseño y desarrollo»).
La organización debe conservar información documentada apropiada de los resultados de las evaluaciones, el seguimiento del desempeño y reevaluaciones de los proveedores externos. (capítulo 8.4 – «Control de los procesos, productos y servicios suministrados externamente»).
Cuando la trazabilidad sea un requisito, la organización debe controlar la identificación única de las salidas del proceso, y conservar la información documentada necesaria para permitir la trazabilidad. (capítulo 8.5.2 – «Identificación y trazabilidad»).
Información al cliente o de un proveedor externo en caso que su propiedad se pierda, deteriore o de algún otro modo se considere inadecuada para su uso. (capítulo 8.5.3 – «Propiedad perteneciente a los clientes o proveedores externos»).
La organización debe conservar información documentada que describa los resultados de la revisión de cambios, las personas que autorizan el cambio y de cualquier acción necesaria que surja de la revisión. (capítulo 8.5.6 – «Control de los cambios»).
Información referente a Liberación de los productos y servicios: Evidencia de la conformidad con los criterios de aceptación; y Trazabilidad a las personas que autorizan la liberación. (capítulo 8.6 – «Liberación de los productos y servicios»).
Información referente a Control de las salidas no conformes: Descripción de la no conformidad, las acciones tomadas, y todas las concesiones obtenidas; identificación de la persona o autoridad que decide la acción con respecto a la no conformidad.
(capítulo 8.7.2 – «Control de las salidas no conformes»).
La organización debe asegurarse que las actividades de seguimiento y de medición sean implementadas de acuerdo con los requisitos determinados y debe conservar información documentada apropiada como evidencia de los resultados. (capítulo 9.1.1 -. «Seguimiento, medición, análisis y evaluación»).
La organización debe conservar información documentada como evidencia de la implementación del programa de auditoría y los resultados de las auditorías.
(Capítulo 9.2.2 -. «Auditoría interna»).
La organizacion debe conservar información documentada como evidencia de los resultados de la revisiones por la dirección. (Capitulo 9.3 – Revisión por la dirección).
La organización debe conservar información documentada como evidencia de la naturaleza de las no conformidades y de cualquier acción tomada posteriormente.
(capítulo 10.2.2 «No conformidad y acción correctiva»).
La organización debe conservar información documentada como evidencia de los resultados de cualquier acción correctiva. (capítulo 10.2.2 «No conformidad y acción correctiva»)

ISO 9001:2015. Planificación de cambios

Los cambios que requieran efectuarse al Sistema de Gestión de la Calidad, según la norma ISO 9001:2015 deben responder a un método establecido por la organización con la finalidad de poder gestionar tales cambios y así garantizar la integridad del SGC.

Para ello, es importante considerar aspectos tales como:

Identificación de requisitos, necesidades y oportunidades de cambio: a través de auditorias, verificaciones, validaciones, o medición de la satisfacción del cliente y las partes interesadas es posible identificar no conformidades, oportunidades o riesgos, incumplimientos o ineficacias que indican la necesidad de cambiar la metodología de trabajo, los procedimientos y la información documentada.
Solicitudes de cambio: fomentar la participación del personal de la organización en los cambios que se crean oportunos en el Sistema de Gestión de la Calidad.
Registro y evaluación de solicitudes de cambio: mantener un registro adecuado de estas actividades, que incluya la información relevante de la solicitud y el proceso de revisión y evaluación efectuados.
Liderazgo: definir los recursos humanos a cargo de la gestión de estas solicitudes, por ejemplo mediante la designación de una persona o un comité como responsables.
Evaluar la eficiencia conseguida: La situación esperada después de aplicar el cambio tiene que ser el punto de referencia para evaluar si el cambio se produce según el resultado deseado. Las auditorías internas son el medio adecuado para evaluar si es eficiente el cambio.

