Gestión de la Calidad ISO 9001 – Gestión de la Energía ISO 50001 – Gestión de Riesgos ISO 31000 – Gestión Ambiental ISO 14001 – Gestión de SST ISO 45001
CÓMO ELABORAR UN MAPA DE RIESGOS EN SÓLO 3 SEMANAS
Después del período de pandemia, muchas empresas han percibido la importancia de gestionar los posibles riesgos a los que la organización está expuesta, permitiendo que se adopten acciones preventivas para evitar los impactos negativos.
Pero, ¿por dónde empezar? Una excelente manera de estar más preparado para ofrecer respuestas rápidas, uniformes y eficientes a los desafíos es desarrollar un Mapa de Riesgos.
Aunque pueda parecer una tarea difícil, en el webinar «Mapeo de riesgos eficiente», los expertos en Gestión de Riesgos, Hugo González y Adriana Garavaglia, te mostrarán cómo crear el mapa de riesgos en tan sólo 3 semanas e implementarlo de manera eficiente.
Además, Karen Echeverría te mostrará cómo apoyarte de la tecnología e Inteligencia artificial!
No te quedarás fuera ¿verdad? Regístrate gratis ahora mismo y asegura tu lugar.
Es importante destacar que este no será un evento más, pues reunirá 3 especialistas en implementación de gestión de riesgos en empresas y compartiremos nuestro conocimiento sobre uno de los modelos más demandados en la experiencia práctica y es sobre cómo desarrollar un Mapa de Riesgos en tan solo tres semanas.
Durante este evento, tendrás la gran oportunidad de:
Adoptar el mapa de riesgos como herramienta clave para anticipar y mitigar los impactos negativos que puedan afectar a su empresa
Identificar procesos de controles eficientes
Utilizar el apoyo de tecnología de gestión de riesgos para descentralizar los procesos
Destalles del webinar
Título: Mapeo de Riesgos Eficiente
Fecha: 10 de abril
Ubicación: online (instrucciones en el enlace de registro)
Duración del evento: 1h15m
Los horarios
Hora CDMX/Nicaragua/Costa Rica: 12h
Hora Colombia/Perú: 13h
Hora Venezuela/República Dominicana: 14h
Hora Chile/Argentina: 15h
INSCRIPCIÓN GRATUITA
Para participar en forma gratuita de este webinar «Mapeo de riesgos eficientes» inscríbase ahora mismo completando este formulario.
REFERENCIAS
ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements (2019) ISO 31000:2018 Risk management – Guidelines (2018)
FORO REGIONAL IMPACTO DE LA GESTIÓN DE RIESGOS EN LOS SISTEMAS DE GESTIÓN
Se trata del Foro regional Impacto de la Gestión de Riesgos en los Sistemas de Gestión, en el que un grupo de expertos analizaremos los nuevos retos y la transformación que enfrentan las organizaciones, y de cómo la nueva Gestión de Riesgos se está convirtiendo en un pilar que posibilita afrontar y superar los cambios con firmeza.
Foro regional Impacto de la Gestión de Riesgos en los Sistemas de Gestión
Foro regional Impacto de la Gestión de Riesgos en los Sistemas de Gestión – Agenda
INSCRIPCIÓN GRATUITA
Para participar en forma gratuita del FORO REGIONAL IMPACTO DE LA GESTIÓN DE RIESGOS EN LOS SISTEMAS DE GESTIÓN inscríbase ahora mismo completando este formulario.
REFERENCIAS
ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements (2019) ISO 31000:2018 Risk management – Guidelines (2018)
“La idea revolucionaria que define la frontera entre la era moderna y el pasado es el dominio del riesgo: la noción de que el futuro es más que un capricho divino y que los hombres y mujeres no son inermes frente a la naturaleza”.
Peter Bernstein
De acuerdo con lo que plantea en esta frase el economista y educador Peter Bernstein(EEUU, 1919 – 2009), cuyo desarrollo y refinamiento de la hipótesis del mercado eficiente lo convirtió en una de las mayores autoridades en economía, resulta fundamental para el futuro de cualquier organización que ésta dedique ingentes esfuerzos a dominar el riesgo.
Y una buena manera de dominar el riesgo es a través de la Gestión del Riesgo, cuyo paso inicial requiere de una herramienta que ofrezca una clara visualización de datos para comunicar los riesgos específicos que enfrenta una organización: un Mapa de Riesgos.
Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:
Anticiparse a los problemas para poder resolverlos de manera eficiente
Aprovechar las oportunidades cuando éstas se presenten
Un Mapa de Riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.
WEBINAR GRATUITO: CREA TU MAPA DE RIESGOS EN TRES SEMANAS
WEBINAR – Crea un mapa de riesgos en tres semanas
En este webinar con Adriana Garavaglia, arquitecta, especialista en gestión de proyectos, PMP (R) certificada y quien tiene experiencia en gestión de riesgos, y Hugo González, ingeniero civil, Auditor Líder IRCA – DNV de Sistemas de Gestión de la Energía y con experiencia en la implementación de sistema de gestión de riesgos (ISO 31000), energía (ISO 50001), calidad (ISO 9001) y otros, podrás conocer los aspectos clave de una hoja de ruta para crear un mapa de riesgos en tan solo tres semanas.
El objetivo es lograr que tu organización o proyecto incremente las posibilidades de alcanzar los resultados planeados y puedan detectar las oportunidades que representa el contexto actual para la misma.
Completa tus datos y reserva ya tu lugar para el webinar, completando nuestro formulario.
Un Plan de Continuidad de Negocio (Business Continuity Plan) tiene como finalidad proteger los intereses de la organización y de otras partes interesadas, así como la reputación, las finanzas, los activos críticos y otros aspectos generadores de valor de la propia empresa, y con esa finalidad describe el modelo sistemático que una organización debe seguir para responder a una disrupción, el cual se elabora anticipadamente para dirigirla y encauzarla a sostener en niveles previamente definidos y aceptados, aquellos productos y servicios considerados como críticos del negocio.
Este Plan de Continuidad de Negocio está basado en la estructuración de procedimientos, tecnología e información, los cuales son desarrollados, compilados y mantenidos en preparación para su uso, durante y después de una interrupción o desastre.
ISO 22301 – Plan de Continuidad de Negocio
Al considerar una interrupción o desastre, cualquier organización, independientemente de su tipo, tamaño o naturaleza, puede ver interrumpida su actividad por fuerzas de causa mayor.
Situaciones o eventos como incendios, pandemias, ataques terroristas, fallos eléctricos o interrupciones de servicio público pueden ocurrir en cualquier momento sin aviso previo. Con el fin de dotar a las empresas de un marco de referencia para gestionar de forma eficaz la continuidad de su negocio, fue diseñada la
Norma ISO 22301 – Seguridad y resiliencia. Sistema de gestión de continuidad de negocio. Requisitos
¿QUÉ ES LA NORMA ISO 22301?
La ISO 22301 se trata de una normativa creada por la Organización Internacional de Normalización (ISO), la cual brinda buenas prácticas y formas para llevar a cabo la gestión de la continuidad de negocio, con el fin de minimizar los impactos que pueden traer la materialización de un riesgo afectando de manera directa a la organización.
Este estándar internacional está basado en la norma británica BS 25999, la cual fue sustituida en mayo del 2012 por la primera versión de ISO 22301.
A diferencia de la BS 25999, la Norma ISO 22301 trata con gran profundidad los siguientes aspectos:
Nivel de responsabilidad de la alta dirección en la continuidad del negocio frente a imprevistos. Será el órgano que deberá asegurarse de la persistencia de la actividad frente a interrupciones que puedan suceder.
Planificación de recursos y preparación para hacer frente a riesgos que puedan cesar de forma temporal el ejercicio del negocio.
Cursos de acción frente a clientes, proveedores, y otras partes interesadas en caso que exista alguna causa de fuerza mayor que impida desarrollar sus operaciones.
Homogenización del vocabulario y términos para alcanzar las mismas condiciones en relaciones internacionales comerciales con otras organizaciones.
Entre los principales cambios de ISO 22301:2012 vs ISO 22301:2019 se pueden mencionar los siguientes:
Actualización de términos y definiciones, incluyendo referencia a la norma ISO 22300 Seguridad y resiliencia – Vocabulario.
Más flexibilidad y pragmatismo, las secciones redundantes se han eliminado. Ejemplo de ello es la reducción o concreción de requisitos en los apartados referidos al Contexto de la organización, Liderazgo, Planificación, Evaluación del desempeño y Mejora.
Los requisitos específicos, núcleo de la Continuidad de Negocio, están recogidos en la cláusula 8. Se ha mejorado su contenido, especialmente en los siguientes aspectos:
El Análisis de impacto en el Negocio (BIA en sus siglas en inglés – Business Impact Analysis), en la definición de los tipos de impacto y su evaluación en el tiempo.
Pragmatismo con el deber de encontrar estrategias y soluciones para cada uno de los posibles impactos o riesgos específicos.
Lo importante no es el riesgo que se esté dispuesto a asumir, sino el nivel de impacto que los riesgos puedan provocar en las actividades.
Necesidad de tener en cuenta en los planes de continuidad de negocio el impacto en el medio ambiente al gestionar las consecuencias inmediatas de una interrupción.
Importancia de los equipos responsables de la respuesta ante un incidente: las acciones que deben realizar, sus roles y responsabilidades y las relaciones entre ellos.
Evaluaciones de las capacidades en continuidad de negocio de socios y proveedores relevantes.
Mantenimiento de un programa de ejercicios y pruebas.
Adaptación del Sistema de Gestión a los estándares del resto de normas de sistemas de gestión ISO, como la 27001 o la 9001.
CONCEPTOS MÁS RELEVANTES EN ISO 22301
ISO 22301 – Plan de Continuidad de Negocio
Contenido del Plan de Continuidad de Negocio
El Plan de Continuidad de Negocio (PCN) es un método utilizado para crear y validar las acciones a seguir para asegurar la continuidad de las operaciones de procesos de negocio antes, durante y después de la ocurrencia de eventos disruptivos.
En un Plan de Continuidad de Negocio se plasman los objetivos que se quieren lograr aún en un ambiente de incertidumbre y la ocurrencia de una disrupción, hay una visión de la alta gerencia de cómo quiere ver operando su negocio en fases como reanudación, recuperación y restauración.
Este PCN también incluye la realización de un análisis de riesgos en las dimensiones de impacto positivo o negativo que causa la incertidumbre en los objetivos, y se preparan las respuestas de acuerdo con la información manejada y las necesidades e intereses de otras partes interesadas.
Los objetivos incluidos en el PCN pueden estar relacionados con los siguientes aspectos:
La situación financiera
Operaciones de producción o comercialización
Cumplimiento de obligaciones o compromisos
Conservación y mantenimiento de la reputación de la marca o del negocio
Asegurar que el negocio se mantenga operando durante la disrupción y salga fortalecido con capacidad de resiliencia para ser una mejor organización luego de confrontar un peligro o aprovechar una oportunidad.
A estos fines el PCN, y una vez definidos los objetivos a lograr, establece el alcance del proyecto, es decir las partes o componentes del negocio que serán cubiertos por el plan, pudiendo ser la totalidad de la organización o una parte de ella expresada en sus productos o servicios y en sus procesos de negocio.
Vale la pena indicar que cuando el plan no abarca a toda la organización se debe dejar constancia de las razones por las cuales unas partes son excluidas y la respectiva fundamentación por la cual se considera que su exclusión no afectará la continuidad del negocio y el logro de los objetivos planteados.
