En el siguiente artículo os quiero mostrar los principales factores clave que se deben tener en cuenta a la hora de analizar los riesgos en los sistemas de gestión. Para cada uno de los factores describiré un ejemplo práctico en base al contexto de los sistemas de gestión basados en las normas ISO, como pueden ser el sistema de gestión de calidad (ISO 9001), gestión ambiental (ISO 14001) y gestión de seguridad y salud (ISO 45001).
A continuación se presenta la tabla inicial de este artículo, que enumera los factores clave y proporciona las principales razones por las que cada uno puede considerarse esencial:
A continuación, presentaremos un ejemplo práctico de aplicación para cada uno de los factores, lo que nos permitirá comprender mejor su aplicabilidad en el contexto de los sistemas de gestión:
Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión ambiental (ISO 14001):
Imaginemos una empresa de fabricación de productos químicos. Uno de los riesgos identificados en su sistema de gestión es el potencial de fugas de sustancias químicas peligrosas durante el transporte desde la planta de producción hasta los puntos de distribución.
Consecuencias asociadas a este riesgo son las siguientes:
Impacto ambiental. Una fuga de sustancias químicas puede contaminar suelos, ríos y cuerpos de agua cercanos, afectando negativamente al medio ambiente y a la biodiversidad local.
Riesgo para la salud pública: Si las sustancias químicas contaminan el aire o el agua potable, podría haber riesgos para la salud de las personas que viven en las cercanías.
Reputación de la empresa: Incidentes de este tipo pueden generar una mala reputación para la empresa, afectando su imagen de marca y la confianza de los clientes y la comunidad.
Costes financieros: La limpieza de la contaminación, las multas regulatorias y los litigios asociados con la fuga pueden resultar en costos financieros significativos para la empresa.
En este ejemplo, el riesgo de fugas de sustancias químicas está asociado con una serie de consecuencias adversas que podrían tener un impacto negativo en el medio ambiente, la salud pública, la reputación y las finanzas de la empresa. Por lo tanto, es vital para la empresa implementar medidas preventivas y de mitigación efectivas para reducir la probabilidad de que ocurran tales incidentes y para manejar adecuadamente las consecuencias si llegaran a suceder.
2. Probabilidad de ocurrencia
La probabilidad en este contexto es fundamental para entender la frecuencia o la posibilidad de ocurrencia de un evento de riesgo, lo que permite a las organizaciones anticipar y prepararse para posibles escenarios adversos. Esta evaluación de probabilidad puede basarse en datos históricos, análisis estadísticos, juicios de expertos, modelos predictivos y otros métodos de evaluación de riesgos. Además de considerar dependiendo de la información de partida disponibles y de la necesidad en profundizar en el análisis de riesgos, la estimación de la probabilidad puede ser cualitativa o cuantitativa. A continuación se muestra un ejemplo sencillo, del cálculo de la probabilidad cuantitativa:
El siguiente ejemplo se explica en el contexto de la Gestión de Calidad (ISO 9001):
Una empresa de fabricación quiere evaluar la probabilidad de que una máquina específica falle durante un mes determinado (proceso operativo). Para ello, realiza un análisis basado en la recopilación de datos históricos de la máquina durante los últimos dos años. Durante ese período, la máquina ha experimentado 5 fallos en un total de 60 meses. Ahora, para calcular la probabilidad de que la máquina falle en un mes dado, simplemente dividimos el número de veces que la máquina falló entre el total de meses analizados:
P = nº fallos/total meses
P = 5/60 = 0.0833
Por lo tanto, la probabilidad de que la máquina falle en un mes determinado es del 8.33%.
Existen numerosas técnicas para determinar la probabilidad en el análisis de riesgos, la elección de una u otra dependerá de las necesidades de la empresa, así como la disponibilidad de información y recursos que se puedan destinar a esta tarea.
3. Complejidad del evento, proceso o escenario
Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):
Supongamos una cadena de suministro global que involucra múltiples proveedores, centros de distribución y clientes en diferentes regiones del mundo. La complejidad de esta cadena de suministro radica en las numerosas interacciones y dependencias entre los diferentes actores y en la variedad de factores que pueden influir en su funcionamiento, como la disponibilidad de materias primas, las condiciones climáticas, los costos de transporte y las regulaciones gubernamentales.
Un riesgo potencial en esta cadena de suministro podría ser un desastre natural, como un terremoto, que afecte a una región donde se encuentran varios proveedores clave. Este evento podría interrumpir la producción y el suministro de materias primas, lo que a su vez podría afectar la capacidad de producción y la entrega de productos a los clientes finales en otras partes del mundo. La complejidad de la cadena de suministro aumenta la dificultad de anticipar y mitigar este tipo de riesgos, lo que resalta la importancia de tener en cuenta la complejidad en el análisis de riesgos aplicado a sistemas de gestión.
4. Las interrelaciones entre eventos, procesos o actividades
Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):
Imaginemos una compañía de fabricación que produce automóviles. Esta empresa depende de varios proveedores para suministrar piezas clave, como motores, transmisiones y sistemas de frenos. Ahora, supongamos que uno de los proveedores principales experimenta una interrupción en su cadena de suministro debido a una huelga de trabajadores.
Esta interrupción puede tener múltiples interrelaciones en el sistema de gestión de la compañía de fabricación de automóviles:
- La producción puede detenerse temporalmente, lo que afecta la entrega de vehículos a los clientes.
- Los retrasos en la entrega pueden generar insatisfacción entre los clientes, dañando la reputación de la compañía.
- Los problemas de producción también pueden tener un impacto en la cadena de suministro de otros proveedores, creando una cascada de interrupciones en toda la red.
Este ejemplo ilustra cómo las interrelaciones pueden tener efectos significativos en un sistema de gestión y subraya la importancia de considerar estas interconexiones al realizar análisis de riesgos y desarrollar estrategias de mitigación adecuadas.
Supongamos que un fabricante de dispositivos electrónicos depende de varios proveedores de componentes clave para ensamblar sus productos. En un mercado altamente volátil, los precios de los componentes pueden fluctuar significativamente en un corto período de tiempo debido a factores como la demanda del mercado, la disponibilidad de materias primas y los cambios en las regulaciones comerciales.
La volatilidad en los precios de los componentes puede representar un riesgo para el fabricante, ya que puede afectar los márgenes de ganancia y la viabilidad económica de sus productos. Para mitigar este riesgo, la empresa podría implementar estrategias como la diversificación de proveedores, la celebración de contratos a largo plazo con precios fijos y la vigilancia constante del mercado para anticipar cambios en los precios y tomar medidas correctivas de manera oportuna.
6. Eficacia de los controles existentes
Una institución financiera que tiene controles establecidos para prevenir el fraude en las transacciones realizadas por sus clientes. Estos controles incluyen medidas de verificación de identidad, monitoreo de transacciones sospechosas y capacitación del personal en detección de fraudes.
Para evaluar la eficacia de estos controles, la institución financiera puede llevar a cabo auditorías periódicas y revisiones de sus procedimientos internos. Durante estas evaluaciones, pueden descubrir que algunas medidas de verificación de identidad son obsoletas y pueden ser eludidas fácilmente por los estafadores. Además, el monitoreo de transacciones podría no estar siendo lo suficientemente proactivo para detectar actividades fraudulentas.
Con esta información, la institución financiera puede tomar medidas correctivas, como actualizar sus procedimientos de verificación de identidad y mejorar la capacidad de detección de fraudes en tiempo real. Al hacerlo, fortalecerán su sistema de gestión de riesgos y reducirán la probabilidad de que se produzcan eventos adversos relacionados con el fraude.
7. Niveles de sensibilidad y confianza
Una empresa de tecnología de la información gestiona datos confidenciales de clientes, incluida información financiera y personal. Los niveles de sensibilidad y confianza en este contexto podrían determinar cómo se gestionan y protegen estos datos críticos.
Los datos financieros y personales de los clientes se consideran altamente sensibles debido al riesgo de robo de identidad y fraude financiero asociado. Por lo tanto, estos datos tienen un nivel alto de sensibilidad que requiere medidas de protección más rigurosas.
La confianza del cliente en la seguridad y privacidad de sus datos es fundamental para el éxito continuo del negocio. Un incidente de seguridad que comprometa la confidencialidad de los datos podría tener consecuencias graves en términos de pérdida de clientes y daño a la reputación de la empresa.
En este ejemplo, la empresa implementa controles de acceso estrictos, cifrado de datos, monitoreo continuo y auditorías de seguridad para proteger la sensibilidad de los datos y mantener la confianza del cliente. Al considerar los niveles de sensibilidad y confianza, la empresa puede tomar decisiones informadas sobre la gestión de riesgos y garantizar la protección adecuada de los activos críticos del negocio.
8. Grado de incertidumbre
El siguiente ejemplo se basa en sistema de gestión de calidad (ISO 9001):
Una empresa de transporte que opera una flota de camiones para entregar mercancías a nivel nacional. El grado de incertidumbre en su sistema de gestión de riesgos puede aumentar durante la temporada de invierno, donde las condiciones climáticas impredecibles, como las nevadas y las tormentas, pueden afectar la seguridad y la eficiencia de las operaciones de transporte.
La incertidumbre asociada con las condiciones climáticas invernales hace que sea difícil para la empresa prever con precisión cómo afectarán estas condiciones a las rutas de entrega, los tiempos de tránsito y la disponibilidad de conductores. Como resultado, la empresa debe tomar decisiones sobre la asignación de recursos, como equipos de nieve y hielo, capacitación del personal y ajustes en las rutas, con un nivel de incertidumbre en mente.
La capacidad de la empresa para gestionar eficazmente los riesgos asociados con la incertidumbre climática invernal determinará su capacidad para mantener la continuidad del negocio y satisfacer las expectativas de los clientes. Por lo tanto, es crucial que la empresa considere el grado de incertidumbre al desarrollar estrategias de gestión de riesgos que mitiguen los impactos adversos de las condiciones climáticas cambiantes.
9. Opiniones, percepciones y valoraciones
El siguiente ejemplo se basa en sistema de Gestión de seguridad y Salud (ISO 45001):
En una empresa que busca obtener la certificación ISO 45001, se realiza un análisis de riesgos para identificar y evaluar los peligros asociados con las operaciones diarias. Durante el proceso de análisis, se llevan a cabo sesiones de consulta con los trabajadores de diferentes departamentos para recopilar sus opiniones y percepciones sobre los riesgos en sus áreas de trabajo.
Un trabajador del departamento de producción señala que la falta de mantenimiento preventivo en ciertas máquinas representa un riesgo significativo de accidentes. Su percepción se basa en observaciones directas y experiencias previas con incidentes relacionados con la maquinaria. Esta información es valorada y se incorpora al informe de análisis de riesgos, lo que lleva a la implementación de un programa de mantenimiento preventivo más riguroso para abordar este riesgo específico.
En este ejemplo, las opiniones y percepciones de los empleados contribuyen directamente a la identificación y mitigación de riesgos, lo que fortalece el sistema de gestión de seguridad y salud ocupacional de acuerdo con los requisitos de la norma ISO 45001.
10. Documentación y comunicación
El siguiente ejemplo, dependiendo cómo se enfoque puede englobarse tanto en el sistema de Gestión de Seguridad y Salud (ISO 45001) como en el de Gestión Ambiental (ISO 14001):
En una empresa de manufactura de productos químicos, se lleva a cabo un análisis de riesgos para identificar posibles peligros asociados con los procesos de producción y las sustancias químicas utilizadas. Después de completar el análisis, se genera un informe detallado que documenta los riesgos identificados, las evaluaciones de riesgos realizadas y las medidas de control recomendadas.
Este informe se comunica a todas las partes interesadas relevantes, incluidos los trabajadores de la planta, los supervisores de seguridad, los gerentes de producción y los reguladores gubernamentales. La comunicación se realiza a través de reuniones, sesiones informativas, correos electrónicos y documentos impresos.
La documentación y la comunicación efectiva de los riesgos permiten que todas las partes interesadas estén informadas y alineadas en relación con la gestión de riesgos en la empresa. Además, proporciona un punto de referencia claro para futuras evaluaciones y revisiones de riesgos, lo que contribuye a la mejora continua de los procesos de gestión de riesgos en la organización.
0 comments:
Publicar un comentario