GESTIÓN DE RIESGOS EN ISO 14001:2015
La Norma ISO 14001:2015, uno de los estándares más populares del mundo para la gestión ambiental, incluye el tratamiento de Riesgos como uno de sus rasgos más relevantes.
En términos generales, ISO enfoca los sistemas de gestión como herramienta para reducir la incertidumbre propia del funcionamiento de las organizaciones, entendida como la falta de información que pueda ocasionar desviaciones sobre los resultados esperados.
En el caso de ISO 14001:2015 no se refiere al riesgo de daños al medio ambiente en sentido estricto –que deberían abordarse en la identificación de aspectos ambientales- si no de los riesgos relacionados con la gestión ambiental, incluyendo las expectativas de las partes interesadas en la organización.
Así pues, el análisis y la gestión del riesgo pasan a ser los motores de la mejora continua.
GESTIÓN DE RIESGOS EN LOS REQUISITOS DE ISO 14001:2015
Se destaca la gestión del riesgo, desarrollado en los capítulos 6 y 9 de la Norma ISO 14001:2015.
Lo primero que conviene aclarar es que la Norma ISO 14001:2015 establece identificar los riesgos, pero no obliga a hacer una evaluación de riesgos como tal, adoptando las siguientes definiciones:
Riesgo:
Efecto de la incertidumbre.
Nota 1. Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2. Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3. Con frecuencia el riesgo se caracteriza por referencia a “eventos” potenciales y «consecuencias», o a una combinación de estos.
Nota 4. Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la ”probabilidad” asociada de que ocurra.
Riesgos y Oportunidades:
Efectos potenciales adversos (amenazas) y efectos potenciales beneficiosos (oportunidades).
El punto principal de la gestión de riesgos en los requisitos de ISO 14001:2015 se encuentra en el capítulo «6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades»:
6.1 Acciones para tratar riesgos asociados con amenazas y oportunidades
Para planificar el SGA, se debe tomar en consideración:
- Contexto de la organización
- Requisitos de las partes interesadas
- Riesgos y oportunidades
Estos riesgos y oportunidades deben identificarse en relación con:
- Loas Aspectos ambientales significativos
- Los Requisitos legales aplicables
- Las Obligaciones voluntarias
- Otros riesgos y oportunidades de negocio que interfieren con el SGA
Sobre esta base se deben planificar las acciones destinadas a abordar dichos riesgos y oportunidades, considerando:
- las opciones tecnológicas,
- los requisitos financieros,
- los requisitos operacionales y
- los requisitos de negocio;
Los propósitos que orientan la gestión de riesgos y oportunidades deben ser:
- Asegurar los resultados previstos del SGA
- Prevenir o reducir efectos no deseados
- Lograr la mejora continua
El objetivo de la gestión de riesgos y oportunidades es determinar el tratamiento a seguir con cada uno de ellos: eliminar, reducir o, si se considera aceptable, asumir dichos riesgos. La planificación de acciones debe incluir qué acción se va a abordar, con qué recursos, quién va a ejecutarla, cuándo, y cómo se va a evaluar su eficacia. De esta plan de acción nacen los objetivos ambientales de la organización.
La Alta Dirección puede tratar eficazmente sus riesgos y oportunidades mediante una integración de la Gestión Ambiental en sus procesos de negocio, dirección estratégica y toma de decisiones, incorporando la gestión ambiental en su sistema de gestión global.
Las cuestiones vinculadas con la gestión de riesgos también se tratan en el capítulo 9, en lo referente a la Revisión por la alta dirección, la cual tiene la responsabilidad de revisar los eventuales cambios que se produzcan en los riesgos y oportunidades identificados.
La dirección de la organización puede tratar de forma eficaz los riesgos y las oportunidades mediante la integración de la gestión ambiental en sus procesos de negocio.
