¿Cómo integrar la gestión del Riesgo en el Sistemas de Gestión general de la empresa?

En este artículo, os propongo algunos consejos de cómo poder integrar la Gestión de Riesgos en el Sistema de gestión Global de la empresa.

La implementación de la Gestión de Riesgos en una empresa, ayuda a que la Gestión general de la empresa sea más eficaz y efectiva debido a que se puede actuar de una forma planificada a efectos negativos que puedan producirse durante la operatividad habitual de las actividades de la empresa. En este contexto, no debemos considerar la Gestión de Riesgos como un proceso independiente de la Gestión global de la empresa, sino un apoyo para mejorar el sistema. El proceso de la gestión de riesgos debe formar parte en cada faceta de la estructura organizativa, y todos los miembros comparten la responsabilidad de manejar los riesgos.

La dirección de la organización guía la trayectoria de la entidad, sus relaciones internas y externas, así como las normas, procesos y prácticas necesarios para alcanzar sus objetivos. Las estructuras de gestión convierten la orientación de la dirección en estrategias y metas asociadas necesarias para lograr los niveles deseados de rendimiento sostenible y viabilidad a largo plazo. La asignación de responsabilidades y la supervisión de la gestión de riesgos dentro de las organizaciones son elementos esenciales de su dirección.

La incorporación de la gestión de riesgos en las organizaciones es un proceso dinámico y repetitivo, adaptándose a las necesidades y cultura de la organización. Según las recomendaciones de la norma ISO 31000:2018 "Gestión de Riesgos - Directrices" en su apartado 5.3 describe que la gestión de riesgos debe formar parte integral, no separada, del propósito, la dirección, el liderazgo y compromiso, las estrategias, metas y operaciones de las organizaciones.

En base a esta premisa, es lógico pensar que las normas de referencia ISO que definen los sistemas de gestión, como por ejemplo, ISO 9001, ISO 14001 e ISO 45001, entre otras, dispongan de un requisito común en relación a la Gestión de Riesgos. Las últimas versiones de estas normas, disponen de una estructura común, llamada de Alto Nivel, que permite que los diferentes requisitos de cada una de las normas sean integrables en un sólo Sistema Documental.

Cada una de las normas anteriores, dispone de requisitos comunes y específicos. Los requisitos comunes, como puede ser la gestión de riesgos o la identificación del contexto de la organización, entre otros, pueden integrarse fácilmente. Esta integración consiste en fusionar metodologías (procedimientos) y compartir registros.

Habitualmente, en empresas donde disponen de varios sistemas de gestión implementados, el sistema de gestión que marca la estructura documental es la norma ISO 9001, y a partir de ella se van integrando los demás sistemas de gestión, incluido el de riesgos, ya que es un proceso en sí mismo y un requisito que debe cummplirse asociado a los sistemas de gestión.

la integración consiste en elaborar un único procedimiento o ficha de proceso donde se explique en detalle la metodología a seguir, las herramientas a utilizar, los registros que se deberán cumplimentar, los responsables de llevarlo a cabo... Es decir el procedimiento deberá incluir la metodología a seguir para:

- Identificar todos los riesgos asociados a los procesos de la empresa. En el caso de disponer de diferentes sistemas de gestión (diferentes disciplinas) los riesgos e pueden clasificar según su tipología y naturaleza. Este aspecto podrá definirse en un único apartado, ya que es común a todos los sistemas de gestión y por lo tanto se explicará la metodología a seguir para identificar los diferentes riesgos indicando la procedencia de ellos, ya sea común a todos los sistemas de gestión o específica a las diferentes disciplinas de los sistemas de gestión.

- Las técnicas y herramientas que se van aplicar. Existen numerosas técnicas y herramientas que se aplican para realizar la identificación y evaluación de los riesgos de una empresa. En la norma ISO 31010:2018 se dispone de una guía de las diferentes técnicas que más se utilizan en la Gestión de Riesgos. En mi blog disponéis de la metodología de algunas de ellas. (Ver enlace). Habitualmente las empresas escogen utilizar la misma técnica para evaluar todos los riesgos independientemente de su tipología. Para actividades complejas, se pueden escoger varias técnicas, en ese caso se explicaría cada una de las metodologías a seguir para cada tipo de riesgo. 

- Los criterios se van aplicar para la evaluación de los diferentes tipos de riesgos. Estos criterios pueden ser diferentes dependiendo del tipo de riesgos que se estén evaluando. Para ello, en el procedimiento se puede realizar un apartado indicando los criterios de evaluación específicos para cada uno de los tipos de riesgos que se hayan identificado. Por ejemplo, los criterios de evaluación deben ser diferentes para evaluar un aspecto que puede ocasionar un impacto ambiental, que para un riesgo asociado al proceso productivo de una empresa, como puede ser por ejemplo, el retraso en la entrega del producto debido a un parón en la fabricación.

- La evaluación de los riesgos y la determinación de su significancia. Se deberá aplicar la técnica seleccionada, aplicando los criterios de evaluación definidos así como establecer los rangos de significancia para cada uno de los riesgos. Estos rangos podrán variar dependiendo de la tipología de los riesgos identificados y tendrán que ser coherentes con el cálculo derivado de la evaluación aplicando los criterios definidos para cada tipo de riesgo.

- Planificar las acciones de mitigación de los riesgos. Para aquellos riesgos significativos se deberán establecer una serie de acciones planificadas que ayudarán a mitigar los diferentes riesgos en caso que ocurran. Una vez aplicadas estas acciones se deberá evaluar su eficacia. Esta metodología puede ser común a todos los riesgos identificados, y por lo tanto, será descrita en un único apartado en el procedimiento.

Por lo tanto, a la hora de integrar el proceso de la gestión de Riesgos en el sistema de gestión general de la empresa se deberán tener en cuenta los siguientes pasos:

A continuación se explican cada uno de ellos:

1. Comprensión de los Sistemas de Gestión existentes, como pueden ser los basados en las normas ISO 9001 (Gestión de Calidad), ISO 14001 (Gestión Ambiental) e ISO 45001 (Gestión de Seguridad y Salud). La Gestión de riesgos es un requisito que debe cumplirse para cada uno de los sistemas de gestión implementados en la empresa. Por lo tanto, será necesario para poder integrar el proceso comprender cada uno de los aspectos que se solicitan, tanto comunes como específicos, en cada una de las normas que son de aplicación. Los requerimientos comunes se podrán integrar y los específicos se tendrán que describir a parte. Por otra parte, tanto la gestión de riesgos como los sistemas de gestión implementados, deberán entender los objetivos y metas definidas en el sistema y que deben ir en la misma dirección y complementarse.

2. Considerar el Contexto Organizacional para Evaluar los Riesgos. la evaluación de riesgos debe tener en cuenta el contexto de la organización, para ello se debería tener en cuenta las recomendaciones descritas en la norma ISO 31000. Se deberán identificar los factores internos y externos que podrían afectar los objetivos de calidad, medio ambiente y seguridad.

3. Integración en la Planificación Estratégica de los objetivos. Se deberá Incorporar la gestión de riesgos en la planificación estratégica de la organización. Los riesgos identificados deberán alinearse con los objetivos estratégicos de cada sistema de gestión.

4. Desarrollo de un Marco de Gestión de Riesgos. Se deberá diseñar un marco de gestión de riesgos que sea coherente, definiendo los roles y responsabilidades, estableciendo los procesos para la identificación, evaluación y tratamiento de riesgos.

5. Identificación, evaluación y mitigación de los Riesgos y Oportunidades. Se deberá identificar los riesgos y oportunidades específicos relacionados con la calidad, medio ambiente y seguridad. Esto puede incluir eventos que podrían afectar la satisfacción del cliente, el rendimiento ambiental y la seguridad en el trabajo.

6. Documentación y Comunicación. Se realizará un procedimiento, así como los registros que sean necesarios para documentar los resultados de la evaluación de riesgos y las estrategias de tratamiento, además de asegurarse que esta información esté disponible y se comunique efectivamente a través de las diversas funciones y niveles de la organización. 

7. Integración en Procesos Operativos. se deberá incorporar el proceso de la gestión de riesgos en los procesos operativos diarios. Los empleados deberán  ser conscientes de los riesgos asociados con sus actividades y que se tomen medidas para mitigarlos.

8. Monitoreo y Revisión Continua. Establece sistemas de monitoreo y revisión continua para evaluar la eficacia de las medidas de mitigación de riesgos. Se deberán realizar revisiones periódicas para ajustar las estrategias de gestión de riesgos según sea necesario. Estas revisiones deberán estar documentadas, de este modo se podrá demostrar que se ha revisado.

9. Realización de Auditorías Integradas. La gestión de riesgos no se audita de forma individualizada, sino como parte de los requisitos del sistema de gestión que se esté auditando. En el caso de auditorías que se esté auditando varios sistemas de gestión a la vez y que estos estén integrados, se auditará la gestión de riesgos de forma integrada, ya que es un requisito común a las diferentes disciplinas de sistemas de gestión.  Cabe decir, que para determinadas actividades que son muy complejas, y donde el la determinación del riesgo es muy significativa, se realicen auditorías específicas de la gestión del riesgo. A parte de lo anteriormente dicho, las auditorías permiten evaluar la efectividad de la gestión de riesgos y buscan oportunidades de mejora.

10. Mejora Continua. Se deberá utilizar los resultados de las evaluaciones de riesgos y auditorías para impulsar la mejora continua en todos los sistemas de gestión. se deberá ajustar los procesos y estrategias de gestión de riesgos para optimizar su eficacia.