Roles, autoridades y responsabilidades en ISO 9001

La cláusula 5.3 de la norma ISO 9001 2015 está orientada a definir todos los roles funcionales, considerando a una función como el papel para ser llevado a cabo por una unidad designada de la organización.

Organización: persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos.
Nota 1 a la entrada: El concepto de organización incluye, entre otros, un trabajador independiente, compañía, corporación, firma, empresa, autoridad, sociedad, asociación, organización benéfica o institución, o una parte o combinación de éstas, ya estén constituidas o no, públicas o privadas.

Norma ISO 9000:2015, Sistemas de gestión de la calidad — Fundamentos y vocabulario, item 3.2.1.

Según esta definición, para conseguir sus objetivos una empresa debe contar con los roles, las autoridades y las responsabilidades adecuadamente definidos. Para ello es necesario establecer cómo se relacionan las actividades a desarrollar y las personas asociadas con tales actividades, de manera tal que resulte posible identificar a:

La persona responsable de realizar la tarea.
La persona con responsabilidad última sobre la tarea.
La persona a la que se consulta sobre la tarea.
La persona a la que se debe informar sobre la tarea.

Con respecto a la autoridad, ésta se refiere a la potestad asignada por la Alta Dirección a una persona o grupo de personas para tomar decisiones sobre un área determinada, y se representa de forma visual mediante un organigrama, en el que se aplican todos los procesos y la estructura de la organización.

ISO 9001:2015. ENFOQUE BASADO EN RIESGOS – ISO 31000

En la nueva versión de la Norma ISO 9001:2015 se destaca la intención de enfatizar y guiar el Enfoque basado en Riesgos, introduciendo éste en varias cláusulas como el enfoque a procesos, en el liderazgo y especialmente en la planificación.

Riesgo: efecto de la incertidumbre
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2 a la entrada: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales y consecuencias, o a una combinación de éstos.
Nota 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la probabilidad asociada de que ocurra.
Nota 5 a la entrada: La palabra “riesgo” algunas veces se utiliza cuando sólo existe la posibilidad de consecuencias negativas.

Norma ISO 9000:2015, Sistemas de gestión de la calidad — Fundamentos y vocabulario, item 3.7.9.

La norma ISO 31000 conforma un marco para la gestión del riesgo aplicable a cualquier tipo de empresa, sin importar su tamaño o sector.

En el artículo ISO 9001:2015. ENFOQUE BASADO EN RIESGOS que hemos publicado en nuestro blog se trata con más detalle este tema en particular.

Contexto de la Organización en ISO 9001:2015

La nueva Norma ISO 9001:2015 introdujo numerosos cambios a los que las organizaciones tendrán que hacer frente en su certificación o transición hacia este estándar. Uno de esos cambios fundamentales que se introduce en la cláusula número 4 es la obligatoriedad de definir el contexto de la organización.

Contexto de la organización: combinación de cuestiones internas y externas que pueden tener un efecto en el enfoque de la organización para el desarrollo y logro de sus objetivos.
Nota 1 a la entrada: Los objetivos de la organización pueden estar relacionados con sus productos y servicios, inversiones y comportamiento hacia sus partes interesadas.
Nota 2 a la entrada: El concepto de contexto de la organización se aplica por igual tanto a organizaciones sin fines de lucro o de servicio público como a aquellas que buscan beneficios con frecuencia.
Nota 3 a la entrada: En inglés, este concepto con frecuencia se denomina mediante otros términos, tales como “entorno empresarial”, “entorno de la organización” o “ecosistema de una organización”.
Nota 4 a la entrada: Entender la infraestructura puede ayudar a definir el contexto de la organización.

Norma ISO 9000:2015, Sistemas de gestión de la calidad — Fundamentos y vocabulario, item 3.2.2.

En el artículo ISO 9001:2015. CONTEXTO DE LA ORGANIZACIÓN que hemos publicado en nuestro blog se trata con más detalle este tema en particular.

