Técnica del Grupo Nominal (TGN) en la Gestión de Riesgos aplicada a los Sistemas de Gestión

En este artículo os voy a explicar en qué consiste esta técnica de gestión de Riesgos, los pasos a seguir para aplicarla, así como un par de ejemplos aplicados a los sistemas de gestión ISO 14001 e ISO 45001.

¿En qué consiste?

Esta técnica se utiliza para recoger ideas, además de ser útil también para priorizar ideas dentro de un grupo. Puede ser utilizada como alternativa a la técnica de Brainstorming.

¿Cómo se aplica?

El proceso completo es el siguiente:

1. Preparación. Definir los objetivos de la sesión. Antes de comenzar, es importante definir claramente los objetivos de la sesión de Grupo Nominal. Por ejemplo, puede ser identificar y priorizar riesgos específicos para el sistema de gestión, desarrollar estrategias de mitigación o revisar el estado actual de la gestión de riesgos.

2. Seleccionar a los participantes. Invita a un grupo de expertos y partes interesadas relevantes en el sistema de gestión específico. Se deben incluir personas con conocimientos y experiencia en el tema de gestión de riesgos y en el funcionamiento del sistema de gestión en cuestión.

3. Comienza la sesión explicando el propósito de la misma y el proceso que se seguirá. El facilitador proporciona a cada miembro del grupo una pregunta a considerar.

4. Lluvia de ideas. Se pide a los participantes que generen individualmente una lista de posibles riesgos que podrían afectar al sistema de gestión. Anima a que anoten todas las ideas que se les ocurran, sin discutir ni evaluar en esta etapa. Cada miembro escribe sus propias ideas de manera objetiva e individual.

5. Ronda de aportaciones. Una vez que todos hayan generado sus listas, pide a cada participante que comparta una idea a la vez, sin repetir ninguna. Registra todas las ideas en un lugar visible para que todos los participantes puedan verlas. Cada miembro del grupo presenta sus ideas en esta etapa, sin discutirlas. Si la dinámica del grupo hace que unas voces tengan más peso que otras, se deberán presentar al facilitador de forma anónima.

6. Discusión y clarificación. Una vez que se hayan registrado todas las ideas, permite que los participantes aclaren cualquier punto o proporcionen más detalles sobre los riesgos mencionados. Las ideas serán discutidas en grupo hasta conseguir un listado acordado.

7. Agrupación de ideas. Si hay riesgos similares o relacionados, se deben agrupar para evitar la duplicación y facilitar la posterior evaluación.

8. Evaluación y priorización. Se deben definir los criterios que se utilizarán para evaluar y priorizar los riesgos, como la probabilidad de ocurrencia, el impacto potencial y la capacidad de detección.

9. Votación. Se pide a los participantes que voten por los riesgos que consideren más significativos según los criterios establecidos. Pueden asignar una cierta cantidad de votos a cada riesgo, dependiendo de su importancia percibida.

10. Tabulación de resultados. Se recopila los resultados de la votación y calcula la puntuación total para cada riesgo.

11. Análisis de riesgos prioritarios. Se identifica los riesgos con las puntuaciones más altas y discute las posibles estrategias de gestión para mitigarlos.

12. Desarrollo de planes de mitigación. Se definen acciones específicas que se deben tomar para gestionar y controlar los riesgos identificados. Asigna responsabilidades y establece plazos para la implementación de estas acciones.

13. Seguimiento y revisión. Se define cómo se seguirá monitoreando y revisando los riesgos y las estrategias de gestión en el futuro.

14. Programar reuniones de seguimiento. Se deben programar reuniones periódicas para revisar el progreso en la implementación de las acciones y actualizar la evaluación de riesgos según sea necesario.

En la siguiente tabla se pueden visualizar las fases del proceso de forma esquemática:

Ejemplo aplicado a un Sistema de Gestión ambiental en base a la norma ISO 14001

Imaginemos que queremos aplicar esta técnica para analizar y abordar un determinado riesgo ambiental, como por ejemplo, "derrame de productos químicos peligrosos" en una empresa manufacturera.

El proceso que se seguiría aplicando la Técnica del grupo Nominal (TGN) podría ser el siguiente:

Preparación. Establecer un objetivo de la sesión como puede ser, identificar y priorizar estrategias para prevenir o mitigar los derrames de productos químicos peligrosos en el sitio de producción.

Selección de Participantes. Se invita a un grupo multidisciplinario de expertos en gestión ambiental y seguridad ocupacional, que incluye a gerentes de medio ambiente, ingenieros de seguridad, técnicos de producción y representantes del personal de operaciones. Dada la posibilidad de derrames de productos químicos con potenciales impactos adversos en el medio ambiente y la seguridad de los trabajadores, es imperativo convocar a profesionales de ambas disciplinas. Esto permitirá una evaluación integral de los riesgos desde diferentes perspectivas, facilitando así la adopción de medidas consensuadas y efectivas para prevenir incidentes, considerando todas las voces y puntos de vista presentes.

Generación de ideas. Cada participante genera individualmente una lista de posibles causas de derrames de productos químicos peligrosos, como fallos en el equipo, errores humanos, almacenamiento inadecuado, etc. 

Ronda de aportaciones. Los participantes comparten una idea a la vez, sin discutir ni evaluar en esta etapa. Las ideas se registran en un pizarrón o en una hoja grande visible para todos. 

Discusión y clarificación. Se da la oportunidad a los participantes para aclarar cualquier punto o proporcionar más detalles sobre las posibles causas de los derrames de productos químicos. En esta fase, cada miembro puede explicar su opinión y su punto de vista en relación a la idea que ha aportado tras la realización de su propio análisis.

Agrupación de ideas. Los riesgos similares o relacionados se agrupan juntos para facilitar la evaluación posterior. Por ejemplo, podríamos agrupar los riesgos relacionados con el almacenamiento inadecuado bajo una categoría.

Evaluación y priorización. Se deben definir los criterios que se utilizarán para evaluar y priorizar las posibles causas de los derrames, como la probabilidad de ocurrencia, el impacto potencial en el medio ambiente y la capacidad de detección.

Votación. Los participantes votan por las causas que consideran más significativas según los criterios establecidos. Pueden asignar una cierta cantidad de votos a cada causa.

Tabulación de resultados. Se recopilan y suman los resultados de la votación para cada causa, lo que proporciona una lista priorizada de las posibles causas de derrames de productos químicos peligrosos.

Análisis de causas prioritarias. Una vez que se obtiene el listado de las principales causas que pueden originar el riesgo a estudiar, es necesario enfocarse en aquellas con las puntuaciones más altas y se discute entre todos los participantes de  las posibles estrategias para prevenir o mitigar los derrames asociados.

Desarrollo de planes de mitigación. Tras el intercambio de opiniones anterior, se consensua y definen acciones específicas, responsabilidades y plazos para la implementación de las estrategias identificadas, como la capacitación del personal, la mejora de los procedimientos de manipulación de químicos y la instalación de sistemas de contención.

Seguimiento y revisión. Se establece un plan para monitorear y revisar regularmente la efectividad de las estrategias implementadas y realizar ajustes según sea necesario.

Reuniones de seguimiento. Se programan reuniones periódicas para revisar el progreso en la implementación de las acciones y actualizar la evaluación de riesgos en caso de que surjan nuevos riesgos o cambios en el entorno operativo.

Ejemplo aplicado a un Sistema de Gestión de Seguridad y Salud en base a la norma ISO 45001

En este ejemplo se va a suponer que estamos abordando el riesgo de "caídas desde altura" en un entorno de construcción, el proceso que se seguiría aplicando la Técnica del grupo Nominal (TGN) podría ser el siguiente:

Objetivo de la sesión. Identificar y priorizar estrategias para prevenir o mitigar las caídas desde altura en el lugar de trabajo.