Los elementos básicos de un PCN incluyen:
Objetivos de negocio y alcance,
Análisis de impacto en el negocio,
Estrategias de recuperación y continuidad del negocio,
Pruebas e implementación, y
Mantenimiento y mejora continua;
Entonces la empresa ya se encuentra en condiciones de considerar las oportunidades y amenazas que se derivan de una disrupción, las estrategias a utilizar, los planes de respuestas adecuados y el desglose de las actividades que deban considerarse de acuerdo con el marco o norma utilizado para la elaboración del CNP.
Personas competentes con responsabilidades definidas
Procesos de gestión relacionados con: la política; la planificación; la implementación y operación; evaluación del desempeño; revisión por la gerencia; mejora continua;
Información documentada que apoye el control operacional y permita la evaluación del desempeño.
De este modo queda claro que un PCN no es un plan estratégico que define la visión de la organización en un horizonte temporal ni establece o revisa misión, valores u objetivos estratégicos.
Estos temas que pertenecen a la estrategia se manejan con otros métodos y herramientas, sin embargo es posible que en un PCN se encuentren resultados parciales de un objetivo estratégico o los resultados de un objetivo estratégico siempre que formen parte del alcance del plan y coincidan en el tiempo de ejecución del plan.
El PCN tampoco se utiliza para cambiar el giro del negocio ni su actividad principal, o para reemplazar o sustituir la misión de la organización. El PCN se utiliza y es su fundamento, para asegurar la continuidad de las operaciones de procesos de negocio antes, durante y después de la ocurrencia de una disrupción.
Diferencias con otros planes similares
En el contexto de la gestión de Continuidad de Negocio, además del PCN también es habitual el desarrollo de otros tipos de planes, como un plan de emergencia o de recuperación de desastre, el cual puede ser una parte del PCN o un plan separado para atender el impacto inmediato de un evento.
Cuando son dos documentos diferentes es muy importante verificar de que sean complementarios y se apoyen en el logro de objetivos de cada uno, que no haya competencia por recursos y que ambos estén supeditados a la estrategia de negocio de la empresa.
Los elementos básicos de un plan de emergencia o de recuperación de desastre contemplan:
Declaración de contingencia,
Análisis de impacto en el negocio,
Plan de respuesta,
Medidas de control,
Pruebas e implementación,
Mantenimiento.
Además, existen otro tipos de planes vinculados con la Continuidad de Negocio, entre los cuales se pueden mencionar a los siguientes:
Plan de comunicación de crisis: documento que describe los procedimientos y comunicados de prensa que las organizaciones deben preparar para responder ante un incidente de manera correcta. Este plan debe estar coordinado con los otros planes de la organización para asegurar que sólo comunicados previamente revisados y aprobados sean divulgados y que solamente el personal autorizado, designado con anterioridad, sea el responsable de responder a las diferentes inquietudes que se generen y de diseminar los reportes de estado a los empleados y al público en general.
Planes de evacuación por edificio/sitio de operación: estos planes contienen los procedimientos que deben seguir los ocupantes de una instalación en el evento en que una situación se convierta en una amenaza potencial a la salud y a la seguridad del personal, al ambiente o la propiedad. Tales eventos podrían incluir fuego, terremoto, huracán, ataque criminal o una emergencia médica. Estos planes son normalmente desarrollados a nivel de instalación o sitio de operación, específicos a la localización geográfica y al diseño estructural de la construcción.
Plan de respuesta a ciber incidentes: este plan establece los procedimientos para responder a los ataques en el ciberespacio contra los sistemas de información de una organización. Estos planes son diseñados para permitirle al personal de seguridad identificar, mitigar y recuperarse de incidentes tales como: acceso no autorizado a un sistema o información, negación del servicio, cambios no autorizados a hardware, software, entre otros.
Planes de contingencia: planes de contingencia que representan un amplio espectro de actividades enfocadas a sostener y a recuperar los servicios críticos de TI después de una emergencia en un tiempo mínimo. Es posible en algunos casos contar con múltiples planes de contingencia, uno por cada componente, sistema o servicio crítico. Los planes de contingencia son de rápida activación y pueden asumir un tiempo objetivo de recuperación muy cercano a cero. Los planes de contingencia son típicos en los canales de comunicaciones, de tal manera que ante la falla de uno de estos canales, otro, entrará en operación muy rápidamente y en muchos casos de manera automatizada.
¿CUÁNDO IMPLEMENTAR UN PLAN DE CONTINUIDAD DE NEGOCIO ISO 22301?
ISO 22301 – Plan de Continuidad de Negocio
Según lo que se ha tratado, la pregunta que naturalmente surge es:
¿Cuándo una empresa debería implementar un plan de continuidad de negocio ISO 22301?
A modo de orientación, la propia Norma ISO 22301 define que su campo de aplicación es para aquellas organizaciones que:
Procuren asegurar la conformidad con las políticas de continuidad de negocio establecidas;
Deseen desarrollar la capacidad de continuar ofreciendo sus productos y servicios en una aceptable capacidad predefinida durante una interrupción;
Procuren mejorar su resiliencia.
Desde luego, estos lineamientos tienen distintos alcances y significados en cada organización, y por lo tanto no resulta adecuado buscar una única respuesta a la pregunta de cuándo implementar un PCN ISO 22301.
Así, para llegar a responder de manera adecuada este interrogante, se debe efectuar un análisis de la organización que permita reflexionar acerca de las capacidades de la misma para, ante una disrupción, continuar con el giro del negocio entregando los productos y servicios que de ella se esperan.
Este análisis de la empresa debería incluir respuestas a preguntas tales como:
¿La empresa está sujeta a obligaciones legales o contractuales que se relacionen con la continuidad del negocio?
¿Qué esperarían los clientes en caso de que se experimente un incidente o disrupción?
¿Qué hacen los competidores en materia de la planificación de la continuidad de negocio?
Si una disrupción impactara la disponibilidad de cualquier recurso clave, ¿Cuál sería el tiempo máximo de inactividad aceptable para las operaciones y después qué pasaría?
¿La empresa se encuentra preparada para comunicarse en situación de crisis con su junta directiva, trabajadores, proveedores, contratistas y clientes?
Mediante nuestra página web puedes acceder a un CUESTIONARIO ADMINISTRATIVO PLAN CONTINUIDAD DE NEGOCIO el cual te permitirá elaborar el análisis de la organización de modo de poder establecer si la misma requiere implementar un plan de continuidad de negocio ISO 22301.
¿Por qué es importante ISO 22301 para una organización?
Los lineamientos establecidos en la Norma ISO 22301 constituyen una eficiente forma de mantener la seguridad, afianzando la gobernanza corporativa, el cumplimiento legal y protegiendo la imagen y reputación empresarial, creando un clima de confianza con los empleados, proveedores, partes interesadas y clientes.
La continuidad de negocio forma parte de la gestión general del riesgo dentro de una organización, por lo que tiene áreas y aspectos comunes con la gestión de la seguridad de la información.
La norma ISO 22301 permite a las organizaciones:
Asegurar la continuidad de negocio y de la comercialización de productos y servicios.
Identificar aquellos procesos críticos y ver su impacto en la continuidad.
Fortalecer la capacidad de recuperación, la protección de los empleados y la reputación de la marca.
Reducir costos al disminuir el impacto de los posibles incidentes e interrupciones.
Brindar las respuestas necesarias a tiempo ante las posibles interrupciones.
Generar más coordinación entre equipos.
BENEFICIOS DE IMPLEMENTAR LA NORMA ISO 22301
Entre los beneficios asociados a la implementación de la Norma ISO 22301, se destacan los enumerados a continuación:
Generar la cultura de continuidad de negocio dentro de la compañía.
Brindar confianza a todas las partes interesadas de la organización como clientes, proveedores, la comunidad en general y empleados acerca de la adopción de medidas internacionales que garantizan el buen funcionamiento del negocio.
Establecer indicadores medibles que permitirán alcanzar los objetivos propuestos.
Identificar de mejor manera los riesgos y oportunidades a los que se enfrenta la organización.
Reducción de costos.
Protección de todos los activos.
Evitar propagar una crisis y mala reputación.
Permite la coordinación entre los empleados y otras partes interesadas.
Contar con las respuestas adecuadas al momento de enfrentar una crisis.
IMPLEMENTACIÓN DE ISO 22301 – GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Con la finalidad de lograr una adecuada adecuada implementación de ISO 22301, que le permita a la organización contar con un plan de recuperación operativo que funcione de acuerdo con las expectativas, es conveniente tomar en consideración los siguientes aspectos:
Promover el compromiso y el apoyo de la alta dirección.
Involucrar a toda la empresa con una buena comunicación interna.
Obtener comentarios de clientes y proveedores sobre los procesos actuales de gestión de la continuidad del negocio.
Establecer un equipo de implementación para obtener los mejores resultados.
Planificar y compartir roles, responsabilidades y plazos.
Adaptar los principios básicos de la norma ISO 22301 al negocio de la organización.
Definir un presupuesto para poder desarrollar y mejorar los planes de continuidad.
Establecer procedimientos fáciles de comprender que estén documentados, como por ejemplo los planes de evacuación en caso de incendio.
Realizar simulacros y ejercicios regulares para asegurarse que los procedimientos funcionan de la forma que se han diseñado.
PASOS PARA GESTIONAR LA CONTINUIDAD DE NEGOCIO
El proceso para la Gestión de la Continuidad de Negocio incluye seis pasos:
Elaboración del programa: en este primer paso se ha de diseñar el programa de gestión de la continuidad de negocio, considerando el tamaño y la propia complejidad de la organización.
Comprensión de la organización: en esta etapa, se recaba la información para priorizar las actividades, diferenciando aquellas que son claves de las que son de apoyo, así como los recursos requeridos por las mismas. Se analiza el impacto del negocio y se evalúan los riesgos.
Definición de las estrategias para la gestión de la continuidad de negocio: mediante esta fase se determinan las actividades de negocios claves por las que la organización puede recuperar su servicio dentro de un determinado plazo tras una interrupción.
Elaboración y ejecución de respuesta: aquí se desarrollarán las respuestas necesarias ante las situaciones de emergencia.
Puesta en práctica: mediante este paso se pone de relieve el grado en que las estrategias y planes son adecuados al propósito perseguido.
Incorporar la Continuidad de Negocio en la cultura de la organización: este paso es sumamente importante, pues se ha de conseguir que la Continuidad de Negocio sea parte de los valores de todos los miembros de la organización, creando confianza en la capacidad de la organización de hacer frente a las interrupciones.
Bibliografía:
ISO 22301:2019 – Seguridad y resiliencia. Sistema de gestión de continuidad de negocio. Requisitos (2019)
¿Qué es un plan de continuidad de negocio? – Por José Luis Alfinger, CEO de Vinci Empresarial, empresa de consultoría en sistemas de gestión de continuidad de negocio con base en la Norma ISO 22301 (2021).
Metodología para la Gestión de la Continuidad del Negocio – Rodrigo Ferrer V. (2015)
DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 – ISO 14001 – ISO 45001 – ISO 50001
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
La Norma ISO 14001:2015, uno de los estándares más populares del mundo para la gestión ambiental, incluye el tratamiento de Riesgos como uno de sus rasgos más relevantes.