RIESGOS Y OPORTUNIDADES RELACIONADOS CON LA GESTIÓN AMBIENTAL
Tal como se ha mencionado, “Riesgos y oportunidades” se define en ISO 14001: 2015 cláusula 3.2.11 como posibles efectos adversos (amenazas) y posibles efectos beneficiosos (oportunidades).
Con esta definición se busca que las organizaciones centren principalmente su atención en los resultados relacionados con las determinaciones de riesgo, incluidos los efectos tanto positivos como negativos, en lugar de simplemente la incertidumbre relacionada con la ocurrencia de eventos.
La clave para recordar acerca de estos nuevos requisitos es que no todos los riesgos y oportunidades que enfrenta una organización deben incluirse en esta determinación de riesgos, sino sólo aquellos que resulten pertinentes.
Para definir esto, en primer lugar debe haber un nexo o conexión con el Sistema de Gestión Ambiental (SGA), como por ejemplo los riesgos asociados a la eliminación de desechos peligrosos. De acuerdo con ISO 14001, la organización debe considerar la relación que tiene un riesgo particular con:
- Los problemas ambientales importantes de la organización (su «contexto»)
- Los requisitos del SGA de la organización, incluidas sus requisitos legales y reglamentarios
- El alcance definido del sistema de gestión ambiental de la organización
Esta determinación de riesgo (amenazas y oportunidades) puede ser subjetiva, es decir, basarse en las opiniones, interpretaciones y juicios de los miembros de la organización. No tiene por qué ser una determinación objetiva. No tiene que basarse en números, cálculos u hojas de cálculo, aunque puede serlo si una organización así lo decide.
La determinación de qué riesgos y oportunidades se abordarán en el SGA es decisión de la organización. No es necesario que se base en lo que cualquier parte interesada en particular o el auditor del sistema de gestión crea que debería ser la decisión. Para cumplir con la norma ISO 14001:2015, una organización simplemente necesita poder demostrar que consideró los factores de nexo enumerados anteriormente cuando tomó sus determinaciones de riesgo para el SGA.
Un enfoque adecuado para este análisis es tomar como punto de partida a los aspectos ambientales de la organización.
Los aspectos ambientales hacen referencia al potencial impacto que pueden tener sobre el medio ambiente los procesos de negocios de una determinada organización.
Estos impactos, que pueden ser negativos o positivos, deben ser identificados y medidos, de tal forma que sea posible tomar medidas para minimizarlos o eliminarlos. Ello se logra mediante el control de los aspectos ambientales. Es esta la forma en que se puede lograr este propósito, y a ello apuntan los requisitos de la norma ISO 14001.
Ejemplo: en una organización que utiliza productos químicos tóxicos en sus procesos productivos, el uso y la posterior eliminación de esos desechos químicos, implica considerar varios aspectos ambientales.
Un posible derrame de los compuestos puede ser uno de esos aspectos ambientales. ¿Qué acciones preventivas se pueden tomar para minimizar ese riesgo? Una opción es contar con los servicios de una organización dedicada al transporte de residuos, calificada y certificada, que pueda manipular estos productos con seguridad y de acuerdo con los requerimientos legales locales.
¿CUÁLES SON LOS RIESGOS Y LAS OPORTUNIDADES EN ISO 14001?
Los impactos que resultan de los aspectos ambientales, son un riesgo evidente para la organización y el negocio, pero no son los únicos riesgos que reconoce la norma ISO 14001:2015.
La razón es clara. Los riegos y las oportunidades que considera la norma, y que están incluidos en la sección 6.1.1, que habla de la planificación, son los siguientes:
- Asegurarse de que el Sistema de Gestión Ambiental cumple con los resultados esperados.
- Prevenir o reducir los efectos no deseados o los efectos potenciales de la organización.
- Asegurar la mejora continua del sistema.
De lo anterior se deduce que es necesario identificar los riesgos y las oportunidades para el SGA, priorizar aquellos que deban ser abordados, documentar y conservar la documentación sobre ellos.