Participantes. Se convoca a un grupo de expertos en seguridad y salud ocupacional, incluyendo gerentes de seguridad, supervisores de obra, trabajadores de seguridad y representantes del personal de operaciones.

Generación de ideas. Cada participante genera individualmente una lista de posibles causas de caídas desde altura, como falta de protección en el borde, superficies resbaladizas, equipo defectuoso, falta de capacitación, etc.

Ronda de aportaciones. Los participantes comparten una idea a la vez, sin discutir ni evaluar en esta etapa. Las ideas se registran en un pizarrón o en una hoja grande visible para todos.

Discusión y clarificación. Se da la oportunidad a los participantes para aclarar cualquier punto o proporcionar más detalles sobre las posibles causas de las caídas desde altura.

Agrupación de ideas. Los riesgos similares o relacionados se agrupan juntos para facilitar la evaluación posterior. Por ejemplo, podríamos agrupar los riesgos relacionados con la falta de protección contra caídas bajo una categoría.

Evaluación y priorización. se definen los criterios que se utilizarán para evaluar y priorizar las posibles causas de caídas, como la probabilidad de ocurrencia, el impacto potencial en la salud y seguridad de los trabajadores, y la capacidad de detección.

Votación. Los participantes votan por las causas que consideran más significativas según los criterios establecidos. Pueden asignar una cierta cantidad de votos a cada causa.

Tabulación de resultados. Se recopilan y suman los resultados de la votación para cada causa, lo que proporciona una lista priorizada de las posibles causas de caídas desde altura.

Análisis de causas prioritarias. Es necesario centrarse en las causas con las puntuaciones más altas y discutir posibles estrategias para prevenir o mitigar las caídas asociadas entre todos los miembros que forman la sesión.

Desarrollo de planes de acción. Se definen acciones específicas, responsabilidades y plazos para la implementación de las estrategias identificadas, como la instalación de barandas de protección, el uso de equipos de protección personal, la capacitación del personal, etc.

Plan de seguimiento. Se establece un plan para monitorear y revisar regularmente la efectividad de las estrategias implementadas y realizar ajustes según sea necesario.

Reuniones de seguimiento. Se programan reuniones periódicas para revisar el progreso en la implementación de las acciones y actualizar la evaluación de riesgos en caso de que surjan nuevos riesgos o cambios en el entorno operativo.

Todo este proceso debe quedar registrado y documentado en el Sistema Documental del Sistema de Gestión, no sólo los resultados obtenidos, sino también la descripción de la metodología a seguir (procedimiento o ficha de proceso). 

[Continue reading...]

Toma de decisiones en la Gestión de Riesgos en los Sistemas de Gestión

La toma de decisiones se produce en varios momentos a lo largo del proceso de gestión de riesgos, desde la identificación inicial de riesgos hasta la implementación de medidas de control y el monitoreo continuo del desempeño del sistema de gestión de riesgos. Es importante tomar decisiones informadas y documentadas, basadas en datos en cada etapa para garantizar una gestión efectiva de los riesgos organizacionales.

En el siguiente artículo os mencionaré el listado de los puntos en el proceso de la Gestión de Riesgos donde se suelen tomar las decisiones por parte de la Dirección, además de los factores a tener en cuenta para decidir las prioridades en la toma de decisiones.

Listado de toma de decisiones

Listado de toma de decisiones que se deben realizar durante todo el proceso de la gestión de riesgos:

- Decidir cómo se va a diseñar, elaborar e implementar el Sistema.

- Decidir y asignar al responsable y/o equipo que se va a encargar tanto de la implementación, coordinación y seguimiento de la Gestión de Riesgos.

- Aprobar la metodología a seguir, así como los métodos de evaluación y análisis de riesgos más apropiados para aplicar a la empresa. Aunque se asigne a una persona o equipo competente, la Dirección de la empresa deberá tener la última palabra y responsabilidad de aprobar cómo se va a realizar.

- Aprobar los criterios de evaluación así como los baremos de significancia para cada uno de los tipos de riesgos que se identifican en la empresa.

- Seleccionar las acciones correctoras más eficientes que estén alineadas con los objetivos en la Gestión de Riesgos, el contexto y el alcance del sistema.

- Asignar y aprobar los recursos necesarios en cada una de las etapas del proceso de la gestión de riesgos, incluyendo aquellos recursos destinados para mitigar los riesgos identificados como significativos, teniendo en cuenta la estrategia y objetivos definidos por la Dirección de la empresa.

Con la finalidad de garantizar una toma de decisiones eficaz y acertada por parte de la Dirección de la empresa, es importante establecer un canal de comunicación continuo y de confianza, en el que el Responsable del Sistema de Gestión pueda consultar y explicar los datos y resultados obtenidos procedentes de la evaluación de desempeño. De este modo la Dirección de la empresa puede disponer de toda la información necesaria, además de la opinión de los expertos en el sistema de Gestión, para tomar las decisiones acertadas lo más pronto posible.

Factores a tener en cuenta para decidir las prioridades en la toma de decisiones

La Dirección de la empresa debe ponderar las ventajas y desventajas potenciales de cada una de las opciones en las que deberá decidir considerando en todo momento las incertidumbres que comporta cada una de las opciones seleccionadas de acorde al contexto, los objetivos y alcance del sistema de Gestión de Riesgo. Para ello, deberá considerar los siguientes factores:

- En algunas ocasiones, como se ha comentado anteriormente, la toma de decisiones comporta seleccionar una entre varias opciones, donde cada una de ellas tiene asociado un grado de incertidumbre que deberá ser valorado.

- Las consecuencias esperadas.

- La efectividad de los controles.

- Las características cualitativas de los eventos o sus posibles consecuencias.

- Las opiniones y percepciones de las partes interesadas.

- Los recursos y el plazo de tiempo a invertir invertido en comparación con la mejora que se va a obtener.

- Las incertidumbres asociadas con los resultados potenciales de las opciones y estimaciones de costes y beneficios.

- Eventos y desarrollos que pueden afectar los resultados.

- La incertidumbre en torno a los juicios realizados a partir de los resultados del análisis de riesgos, incluidas consideraciones como si los objetivos y criterios continuarán sin cambios en el futuro.

- Las ganas o necesidad que tenga la organización de asumir un determinado riesgo.

- Preservar los resultados de la evaluación para uso y referencia futuros.

- Realizar el seguimiento continuo de la opción seleccionada, y realizar los cambios pertinentes en caso de detectar desviaciones respecto a la previsión.

- Permitir la verificación de la evaluación.

- Proporcionar un rastro de auditoría.

Proporcionar un Registro documentado sobre la toma de decisiones

Como todo proceso en un sistema de gestión, la toma de decisiones debe documentarse. A continuación se muestra un listado de los aspectos que se deben tener en cuenta a la hora de elaborar los documentos relacionados con la toma de decisiones. Por lo que se puede decir que los documentos deben:

- Ser identificados, trazables, entendibles y estructurados.

- Estar incluidos en el sistema documental del Sistema de Gestión de Riesgos.

- Estar completos.

- Proporcionar la profundidad técnica y detalle suficiente.

- Incorporar toda la información necesaria (estudios, documentos, información, permisos…) asociado a la viabilidad de cada una de las opciones, así como la evaluación del riesgo para cada una de las opciones a decidir.

- Poder ser utilizada de base para permitir revisar y validar las diferentes opciones y resultados.

- Ser elaborados por personas competentes y expertas en el Sistema de Gestión de Riesgos de la empresa.