En términos generales, ISO enfoca los sistemas de gestión como herramienta para reducir la incertidumbre propia del funcionamiento de las organizaciones, entendida como la falta de información que pueda ocasionar desviaciones sobre los resultados esperados.
En el caso de ISO 14001:2015 no se refiere al riesgo de daños al medio ambiente en sentido estricto –que deberían abordarse en la identificación de aspectos ambientales- si no de los riesgos relacionados con la gestión ambiental, incluyendo las expectativas de las partes interesadas en la organización.
Así pues, el análisis y la gestión del riesgo pasan a ser los motores de la mejora continua.
GESTIÓN DE RIESGOS EN LOS REQUISITOS DE ISO 14001:2015
Se destaca la gestión del riesgo, desarrollado en los capítulos 6 y 9 de la Norma ISO 14001:2015.
Lo primero que conviene aclarar es que la Norma ISO 14001:2015 establece identificar los riesgos, pero no obliga a hacer una evaluación de riesgos como tal, adoptando las siguientes definiciones:
Riesgo: Efecto de la incertidumbre. Nota 1. Un efecto es una desviación de lo esperado, ya sea positivo o negativo. Nota 2. Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad. Nota 3. Con frecuencia el riesgo se caracteriza por referencia a “eventos” potenciales y «consecuencias», o a una combinación de estos. Nota 4. Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la ”probabilidad” asociada de que ocurra.
Riesgos y Oportunidades: Efectos potenciales adversos (amenazas) y efectos potenciales beneficiosos (oportunidades).
6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades Para planificar el SGA, se debe tomar en consideración:
Contexto de la organización
Requisitos de las partes interesadas
Riesgos y oportunidades
Estos riesgos y oportunidades deben identificarse en relación con:
Loas Aspectos ambientales significativos
Los Requisitos legales aplicables
Las Obligaciones voluntarias
Otros riesgos y oportunidades de negocio que interfieren con el SGA
Sobre esta base se deben planificar las acciones destinadas a abordar dichos riesgos y oportunidades, considerando:
las opciones tecnológicas,
los requisitos financieros,
los requisitos operacionales y
los requisitos de negocio;
Los propósitos que orientan la gestión de riesgos y oportunidades deben ser:
Asegurar los resultados previstos del SGA
Prevenir o reducir efectos no deseados
Lograr la mejora continua
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL
El objetivo de la gestión de riesgos y oportunidades es determinar el tratamiento a seguir con cada uno de ellos: eliminar, reducir o, si se considera aceptable, asumir dichos riesgos. La planificación de acciones debe incluir qué acción se va a abordar, con qué recursos, quién va a ejecutarla, cuándo, y cómo se va a evaluar su eficacia. De esta plan de acción nacen los objetivos ambientales de la organización.
La Alta Dirección puede tratar eficazmente sus riesgos y oportunidades mediante una integración de la Gestión Ambiental en sus procesos de negocio, dirección estratégica y toma de decisiones, incorporando la gestión ambiental en su sistema de gestión global.
Las cuestiones vinculadas con la gestión de riesgos también se tratan en el capítulo 9, en lo referente a la Revisión por la alta dirección, la cual tiene la responsabilidad de revisar los eventuales cambios que se produzcan en los riesgos y oportunidades identificados.
La dirección de la organización puede tratar de forma eficaz los riesgos y las oportunidades mediante la integración de la gestión ambiental en sus procesos de negocio.
RIESGOS Y OPORTUNIDADES RELACIONADOS CON LA GESTIÓN AMBIENTAL
Tal como se ha mencionado, “Riesgos y oportunidades” se define en ISO 14001: 2015 cláusula 3.2.11 como posibles efectos adversos (amenazas) y posibles efectos beneficiosos (oportunidades).
Con esta definición se busca que las organizaciones centren principalmente su atención en los resultados relacionados con las determinaciones de riesgo, incluidos los efectos tanto positivos como negativos, en lugar de simplemente la incertidumbre relacionada con la ocurrencia de eventos.
La clave para recordar acerca de estos nuevos requisitos es que no todos los riesgos y oportunidades que enfrenta una organización deben incluirse en esta determinación de riesgos, sino sólo aquellos que resulten pertinentes.
Para definir esto, en primer lugar debe haber un nexo o conexión con el Sistema de Gestión Ambiental (SGA), como por ejemplo los riesgos asociados a la eliminación de desechos peligrosos. De acuerdo con ISO 14001, la organización debe considerar la relación que tiene un riesgo particular con:
Los problemas ambientales importantes de la organización (su «contexto»)
Los requisitos del SGA de la organización, incluidas sus requisitos legales y reglamentarios
El alcance definido del sistema de gestión ambiental de la organización
Esta determinación de riesgo (amenazas y oportunidades) puede ser subjetiva, es decir, basarse en las opiniones, interpretaciones y juicios de los miembros de la organización. No tiene por qué ser una determinación objetiva. No tiene que basarse en números, cálculos u hojas de cálculo, aunque puede serlo si una organización así lo decide.
La determinación de qué riesgos y oportunidades se abordarán en el SGA es decisión de la organización. No es necesario que se base en lo que cualquier parte interesada en particular o el auditor del sistema de gestión crea que debería ser la decisión. Para cumplir con la norma ISO 14001:2015, una organización simplemente necesita poder demostrar que consideró los factores de nexo enumerados anteriormente cuando tomó sus determinaciones de riesgo para el SGA.
Un enfoque adecuado para este análisis es tomar como punto de partida a los aspectos ambientales de la organización.
Los aspectos ambientales hacen referencia al potencial impacto que pueden tener sobre el medio ambiente los procesos de negocios de una determinada organización.
Estos impactos, que pueden ser negativos o positivos, deben ser identificados y medidos, de tal forma que sea posible tomar medidas para minimizarlos o eliminarlos. Ello se logra mediante el control de los aspectos ambientales. Es esta la forma en que se puede lograr este propósito, y a ello apuntan los requisitos de la norma ISO 14001.
Ejemplo: en una organización que utiliza productos químicos tóxicos en sus procesos productivos, el uso y la posterior eliminación de esos desechos químicos, implica considerar varios aspectos ambientales.
Un posible derrame de los compuestos puede ser uno de esos aspectos ambientales. ¿Qué acciones preventivas se pueden tomar para minimizar ese riesgo? Una opción es contar con los servicios de una organización dedicada al transporte de residuos, calificada y certificada, que pueda manipular estos productos con seguridad y de acuerdo con los requerimientos legales locales.
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL
¿CUÁLES SON LOS RIESGOS Y LAS OPORTUNIDADES EN ISO 14001?
Los impactos que resultan de los aspectos ambientales, son un riesgo evidente para la organización y el negocio, pero no son los únicos riesgos que reconoce la norma ISO 14001:2015.
La razón es clara. Los riegos y las oportunidades que considera la norma, y que están incluidos en la sección 6.1.1, que habla de la planificación, son los siguientes:
Asegurarse de que el Sistema de Gestión Ambiental cumple con los resultados esperados.
Prevenir o reducir los efectos no deseados o los efectos potenciales de la organización.
Asegurar la mejora continua del sistema.
De lo anterior se deduce que es necesario identificar los riesgos y las oportunidades para el SGA, priorizar aquellos que deban ser abordados, documentar y conservar la documentación sobre ellos.
Por supuesto, existe una relación entre los aspectos ambientales y los riesgos y oportunidades en el SGA. Los aspectos ambientales, no son los únicos riesgos que afronta el Sistema de Gestión Ambiental, aunque sí son un punto de partida importante.
Los riesgos también pueden aparecer, como consecuencia de requerimientos legales o de los cambios en ellos, de la información de los clientes o la obtenida con base en investigaciones de mercado, de la modificación de procesos productivos, de las sugerencias de algunos empleados o incluso de los comentarios de otras partes interesadas diferentes a las mencionadas.
Una vez se han identificado los riesgos que deben ser abordados, es necesario planificar acciones para gestionarlos. Esto puede ayudar a su organización a tomar decisiones en lo relacionado con la definición de objetivos ambientales.
¿ISO 14001: 2015 REQUIERE UNA EVALUACIÓN FORMAL DE RIESGOS?
Desde la publicación de la versión vigente de ISO 14001, en septiembre de 2015, quienes participaron en la redacción de la norma han sido enfáticos al decir que no.
De modo que depende de la organización decidir qué enfoques de evaluación de riesgos son apropiados. La organización tiene total discreción para determinar lo que cree que es mejor para su conjunto único de circunstancias., y puede elegir los métodos, enfoques o criterios de evaluación que desee.
Puede utilizar un enfoque cualitativo o puede utilizar un enfoque cuantitativo. Puede utilizar un enfoque único o una combinación de enfoques. Puede crear una única matriz maestra de riesgos o puede utilizar un registro de riesgos combinado.
Estos procesos de evaluación de riesgos pueden ser un componente de sus otros procesos del SGA, pueden ser parte de otros procesos comerciales o pueden configurarse como un proceso separado. Depende totalmente de la organización decidir qué proceso o procesos utilizará, y deben documentarse en la medida necesaria para tener la confianza de que se llevan a cabo según lo planificado.
Una vez que se completa la determinación del riesgo, la organización debe registrar los resultados, manteniendo información documentada de los riesgos y oportunidades que deben abordarse dentro de su SGA.
Desde luego, la Norma ISO 14001:2015 no especifica un número requerido de riesgos y oportunidades que deban abordarse. Se requiere que la organización determine los riesgos y oportunidades relacionados con:
Los elementos de sus actividades, productos y servicios que pueden interactuar con el medio ambiente (es decir, sus aspectos)
Sus requisitos legales y otros requisitos que la organización debe cumplir o decide cumplir (sus obligaciones de cumplimiento)
Otros problemas y requisitos que identificó en su determinación de contexto
14001:2015 -CÓMO TRATAR LOS RIESGOS DE LA GESTIÓN AMBIENTAL
CÓMO INCLUIR LOS RIESGOS EN EL SISTEMA DE GESTIÓN AMBIENTAL
Como queda dicho, la Norma ISO 14001:2015 no establece requisitos formales para la gestión de riesgos, ni la obligatoriedad de un proceso documentado, en virtud de lo cual depende de cada organización definir la metodología a utilizar para identificar sus riesgos y oportunidades.
Esta metodología puede ser un simple proceso cualitativo o una evaluación más compleja que considere también aspectos cuantitativos, siendo la más adecuada aquella metodología que considere el contexto de la organización (su tamaño, cultura, tipo de producto/servicio, mercado en el actúa, etc.).
Como una guía, podrían considerarse los procesos considerados en la familia de normas ISO 31000 y en la iniciativa del Committee of Sponsoring Organizations of the Treadway Commission (COSO).
La familia de normas ISO 31000: conjunto de normas sobre Gestión del riesgo codificadas por la International Organization for Standardization ISO. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de riesgos y el proceso implementado en el nivel estratégico y operativo.
GESTIÓN DE RIESGOS ISO 31000
En la actualidad, la familia ISO 31000 incluye:
ISO 31000:2018 – Gestión de riesgos – principios y directrices
ISO/IEC 31010:2019 – Gestión de riesgos – técnicas de evaluación del riesgo
ISO Guide 73:2009 – Gestión de riesgos–vocabulario
Algunas definiciones relacionadas con la familia ISO 31000:
Riesgo. Efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos; y también que los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).
Incertidumbre. Es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.
Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
En cuanto a la iniciativa del Committee of Sponsoring Organizations of the Treadway Commission (COSO), que es patrocinada conjuntamente desde 1985 por las cinco principales asociaciones profesionales con sede en Estados Unidos: la Asociación Americana de Contabilidad (AAA), el Instituto Americano de Contadores Públicos Certificados (AICPA), Financial Executives International (FEI), el Instituto de Auditores Internos (IIA ), y la Asociación Nacional de Contadores (ahora el Instituto de Contadores de Gestión [IMA]).
Totalmente independiente de cada una de las organizaciones patrocinadoras, la Comisión incluyó a representantes de la industria, la contabilidad pública, las empresas de inversión, y la Bolsa de Nueva York.
El primer presidente de la Comisión Nacional fue James C. Treadway, Jr., derivando de allí el nombre popular de «Comisión Treadway». En la actualidad, el Presidente de COSO es Robert Hirth.
El objetivo de COSO es proporcionar liderazgo en tres temas interrelacionados: la gestión del riesgo empresarial (Enterprise Risk Management – ERM), el control interno y la disuasión del fraude.
GESTION DE RIESGOS DE EMPRESAS – Enterprise Risk Management
Con respecto a ERM, en 2004 COSO publicó Enterprise Risk Management – Marco Integrado, que define una metodología para tratar estos riesgos identificando los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio.
El ERM de COSO describe un Marco basado en Principios. Dicho marco provee:
La definición de administración de riesgos corporativos.
Los principios críticos y componentes de un proceso de administración de riesgos corporativos efectivo.
Pautas para las organizaciones sobre como mejorar su administración de riesgos
Criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se necesita para que lo sea.
Concepto de Administración de Riesgos Corporativos: “Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la organización, diseñado para identificar eventos potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.”
El marco que describe el ERM de COSO considera 8 componentes mutuamente relacionados:
Ambiente Interno
Establecimiento de Objetivos
Identificación de Eventos
Evaluación de Riesgos
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Monitoreo
En 2013 se publicó la tercera versión, COSO III. Esta revisión del marco COSO de riesgos se centró en mejorar aspectos como la agilidad de los sistemas de gestión de riesgos, una mayor concreción en lo que se consideraba comunicación e información, un mayor énfasis en la eliminación de riesgos, y la incorporación clara del concepto “consecución de los objetivos”.
La metodología COSO ERM 2017
El marco actual vigente para el control interno de los riesgos es el llamado COSO ERM 2017, también conocido como “COSO Enterprise Risk Management – Integrating with Strategy and Performance”.
Esta actualización mantiene el enfoque financiero de sus predecesores, pero, no obstante, su flexibilidad y estructura permite que sea utilizado indistintamente por cualquier tipo de actividad.
GESTIÓN DE RIESGOS AMBIENTALES
En el caso de que la organización decida ir más allá de lo que establece la norma ISO 14001:2015, y aplicar una gestión formal de los riesgos, una herramienta metodológica para llevar adelante una efectiva GESTION DE RIESGOS AMIBIENTALES es la Norma UNE 150008 – Análisis y evaluación del riesgo ambiental, que describe el método para analizar y evaluar el riesgo ambiental y establecer una eficaz gestión del mismo.
Este estándar es aplicable a emplazamientos, actividades y organizaciones de cualquier naturaleza y sector productivo, considerados tanto en conjunto como por unidades de proceso, y sirve además de referencia para la elaboración de informes en las fases de diseño, construcción, puesta en marcha, operación o explotación, así como para el desmantelamiento o demolición.
DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 – ISO 14001 – ISO 45001 – ISO 50001
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ
Identificación de riesgos
La identificación de los riesgos inherentes es el primer paso para crear un Mapa de Riesgos, y suele requerir un enfoque multidisciplinario dado la amplia gama de causas y
consecuencias.
El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.
En esta fase se identifican de forma sistemática las posibles causas concretas de los riesgos empresariales, así como los diversos y posibles efectos que debe afrontar la organización.
En general, la percepción del riesgo como amenaza es el sistema más utilizado para identificarlo. En este contexto, gestionar el riesgo significa instalar sistemas de control
que minimicen tanto la probabilidad de que ocurran sucesos negativos como su severidad. Es un enfoque de naturaleza defensiva, y su propósito es asignar recursos para reducir la probabilidad de sufrir impactos negativos.
Pero considerando la definición más precisa de Riesgo, que lo entiende como el Efecto de la incertidumbre sobre los objetivos, se entiende un concepto más amplio, ya que un efecto es una desviación respecto a lo previsto, que puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
Entonces, desde la percepción del riesgo como oportunidad, la gestión significa utilizar técnicas que maximicen los resultados, limitando los posibles perjuicios o costos, obteniendo un enfoque de naturaleza ofensiva.
Identificación de riesgos. Factores a considerar
Con la finalidad de llevar adelante una eficaz identificación de riesgos, se requiere contar con información pertinente, apropiada y actualizada referida a:
La propia empresa
Mercado en el que opera
Partes interesadas
Contexto legal, social, político y cultural en el que se desenvuelve la organización.
Además, al momento de identificar sus riesgos, la organización debe considerar factores tales como:
Fuentes de riesgo tangibles e intangibles
Amenazas y oportunidades
Fortalezas y debilidades
Capacidades
Cambios en los contextos externo e interno
Naturaleza y valor de los activos y recursos
Eventuales consecuencias de los riesgos, y sus impactos en los objetivos
Limitaciones de conocimiento y de confiabilidad de la información
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ
La identificación del riesgo permite tener en cuenta explícitamente la incertidumbre. Todas las fuentes de incertidumbre y los efectos tanto beneficiosos como perjudiciales pueden ser relevantes, según el contexto y el alcance de la evaluación.
Categorías de Riesgos
A fin de efectuar una identificación eficaz de los riesgos relacionados con la consecución de los objetivos de una organización, resulta de gran utilidad tomar en consideración las múltiples categorías en que se pueden agrupar estos riesgos.
Si bien existen categorías usualmente utilizadas para agrupar los diversos riesgos, la propia organización es la que debe establecer cuáles son las categorías que resulten más relevantes para su Gestión de Riesgos.
Así, si se clasifican según su Origen, los riesgos pueden ser:
Internos: están dentro de la propia organización, son intrínsecos de la empresa. Como la fijación de precios de productos y servicios, o los derivados de los procesos.
Externos: se encuentra fuera de la organización , y están definidos por el contexto en el que desempeña la empresa.
Considerando sus características, algunos ejemplos de tipos de riesgos son los siguientes:
Estratégicos: se relacionan con las decisiones que toma la Alta Dirección sobre la gestión del negocio.
Operacionales: como accidentes causados por materiales, equipos o ubicación de su trabajo.
Comerciales: están relacionados con los contratos o compromisos asumidos con terceros.
Pandemias: como coronavirus (COVID-19), influenza humana, gripe porcina o gripe aviar
Legales y contractuales: como resolución de disputas, incumplimientos contractuales o regulatorios.
Tecnológicos: relacionados con instrumentos, recursos técnicos o procedimientos empleados en las actividades de la empresa, como fallas en la red de computadoras, uso de equipos obsoletos, nuevas tecnologías aplicables.
Reputacionales: están relacionados con la percepción que otras partes interesadas (consumidores, clientes, proveedores, etc.) tienen acerca de la organización.
Políticos: cambios en las políticas regulatorias y gubernamentales, como restricciones de agua, restricciones de cuarentena, de emisiones de carbono e impuestos, etc.
Financieros: relacionados con variaciones en el balance de la organización o en los mercados financieros.
Sectoriales: factores que afectan especialmente al sector económico en el que se desenvuelve la empresa.
Desastres naturales: como inundaciones, tormentas, incendios forestales y sequías
Eventos globales: como interrupciones del tráfico aéreo
Ambientales: eventos de cambio climático, derrames químicos y contaminación en general
De mercado: por ejemplo, modelos de negocio obsoletos.
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ
Análisis del riesgo
El próximo paso en el mapeo de riesgos consiste en desarrollar el Análisis del riesgo, cuyo propósito es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo:
Nivel de riesgo = impacto x probabilidad
Esto implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
Para analizar un riesgo, se debe determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo que se ha identificado.
Una vez determinado el Nivel de Riesgo, es posible priorizar los riesgos identificados, en función de la probabilidad de ocurrencia y el impacto de la materialización.
El principal beneficio de este proceso es que la priorización permite concentrar los recursos disponibles en aquellos riesgos que representan una mayor amenaza u oportunidad para la organización.
Un aspecto clave del Análisis del Riesgo es que este proceso sólo puede sustentarse en percepciones fundadas en un estudio objetivo, de manera de evitar sesgos que conduzcan a una toma de decisiones ineficiente.
A su vez, la objetividad necesaria en este proceso se logra mediante el énfasis puesto en la calidad de la información en que se basa la evaluación. Asimismo, es ampliamente recomendable realizar la evaluación en talleres o sesiones de trabajo grupales multidisciplinarias, donde se cuente con la participación de múltiples actores que puedan aportar perspectivas diferentes y opiniones expertas.
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
El Análisis del Riesgo puede llevarse a cabo con diferentes grados de detalle y complejidad, los que se establecen de acuerdo con aspectos tales como el propósito del análisis, la disponibilidad y la confiabilidad de la información, o los recursos disponibles.
Pero de manera independiente del grado de detalle y complejidad, el Análisis del Riesgo debería considerar factores tales como:
Probabilidad de los eventos y sus consecuencias
Naturaleza y magnitud de las consecuencias
Factores relacionados con el tiempo y la volatilidad
Eficacia de controles existentes
Niveles de sensibilidad y de confianza.
CÓMO IDENTIFICAR Y ANALIZAR RIESGOS DE MANERA EFICAZ
Técnicas para identificación y análisis de riesgos
Las técnicas para identificar y analizar el riesgo usualmente hacen uso del conocimiento y la experiencia de una variedad de partes interesadas, y toman en cuenta los siguientes aspectos:
La incertidumbre existente y sus posibles efectos;
Las circunstancias o problemas (tangibles o intangibles) que tienen el potencial de consecuencias futuras;
Las fuentes de riesgo actuales y futuras;
Eficacia de los controles actuales;
Qué, cómo, cuándo, dónde y por qué pueden ocurrir eventos y consecuencias;
Qué ha sucedido en el pasado y cómo esto podría relacionarse razonablemente con el futuro;
Aspectos humanos y factores organizativos que pueden resultar aplicables.
También, y tal como ocurre en el caso de la categorías de riesgos, las técnicas para identificación y análisis de riesgos también son variadas y es la propia organización la que debe definir cuáles son las que más se adecuan a sus necesidades.
Entre estas técnicas para identificación y análisis de riesgos, se pueden incluir:
Métodos basados en evidencia, como revisiones de la literatura y análisis de datos históricos
Métodos empíricos, que incluyen pruebas y modelos para identificar lo que podría suceder en circunstancias particulares
Encuestas de percepción, que analizan las opiniones de una amplia gama de personas experimentadas o con el conocimiento suficiente
Técnicas en las que el tema que se está considerando se divide en elementos más pequeños, cada uno de los cuales se considera a su vez utilizando métodos que plantean preguntas hipotéticas, como por ejemplo los métodos FMEA o HAZOP.
Técnicas para fomentar el pensamiento imaginativo sobre las posibilidades del futuro, como el análisis de escenarios
Listas de verificación y clasificaciones basadas en datos pasados o modelos teóricos
En términos generales, las listas de verificación y clasificaciones son un tipo de técnicas ampliamente difundido, y se utilizan durante la evaluación de riesgos de diversas formas, como para ayudar a comprender el contexto, identificar el riesgo y agrupar los riesgos para diversos fines durante el análisis.
Tienen mucha utilidad también en la gestión de riesgos, por ejemplo, para clasificar controles y tratamientos, para definir responsabilidades, o para informar y comunicar los riesgos.
Listas de verificación y clasificaciones basadas en datos pasados o modelos teóricos se pueden diseñar para aplicarlas a nivel estratégico u operativo, y es posible aplicarlas mediante la elaboración de cuestionarios, entrevistas, talleres estructurados o combinaciones de los tres, en forma presencial o remota.
Entre las técnicas para identificación y análisis de riesgos que más ampliamente se utilizan a nivel estratégico, se pueden mencionar las siguientes:
Análisis FODA
El Análisis FODA identifica factores en el contexto interno y externo para ayudar a establecer objetivos y las estrategias para lograrlos tomando en cuenta el riesgo. Su nombre viene dado por las iniciales de los elementos que conforman la Matriz de análisis:
Fortalezas (factores positivos con los que se cuenta).
Oportunidades (aspectos positivos que podemos aprovechar utilizando nuestras fortalezas).
Debilidades (factores negativos que se deben eliminar o reducir).
Amenazas (aspectos negativos externos que podrían obstaculizar el logro de nuestros objetivos).
¿Qué es una matriz FODA?
Es una herramienta de análisis que puede ser aplicada a cualquier objeto de estudio en un determinado momento.
Permite obtener un cuadro de la situación actual del objeto de estudio, útil para la toma de decisiones, por lo que se aconseja que se realicen análisis sucesivos.
Objetivo de la matriz FODA
El objetivo de la Matriz FODA consiste en evaluar el equilibrio entre los recursos y las capacidades internas de una organización y las oportunidades y amenazas externas.
Resultado de la matriz FODA
El resultado del Análisis FODA es punto de referencia para crear las estrategias pertinentes, esto genera un modelo de negocio específico de acuerdo a los recursos y capacidades disponibles de la organización que se adapta al contexto en el que opera la empresa.
Se considera que los factores positivos y negativos, tanto dentro como fuera de la empresa, afectan a su éxito.
El análisis ayuda a visualizar la tendencias de cambios (presentes y futuros) en el contexto que podrían beneficiar el proceso de toma de decisiones de cualquier organización.
Análisis PESTLE
PESTLE, STEEP, STEEPLED, etc. son siglas que representan tipos de factores a considerar al establecer el contexto o identificar riesgos. Las letras representan las diferentes naturalezas de los factores a considerar:
Político
Económico
Social
Tecnológico
Legal
Ético
Se pueden seleccionar categorías relevantes para la situación particular y desarrollar listas de verificación para ejemplos de cada categoría.
Técnica estructurada «What – if»
El análisis what if (¿qué pasaría si…?) se usa en la etapa preliminar de la gestión cuando se comienzan a identificar los riesgos. Este método consiste en programar reuniones con expertos que conozcan en detalle un proceso concreto. En la reunión inicial se plantean interrogantes para evidenciar riesgos futuros. Las reuniones siguientes son para encontrar causas, consecuencias y acciones.
El objetivo es plantear posibles desviaciones en las actividades planificadas, y analizar las posibles consecuencias.
Análisis preliminar de riesgos (APR)
Esta metodología resulta de utilidad para identificar posibles riesgos al inicio de un proyecto o proceso. Como es un análisis sistémico, se aborda cada fase de un proceso específico. Al dividirlo en sus partes, se pueden asociar los riesgos generales a las etapas particulares. Se trata de un método inductivo.
Las categorizaciones generales de riesgo incluyen:
Análisis de fuente de riesgo: por ejemplo precios de mercado, incumplimiento de la contraparte, fraude, peligros para la seguridad, etc .
Consecuencia, aspectos o dimensiones de objetivos o desempeño.
Método de los «5 Porqués»
El propósito de este método para gestionar el riesgo es reconocer la causa raíz de un evento. Por medio de preguntas repetitivas, se identifican los orígenes de un evento de riesgo.
Esta metodología de riesgos consiste en un trabajo grupal en el que se presenta el problema y se plantean preguntas que lleven a descifrar su causa raíz. El número de preguntas que se haga dependerá de la complejidad del evento que se está analizando.
FMEA (failure mode and effective analysis)
El método FMEA busca identificar, clasificar y eliminar anticipadamente las fallas de los proyectos o de los procesos de una empresa.
Este método para gestionar el riesgo comienza con la identificación de los errores. Luego estos se clasifican puntuando los riesgos según la frecuencia, la gravedad y la detección. Después de haberlos clasificado y priorizado, se establecen las fallas más graves, que se atienden de manera prioritaria.
Lista de chequeo
Las listas de chequeo sirven para que una organización se asegure de que se están implementando las acciones pertinentes para dar tratamiento a los riesgos.
Este registro de requisitos busca hacer seguimiento de los riesgos y de las recomendaciones de tratamiento. Al frente de cada una de las condiciones se seleccionan las casillas que corresponden a las tareas que ya se hicieron.
Debido a esa facilidad de uso, este método de listas de chequeo se destaca por brindar una gran ayuda a la toma de decisiones.
Diagrama de Ishikawa
Es una representación gráfica en forma de espina de pescado que permite identificar las causas que afectan un determinado problema en una forma cualitativa. Este método de análiais es conocido como Diagrama de Causa – Efecto, Diagrama Espina de Pescado o Diagrama de Iskikawa en homenaje al nombre de su creador.
Se utiliza para descubrir de manera sistemática la relación de causas y efectos que afectan a un determinado problema. Adicionalmente permite separar las causas en diferentes ramas o causas principales conocidas como las 5 M:
Métodos
Mano de Obra
Maquinaria
Materiales
Medio ambiente
Por medio de una lluvia de ideas o sesiones de creatividad, se intenta tener una mejor comprensión de las causas que originan una falla o un problema.
CÓMO SELECCIONAR TÉCNICAS PARA IDENTIFICACIÓN Y ANÁLISIS DE RIESGOS
Muchas de las técnicas mencionadas se desarrollaron originalmente para industrias particulares que buscan gestionar tipos particulares de resultados no deseados. Varias de las técnicas son similares, pero utilizan terminologías diferentes, lo que refleja su desarrollo independiente para un propósito similar en diferentes sectores.
Con el tiempo, la aplicación de muchas de las técnicas se ha ampliado, por ejemplo, extendiéndose desde aplicaciones de ingeniería técnica a situaciones financieras o administrativas, o para considerar resultados tanto positivos como negativos.
También han surgido nuevas técnicas y las antiguas se han adaptado a las nuevas circunstancias, de forma tal que tanto las técnicas como sus aplicaciones presentan una continua evolución.
Así, la organización debe seleccionar las técnicas para identificar y analizar los riesgos de forma tal que éstas cuenten con las siguientes características:
Ser justificable y apropiada a la situación o la organización.
Capaz de permitir la comprensión de la naturaleza del riesgo y como puede ser tratado.
Permitir su empleo en la empresa de una manera que resulte detectable, repetible y comprobable.
Entonces, estas técnicas se deben seleccionar sobre la base de factores tales como:
Objetivos del estudio.
Necesidades de funcionarios con poder de decisión.
Tipo de riesgos que están siendo analizados.
Magnitud potencial de las consecuencias.
Grado de experiencia, humano y otros recursos necesarios.
Disponibilidad de información y datos.
Capacidad de actualización de la evaluación de riesgo.
Orientación sobre Identificación y Análisis de Riesgos
Es posible que la consulta a los miembros de la propia organización no proporcione una comprensión suficiente y adecuada de los Riesgos, por lo que es recomendable recurrir a otras fuentes.
Un recurso habitual es prestar atención a organizaciones similares, y analizar estadísticas de la industria como ayuda para la Gestión de Riesgos.
También es factible consultar a un experto: una empresa de consultoría especializada en Gestión de Riesgos que ya ha realizado este tipo de trabajos puede representar una ayuda decisiva para definir y establecer un Mapa de Riesgos de manera efectiva, ahorrando tiempo y recursos de la organización.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
ISO IEC 31010:2019 – Risk management – Risk assessment techniques
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
CONSULTORIA SOBRE GESTIÓN DE RIESGOS
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
Así, y considerando que el Riesgo es el efecto de la incertidumbre sobre los objetivos, mediante un Mapa de Riesgos bien elaborado, una organización estará en condiciones de:
Anticiparse a los problemas para poder resolverlos de manera eficiente
Aprovechar las oportunidades cuando éstas se presenten
Un mapa de riesgos ayuda a las empresas a identificar y priorizar los riesgos asociados con sus negocios, al mejorar la comprensión de una organización de su perfil y apetito de riesgos, aclarar el pensamiento sobre la naturaleza y el impacto de los riesgos, y mejorar el modelo de evaluación de riesgos de la organización.
En términos generales, un Mapa de Riesgos a menudo consiste en un gráfico con dos ejes, en el cual se representan los conceptos de Probabilidad, Impacto y Nivel del riesgo (Probabilidad x Impacto) asociados a cada riesgo.
CÓMO ELABORAR MAPAS DE RIESGOS
Pero en realidad, al ver con más atención, este tipo de herramienta gráfica también aporta otra información acerca de cómo gestiona el riesgo una organización, ya que pueden interpretarse, entre otros, los siguientes aspectos:
Nivel de Riesgos
Criterios de Riesgos
Tolerancia al riesgo
Capacidad de riesgo
Consecuencias
Un Mapa de Riesgos se considera un componente crítico de la gestión de riesgos empresariales porque ayuda a determinar los riesgos que requieren más atención.
PASOS A SEGUIR PARA ELABORAR UN MAPA DE RIESGOS
Un Mapa de Riesgos es el resultado gráfico de la Evaluación del Riesgo, el cual a su vez constituye un proceso global de:
Identificación del Riesgo
Análisis del Riesgo
Valoración del Riesgo
La identificación de los riesgos inherentes es el primer paso para crear un mapa de riesgos.
El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.
Los riesgos se pueden dividir en múltiples categorías, de acuerdo a las necesidades de cada organización, como por ejemplo riesgo estratégico, riesgo de cumplimiento, riesgo operacional, riesgo financiero, riesgo de reputación, etc.
Una buena estrategia para identificar los riesgos para el negocio consiste en revisar plan de negocio y determinar de qué no se podría prescindir, y qué tipo de incidentes podrían afectar las distintas áreas.
También, una práctica que puede resultar de utilidad para identificar riesgos es que en la organización se planteen las siguientes preguntas:
¿Cuándo, dónde, por qué y cómo es probable que sucedan riesgos en el negocio?
¿Existen riesgos internos?
¿Existen riesgos externos?
¿Quién podría estar involucrado o afectado si ocurre un incidente?
¿Cómo afecta la pérdida de la fuente de alimentación?
¿Y si no se cuenta con acceso a internet?
¿Es posible que los documentos clave para la organización sean destruidos?
¿Cómo se hace la toma de decisiones ante la renuncia de uno los mejores miembros del personal?
¿Los proveedores tienen capacidad suficiente?
¿Qué ocurre si se bloquean las carreteras y comunicaciones?
El próximo paso en el mapeo de riesgos consiste en desarrollar el Análisis del riesgo, cuyo propósito es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo:
Nivel de riesgo = impacto x probabilidad
Esto implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
CÓMO ELABORAR MAPAS DE RIESGOS
Para analizar un riesgo, se debe determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo que ha identificado.