Por supuesto, existe una relación entre los aspectos ambientales y los riesgos y oportunidades en el SGA. Los aspectos ambientales, no son los únicos riesgos que afronta el Sistema de Gestión Ambiental, aunque sí son un punto de partida importante.
Los riesgos también pueden aparecer, como consecuencia de requerimientos legales o de los cambios en ellos, de la información de los clientes o la obtenida con base en investigaciones de mercado, de la modificación de procesos productivos, de las sugerencias de algunos empleados o incluso de los comentarios de otras partes interesadas diferentes a las mencionadas.
Una vez se han identificado los riesgos que deben ser abordados, es necesario planificar acciones para gestionarlos. Esto puede ayudar a su organización a tomar decisiones en lo relacionado con la definición de objetivos ambientales.
¿ISO 14001: 2015 REQUIERE UNA EVALUACIÓN FORMAL DE RIESGOS?
Desde la publicación de la versión vigente de ISO 14001, en septiembre de 2015, quienes participaron en la redacción de la norma han sido enfáticos al decir que no.
De modo que depende de la organización decidir qué enfoques de evaluación de riesgos son apropiados. La organización tiene total discreción para determinar lo que cree que es mejor para su conjunto único de circunstancias., y puede elegir los métodos, enfoques o criterios de evaluación que desee.
Puede utilizar un enfoque cualitativo o puede utilizar un enfoque cuantitativo. Puede utilizar un enfoque único o una combinación de enfoques. Puede crear una única matriz maestra de riesgos o puede utilizar un registro de riesgos combinado.
Estos procesos de evaluación de riesgos pueden ser un componente de sus otros procesos del SGA, pueden ser parte de otros procesos comerciales o pueden configurarse como un proceso separado. Depende totalmente de la organización decidir qué proceso o procesos utilizará, y deben documentarse en la medida necesaria para tener la confianza de que se llevan a cabo según lo planificado.
Una vez que se completa la determinación del riesgo, la organización debe registrar los resultados, manteniendo información documentada de los riesgos y oportunidades que deben abordarse dentro de su SGA.
Desde luego, la Norma ISO 14001:2015 no especifica un número requerido de riesgos y oportunidades que deban abordarse. Se requiere que la organización determine los riesgos y oportunidades relacionados con:
- Los elementos de sus actividades, productos y servicios que pueden interactuar con el medio ambiente (es decir, sus aspectos)
- Sus requisitos legales y otros requisitos que la organización debe cumplir o decide cumplir (sus obligaciones de cumplimiento)
- Otros problemas y requisitos que identificó en su determinación de contexto
CÓMO INCLUIR LOS RIESGOS EN EL SISTEMA DE GESTIÓN AMBIENTAL
Como queda dicho, la Norma ISO 14001:2015 no establece requisitos formales para la gestión de riesgos, ni la obligatoriedad de un proceso documentado, en virtud de lo cual depende de cada organización definir la metodología a utilizar para identificar sus riesgos y oportunidades.
Esta metodología puede ser un simple proceso cualitativo o una evaluación más compleja que considere también aspectos cuantitativos, siendo la más adecuada aquella metodología que considere el contexto de la organización (su tamaño, cultura, tipo de producto/servicio, mercado en el actúa, etc.).
Como una guía, podrían considerarse los procesos considerados en la familia de normas ISO 31000 y en la iniciativa del Committee of Sponsoring Organizations of the Treadway Commission (COSO).
La familia de normas ISO 31000: conjunto de normas sobre Gestión del riesgo codificadas por la International Organization for Standardization ISO. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de riesgos y el proceso implementado en el nivel estratégico y operativo.
En la actualidad, la familia ISO 31000 incluye:
- ISO 31000:2018 – Gestión de riesgos – principios y directrices
- ISO/IEC 31010:2019 – Gestión de riesgos – técnicas de evaluación del riesgo
- ISO Guide 73:2009 – Gestión de riesgos–vocabulario
Algunas definiciones relacionadas con la familia ISO 31000:
-
Riesgo. Efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos; y también que los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).