Papel del Responsable del SGC en ISO 9001:2015

Uno de los temas que ha despertado mayor interés entre los cambios de la Norma ISO 9001:2015 es el referido al papel del responsable del Sistema de Gestión de la Calidad, ya que la nueva versión de la norma no incluye requisitos específicos para la figura del representante de la gestión de la calidad, lo que no implica que desaparezca esta figura en una organización, sino que desaparece el concepto de obligatoriedad asociado a este rol, otorgando mayor flexibilidad a esta función.

La principal diferencia de la versión 2015 con respecto a la de 2008, es que ya no es obligatorio asignar esta responsabilidad a un Representante de Dirección, sino que hay mayor libertad por parte de la Alta Dirección para decidir cómo repartir estas funciones.

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.

A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:

¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?

Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

	Ing. Hugo Gonzalez en CAMBIOS EN ISO 9001 PARA RESPO…
	Margarita Hernández… en CAMBIOS EN ISO 9001 PARA RESPO…
	vero en SATISFACCIÓN DEL CLIENTE SEGÚN…
	Crimen Organizado Tr… en ESTRATEGIA PARA EL CONTEXTO…
	Carlos Valerio en ISO 55001:2014 GESTION DE…

CÓMO ELABORAR UN MAPA DE RIESGOS EN TRES SEMANAS

WEBINAR GRATUITO: CREA TU MAPA DE RIESGOS EN TRES SEMANAS

Comparte esto:

CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ

Identificación de riesgos

Identificación de riesgos. Factores a considerar

Categorías de Riesgos

Análisis del riesgo

Técnicas para identificación y análisis de riesgos

Análisis FODA

Análisis PESTLE

Técnica estructurada «What – if»

Análisis preliminar de riesgos (APR)

Método de los «5 Porqués»

FMEA (failure mode and effective analysis)

Lista de chequeo

Diagrama de Ishikawa

CÓMO SELECCIONAR TÉCNICAS PARA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS

Orientación sobre Identificación y Análisis de Riesgos

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Comparte esto:

CÓMO ELABORAR UN MAPA DE RIESGOS

PASOS A SEGUIR PARA ELABORAR UN MAPA DE RIESGOS

POR QUÉ ES IMPORTANTE CREAR UN MAPA DE RIESGOS

RECOMENDACIONES PARA CONSTRUIR UN MAPA DE RIESGOS

Involucrar al personal de la organización – Comité de Riesgos

Definir Contextos para identificar los riesgos

Comprensión de cada riesgo

Orientación sobre Gestión de Riesgos

Monitoreo del Mapa de Riesgos

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Comparte esto:

GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS

LA EMPRESA EN ENTORNOS INCIERTOS

ISO 31000 – GESTIÓN DE RIESGOS PARA EL ÉXITO DE LA ORGANIZACIÓN

INTEGRAR LA GESTIÓN DEL RIESGO EN LOS PROCESOS DE LA ORGANIZACIÓN

BENEFICIOS DE LA INTEGRACIÓN DE LA GESTIÓN DE RIESGOS

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Comparte esto:

ISO 31000 GESTIÓN DE RIESGOS – PREGUNTAS FRECUENTES

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Comparte esto:

NORMA ISO 31000:2018 PARA GESTIÓN DE RIESGOS – LECTURA GRATUITA

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Comparte esto:

ISO 31000:2018 – FUNDAMENTOS DE GESTION DE RIESGOS

CONCEPTOS SOBRE GESTION DE RIESGOS

CONCLUSIONES DE LA NORMA ISO 31000: 2018

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Comparte esto:

ISO 31000:2018-DIRECTRICES PARA GESTION DE RIESGOS

PRINCIPIOS DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

ESTRUCTURA DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

PRINCIPALES CAMBIOS EN ISO 31000:2018

BENEFICIOS DE IMPLEMENTAR ISO 31000:2018

PLAN PARA TRATAMIENTO DEL RIESGO

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Comparte esto:

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Comparte esto:

¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?

Comparte esto: