Toma de decisiones en la Gestión de Riesgos en los Sistemas de Gestión

La toma de decisiones se produce en varios momentos a lo largo del proceso de gestión de riesgos, desde la identificación inicial de riesgos hasta la implementación de medidas de control y el monitoreo continuo del desempeño del sistema de gestión de riesgos. Es importante tomar decisiones informadas y documentadas, basadas en datos en cada etapa para garantizar una gestión efectiva de los riesgos organizacionales.

En el siguiente artículo os mencionaré el listado de los puntos en el proceso de la Gestión de Riesgos donde se suelen tomar las decisiones por parte de la Dirección, además de los factores a tener en cuenta para decidir las prioridades en la toma de decisiones.

Listado de toma de decisiones

Listado de toma de decisiones que se deben realizar durante todo el proceso de la gestión de riesgos:

- Decidir cómo se va a diseñar, elaborar e implementar el Sistema.

- Decidir y asignar al responsable y/o equipo que se va a encargar tanto de la implementación, coordinación y seguimiento de la Gestión de Riesgos.

- Aprobar la metodología a seguir, así como los métodos de evaluación y análisis de riesgos más apropiados para aplicar a la empresa. Aunque se asigne a una persona o equipo competente, la Dirección de la empresa deberá tener la última palabra y responsabilidad de aprobar cómo se va a realizar.

- Aprobar los criterios de evaluación así como los baremos de significancia para cada uno de los tipos de riesgos que se identifican en la empresa.

- Seleccionar las acciones correctoras más eficientes que estén alineadas con los objetivos en la Gestión de Riesgos, el contexto y el alcance del sistema.

- Asignar y aprobar los recursos necesarios en cada una de las etapas del proceso de la gestión de riesgos, incluyendo aquellos recursos destinados para mitigar los riesgos identificados como significativos, teniendo en cuenta la estrategia y objetivos definidos por la Dirección de la empresa.

Con la finalidad de garantizar una toma de decisiones eficaz y acertada por parte de la Dirección de la empresa, es importante establecer un canal de comunicación continuo y de confianza, en el que el Responsable del Sistema de Gestión pueda consultar y explicar los datos y resultados obtenidos procedentes de la evaluación de desempeño. De este modo la Dirección de la empresa puede disponer de toda la información necesaria, además de la opinión de los expertos en el sistema de Gestión, para tomar las decisiones acertadas lo más pronto posible.

Factores a tener en cuenta para decidir las prioridades en la toma de decisiones

La Dirección de la empresa debe ponderar las ventajas y desventajas potenciales de cada una de las opciones en las que deberá decidir considerando en todo momento las incertidumbres que comporta cada una de las opciones seleccionadas de acorde al contexto, los objetivos y alcance del sistema de Gestión de Riesgo. Para ello, deberá considerar los siguientes factores:

- En algunas ocasiones, como se ha comentado anteriormente, la toma de decisiones comporta seleccionar una entre varias opciones, donde cada una de ellas tiene asociado un grado de incertidumbre que deberá ser valorado.

- Las consecuencias esperadas.

- La efectividad de los controles.

- Las características cualitativas de los eventos o sus posibles consecuencias.

- Las opiniones y percepciones de las partes interesadas.

- Los recursos y el plazo de tiempo a invertir invertido en comparación con la mejora que se va a obtener.

- Las incertidumbres asociadas con los resultados potenciales de las opciones y estimaciones de costes y beneficios.

- Eventos y desarrollos que pueden afectar los resultados.

- La incertidumbre en torno a los juicios realizados a partir de los resultados del análisis de riesgos, incluidas consideraciones como si los objetivos y criterios continuarán sin cambios en el futuro.

- Las ganas o necesidad que tenga la organización de asumir un determinado riesgo.

- Preservar los resultados de la evaluación para uso y referencia futuros.

- Realizar el seguimiento continuo de la opción seleccionada, y realizar los cambios pertinentes en caso de detectar desviaciones respecto a la previsión.

- Permitir la verificación de la evaluación.

- Proporcionar un rastro de auditoría.

Proporcionar un Registro documentado sobre la toma de decisiones

Como todo proceso en un sistema de gestión, la toma de decisiones debe documentarse. A continuación se muestra un listado de los aspectos que se deben tener en cuenta a la hora de elaborar los documentos relacionados con la toma de decisiones. Por lo que se puede decir que los documentos deben:

- Ser identificados, trazables, entendibles y estructurados.

- Estar incluidos en el sistema documental del Sistema de Gestión de Riesgos.

- Estar completos.

- Proporcionar la profundidad técnica y detalle suficiente.

- Incorporar toda la información necesaria (estudios, documentos, información, permisos…) asociado a la viabilidad de cada una de las opciones, así como la evaluación del riesgo para cada una de las opciones a decidir.

- Poder ser utilizada de base para permitir revisar y validar las diferentes opciones y resultados.

- Ser elaborados por personas competentes y expertas en el Sistema de Gestión de Riesgos de la empresa.

En la siguiente tabla podéis encontrar un breve resumen de todos los puntos mencionados en este artículo:

[Continue reading...]

La Incertidumbre y la Sensibilidad de los resultados en el análisis de riesgos de los Sistemas de Gestión

En el siguiente artículo os quiero explicar en qué consisten dos de los más importantes factores que pueden afectar a la fiabilidad de los resultados en el proceso de análisis de riesgos. Estos factores son la incertidumbre y la sensibilidad de los resultados. Con la finalidad que sean dos conceptos entendibles os muestro algunos ejemplos aplicados al Sistema de Gestión de Calidad (ISO 9001).

A continuación se explican en qué consisten ambos términos:

Incertidumbre de los resultados

Se considera incertidumbre como a la falta de conocimiento completo o certeza sobre los eventos futuros y sus resultados. En el contexto de los sistemas de gestión, la incertidumbre puede manifestarse de varias maneras:

• El uso de datos incompletos y poco precisos como elementos de entrada en el análisis de riesgos. El análisis se ve comprometido cuando se emplean datos incompletos o poco precisos. Esta falta de precisión puede afectar negativamente la evaluación de la probabilidad de ocurrencia y los impactos de los riesgos identificados, lo que resulta en una estimación imprecisa de su significancia y nivel de gravedad. Como consecuencia, la toma de decisiones relacionadas con las acciones para mitigar estos riesgos puede verse afectada por errores.

• Dificultad de predecir posibles cambios que puedan surgir debido a la complejidad del entorno. Los sistemas de gestión operan en entornos complejos y dinámicos donde interactúan múltiples variables entre sí, lo que dificulta predecir completamente los resultados de las acciones de gestión de riesgos. En estos casos, es importante recopilar las opiniones sobre posibles situaciones que se puedan dar por parte de los trabajadores con más experiencia y con más antigüedad en la empresa. Seguramente estos perfiles pueden aportar conocimientos históricos sobre posibles situaciones que se han podido dar en la empresa y cómo se solucionaron en aquel entonces. Si se obtiene este conocimiento como punto de partida para poder identificar y analizar ciertos riesgos, es posible que las acciones de mitigación que se vayan a proponer sean adecuadas y efectivas.

• El entorno externo de la empresa es cambiante y debe adaptarse a posibles cambios imprevistos que puedan surgir. Algunos ejemplos de ello son cambios en la legislación, condiciones económicas o tecnológicas. Cualquiera de estos tres aspectos, entre otros, va a requerir un análisis en profundidad, identificando los riesgos que se puedan dar y las acciones estratégicas que la empresa debe aplicar para minimizar los riesgos significativos que puedan darse. En estos casos, el análisis y la aplicación de medidas debe realizarse en cuanto se detecte que se produce este cambio imprevisto, actualizando de inmediato la evaluación de riesgos de la empresa.

Ejemplos de incertidumbre de los resultados aplicados a los Sistemas de Gestión

Ejemplo 1: Industria de la Construcción. Una empresa de construcción evalúa los riesgos asociados con un proyecto de construcción de un nuevo edificio. Entre los factores de incertidumbre se encuentran los cambios en el precio de los materiales de construcción, la disponibilidad de mano de obra cualificada y las condiciones climáticas imprevistas que podrían retrasar el proyecto.

Ejemplo 2: Sector Financiero. Un banco está evaluando los riesgos asociados con sus inversiones en el mercado de valores. La incertidumbre surge de la volatilidad del mercado, los cambios en las tasas de interés y las fluctuaciones en los precios de los activos financieros.

Ejemplo 3: Sector de Tecnología. Una empresa de tecnología evalúa los riesgos asociados con el desarrollo de un nuevo producto. La incertidumbre proviene de la competencia en el mercado, los cambios en las preferencias del consumidor y la posibilidad de retrasos en el desarrollo del producto.

Sensibilidad de los resultados

La sensibilidad de los resultados en el análisis de riesgos de los sistemas de gestión se refiere a la capacidad de los resultados del análisis de riesgos para cambiar en respuesta a variaciones en los parámetros de entrada o supuestos utilizados en el modelo. Básicamente, la sensibilidad examina cómo los cambios en ciertos factores afectan a los resultados del análisis de riesgos.

Por ejemplo, si se evalúan los riesgos asociados con la construcción de un nuevo edificio, es posible que durante el análisis se determine que el coste total del proyecto es altamente sensible a los cambios en el precio del acero. Pequeñas fluctuaciones en el precio del acero pueden tener un impacto significativo en el coste total del proyecto y, por lo tanto, en la evaluación de los riesgos económicos asociados.

Considerando lo anterior, la sensibilidad de los resultados puede:

• Identificar los factores críticos o más influyentes en los resultados del análisis. Esto puede ser útil para priorizar y asignar los recursos necesarios en las acciones de mitigación asociadas a los riesgos más significativos.

• Ayudar a identificar áreas donde se necesitan datos más precisos o donde el análisis debe realizarse con más precisión para reducir la incertidumbre en el proceso de evaluación de riesgos.

Ejemplos de sensibilidad de los resultados aplicados a los Sistemas de Gestión

Ejemplo 1: Industria de la Construcción. Durante el análisis de riesgos, la empresa descubre que el costo del proyecto es altamente sensible al precio del acero, que es uno de los principales materiales de construcción utilizados en el proyecto. Pequeños cambios en el precio del acero pueden tener un impacto significativo en el costo total del proyecto y en los márgenes de beneficio de la empresa.

Ejemplo 2: Sector Financiero. Durante el análisis de riesgos, el banco identifica que su cartera de inversiones es altamente sensible a los movimientos en las tasas de interés. Un aumento en las tasas de interés podría disminuir el valor de la cartera, mientras que una disminución podría aumentarlo. Esta sensibilidad influye en las decisiones de gestión de riesgos y en la diversificación de la cartera del banco.

Ejemplo 3: Sector de Tecnología. Durante el análisis de riesgos, la empresa descubre que el éxito del producto es altamente sensible a la calidad y la innovación. Pequeñas mejoras en la calidad y la innovación del producto pueden aumentar significativamente su aceptación en el mercado, mientras que cualquier falta de calidad podría llevar al fracaso del producto.

Estrategias para abordar la incertidumbre y sensibilidad:

Se pueden considerar que las tres principales estrategias que se pueden aplicar para tomar las medidas concretas y deliberadas para minimizar la incertidumbre y sensibilidad de los resultados son las siguientes:

• Diversificación. La diversificación es una estrategia que implica distribuir los recursos en una variedad de opciones o categorías con el fin de reducir la exposición a cualquier riesgo específico. Por ejemplo, en un sistema de gestión financiera, una empresa puede diversificar su cartera de inversiones invirtiendo en una variedad de clases de activos, como acciones, bonos, bienes raíces y materias primas. Al hacerlo, la empresa reduce la dependencia de cualquier activo o mercado en particular, lo que ayuda a mitigar el impacto negativo de eventos imprevistos o cambios en condiciones económicas específicas. Además, en el contexto operativo de una empresa, la diversificación puede aplicarse diversificando las líneas de productos, mercados geográficos, proveedores o canales de distribución. Esto ayuda a reducir la vulnerabilidad de la empresa ante factores externos que podrían afectar negativamente su desempeño.

• Seguimiento y adaptación. Las empresas pueden realizar el seguimiento de los factores de sensibilidad identificados durante el análisis de riesgos y ajustar sus estrategias según sea necesario para adaptarse a los cambios en el entorno.

• Planificación de las acciones de tratamiento del riesgo. Las organizaciones pueden desarrollar planes de contingencia para abordar los posibles escenarios de riesgo identificados durante el análisis, lo que les permite responder de manera rápida y efectiva a eventos inesperados.

En la siguiente tabla se puede visualizar un pequeño resumen de lo explicado en este artículo:

[Continue reading...]

Verificación y validación de los datos y resultados en la Gestión de Riesgos en los Sistemas de Gestión

La verificación y validación de datos y resultados son procesos esenciales en todas las etapas de la gestión de riesgos en los sistemas de gestión. Estos procesos garantizan la precisión, confiabilidad y efectividad de las decisiones tomadas para gestionar los riesgos y proteger los intereses de la organización. En este artículo, además de explicaros en qué consisten y en qué etapas se suelen aplicar, os mostraré algunos ejemplos aplicados a los sistemas de gestión basados en las normas ISO 9001, ISO 14001 e ISO 45001 

¿En qué consiste la verificación de datos y resultados en la gestión de riesgos?

La verificación implica que el análisis se ha realizado correctamente. La verificación puede incluir:

- Verificar las operaciones matemáticas que se han utilizado para la evaluación.

- Asegurarse de la precisión y exactitud de los datos y en la forma que se presentan.

- Comparar resultados con experiencias pasadas para analizar su evolución en el tiempo y poder determinar las causas y consecuencias.

- Establecer si los resultados cambian dependiendo de cómo se muestran los datos y encontrar qué aspectos pueden tener un impacto en los resultados obtenidos.

¿En qué consiste la validación de datos y resultados en la gestión de riesgos?

La validación implica comprobar que se realizó el análisis correcto para lograr los objetivos requeridos. La validación puede incluir:

- Verificar que el alcance del análisis sea apropiado para los objetivos establecidos.

- Revisar todas las suposiciones para verificar que sean creíbles y de coherentes con la información disponible.

- Verificar que se utilizaron métodos, técnicas, modelos, herramientas y datos apropiados.

- Utilizar múltiples métodos, aproximaciones y análisis de sensibilidad para probar y validar conclusiones.

¿En qué procesos se aplican las técnicas de verificación y validación de datos y resultados?

La verificación y validación de datos y resultados son procesos críticos en varias etapas de la gestión de riesgos en los sistemas de gestión. Algunos de los procesos clave en los que es necesario realizar verificación y validación son:

Identificación de riesgos. Durante la identificación de riesgos, es crucial verificar la precisión de los datos utilizados para identificar y evaluar los posibles riesgos que enfrenta una organización. Esto incluye la revisión de información histórica, análisis de datos operativos y consulta con expertos para asegurar que se están considerando todos los riesgos relevantes.

Análisis y evaluación de riesgos. En esta etapa, se realizan análisis detallados para comprender la naturaleza y el impacto de los riesgos identificados. Es esencial verificar que los métodos de análisis utilizados sean apropiados y que los resultados sean válidos y confiables. La validación implica asegurarse de que los riesgos se hayan evaluado de manera completa y precisa.

Selección y aplicación de medidas de tratamiento de riesgos. Al seleccionar y aplicar medidas para mitigar, transferir o evitar los riesgos, es necesario verificar que las medidas seleccionadas sean apropiadas para abordar los riesgos identificados. La validación implica confirmar que las medidas implementadas sean efectivas y prácticas para reducir o controlar los riesgos.

Monitoreo y revisión. Durante esta fase, se verifica continuamente la eficacia de las medidas de tratamiento de riesgos y se valida si están logrando los objetivos esperados. Esto implica revisar regularmente los datos y resultados para identificar cualquier cambio en el entorno de riesgo y ajustar las estrategias según sea necesario.

En la siguiente tabla podéis visualizar un pequeño esquema de lo anteriormente explicado:

La verificación y validación de resultados en la gestión de riesgos son cruciales para asegurar la precisión de los datos, confirmar la efectividad de las medidas implementadas, identificar áreas de mejora y demostrar conformidad con requisitos normativos. Estas prácticas no sólo garantizan la confiabilidad de la información utilizada para la toma de decisiones, sino que también permiten adaptar y mejorar continuamente el proceso de gestión de riesgos para proteger los activos y los intereses de la organización a largo plazo.

Ejemplo de Verificación y validación en base al Sistema de Gestión ISO 9001

Supongamos una empresa de fabricación de componentes electrónicos que está implementando un sistema de gestión de calidad conforme a la norma ISO 9001. Durante la fase de gestión de riesgos, la empresa identifica el riesgo de que un proveedor clave no cumpla con los estándares de calidad requeridos, lo que podría afectar la calidad de los productos finales y la satisfacción del cliente. Para verificar y validar los resultados de su proceso de gestión de riesgos, la empresa podría realizar lo siguiente:

Verificación de resultados. La empresa revisa regularmente los informes de calidad del proveedor y realiza auditorías periódicas en sus instalaciones para asegurarse de que se están cumpliendo los estándares acordados. Esto ayuda a confirmar la eficacia de las medidas de mitigación de riesgos implementadas para abordar este riesgo específico.

Validación de resultados. Además, la empresa podría comparar los datos de calidad de los productos recibidos del proveedor con los criterios de calidad establecidos en los requisitos del cliente y en las especificaciones internas de la empresa. Si los resultados cumplen con los estándares esperados, se valida la efectividad de las acciones tomadas para gestionar el riesgo del proveedor.