-
Incertidumbre. Es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.
-
Gestión del riesgo. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
En cuanto a la iniciativa del Committee of Sponsoring Organizations of the Treadway Commission (COSO), que es patrocinada conjuntamente desde 1985 por las cinco principales asociaciones profesionales con sede en Estados Unidos: la Asociación Americana de Contabilidad (AAA), el Instituto Americano de Contadores Públicos Certificados (AICPA), Financial Executives International (FEI), el Instituto de Auditores Internos (IIA ), y la Asociación Nacional de Contadores (ahora el Instituto de Contadores de Gestión [IMA]).
Totalmente independiente de cada una de las organizaciones patrocinadoras, la Comisión incluyó a representantes de la industria, la contabilidad pública, las empresas de inversión, y la Bolsa de Nueva York.
El primer presidente de la Comisión Nacional fue James C. Treadway, Jr., derivando de allí el nombre popular de «Comisión Treadway». En la actualidad, el Presidente de COSO es Robert Hirth.
El objetivo de COSO es proporcionar liderazgo en tres temas interrelacionados: la gestión del riesgo empresarial (Enterprise Risk Management – ERM), el control interno y la disuasión del fraude.
Con respecto a ERM, en 2004 COSO publicó Enterprise Risk Management – Marco Integrado, que define una metodología para tratar estos riesgos identificando los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio.
El ERM de COSO describe un Marco basado en Principios. Dicho marco provee:
- La definición de administración de riesgos corporativos.
- Los principios críticos y componentes de un proceso de administración de riesgos corporativos efectivo.
- Pautas para las organizaciones sobre como mejorar su administración de riesgos
- Criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se necesita para que lo sea.
-
Concepto de Administración de Riesgos Corporativos: “Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la organización, diseñado para identificar eventos potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.”
El marco que describe el ERM de COSO considera 8 componentes mutuamente relacionados:
- Ambiente Interno
- Establecimiento de Objetivos
- Identificación de Eventos
- Evaluación de Riesgos
- Respuesta al Riesgo
- Actividades de Control
- Información y Comunicación
- Monitoreo
En 2013 se publicó la tercera versión, COSO III. Esta revisión del marco COSO de riesgos se centró en mejorar aspectos como la agilidad de los sistemas de gestión de riesgos, una mayor concreción en lo que se consideraba comunicación e información, un mayor énfasis en la eliminación de riesgos, y la incorporación clara del concepto “consecución de los objetivos”.
La metodología COSO ERM 2017
El marco actual vigente para el control interno de los riesgos es el llamado COSO ERM 2017, también conocido como “COSO Enterprise Risk Management – Integrating with Strategy and Performance”.
Esta actualización mantiene el enfoque financiero de sus predecesores, pero, no obstante, su flexibilidad y estructura permite que sea utilizado indistintamente por cualquier tipo de actividad.
GESTIÓN DE RIESGOS AMBIENTALES
En el caso de que la organización decida ir más allá de lo que establece la norma ISO 14001:2015, y aplicar una gestión formal de los riesgos, una herramienta metodológica para llevar adelante una efectiva GESTION DE RIESGOS AMIBIENTALES es la Norma UNE 150008 – Análisis y evaluación del riesgo ambiental, que describe el método para analizar y evaluar el riesgo ambiental y establecer una eficaz gestión del mismo.
Este estándar es aplicable a emplazamientos, actividades y organizaciones de cualquier naturaleza y sector productivo, considerados tanto en conjunto como por unidades de proceso, y sirve además de referencia para la elaboración de informes en las fases de diseño, construcción, puesta en marcha, operación o explotación, así como para el desmantelamiento o demolición.
Este aspecto es tratado con más detalle en el siguiente artículo: GESTION DE RIESGOS AMBIENTALES
USO DE SOFTWARE PARA SISTEMAS DE GESTION
Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.
Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).
Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.
Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.