Ejemplo de escala de Probabilidad:
Grado probabilidad 4 «Muy probable»: Sucede más de una vez al año en esta industria.
Grado probabilidad 3 «Probable»: Sucede aproximadamente una vez al año en esta industria.
Grado probabilidad 2 «Improbable»: Ocurre cada 10 años o más en esta industria.
Grado probabilidad 1 «Muy improbable»: No ha sucedido ninguna vez en esta industria.
Ejemplo de escala de Impacto
Tipo de impacto 4 «Grave»: Pérdidas financieras superiores a USD 100.000
Tipo de impacto 3 «Alto»: Pérdidas financieras entre USD 50.000 y USD 100.000
Tipo de impacto 2 «Moderado»: Pérdidas financieras entre USD 10.000 y USD 50.000
Tipo de impacto 1 «Bajo»: Pérdidas financieras de menos de USD 10.000
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
Una vez analizados los riesgos que fueron identificados, el paso siguiente en la construcción del Mapa de Riesgos corresponde a la Valoracióndel riesgo, cuyo propósito es apoyar a la toma de decisiones.
La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una acción adicional.
Ejemplo de escala de valoración de riesgos
Riesgo Crítico: Necesita tratamiento en forma inmediata
Riesgo Alto: Necesita tratamiento dentro de 1 mes
Riesgo Medio: Necesita tratamiento dentro de los próximos 3 meses
Riesgo Bajo: Actualmente no requiere tratamiento
Desde luego, estas escalas son indicativas y pueden cambiar de una empresa a otra dependiendo, por ejemplo, de la dinámica de la industria o de las características específicas de cada organización.
Se debería tomar en consideración el área del gráfico que corresponde a una probabilidad muy baja de ocurrencia y un impacto muy alto, allí se ubican los eventos denominados «Cisnes Negros», término popularizado por Nassem Taleb en su famoso libro El cisne negro: el impacto de lo altamente improbable.
Un mapa de riesgos ofrece una visión integral de la probabilidad y el impacto de los riesgos de una organización, que ayuda a mejorar la gestión de riesgos al priorizar los esfuerzos que se deben efectuar.
Esta priorización de riesgos permite enfocar los recursos en los riesgos más potencialmente dañinos identificados en el Mapa de Riesgos.
Un mapa de riesgos también facilita la comunicación interna entre los diversos sectores de la organización sobre los riesgos inherentes a ésta. También ayuda a las distintas organizaciones a visualizar los riesgos en relación entre sí, y guía el desarrollo de una evaluación de control de cómo enfrentar los riesgos y las consecuencias de esos riesgos.
El mapa puede ayudar a la empresa a visualizar cómo los riesgos en una parte de la organización pueden afectar las operaciones de otra unidad de negocio dentro de la organización.
Un mapa de riesgos también agrega precisión a la estrategia de evaluación de riesgos de una organización e identifica brechas en los procesos de gestión de riesgos de una organización.
El Mapa de Riesgos proporciona información integrada sobre la exposición global de la organización, sintetiza el valor económico de los riesgos asumidos, y favorece la exploración de las fuentes de tales riesgos
Se comprende entonces que construir un mapa de riesgos trae valiosos beneficios:
Comprender el entorno de riesgo: La gestión de riesgos comienza con la creación de una lista de todos los riesgos que enfrenta su organización. Dependiendo de su industria, este número puede variar de unos pocos a cientos.
El mapeo de riesgos es beneficioso porque requiere que evalúe cada riesgo y sus causas y consecuencias individualmente. También le permite observar su entorno de riesgo en su conjunto y comprender cómo se comparan las frecuencias y la gravedad.
Finalmente, un mapa de riesgos es un elemento visual que cualquier persona de su organización puede usar para ver el panorama general de los riesgos más destacados en su industria o lugar de trabajo.
RECOMENDACIONES PARA CONSTRUIR UN MAPA DE RIESGOS
CÓMO ELABORAR MAPAS DE RIESGOS
Involucrar al personal de la organización – Comité de Riesgos
Elaborar un Mapa de Riesgos requiere obtener y analizar información de diversas perspectivas de la organización, razón por la cual no es un proceso que deba ser realizado por una única persona, sino que se requiere de la participación de las personas que se desempeñan en las diversas actividades de la empresa, y que por lo tanto son las que conocen los riesgos asociados a éstas.
Definir un Comité de Riesgos, compuesto por personas que representan a las diversas áreas de la organización, es una adecuada iniciativa para asegurar el involucramiento del personal.
Entre las funciones más relevantes del Comité de Riesgos se pueden mencionar las siguientes:
Elaborar el Mapa de Riesgos.
Revisar, aprobar y recomendar los límites de exposiciones al riesgo.
Fijar límites y facultades para la toma de riesgos.
Asegurarse de que el perfil de riesgo de la organización esté acorde con los lineamientos establecidos por la Alta Dirección.
Verificar el desarrollo de un plan de contingencia.
Establecer políticas de riesgo para la organización.
Verificar el desempeño y la mejora de la Gestión del Riesgo.
Asegurarse de que la Alta Dirección cuente con la información sobre Riesgos necesaria para asegurar el éxito de la organización.
Promover el cumplimiento de los lineamientos sobre riesgos definidos por la organización.
Efectuar el monitoreo periódico del Mapa de Riesgos.
Definir Contextos para identificar los riesgos
A fin de identificar los riesgos para la organización de manera efectiva, una práctica recomendable consiste en definir diversos contextos a partir de los cuales se efectuará la identificación de los riesgos.
Algunos ejemplos de contextos son los siguientes:
Contexto Estratégico: Se define como la relación existente entre la organización y su entorno, la cual debe ser valorada a partir de la matriz FODA. En este contexto, también deben ser identificados todas las partes interesadas de la organización, tanto internas como externas.
Contexto Organizacional: Este contexto hace referencia a la definición de las políticas, objetivos y metas de la organización. La importancia de tener claramente definidos los objetivos radica en poder relacionarlos con los eventos de riesgo y así conocer el impacto que podría tener para la organización la materialización de un evento de riesgo.
Contexto Operativo: A escala a procesos o actividades se debe establecer para estas últimas los eventos de riesgo que pueden generar incertidumbre en el cumplimento de sus objetivos.
Comprensión de cada riesgo
La etapa de evaluación de cada riesgo debe contar con una sólida comprensión del negocio y de cómo los riesgos pueden afectar la capacidad para continuar con las operaciones, o representar oportunidades para la organización.
Cada área de la empresa debe analizar los procesos y procedimientos para establecer cómo pueden ser afectados por los riesgos identificados y describir cada uno de ellos para conocer sus posibles consecuencias, esto promueve el trabajo en equipo de la organización, hay mayor nivel de responsabilidad y colaboración, así como toma de conciencia.
También es importante ser coherente en la forma en que clasifica cada riesgo en términos de frecuencia y gravedad para que el producto final sea una descripción clara de cómo se comparan los riesgos entre sí.
Orientación sobre Gestión de Riesgos
Es posible que la consulta a los miembros de la propia organización no proporcione una comprensión suficiente y adecuada de los Riesgos, por lo que es recomendable recurrir a otras fuentes.
Un recurso habitual es prestar atención a organizaciones similares, y analizar estadísticas de la industria como ayuda para la Gestión de Riesgos.
También es factible consultar a un experto: una empresa de consultoría especializada en Gestión de Riesgos que ya ha realizado este tipo de trabajos puede representar una ayuda decisiva para definir y establecer un Mapa de Riesgos de manera efectiva, ahorrando tiempo y recursos de la organización.
Monitoreo del Mapa de Riesgos
Una vez creado y establecido el Mapa de Riesgos, éste representa una gran ayuda para administrar y mitigar los riesgos, pero es importante recordar que el panorama de riesgos cambia constantemente.
Así, es una actividad muy relevante revisar de manera periódica los análisis efectuados sobre riesgos, para verificar si el estado de los riesgos existentes ha cambiado y por lo tanto deben realizarse modificaciones en el mapa.
Al hacerlo, se asegura que el Mapa de Riesgos continúe siendo una herramienta útil y constante para la Gestión de Riesgos.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
CONSULTORIA SOBRE GESTIÓN DE RIESGOS
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
En la actualidad las organizaciones enfrentan el reto de sobrevivir, de dar continuidad al negocio y superar los efectos económicos de esta pandemia de COVID-19 / Coronavirus.
Esta circunstancia pone de manifiesto la necesidad de reflexionar acerca de algunos aspectos de la actual crisis:
¿Es posible a nivel global identificar riesgos como la actual pandemia de COVID-19 / Coronavirus, y estar preparados por si ocurren?
GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS
Tratando de responder a esta pregunta, se puede considerar el trabajo que hacen expertos internacionales, provenientes de diversas áreas de experiencia, en el marco del Reporte Global de Riesgos del Foro Económico Mundial para el año 2020.
Este trabajo permite identificar y evaluar los riesgos más relevantes a nivel global clasificados en 5 categorías:
Economía
Medio ambiente
Geopolítica
Sociedad
Tecnología
La posterior evaluación que hacen estos expertos, permite determinar los riesgos más relevantes, tanto en lo referente a su probabilidad de ocurrencia como en el impacto que tendría en el caso de materializarse el riesgo.
En el Reporte Global mencionado, se puede verificar que para el año 2020 mayoritariamente ganan terreno los riesgos vinculados con el medio ambiente, como eventos de clima extremos, pérdida de biodiversidad, o desastres medioambientales ocasionados por la actividad humana.
Recién en décimo lugar, en términos de impacto, aparece el riesgo asociado a la propagación de enfermedades infeccionas.
Además, haciendo un resumen de los últimos cinco años, de los 10 riesgos principales en términos de impacto, según el Foro Económico Mundial, con excepción del año 2017, la propagación de enfermedades infecciosas aparece como uno de los 10 primeros riesgos.
Entonces, ahora que la actual Pandemia de COVID-19 / Coronavirus ha colapsado la economía mundial y ha impactado en todos los negocios desde una interrupción temporal hasta una interrupción total de sus operaciones, que se han presentado cuarentenas masivas, cierres comerciales obligatorios a gran escala, decenas de empleados enfermos y despedidos e interrupción masiva de la cadena de suministro e incluso la no continuidad del negocio, es natural que surja el siguiente cuestionamiento: ¿Por qué la Pandemia no fue considerada como una seria amenaza por las organizaciones?
Bueno, una posible explicación pueda estar dada por el fenómeno denominado Cisne Negro.
LA EMPRESA EN ENTORNOS INCIERTOS
Un Cisne Negro es un suceso con los tres atributos que siguen: rareza, impacto extremo y predictibilidad retrospectiva.
Es una rareza, pues habita fuera del reino de las expectativas normales, porque nada del pasado puede apuntar de forma convincente a su posibilidad.
Produce un impacto tremendo.
La naturaleza humana tiende a inventar explicaciones de su existencia después del hecho, con lo que se hace explicable y predecible.
Según esta definición, pueden ser ejemplos de Cisnes Negros los siguientes sucesos:
El ascenso de Hitler y la posterior guerra
La precipitada desaparición del bloque soviético
La difusión de Internet
El ataque terrorista al World Trade Center (9-11)
La Pandemia COVID-19 / Coronavirus
Este concepto de Cisne Negro proviene del extraordinario libro, con el mismo nombre, escrito en 2007 por Nassim Taleb.