En la siguiente tabla podéis encontrar un breve resumen de todos los puntos mencionados en este artículo:

[Continue reading...]

La Incertidumbre y la Sensibilidad de los resultados en el análisis de riesgos de los Sistemas de Gestión

En el siguiente artículo os quiero explicar en qué consisten dos de los más importantes factores que pueden afectar a la fiabilidad de los resultados en el proceso de análisis de riesgos. Estos factores son la incertidumbre y la sensibilidad de los resultados. Con la finalidad que sean dos conceptos entendibles os muestro algunos ejemplos aplicados al Sistema de Gestión de Calidad (ISO 9001).

A continuación se explican en qué consisten ambos términos:

Incertidumbre de los resultados

Se considera incertidumbre como a la falta de conocimiento completo o certeza sobre los eventos futuros y sus resultados. En el contexto de los sistemas de gestión, la incertidumbre puede manifestarse de varias maneras:

• El uso de datos incompletos y poco precisos como elementos de entrada en el análisis de riesgos. El análisis se ve comprometido cuando se emplean datos incompletos o poco precisos. Esta falta de precisión puede afectar negativamente la evaluación de la probabilidad de ocurrencia y los impactos de los riesgos identificados, lo que resulta en una estimación imprecisa de su significancia y nivel de gravedad. Como consecuencia, la toma de decisiones relacionadas con las acciones para mitigar estos riesgos puede verse afectada por errores.

• Dificultad de predecir posibles cambios que puedan surgir debido a la complejidad del entorno. Los sistemas de gestión operan en entornos complejos y dinámicos donde interactúan múltiples variables entre sí, lo que dificulta predecir completamente los resultados de las acciones de gestión de riesgos. En estos casos, es importante recopilar las opiniones sobre posibles situaciones que se puedan dar por parte de los trabajadores con más experiencia y con más antigüedad en la empresa. Seguramente estos perfiles pueden aportar conocimientos históricos sobre posibles situaciones que se han podido dar en la empresa y cómo se solucionaron en aquel entonces. Si se obtiene este conocimiento como punto de partida para poder identificar y analizar ciertos riesgos, es posible que las acciones de mitigación que se vayan a proponer sean adecuadas y efectivas.

• El entorno externo de la empresa es cambiante y debe adaptarse a posibles cambios imprevistos que puedan surgir. Algunos ejemplos de ello son cambios en la legislación, condiciones económicas o tecnológicas. Cualquiera de estos tres aspectos, entre otros, va a requerir un análisis en profundidad, identificando los riesgos que se puedan dar y las acciones estratégicas que la empresa debe aplicar para minimizar los riesgos significativos que puedan darse. En estos casos, el análisis y la aplicación de medidas debe realizarse en cuanto se detecte que se produce este cambio imprevisto, actualizando de inmediato la evaluación de riesgos de la empresa.

Ejemplos de incertidumbre de los resultados aplicados a los Sistemas de Gestión

Ejemplo 1: Industria de la Construcción. Una empresa de construcción evalúa los riesgos asociados con un proyecto de construcción de un nuevo edificio. Entre los factores de incertidumbre se encuentran los cambios en el precio de los materiales de construcción, la disponibilidad de mano de obra cualificada y las condiciones climáticas imprevistas que podrían retrasar el proyecto.

Ejemplo 2: Sector Financiero. Un banco está evaluando los riesgos asociados con sus inversiones en el mercado de valores. La incertidumbre surge de la volatilidad del mercado, los cambios en las tasas de interés y las fluctuaciones en los precios de los activos financieros.

Ejemplo 3: Sector de Tecnología. Una empresa de tecnología evalúa los riesgos asociados con el desarrollo de un nuevo producto. La incertidumbre proviene de la competencia en el mercado, los cambios en las preferencias del consumidor y la posibilidad de retrasos en el desarrollo del producto.

Sensibilidad de los resultados

La sensibilidad de los resultados en el análisis de riesgos de los sistemas de gestión se refiere a la capacidad de los resultados del análisis de riesgos para cambiar en respuesta a variaciones en los parámetros de entrada o supuestos utilizados en el modelo. Básicamente, la sensibilidad examina cómo los cambios en ciertos factores afectan a los resultados del análisis de riesgos.

Por ejemplo, si se evalúan los riesgos asociados con la construcción de un nuevo edificio, es posible que durante el análisis se determine que el coste total del proyecto es altamente sensible a los cambios en el precio del acero. Pequeñas fluctuaciones en el precio del acero pueden tener un impacto significativo en el coste total del proyecto y, por lo tanto, en la evaluación de los riesgos económicos asociados.

Considerando lo anterior, la sensibilidad de los resultados puede:

• Identificar los factores críticos o más influyentes en los resultados del análisis. Esto puede ser útil para priorizar y asignar los recursos necesarios en las acciones de mitigación asociadas a los riesgos más significativos.

• Ayudar a identificar áreas donde se necesitan datos más precisos o donde el análisis debe realizarse con más precisión para reducir la incertidumbre en el proceso de evaluación de riesgos.

Ejemplos de sensibilidad de los resultados aplicados a los Sistemas de Gestión

Ejemplo 1: Industria de la Construcción. Durante el análisis de riesgos, la empresa descubre que el costo del proyecto es altamente sensible al precio del acero, que es uno de los principales materiales de construcción utilizados en el proyecto. Pequeños cambios en el precio del acero pueden tener un impacto significativo en el costo total del proyecto y en los márgenes de beneficio de la empresa.

Ejemplo 2: Sector Financiero. Durante el análisis de riesgos, el banco identifica que su cartera de inversiones es altamente sensible a los movimientos en las tasas de interés. Un aumento en las tasas de interés podría disminuir el valor de la cartera, mientras que una disminución podría aumentarlo. Esta sensibilidad influye en las decisiones de gestión de riesgos y en la diversificación de la cartera del banco.

Ejemplo 3: Sector de Tecnología. Durante el análisis de riesgos, la empresa descubre que el éxito del producto es altamente sensible a la calidad y la innovación. Pequeñas mejoras en la calidad y la innovación del producto pueden aumentar significativamente su aceptación en el mercado, mientras que cualquier falta de calidad podría llevar al fracaso del producto.

Estrategias para abordar la incertidumbre y sensibilidad:

Se pueden considerar que las tres principales estrategias que se pueden aplicar para tomar las medidas concretas y deliberadas para minimizar la incertidumbre y sensibilidad de los resultados son las siguientes:

• Diversificación. La diversificación es una estrategia que implica distribuir los recursos en una variedad de opciones o categorías con el fin de reducir la exposición a cualquier riesgo específico. Por ejemplo, en un sistema de gestión financiera, una empresa puede diversificar su cartera de inversiones invirtiendo en una variedad de clases de activos, como acciones, bonos, bienes raíces y materias primas. Al hacerlo, la empresa reduce la dependencia de cualquier activo o mercado en particular, lo que ayuda a mitigar el impacto negativo de eventos imprevistos o cambios en condiciones económicas específicas. Además, en el contexto operativo de una empresa, la diversificación puede aplicarse diversificando las líneas de productos, mercados geográficos, proveedores o canales de distribución. Esto ayuda a reducir la vulnerabilidad de la empresa ante factores externos que podrían afectar negativamente su desempeño.

• Seguimiento y adaptación. Las empresas pueden realizar el seguimiento de los factores de sensibilidad identificados durante el análisis de riesgos y ajustar sus estrategias según sea necesario para adaptarse a los cambios en el entorno.

• Planificación de las acciones de tratamiento del riesgo. Las organizaciones pueden desarrollar planes de contingencia para abordar los posibles escenarios de riesgo identificados durante el análisis, lo que les permite responder de manera rápida y efectiva a eventos inesperados.

En la siguiente tabla se puede visualizar un pequeño resumen de lo explicado en este artículo:

[Continue reading...]

Verificación y validación de los datos y resultados en la Gestión de Riesgos en los Sistemas de Gestión

La verificación y validación de datos y resultados son procesos esenciales en todas las etapas de la gestión de riesgos en los sistemas de gestión. Estos procesos garantizan la precisión, confiabilidad y efectividad de las decisiones tomadas para gestionar los riesgos y proteger los intereses de la organización. En este artículo, además de explicaros en qué consisten y en qué etapas se suelen aplicar, os mostraré algunos ejemplos aplicados a los sistemas de gestión basados en las normas ISO 9001, ISO 14001 e ISO 45001 

¿En qué consiste la verificación de datos y resultados en la gestión de riesgos?

La verificación implica que el análisis se ha realizado correctamente. La verificación puede incluir:

- Verificar las operaciones matemáticas que se han utilizado para la evaluación.

- Asegurarse de la precisión y exactitud de los datos y en la forma que se presentan.

- Comparar resultados con experiencias pasadas para analizar su evolución en el tiempo y poder determinar las causas y consecuencias.

- Establecer si los resultados cambian dependiendo de cómo se muestran los datos y encontrar qué aspectos pueden tener un impacto en los resultados obtenidos.

¿En qué consiste la validación de datos y resultados en la gestión de riesgos?

La validación implica comprobar que se realizó el análisis correcto para lograr los objetivos requeridos. La validación puede incluir:

- Verificar que el alcance del análisis sea apropiado para los objetivos establecidos.

- Revisar todas las suposiciones para verificar que sean creíbles y de coherentes con la información disponible.

- Verificar que se utilizaron métodos, técnicas, modelos, herramientas y datos apropiados.

- Utilizar múltiples métodos, aproximaciones y análisis de sensibilidad para probar y validar conclusiones.

¿En qué procesos se aplican las técnicas de verificación y validación de datos y resultados?

La verificación y validación de datos y resultados son procesos críticos en varias etapas de la gestión de riesgos en los sistemas de gestión. Algunos de los procesos clave en los que es necesario realizar verificación y validación son:

Identificación de riesgos. Durante la identificación de riesgos, es crucial verificar la precisión de los datos utilizados para identificar y evaluar los posibles riesgos que enfrenta una organización. Esto incluye la revisión de información histórica, análisis de datos operativos y consulta con expertos para asegurar que se están considerando todos los riesgos relevantes.

Análisis y evaluación de riesgos. En esta etapa, se realizan análisis detallados para comprender la naturaleza y el impacto de los riesgos identificados. Es esencial verificar que los métodos de análisis utilizados sean apropiados y que los resultados sean válidos y confiables. La validación implica asegurarse de que los riesgos se hayan evaluado de manera completa y precisa.

Selección y aplicación de medidas de tratamiento de riesgos. Al seleccionar y aplicar medidas para mitigar, transferir o evitar los riesgos, es necesario verificar que las medidas seleccionadas sean apropiadas para abordar los riesgos identificados. La validación implica confirmar que las medidas implementadas sean efectivas y prácticas para reducir o controlar los riesgos.

Monitoreo y revisión. Durante esta fase, se verifica continuamente la eficacia de las medidas de tratamiento de riesgos y se valida si están logrando los objetivos esperados. Esto implica revisar regularmente los datos y resultados para identificar cualquier cambio en el entorno de riesgo y ajustar las estrategias según sea necesario.

En la siguiente tabla podéis visualizar un pequeño esquema de lo anteriormente explicado:

La verificación y validación de resultados en la gestión de riesgos son cruciales para asegurar la precisión de los datos, confirmar la efectividad de las medidas implementadas, identificar áreas de mejora y demostrar conformidad con requisitos normativos. Estas prácticas no sólo garantizan la confiabilidad de la información utilizada para la toma de decisiones, sino que también permiten adaptar y mejorar continuamente el proceso de gestión de riesgos para proteger los activos y los intereses de la organización a largo plazo.

Ejemplo de Verificación y validación en base al Sistema de Gestión ISO 9001

Supongamos una empresa de fabricación de componentes electrónicos que está implementando un sistema de gestión de calidad conforme a la norma ISO 9001. Durante la fase de gestión de riesgos, la empresa identifica el riesgo de que un proveedor clave no cumpla con los estándares de calidad requeridos, lo que podría afectar la calidad de los productos finales y la satisfacción del cliente. Para verificar y validar los resultados de su proceso de gestión de riesgos, la empresa podría realizar lo siguiente:

Verificación de resultados. La empresa revisa regularmente los informes de calidad del proveedor y realiza auditorías periódicas en sus instalaciones para asegurarse de que se están cumpliendo los estándares acordados. Esto ayuda a confirmar la eficacia de las medidas de mitigación de riesgos implementadas para abordar este riesgo específico.

Validación de resultados. Además, la empresa podría comparar los datos de calidad de los productos recibidos del proveedor con los criterios de calidad establecidos en los requisitos del cliente y en las especificaciones internas de la empresa. Si los resultados cumplen con los estándares esperados, se valida la efectividad de las acciones tomadas para gestionar el riesgo del proveedor.

Ejemplo de Verificación y validación en base al Sistema de Gestión ISO 14001

Imaginemos una empresa manufacturera que ha implementado un SGA conforme a la norma ISO 14001 para gestionar sus impactos ambientales. Esta empresa ha identificado la gestión del agua como un aspecto ambiental significativo de su proceso de producción.

Proceso de verificación. La empresa verifica la cantidad de agua utilizada diariamente en su proceso de producción mediante la instalación de medidores de agua en las líneas de producción y registros de consumo. Además, realiza inspecciones periódicas para asegurarse de que no haya fugas u otros problemas que puedan provocar un uso excesivo de agua sin ser detectados.

Proceso de validación. Para validar la efectividad de las medidas implementadas para reducir el consumo de agua, la empresa realiza análisis comparativos del consumo de agua antes y después de la implementación de nuevas prácticas y tecnologías. Además, se monitorean los indicadores clave de desempeño relacionados con el consumo de agua, como la cantidad de agua utilizada por unidad de producto fabricado, para evaluar si se están logrando los objetivos de reducción del consumo de agua establecidos en el SGA.

Ejemplo de Verificación y validación en base al Sistema de Gestión ISO 45001

Supongamos una empresa de construcción que está implementando un sistema de gestión de seguridad y salud ocupacional conforme a la norma ISO 45001. Durante el proceso de identificación de riesgos, la empresa identifica el riesgo de caídas desde alturas como una de las principales preocupaciones en sus sitios de trabajo. Para verificar y validar los resultados de su proceso de gestión de riesgos, la empresa podría llevar a cabo lo siguiente:

Verificación de resultados. La empresa realiza inspecciones periódicas en los sitios de trabajo para asegurarse de que se están implementando correctamente las medidas de seguridad contra caídas, como barandillas, redes de seguridad y equipos de protección personal. Estas inspecciones ayudan a verificar si las acciones preventivas están siendo efectivas y si se están cumpliendo los procedimientos establecidos.

Validación de resultados. Además, la empresa podría revisar los registros de incidentes y accidentes para evaluar si ha habido alguna caída desde altura en los sitios de trabajo y analizar las circunstancias que llevaron a esos incidentes. Si se observa una disminución en el número de incidentes relacionados con caídas, esto valida la efectividad de las medidas preventivas implementadas y señala que la gestión de riesgos está siendo exitosa.

[Continue reading...]

Documentos y registros del Sistema de Gestión de Riesgos

En el siguiente artículo, mi objetivo es proporcionar una explicación estructurada sobre la documentación, registros e informes clave generados en las diversas actividades relacionadas con la gestión de riesgos en varios sistemas de gestión. Además, aprovecho la oportunidad para sugerir el contenido y la estructura que podría adoptar un informe de análisis de riesgos en este contexto.

El objetivo

El propósito de elaborar un registro y un informe de evaluación de riesgos es el de comunicar el nivel de riesgos asociados a las diversas actividades o procesos de la organización, junto con los resultados obtenidos de la evaluación efectuada. La comunicación de estos resultados se justifica por las siguientes razones:

- Facilitar la toma de decisiones. Es crucial que la dirección de la empresa disponga de información analítica sobre los riesgos identificados y evaluados. De este modo, al conocer el grado de riesgo inherente a cada posible decisión, se incrementan las posibilidades de seleccionar la más adecuada.

- Informar a las partes interesadas pertinentes sobre los riesgos asociados a las actividades de la organización y las acciones para mitigarlos. Por ejemplo, los accionistas deben estar al tanto de los resultados de la evaluación de riesgos para comprender la situación real de la empresa, así como los motivos detrás de la disminución de beneficios o el aumento de costos.

- Mediante la identificación y evaluación de los riesgos de cada actividad, se lleva a cabo un análisis que proporciona oportunidades de mejora y optimización. Esto no solo reduce el riesgo negativo potencial, sino que también mejora el proceso o la actividad en sí misma, lo que contribuye a su eficiencia y efectividad.

Metodología y frecuencia

La metodología para la elaboración de los diversos documentos vinculados a la gestión de riesgos en los sistemas de gestión debe ser claramente documentada, habitualmente en uno o varios procedimientos. Estos procedimientos deben detallar exhaustivamente cada actividad realizada, así como la información necesaria para llevar a cabo cada tarea, incluyendo los documentos generados en todo el proceso. Además, es fundamental especificar quién es el responsable de llevar a cabo cada tarea en cada caso, junto con la frecuencia con la que se registran o elaboran los diferentes documentos asociados.

Documentos y registros del Sistema de Gestión de Riesgos

Como se ha comentado anteriormente, en cada una de las actividades que se realizan para gestionar los riesgos en la organización, se generan varios documentos importantes que ayudan a identificar, evaluar, mitigar y monitorear los riesgos en una organización. A continuación, se presenta un listado de los documentos más importantes:

- Procedimientos de Gestión de Riesgos. Estos procedimientos constituyen documentos fundamentales que delinean los pasos y protocolos para la identificación, evaluación, tratamiento y monitoreo de los riesgos en la organización. En ellos, se detallan exhaustivamente las tareas a realizar, la metodología para su ejecución y el control de su desempeño. Asimismo, se especifica quién es responsable de cada tarea y qué documentos se generan en cada fase del proceso. En ocasiones, las empresas buscan simplificar estos documentos mediante la creación de esquemas o diagramas de flujo que contienen toda la información requerida; en tales casos, se sustituyen los procedimientos por fichas de proceso. El formato, identificación y codificación deberán seguir la metodología aprobada en el sistema documental de la organización.

- La Matriz de Riesgos consiste en un documento que enumera y clasifica los riesgos identificados, junto con su probabilidad de ocurrencia y el impacto potencial.

- La Evaluación de Riesgos es un informe que detalla los resultados de la evaluación de riesgos, incluyendo la metodología utilizada, los criterios de evaluación, y las conclusiones derivadas del análisis de riesgos.

- El Plan de Gestión de Riesgos consiste en la elaboración de un documento que describe las estrategias y acciones para gestionar y mitigar los riesgos identificados, incluyendo responsabilidades, plazos y recursos asignados.

- El Registro de Riesgos contiene información detallada sobre cada riesgo identificado, incluyendo su descripción, clasificación, nivel de riesgo, acciones tomadas y estado actual.

- Informes de Riesgos. Informes periódicos que proporcionan una actualización sobre el estado de los riesgos identificados, las acciones implementadas y cualquier cambio en la evaluación de riesgos.

- Protocolos de Comunicación de Riesgos son documentos que establecen cómo se comunican los riesgos identificados a las partes interesadas internas y externas, así como los protocolos para la divulgación de información relacionada con los riesgos. Habitualmente este documento se corresponde con un procedimiento incluido en el la metodología general de comunicación de la empresa.

- Análisis de Riesgos Específicos son documentos detallados que analizan riesgos específicos en áreas críticas de la organización, como seguridad laboral, seguridad informática, o impacto ambiental.

- Planes de Contingencia y Mitigación de los riesgos. Documentos que describen las acciones a seguir en caso de que ocurran eventos adversos significativos, con el objetivo de minimizar el impacto en las operaciones y la reputación de la organización.

- Revisiones y Auditorías de Riesgos. Informes y documentación relacionada con las revisiones periódicas y las auditorías internas y externas de la gestión de riesgos en la organización.

Estos son sólo algunos de los documentos clave que se generan en el contexto de la gestión de riesgos asociada a un sistema de gestión, si bien, la naturaleza y el alcance de los documentos pueden variar según las necesidades y la complejidad de la organización.

Estructura de un informe de evaluación de riesgos

Un informe de evaluación de riesgos en el contexto de los sistemas de gestión debería contener información detallada y estructurada que permita comprender claramente los riesgos identificados y evaluados. A continuación se muestra una propuesta de contenido que podría incluir un informe de evaluación de riesgos:

1. Introducción:

- Descripción del propósito del informe.

- Breve explicación del alcance y metodología utilizada en la evaluación de riesgos.

- Resumen de los hallazgos clave.

2. Contexto Organizacional:

- Descripción de la organización y su estructura.

- Identificación de los procesos, actividades o áreas evaluadas.

3. Metodología de Evaluación:

- Detalle de los métodos y herramientas empleadas para identificar y evaluar los riesgos.

- Explicación de los criterios utilizados para calificar y priorizar los riesgos.

4. Resultados de la Evaluación:

- Lista de los riesgos identificados, clasificados por categorías (por ejemplo, financieros, operacionales, legales, etc.).

- Descripción de cada riesgo, incluyendo su naturaleza, causas potenciales y posibles consecuencias.

- Asignación de niveles de probabilidad e impacto para cada riesgo evaluado.

- Determinación del nivel de riesgo residual (después de la aplicación de medidas de control o mitigación).

5. Análisis y Discusión:

- Interpretación de los resultados de la evaluación.

- Identificación de tendencias o patrones significativos en los riesgos evaluados.

- Discusión sobre las implicaciones de los riesgos identificados para la organización y sus partes interesadas.

6. Medidas de Control y Mitigación:

- Descripción de las medidas existentes para controlar o mitigar los riesgos identificados.

- Evaluación de la efectividad de las medidas actuales.

- Recomendaciones para implementar nuevas medidas de control o mejorar las existentes.

7. Responsabilidades y Cronograma:

- Asignación de responsabilidades para la gestión continua de los riesgos.

- Establecimiento de un cronograma para la implementación de medidas de control y seguimiento de los riesgos.

8. Conclusiones y Recomendaciones:

- Resumen de los principales hallazgos y conclusiones de la evaluación.

- Recomendaciones para mejorar la gestión de riesgos en la organización.

9. Anexos:

- Documentación adicional, como matrices de riesgos, registros de riesgos, análisis de causa raíz, entre otros.

Un informe bien elaborado proporciona una base sólida para la toma de decisiones y la gestión efectiva de riesgos en la organización. Es importante que el informe sea claro, conciso y fácilmente comprensible para todos los interesados involucrados en el proceso de gestión de riesgos.

Acceso y archivo

La metodología a seguir para diseñar, aprobar, realizar el seguimiento, archivar y conservar esta documentación debe seguir el mismo criterio que la demás documentación del sistema. Cabe decir que es información delicada y debe estar protegida y de acceso restringido para la mayoría de las partes interesadas. Se deberá establecer los criterios de acceso y consulta a la información asociada con esta documentación.

En la tabla siguiente se puede visualizar todos los aspectos comentados en este artículo:

En la elaboración de este artículo, me he fundamentado en los principios delineados en el apartado 6.7 "Registro e Informe" de la norma ISO 31000:2018. Dicha norma sugiere los elementos de la gestión de riesgos que deben ser documentados, así como el contenido esencial que debería incluirse en el informe que presenta los resultados de la evaluación de riesgos realizada durante un periodo específico.

[Continue reading...]

Los Objetivos en la Gestión de Riesgos en los Sistemas de Gestión ISO 9001, ISO 14001 e ISO 45001

Uno de los puntos de partida en la Gestión de Riesgos es fijar el alcance y los objetivos. En este artículo os explicaré en qué consisten los Objetivos y la razón de su importancia. Además os indico algunos ejemplos prácticos de Objetivos, así como de sus correspondientes indicadores de seguimiento, para cada uno de los Sistemas de Gestión basados en las normas ISO 9001 (Gestión de Calidad), ISO 14001 (Gestión Ambiental) e ISO 45001 (Seguridad y Salud). 

¿En qué consisten los objetivos? ¿Para qué sirven?

Los objetivos en la gestión de riesgos aplicados a los sistemas de gestión son metas específicas y medibles que una organización establece para guiar y mejorar su capacidad para identificar, evaluar, mitigar y gestionar los riesgos de manera efectiva.

Estos objetivos están diseñados para alinear la gestión de riesgos con los objetivos estratégicos y operativos de la organización, proporcionando una dirección clara y un marco para la toma de decisiones relacionadas con la gestión de riesgos. Por lo tanto, deben ser integrados en los objetivos generales de la organización. Además, pueden incluir la reducción de la frecuencia o gravedad de los incidentes, la mejora de la cultura de seguridad, la minimización del impacto ambiental, el cumplimiento de los requisitos legales y regulatorios, la protección de la reputación de la organización y la mejora continua del sistema de gestión de riesgos.

Estas metas deben ser coherentes, alcanzables, relevantes y estar sujetas a revisión y actualización periódicas para garantizar su efectividad y relevancia continua en la gestión de riesgos.

¿Por qué son importantes los Objetivos en la Gestión de Riesgos?  

Fijar unos objetivos es esencial para proporcionar claridad de propósito, enfoque y priorización, mejorar el desempeño, establecer responsabilidades y rendición de cuentas, y adaptarse al cambio. Estos objetivos proporcionan una dirección clara, permiten identificar y abordar los riesgos más relevantes, mejoran la capacidad de la organización para gestionar los riesgos de manera efectiva y fomentan la adaptabilidad y la responsabilidad en todo el proceso de gestión de riesgos.

¿Cómo deben ser? ¿Qué características deben cumplir?  

Debido a su importancia, en el apartado 6.1.4 “Definir los objetivos” de la norma ISO 31010 da una serie de recomendaciones definiendo las características que deben cumplir los objetivos. Considerando estas recomendaciones, los objetivos deben ser:

Específicos para el tema de la evaluación. Los objetivos en la gestión de riesgos deben ser precisos y estar directamente relacionados con el tema o área de evaluación. Deben abordar claramente los riesgos identificados y las preocupaciones específicas dentro del ámbito de la gestión de riesgos.

Medibles cualitativa o cuantitativamente. Los objetivos deben ser susceptibles de ser medidos de manera cualitativa o cuantitativa. Esto implica que se puedan evaluar y cuantificar los avances y resultados en relación con los objetivos establecidos, facilitando la monitorización y el seguimiento de su cumplimiento.

Alcanzables dentro del alcance definido y acotando las limitaciones impuestas por el contexto. Los objetivos deben ser realistas y alcanzables dentro del contexto y los recursos disponibles. Deben tener en cuenta las limitaciones y restricciones del entorno operativo, así como los recursos disponibles para la gestión de riesgos.

Relevantes para los objetivos generales o el contexto de la organización. Los objetivos en la gestión de riesgos deben estar alineados con los objetivos generales y estratégicos de la organización. Deben contribuir directamente a la consecución de los objetivos organizacionales más amplios y ser coherentes con el contexto y la naturaleza de la organización.

Alcanzables dentro de un marco de tiempo establecido. Los objetivos deben tener plazos claros y definidos para su logro. Deben establecerse dentro de un marco de tiempo realista y acorde con las necesidades y prioridades de la organización, lo que facilita la planificación y el seguimiento del progreso.

Registrados, planificados y documentados. Los objetivos deben ser formalmente registrados, planificados y documentados en el marco de la gestión de riesgos de la organización. Esto garantiza que sean comunicados de manera efectiva, entendidos por todas las partes interesadas relevantes y seguidos de manera sistemática.

Establecer rangos de umbrales máximos y mínimos de aceptabilidad en su seguimiento, para garantizar su cumplimiento. Los objetivos deben incluir rangos de umbrales máximos y mínimos que definan los límites de aceptabilidad. Estos umbrales ayudan a establecer criterios claros para evaluar el progreso y determinar si se están cumpliendo los objetivos establecidos.

EJEMPLOS DE OBJETIVOS EN LA GESTIÓN DE RIESGOS  

Objetivos en la Gestión de Riesgos del Sistema de Gestión de Calidad (ISO 9001)

A continuación se muestran unos ejemplos de objetivos en base al Sistema de Gestión de Calidad, además se incluye, para cada objetivo, un ejemplo de medición del desempeño mediante indicadores de seguimiento:

- Objetivo: Reducir la incidencia de defectos de calidad en los productos o servicios. 

Indicador de seguimiento: % de productos o servicios defectuosos detectados durante el proceso de producción o prestación de servicios.

- Objetivo: Mejorar la satisfacción del cliente al garantizar la entrega oportuna de productos o servicios.

Indicador de seguimiento: % de entregas realizadas dentro del plazo acordado con el cliente.

- Objetivo: Optimizar los procesos para minimizar los riesgos de interrupciones o retrasos en la producción o prestación de servicios.

Indicador de seguimiento: Tiempo promedio de ciclo de producción o tiempo de respuesta en la prestación de servicios.

- Objetivo: Aumentar la eficiencia operativa y reducir los costes asociados con repeticiones o desperdicios.

Indicador de seguimiento: Coste de la no calidad como porcentaje de los costos totales de producción o prestación de servicios.

- Objetivo: Mejorar la capacitación y competencia del personal para reducir errores y aumentar la eficacia en la gestión de riesgos.

Indicador de seguimiento: % de empleados que han completado la formación en gestión de riesgos y calidad.

Objetivos en la Gestión de Riesgos del Sistema de Gestión Ambiental (ISO 14001)

A continuación se muestran unos ejemplos de objetivos en base al Sistema de Gestión Ambiental, además se incluye, para cada objetivo, un ejemplo de medición del desempeño mediante indicadores de seguimiento:

- Objetivo: Reducir el consumo de recursos naturales (agua, energía, materias primas) en las operaciones de la empresa.

Indicador de seguimiento: % de reducción en el consumo de recursos naturales en comparación con el año anterior.

- Objetivo: Minimizar la generación de residuos y promover su reciclaje y reutilización.

Indicador de seguimiento: % de residuos sólidos reciclados o reutilizados en relación con el total de residuos generados.