La obra gira en torno a una pregunta: ¿Por qué no podemos identificar este fenómeno hasta que ya ha sucedido?
Según el autor, ello se debe a que los humanos nos empeñamos en investigar las cosas ya sabidas, olvidándonos de lo que desconocemos, lo que nos impide reconocer las oportunidades y nos hace demasiado vulnerables al impulso de simplificar, narrar y categorizar, olvidándonos de recompensar a quienes saben imaginar lo «imposible».
De este modo, trasladando este concepto de Cisne Negro desde una perspectiva global hacia el punto de vista de aquellas mujeres y hombres de negocios que deben tomar decisiones en las organizaciones, el efecto que genera es el de un entorno incierto, que puede asimilarse al Contexto VICA / VUCA, en el cual se destacan 4 conceptos:
Volatilidad: se producen cambios antes de lo esperado
Incertidumbre: no hay certezas acerca del futuro
Complejidad: varios factores a considerar
Ambigüedad: puede interpretarse de más de una manera
Estos 4 elementos dan nombre así al Contexto VICA o Contexto VUCA, por sus siglas en inglés (Volatility, Uncertainty, Complexity, y Ambiguity), usado por primera vez en los años 90 por el US Army War College para referirse al mundo multilateral que surgió después del final de la Guerra Fría y se caracterizó por ser más volátil, incierto, complejo y ambiguo que nunca antes en la historia.
El Contexto VICA / VUCA habla de hacer negocios en un entorno en el que las teorías, suposiciones, y presunciones pierden terreno frente a un entorno vulnerable en el que predomina lo aleatorio y en el que se deben encontrar y reconocer los riesgos.
De este modo, los entornos inciertos otorgan mayor relieve a la Gestión de Riesgos.
Entonces ¿Porqué reconocer los riesgos? Pues porque los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz, de modo que también deberíamos preguntarnos:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
ISO 31000 – GESTIÓN DE RIESGOS PARA EL ÉXITO DE LA ORGANIZACIÓN
GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS
Las directrices que propone la Norma ISO 31000:2018 están orientadas a gestionar eficazmente el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y a su contexto, a través de un enfoque común para gestionar cualquier tipo de riesgo y sin ser específico de una industria o un sector.
Este modelo de Gestión de Riesgos puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.
La implementación de un modelo de gestión de riesgos basado en las directrices de la norma ISO 31000 puede ayudar a las organizaciones a cerrar las brechas operativas derivadas de los riesgos que generan los entornos inciertos, y así estimular la consecución rentable de los objetivos de la organización, a través de la creación de un enfoque integral de la organización para la gestión de riesgos que facilita la comunicación y proporciona los pasos fundamentales sobre cómo diseñar, implementar y mejorar continuamente un marco para la gestión de riesgos.
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
La norma ISO 31000 establece claramente, a través de sus 8 principios, que el propósito de la gestión de riesgos es la creación y protección del valor de la organización.
Según los principios elementales que ISO 31000 define para una gestión del riesgo eficaz, ésta requiere cumplir con los siguientes elementos:
Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización.
Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.
Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.
Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.
Mejor información disponible: Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
Factores humanos y culturales: El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.
Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
INTEGRAR LA GESTIÓN DEL RIESGO EN LOS PROCESOS DE LA ORGANIZACIÓN
La integración de la gestión de riesgos puede resultar una actividad compleja, ya que depende de la comprensión de la estructura organizativa y el contexto. Las estructuras organizativas varían según el propósito, los objetivos, los objetivos y la complejidad de la organización.
Pero sin dudas, la adecuada identificación de riesgos a los que está vinculada la organización es un factor clave que puede favorecer esta integración, ya que el propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos.
Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada, y revisar el plan de negocio determinando de qué no podría prescindir, y qué tipo de incidentes podrían afectar las distintas áreas.
Una práctica que puede resultar de utilidad para identificar riesgos es que en la organización se planteen las siguientes preguntas:
¿Cuándo, dónde, por qué y cómo es probable que sucedan riesgos en el negocio?
¿Existen riesgos internos?
¿Existen riesgos externos?
¿Quién podría estar involucrado o afectado si ocurre un incidente?
¿Cómo afecta la pérdida de la fuente de alimentación?
¿Y si no se cuenta con acceso a internet?
¿Es posible que los documentos clave para la organización sean destruidos?
¿Cómo se hace la toma de decisiones ante la renuncia de uno los mejores miembros del personal?
¿Los proveedores tienen capacidad suficiente?
¿Qué ocurre si se bloquean las carreteras y comunicaciones?
GESTIÓN DE RIESGOS EN ENTORNOS INCIERTOS
Y en particular a la actual situación, preguntas que ayudan a identificar los riesgos vinculados a la Pandemia:
¿En qué medida la situación afecta o puede llegar a afectar al sector en el que opera la organización?
¿La organización está preparada para recibir y enviar productos u ofrecer servicios manteniendo las medidas de seguridad y salud necesarias en la actualidad?
¿Los empleados y la estructura tecnológica de la organización son adecuadas para asumir el trabajo en casa, o teletrabajo, como una forma de producción prevista para un periodo de tiempo considerable?
¿La organización ha previsto formas de reemplazar reuniones internas y externas a través de sistemas de comunicación?
¿Se han previsto acciones para minimizar el impacto de diferentes escenarios de duración de medidas extraordinarias?
¿Existen alternativas para mantener operativo el negocio de acuerdo con las diferentes circunstancias?
¿Se puede aprovechar este momento para avanzar en otros aspectos que puedan ayudar a superar después la situación?
BENEFICIOS DE LA INTEGRACIÓN DE LA GESTIÓN DE RIESGOS
A través de las directrices que define ISO 31000, las organizaciones pueden contar con un marco de gestión de riesgos que garantiza que el proceso de gestión de riesgos forme parte de todas las actividades en toda la organización, incluida la toma de decisiones, y que los cambios en contextos externos e internos se capten adecuadamente.
Las organizaciones pueden mejorar continuamente la idoneidad, la adecuación y la eficacia del marco de gestión de riesgos y la forma en que se integra el proceso de gestión de riesgos.
La integración de la gestión de riesgos en una organización es un proceso iterativo y dinámico que no cuenta con una forma de aplicación universal, que debe adaptarse a las necesidades y la cultura de cada organización, razón por la cual la gestión de riesgos debe ser parte de, y no estar aislada del propósito organizativo, gobierno, liderazgo y compromiso, estrategia, objetivos y operaciones.
Además, la Norma ISO 31000 proporciona directrices y no requisitos de cumplimiento, de modo que las organizaciones pueden elegir qué parte de las recomendaciones desean seguir para administrar el riesgo de manera adecuada.
Tal como se ha visto, el Riesgo es un concepto que bien se podría catalogar como vital, por su vínculo con todas las actividades que efectúan las organizaciones, de forma tal que no hay actividad en los negocios o de cualquier asunto, que no implique asumir un riesgo.
Todas las organizaciones, grandes o pequeñas, de capital privado o del ámbito publico, industriales o de servicios, se enfrentan a factores internos y externos que le restan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es lo que se define como “Riesgo” y es inherente a todas las actividades.
Para entender, analizar, valorizar, gerenciar y decidir sobre la manera como prevenir la gestión corporativa frente al riesgo, la dirección moderna de las empresas concibió una disciplina denominada “Administración de Riesgos” o “Gestión de Riesgos”, que representa un conjunto de estrategias que a partir de los recursos (físicos, humanos y financieros) limitados, busca mantener la estabilidad financiera de la empresa protegiendo sus activos e ingresos de los riesgos a que está expuesta; y también aprovechar las oportunidades que podrían estar asociadas a dichos riesgos.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
El Cisne Negro, Nassim Nicholas Taleb (2007)
The Global Risks Report 2020, World Economic Forum
ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
CONSULTORIA SOBRE GESTIÓN DE RIESGOS
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
ISO 31000 GESTIÓN DE RIESGOS – PREGUNTAS FRECUENTES
En el marco del recientemente realizado I FORO PARA MANEJO DE CRISIS Y LA CONTINUIDAD DE NEGOCIO, los asistentes efectuaron numerosas preguntas, algunas de las cuales fueron respondidas durante la emisión del evento, pero muchas quedaron con una respuesta pendiente.
Este artículo recopila una parte sustancial de las preguntas que efectuó la audiencia de la conferencia «ISO 31000. IMPACTO DE LA GESTIÓN DE RIESGOS EN LA CONTINUIDAD DEL NEGOCIO» que se desarrolló durante el I FORO PARA MANEJO DE CRISIS Y LA CONTINUIDAD DE NEGOCIO, y que también suelen ser consultas frecuentes entre las organizaciones que muestran interés por establecer una gestión del riesgo que resulte parte de la gobernanza y el liderazgo de la organización, y que comprenda una actividad fundamental en la manera en que se gestiona la organización en todos sus niveles, contribuyendo a la mejora de los sistemas de gestión.
ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES
¿La implementación de las directrices que establece ISO 31000 para la Gestión del Riesgo, se agiliza si la organización practica la Gestión por Procesos?
Sí, efectivamente. Para una organización que es gestionada por procesos resultan parte de su naturaleza los principios en los que se basa la Norma ISO 31000 y que proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.
Los siguientes son los principios que conforman el fundamento de la gestión del riesgo:
Integrada: La gestión del riesgo es parte integral de todas las actividades de la organización.
Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.
Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.
Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.
Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.
Mejor información disponible: Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.
Factores humanos y culturales: El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.
Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.
¿Los criterios de los riesgos están definidos en la norma o son definidos por cada organización?
La Norma ISO 31000 proporciona algunas definiciones, para precisar los conceptos centrales a los que se refiere, pero no especifica criterios para análisis, los que deben ser establecidos por cada organización.
De este modo, es la organización la que debería precisar cantidad y tipo de riesgo que puede o no puede tomar con relación a los objetivos. También debería definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de decisiones.
Estos criterios se deberían alinear con el marco de referencia de la gestión del riesgo y adaptar al propósito y al alcance específicos de la actividad considerada, reflejando los valores, objetivos y recursos de la organización, en total coherencia con las políticas y declaraciones acerca de la gestión del riesgo.
Mejora la integración de los riesgos y oportunidades con la estrategia definida por la empresa.
Asegura que el costo del control de riesgos es justificable y acorde con las necesidades de la empresa.
Mejora la evaluación de los riesgos y el control de sus efectgos.
Aumenta la probabilidad de lograr los objetivos que la organización se plantea.
Fomenta la gestión proactiva.
Mejora la identificación de oportunidades y amenazas.
Ayuda a cumplir con los requisitos legales y normativos aplicables, y otros requisitos.
Mejora la información financiera y la gestión empresarial.
Mejora la confianza de las partes interesadas.
Establece una base fiable para la toma de decisiones y planificación.
Mejora los controles implementados para los riesgos que se materializaron en la empresa.
Mejora la eficacia y la eficiencia operacional.
Minimiza las pérdidas ante un incidente.
Mejora el aprendizaje organizativo.
ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES
¿Cuál es la diferencia entre las Normas ISO 22301 y 31000?
Si bien están relacionadas, estas normas se ocupan de diferentes aspectos.
La norma ISO 31000 es un estándar de carácter internacional que proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier tipo de organización y a su contexto. Proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es específico de una industria o un sector.
Puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.