- Objetivo: Reducir las emisiones de gases de efecto invernadero y otros contaminantes atmosféricos.

Indicador de seguimiento: Toneladas de emisiones de CO2 equivalentes por unidad de producción o por período de tiempo.

- Objetivo: Prevenir la contaminación del suelo y del agua mediante la implementación de medidas de control y prevención adecuadas.

Indicador de seguimiento: Número de incidentes de contaminación del suelo o del agua reportados durante el período de seguimiento.

- Objetivo: Mejorar la conciencia y la capacitación del personal en prácticas ambientales seguras y sostenibles.

Indicador de seguimiento: % de empleados que han completado la formación en gestión ambiental y prácticas sostenibles.

Objetivos en la Gestión de Riesgos del Sistema de Gestión de Seguridad y Salud  (ISO 45001)

A continuación se muestran unos ejemplos de objetivos en base al Sistema de Gestión de Seguridad y Salud, además se incluye, para cada objetivo, un ejemplo de medición del desempeño mediante indicadores de seguimiento:

- Objetivo: Reducir la frecuencia de accidentes laborales en el lugar de trabajo.

Indicador de seguimiento: Tasa de frecuencia de accidentes laborales reportados por cada 1000 empleados durante un período específico (por ejemplo, por trimestre o por año).

- Objetivo: Mejorar la identificación y mitigación de peligros y riesgos ocupacionales.

Indicador de seguimiento: % de peligros identificados y evaluados en el lugar de trabajo dentro de un período determinado, en comparación con el total de peligros potenciales identificados.

- Objetivo: Incrementar la participación del personal en la identificación y notificación de riesgos laborales.

Indicador de seguimiento: Número de reportes de peligros o riesgos presentados por el personal por mes o trimestre, en comparación con periodos anteriores.

- Objetivo: Reducir el tiempo de respuesta ante emergencias y la implementación de medidas de control.

Indicador de seguimiento: Tiempo promedio de respuesta ante emergencias desde la detección hasta la implementación de medidas correctivas o preventivas, medido en minutos u horas.

- Objetivo: Aumentar la eficacia de las evaluaciones de riesgos laborales en todos los departamentos.

Indicador de seguimiento: % de departamentos o áreas de trabajo que han completado evaluaciones de riesgos actualizadas dentro de los plazos establecidos.

En la siguiente tabla se puede visualizar los diferentes ejemplos de objetivos con sus indicadores de seguimiento para cada uno de los sistemas de gestión, explicados en este artículo:

Son sólo algunos ejemplos. Cada empresa deberá buscar sus propios objetivos, además de diseñar sus propios indicadores de seguimiento en función de la información que necesite y el propósito a seguir y medir.

[Continue reading...]

Factores clave en el análisis de riesgos con ejemplos aplicados a las normas ISO 9001, ISO 14001 e ISO 45001

En el siguiente artículo os quiero mostrar los principales factores clave que se deben tener en cuenta a la hora de analizar los riesgos en los sistemas de gestión. Para cada uno de los factores describiré un ejemplo práctico en base al contexto de los sistemas de gestión basados en las normas ISO, como pueden ser el sistema de gestión de calidad (ISO 9001), gestión ambiental (ISO 14001) y gestión de seguridad y salud (ISO 45001).

A continuación se presenta la tabla inicial de este artículo, que enumera los factores clave y proporciona las principales razones por las que cada uno puede considerarse esencial:

A continuación, presentaremos un ejemplo práctico de aplicación para cada uno de los factores, lo que nos permitirá comprender mejor su aplicabilidad en el contexto de los sistemas de gestión:

1. Impacto o consecuencias

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión ambiental (ISO 14001):

Imaginemos una empresa de fabricación de productos químicos. Uno de los riesgos identificados en su sistema de gestión es el potencial de fugas de sustancias químicas peligrosas durante el transporte desde la planta de producción hasta los puntos de distribución.

Consecuencias asociadas a este riesgo son las siguientes:

Impacto ambiental. Una fuga de sustancias químicas puede contaminar suelos, ríos y cuerpos de agua cercanos, afectando negativamente al medio ambiente y a la biodiversidad local.

Riesgo para la salud pública: Si las sustancias químicas contaminan el aire o el agua potable, podría haber riesgos para la salud de las personas que viven en las cercanías.

Reputación de la empresa: Incidentes de este tipo pueden generar una mala reputación para la empresa, afectando su imagen de marca y la confianza de los clientes y la comunidad.

Costes financieros: La limpieza de la contaminación, las multas regulatorias y los litigios asociados con la fuga pueden resultar en costos financieros significativos para la empresa.

En este ejemplo, el riesgo de fugas de sustancias químicas está asociado con una serie de consecuencias adversas que podrían tener un impacto negativo en el medio ambiente, la salud pública, la reputación y las finanzas de la empresa. Por lo tanto, es vital para la empresa implementar medidas preventivas y de mitigación efectivas para reducir la probabilidad de que ocurran tales incidentes y para manejar adecuadamente las consecuencias si llegaran a suceder.

2. Probabilidad de ocurrencia

La probabilidad en este contexto es fundamental para entender la frecuencia o la posibilidad de ocurrencia de un evento de riesgo, lo que permite a las organizaciones anticipar y prepararse para posibles escenarios adversos. Esta evaluación de probabilidad puede basarse en datos históricos, análisis estadísticos, juicios de expertos, modelos predictivos y otros métodos de evaluación de riesgos. Además de considerar dependiendo de la información de partida disponibles y de la necesidad en profundizar en el análisis de riesgos, la estimación de la probabilidad puede ser cualitativa o cuantitativa. A continuación se muestra un ejemplo sencillo, del cálculo de la probabilidad cuantitativa:

El siguiente ejemplo se explica en el contexto de la Gestión de Calidad (ISO 9001):

Una empresa de fabricación quiere evaluar la probabilidad de que una máquina específica falle durante un mes determinado (proceso operativo). Para ello, realiza un análisis basado en la recopilación de datos históricos de la máquina durante los últimos dos años. Durante ese período, la máquina ha experimentado 5 fallos en un total de 60 meses. Ahora, para calcular la probabilidad de que la máquina falle en un mes dado, simplemente dividimos el número de veces que la máquina falló entre el total de meses analizados:

P = nº fallos/total meses

P = 5/60 = 0.0833

Por lo tanto, la probabilidad de que la máquina falle en un mes determinado es del 8.33%.

Existen numerosas técnicas para determinar la probabilidad en el análisis de riesgos, la elección de una u otra dependerá de las necesidades de la empresa, así como la disponibilidad de información y recursos que se puedan destinar a esta tarea.

3. Complejidad del evento, proceso o escenario

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):

Supongamos una cadena de suministro global que involucra múltiples proveedores, centros de distribución y clientes en diferentes regiones del mundo. La complejidad de esta cadena de suministro radica en las numerosas interacciones y dependencias entre los diferentes actores y en la variedad de factores que pueden influir en su funcionamiento, como la disponibilidad de materias primas, las condiciones climáticas, los costos de transporte y las regulaciones gubernamentales.

Un riesgo potencial en esta cadena de suministro podría ser un desastre natural, como un terremoto, que afecte a una región donde se encuentran varios proveedores clave. Este evento podría interrumpir la producción y el suministro de materias primas, lo que a su vez podría afectar la capacidad de producción y la entrega de productos a los clientes finales en otras partes del mundo. La complejidad de la cadena de suministro aumenta la dificultad de anticipar y mitigar este tipo de riesgos, lo que resalta la importancia de tener en cuenta la complejidad en el análisis de riesgos aplicado a sistemas de gestión.

4. Las interrelaciones entre eventos, procesos o actividades

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):

Imaginemos una compañía de fabricación que produce automóviles. Esta empresa depende de varios proveedores para suministrar piezas clave, como motores, transmisiones y sistemas de frenos. Ahora, supongamos que uno de los proveedores principales experimenta una interrupción en su cadena de suministro debido a una huelga de trabajadores.

Esta interrupción puede tener múltiples interrelaciones en el sistema de gestión de la compañía de fabricación de automóviles:

- La producción puede detenerse temporalmente, lo que afecta la entrega de vehículos a los clientes.

- Los retrasos en la entrega pueden generar insatisfacción entre los clientes, dañando la reputación de la compañía.

- Los problemas de producción también pueden tener un impacto en la cadena de suministro de otros proveedores, creando una cascada de interrupciones en toda la red.

Este ejemplo ilustra cómo las interrelaciones pueden tener efectos significativos en un sistema de gestión y subraya la importancia de considerar estas interconexiones al realizar análisis de riesgos y desarrollar estrategias de mitigación adecuadas.

5. Factores temporales y de volatilidad

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):

Supongamos que un fabricante de dispositivos electrónicos depende de varios proveedores de componentes clave para ensamblar sus productos. En un mercado altamente volátil, los precios de los componentes pueden fluctuar significativamente en un corto período de tiempo debido a factores como la demanda del mercado, la disponibilidad de materias primas y los cambios en las regulaciones comerciales.

La volatilidad en los precios de los componentes puede representar un riesgo para el fabricante, ya que puede afectar los márgenes de ganancia y la viabilidad económica de sus productos. Para mitigar este riesgo, la empresa podría implementar estrategias como la diversificación de proveedores, la celebración de contratos a largo plazo con precios fijos y la vigilancia constante del mercado para anticipar cambios en los precios y tomar medidas correctivas de manera oportuna.

6. Eficacia de los controles existentes

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):

Una institución financiera que tiene controles establecidos para prevenir el fraude en las transacciones realizadas por sus clientes. Estos controles incluyen medidas de verificación de identidad, monitoreo de transacciones sospechosas y capacitación del personal en detección de fraudes.

Para evaluar la eficacia de estos controles, la institución financiera puede llevar a cabo auditorías periódicas y revisiones de sus procedimientos internos. Durante estas evaluaciones, pueden descubrir que algunas medidas de verificación de identidad son obsoletas y pueden ser eludidas fácilmente por los estafadores. Además, el monitoreo de transacciones podría no estar siendo lo suficientemente proactivo para detectar actividades fraudulentas.

Con esta información, la institución financiera puede tomar medidas correctivas, como actualizar sus procedimientos de verificación de identidad y mejorar la capacidad de detección de fraudes en tiempo real. Al hacerlo, fortalecerán su sistema de gestión de riesgos y reducirán la probabilidad de que se produzcan eventos adversos relacionados con el fraude.

7. Niveles de sensibilidad y confianza

El siguiente ejemplo se basa en sistema de gestión de calidad (ISO 9001):

Una empresa de tecnología de la información gestiona datos confidenciales de clientes, incluida información financiera y personal. Los niveles de sensibilidad y confianza en este contexto podrían determinar cómo se gestionan y protegen estos datos críticos.

Los datos financieros y personales de los clientes se consideran altamente sensibles debido al riesgo de robo de identidad y fraude financiero asociado. Por lo tanto, estos datos tienen un nivel alto de sensibilidad que requiere medidas de protección más rigurosas.

La confianza del cliente en la seguridad y privacidad de sus datos es fundamental para el éxito continuo del negocio. Un incidente de seguridad que comprometa la confidencialidad de los datos podría tener consecuencias graves en términos de pérdida de clientes y daño a la reputación de la empresa.

En este ejemplo, la empresa implementa controles de acceso estrictos, cifrado de datos, monitoreo continuo y auditorías de seguridad para proteger la sensibilidad de los datos y mantener la confianza del cliente. Al considerar los niveles de sensibilidad y confianza, la empresa puede tomar decisiones informadas sobre la gestión de riesgos y garantizar la protección adecuada de los activos críticos del negocio.

8. Grado de incertidumbre

El siguiente ejemplo se basa en sistema de gestión de calidad (ISO 9001):

Una empresa de transporte que opera una flota de camiones para entregar mercancías a nivel nacional. El grado de incertidumbre en su sistema de gestión de riesgos puede aumentar durante la temporada de invierno, donde las condiciones climáticas impredecibles, como las nevadas y las tormentas, pueden afectar la seguridad y la eficiencia de las operaciones de transporte.

La incertidumbre asociada con las condiciones climáticas invernales hace que sea difícil para la empresa prever con precisión cómo afectarán estas condiciones a las rutas de entrega, los tiempos de tránsito y la disponibilidad de conductores. Como resultado, la empresa debe tomar decisiones sobre la asignación de recursos, como equipos de nieve y hielo, capacitación del personal y ajustes en las rutas, con un nivel de incertidumbre en mente.

La capacidad de la empresa para gestionar eficazmente los riesgos asociados con la incertidumbre climática invernal determinará su capacidad para mantener la continuidad del negocio y satisfacer las expectativas de los clientes. Por lo tanto, es crucial que la empresa considere el grado de incertidumbre al desarrollar estrategias de gestión de riesgos que mitiguen los impactos adversos de las condiciones climáticas cambiantes.

9. Opiniones, percepciones y valoraciones

El siguiente ejemplo se basa en sistema de Gestión de seguridad y Salud (ISO 45001):

En una empresa que busca obtener la certificación ISO 45001, se realiza un análisis de riesgos para identificar y evaluar los peligros asociados con las operaciones diarias. Durante el proceso de análisis, se llevan a cabo sesiones de consulta con los trabajadores de diferentes departamentos para recopilar sus opiniones y percepciones sobre los riesgos en sus áreas de trabajo.

Un trabajador del departamento de producción señala que la falta de mantenimiento preventivo en ciertas máquinas representa un riesgo significativo de accidentes. Su percepción se basa en observaciones directas y experiencias previas con incidentes relacionados con la maquinaria. Esta información es valorada y se incorpora al informe de análisis de riesgos, lo que lleva a la implementación de un programa de mantenimiento preventivo más riguroso para abordar este riesgo específico.

En este ejemplo, las opiniones y percepciones de los empleados contribuyen directamente a la identificación y mitigación de riesgos, lo que fortalece el sistema de gestión de seguridad y salud ocupacional de acuerdo con los requisitos de la norma ISO 45001.

10. Documentación y comunicación

El siguiente ejemplo, dependiendo cómo se enfoque puede englobarse tanto en el sistema de Gestión de Seguridad y Salud (ISO 45001) como en el de Gestión Ambiental (ISO 14001):

En una empresa de manufactura de productos químicos, se lleva a cabo un análisis de riesgos para identificar posibles peligros asociados con los procesos de producción y las sustancias químicas utilizadas. Después de completar el análisis, se genera un informe detallado que documenta los riesgos identificados, las evaluaciones de riesgos realizadas y las medidas de control recomendadas.

Este informe se comunica a todas las partes interesadas relevantes, incluidos los trabajadores de la planta, los supervisores de seguridad, los gerentes de producción y los reguladores gubernamentales. La comunicación se realiza a través de reuniones, sesiones informativas, correos electrónicos y documentos impresos.

La documentación y la comunicación efectiva de los riesgos permiten que todas las partes interesadas estén informadas y alineadas en relación con la gestión de riesgos en la empresa. Además, proporciona un punto de referencia claro para futuras evaluaciones y revisiones de riesgos, lo que contribuye a la mejora continua de los procesos de gestión de riesgos en la organización.

[Continue reading...]