En cambio, la Norma ISO 22301especifica la estructura y los requisitos para implementar y mantener un Sistema de Gestión de la Continuidad del Negocio (BCMS, por sus siglas en inglés) que desarrolle la continuidad del negocio apropiada para la cantidad y el tipo de impacto que la organización puede aceptar o no después de una interrupción.
Los resultados de mantener un BCMS están determinados por los requisitos legales, reglamentarios, organizativos e industriales de la organización, los productos y servicios proporcionados, los procesos empleados, el tamaño y la estructura de la organización, y los requisitos de sus partes interesadas.
Un BCMS enfatiza la importancia de:
Comprender las necesidades de la organización y la necesidad de establecer políticas y objetivos de continuidad del negocio;
Operar y mantener procesos, capacidades y estructuras de respuesta para garantizar que la organización sobreviva a las interrupciones;
Monitorear y revisar el desempeño y la efectividad del BCMS;
Mejora continua basada en medidas cualitativas y cuantitativas.
¿Cómo define el riesgo la Norma ISO 31000?
La norma ISO 31000 no sólo concibe el riesgo de manera negativa, sino que lo define como la exposición a la incertidumbre, pudiendo ser las consecuencias de esta incertidumbre tanto positivas como negativas. Con mayor detalle, de lo que se ocupa la Gestión de Riesgos es de analizar las desviaciones producidas con respecto a lo previsto, para una vez identificadas poder maximizar aquellas vistas como oportunidades y minimizar las consideradas amenazas. De esta forma, es posible mejorar las decisiones y resultados.
Específicamente, ISO 31000 define al Riesgo como el efecto de la incertidumbre sobre los objetivos.
Esta definición consta de las siguientes notas aclaratorias:
NOTA 1: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
NOTA 2: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.
NOTA 3: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo, eventos, potenciales, sus consecuencias y sus probabilidades.
¿Qué debe tener en cuenta una empresa para la Identificación del riesgo?
El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus objetivos. Para la identificación de los riesgos es importante contar con información pertinente, apropiada y actualizada.
A fin de identificar los riesgos, una organización puede utilizar la técnica o método que le resulte más apropiado, y se deberían tomar en cuenta los siguientes aspectos:
Las fuentes de riesgo tangibles e intangibles;
Las causas y los eventos,
Las amenazas y las oportunidades;
Las vulnerabilidades y las capacidades;
Los cambios en los contextos externo e interno;
Los indicadores de riesgos emergentes;
La naturaleza y el valor de los activos y los recursos;
Las consecuencias y sus impactos en los objetivos;
Las limitaciones de conocimiento y la confiabilidad de la información;
Los factores relacionados con el tiempo;
Los sesgos, los supuestos y las creencias de las personas involucradas.
¿Como se conforma el equipo de Gestión del Riesgo?
ISO 31000 no establece cómo se debe conformar el equipo de Gestión de Riesgos, aunque aclara que tanto la alta dirección como los órganos de supervisión de la empresa, cuando sea aplicable, deberían asegurar que la gestión del riesgo esté integrada en todas las actividades de la organización, y demostrar el liderazgo y compromiso:
Adaptando e implementando todos los componentes del marco de referencia;
Publicando una declaración o una política que establezca un enfoque, un plan o una línea de acción para la gestión del riesgo;
Asegurando que los recursos necesarios se asignan para gestionar los riesgos;
Asignando autoridad, responsabilidad y obligación de rendir cuentas en los niveles apropiados dentro de la organización;
De este modo, el equipo de personas a cargo de la Gestión del Riesgo es recomendable que esté conformado por personas de diversas áreas de la empresa, de forma tal que le proporcionen a su actividad diversos puntos de vista y diferentes perspectivas.
También, el equipo de Gestión del Riesgo debería contar con una asignación de recursos adecuada a sus actividades que puede incluir, pero no limitarse a:
Las personas, las habilidades, la experiencia y las competencias;
Los procesos, los métodos y las herramientas de la organización a utilizar para gestionar el riesgo;
Los procesos y procedimientos documentados;
Los sistemas de gestión de la información y del conocimiento;
El desarrollo profesional y las necesidades de formación.
La organización debería considerar las competencias y limitaciones de los recursos existentes.
¿Podría indicar ejemplos de Acciones Prácticas a implementar para iniciar la Gestión del Riesgo?
A fin de comenzar a poner en práctica la Gestión del Riesgo, una organización podría llevar adelante algunas de las siguientes iniciativas:
Identificación de los principales riesgos que pueden afectar a la organización.
Acciones para mitigar los riesgos identificados.
Compra de seguros contra pérdidas inesperadas significativas.
Contratación de outsourcing para procesos del negocio.
Compartir el riesgo con acuerdos o contratos con otras partes interesadas, como clientes, proveedores u otros socios de negocios.
Fortalecimiento del control interno en los procesos del negocio.
Diversificación/especialización de productos.
Establecimiento de límites a las operaciones y monitoreo.
Capacitación y formación sobre manejo del equipamiento.
Establecimiento de políticas.
Revisión periódica de los requisitos legales y de su cumplimiento.
Contratación de asesores externos especializados.
Software para administración eficaz de ISO 9001 / 14001 / 45001 / 50001 / 31000
¿Cómo preparar a una empresa cuando los factores externos son extremadamente adversos, como en el caso de contingencias de tipo «Cisne Negro»?
Tal como se ha mencionado en el Foro, la gestión de riesgos en muchas organizaciones se basa en la identificación de riesgos en función de la experiencia de los equipos involucrados. Los eventos de baja probabilidad y alto impacto, conocidos como “Cisnes Negros”, no suelen formar parte de esa experiencia, y por tal razón, quedan por fuera de la gestión.
Así, resulta una práctica habitual concentrar los recursos de la empresa en el tratamiento de los riesgos más probables, en detrimento de aquellos que son apenas «posibles» y muy poco probables, pero que cuando ocurren tienen un impacto altísimo, como la actual pandemia del coronavirus COVID-19, con consecuencias muy importantes para las empresas.
Ampliando el rango de riesgos a analizar, incluyendo a los eventos de baja probabilidad y alto impacto, es muy probable que para una organización tengan consecuencias similares que inciden en mayor o menor medida en determinadas áreas:
Seguridad humana.
Afectaciones físicas a la estructura de atención inmediata.
Interrupción de la capacidad operacional a largo y medio plazo, incluyendo la cadena de suministro y los servicios financieros.
Estructura de comunicaciones.
Afectación de la marca.
Continuidad del negocio.
Preparación integral ante emergencias
¿Cuáles son los elementos del proceso de gestión de riesgos según ISO 31000?
Comunicación y consulta. Para ampliar información sobre esta fase, recomendamos ISO 31000 y la comunicación y consulta.
Definición del contexto, alcance y criterios
Evaluación del riesgo, que a su vez consta de identificación, análisis y valoración del riesgo
Tratamiento de los riesgos
Seguimiento y revisión
Registro de informes
ISO 31000 GESTION DE RIESGOS – PREGUNTAS FRECUENTES
¿Cuáles son los aspectos que se deben tomar en consideración para analizar los riesgos identificados?
El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus características incluyendo, cuando sea apropiado, el nivel del riesgo.
El análisis del riesgo implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia.
Se debe considerar también que un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples objetivos.
El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles.
Las técnicas de análisis a utilizar pueden ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y del uso previsto.
El análisis del riesgo debería considerar factores tales como:
La probabilidad de los eventos y de las consecuencias;
La naturaleza y la magnitud de las consecuencias;
La complejidad y la interconexión;
Los factores relacionados con el tiempo y la volatilidad;
La eficacia de los controles existentes;
Los niveles de sensibilidad y de confianza.
¿Con qué frecuencia se deben valorar los riesgos o medir el riesgo residual?
ISO 31000 no establece frecuencia o período específico para revisar la valoración de riesgos, o para alguna otra etapa del proceso de Gestión de Riesgos. Sin embargo sí define como necesario el seguimiento y la revisión del proceso, con el propósito de asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados del proceso de Gestión del Riesgo.
El seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas.
El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y proporcionar retroalimentación.
Los resultados del seguimiento y la revisión deberían incorporarse a todas las actividades de la gestión del desempeño, de medición y de informe de la organización.
Bibliografía:
ISO 31000:2018 – Gestión del Riesgos – Directrices
El Cisne Negros, Nassim Nicholas Taleb (2007)
ISO 22301:2019 – Security and resilience – Business continuity management systems – Requirements
DESCARGAR EN FORMATO PDF ARTÍCULOS SOBRE SISTEMAS DE GESTIÓN DE NORMAS ISO
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
CONSULTORIA SOBRE GESTIÓN DE RIESGOS
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
NORMA ISO 31000:2018 PARA GESTIÓN DE RIESGOS – LECTURA GRATUITA
Las organizaciones y empresas hoy se enfrentan a dificultades operativas y económicas ocasionadas por la contingencia del COVID-19 /Coronavirus, y buscan soluciones prácticas de gestión empresarial para dar continuidad a sus operaciones, salir adelante de la calamidad y estar siempre preparadas para futuras dificultades.
Esta incertidumbre ha puesto en relieve el valor que tiene una adecuada Gestión de Riesgos. Por este motivo, la International Organization for Standardization (ISO) ha habilitado la lectura gratuita de hasta 30 estándares ISO, con la finalidad de apoyar los esfuerzos mundiales en el manejo de la crisis COVID-19.
ISO 31000:2018 PARA GESTION DE RIESGOS – LECTURA GRATUITA
De esta forma, es posible acceder a la norma ISO 31000 gratis, mediante el siguiente enlace:
ISO también ha liberado la lectura de otros estándares que pueden resultar de ayuda para las organizaciones en esta etapa de incertidumbre por la contingencia del COVID-19 /Coronavirus. La lista completa está en el siguiente enlace:
¿CÓMO GESTIONAR LOS RIESGOS Y ASEGURAR EL ÉXITO DE LA ORGANIZACIÓN?
Los negocios prosperan por tomar riesgos, pero fallan cuando los riesgos se gestionan de manera ineficaz.
Un Modelo adecuado de Gestión de Riesgos debe tener la capacidad de proporcionar información clave que le permita a tu organización enfrentar con éxito los desafíos que proponen los entornos inciertos, a fin de estar en condiciones de anticipar los problemas para resolverlos de manera eficiente y poder aprovechar las oportunidades cuando éstas se presenten.
La implementación eficaz de la Gestión de Riesgos necesita un proceso de cambio cultural que permita comprender que los responsables de los negocios son responsables, de manera colaborativa, de sus riesgos asociados, favoreciendo un manejo integrado de los negocios y sus riesgos asociados.
CONSULTORIA SOBRE GESTIÓN DE RIESGOS
Calidad & Gestión brinda el Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos con el objetivo de que tu organización pueda controlar el impacto de eventuales riesgos que pueden afectar a su organización, permitiendo administrar su incertidumbre y tomar decisiones considerando aspectos que no son fácilmente visibles.
A través de nuestro Servicio de Consultoría de Gestión de Riesgos, obtendrás respuestas a preguntas tales como:
¿Cuáles riesgos pueden impedir el logro de la estrategia?
¿Cuáles riesgos pueden representar oportunidades?
¿Cuál es la probabilidad de ocurrencia y el impacto de estos riesgos?
¿Qué tratamiento van a recibir?
Solicita nuestro Servicio de Consultoría ISO 31000:2018 Gestión de Riesgos completando nuestro formulario.
Calidad & Gestion - Consultoría para Empresas 