Ejemplo de Verificación y validación en base al Sistema de Gestión ISO 14001

Imaginemos una empresa manufacturera que ha implementado un SGA conforme a la norma ISO 14001 para gestionar sus impactos ambientales. Esta empresa ha identificado la gestión del agua como un aspecto ambiental significativo de su proceso de producción.

Proceso de verificación. La empresa verifica la cantidad de agua utilizada diariamente en su proceso de producción mediante la instalación de medidores de agua en las líneas de producción y registros de consumo. Además, realiza inspecciones periódicas para asegurarse de que no haya fugas u otros problemas que puedan provocar un uso excesivo de agua sin ser detectados.

Proceso de validación. Para validar la efectividad de las medidas implementadas para reducir el consumo de agua, la empresa realiza análisis comparativos del consumo de agua antes y después de la implementación de nuevas prácticas y tecnologías. Además, se monitorean los indicadores clave de desempeño relacionados con el consumo de agua, como la cantidad de agua utilizada por unidad de producto fabricado, para evaluar si se están logrando los objetivos de reducción del consumo de agua establecidos en el SGA.

Ejemplo de Verificación y validación en base al Sistema de Gestión ISO 45001

Supongamos una empresa de construcción que está implementando un sistema de gestión de seguridad y salud ocupacional conforme a la norma ISO 45001. Durante el proceso de identificación de riesgos, la empresa identifica el riesgo de caídas desde alturas como una de las principales preocupaciones en sus sitios de trabajo. Para verificar y validar los resultados de su proceso de gestión de riesgos, la empresa podría llevar a cabo lo siguiente:

Verificación de resultados. La empresa realiza inspecciones periódicas en los sitios de trabajo para asegurarse de que se están implementando correctamente las medidas de seguridad contra caídas, como barandillas, redes de seguridad y equipos de protección personal. Estas inspecciones ayudan a verificar si las acciones preventivas están siendo efectivas y si se están cumpliendo los procedimientos establecidos.

Validación de resultados. Además, la empresa podría revisar los registros de incidentes y accidentes para evaluar si ha habido alguna caída desde altura en los sitios de trabajo y analizar las circunstancias que llevaron a esos incidentes. Si se observa una disminución en el número de incidentes relacionados con caídas, esto valida la efectividad de las medidas preventivas implementadas y señala que la gestión de riesgos está siendo exitosa.

[Continue reading...]

Documentos y registros del Sistema de Gestión de Riesgos

En el siguiente artículo, mi objetivo es proporcionar una explicación estructurada sobre la documentación, registros e informes clave generados en las diversas actividades relacionadas con la gestión de riesgos en varios sistemas de gestión. Además, aprovecho la oportunidad para sugerir el contenido y la estructura que podría adoptar un informe de análisis de riesgos en este contexto.

El objetivo

El propósito de elaborar un registro y un informe de evaluación de riesgos es el de comunicar el nivel de riesgos asociados a las diversas actividades o procesos de la organización, junto con los resultados obtenidos de la evaluación efectuada. La comunicación de estos resultados se justifica por las siguientes razones:

- Facilitar la toma de decisiones. Es crucial que la dirección de la empresa disponga de información analítica sobre los riesgos identificados y evaluados. De este modo, al conocer el grado de riesgo inherente a cada posible decisión, se incrementan las posibilidades de seleccionar la más adecuada.

- Informar a las partes interesadas pertinentes sobre los riesgos asociados a las actividades de la organización y las acciones para mitigarlos. Por ejemplo, los accionistas deben estar al tanto de los resultados de la evaluación de riesgos para comprender la situación real de la empresa, así como los motivos detrás de la disminución de beneficios o el aumento de costos.

- Mediante la identificación y evaluación de los riesgos de cada actividad, se lleva a cabo un análisis que proporciona oportunidades de mejora y optimización. Esto no solo reduce el riesgo negativo potencial, sino que también mejora el proceso o la actividad en sí misma, lo que contribuye a su eficiencia y efectividad.

Metodología y frecuencia

La metodología para la elaboración de los diversos documentos vinculados a la gestión de riesgos en los sistemas de gestión debe ser claramente documentada, habitualmente en uno o varios procedimientos. Estos procedimientos deben detallar exhaustivamente cada actividad realizada, así como la información necesaria para llevar a cabo cada tarea, incluyendo los documentos generados en todo el proceso. Además, es fundamental especificar quién es el responsable de llevar a cabo cada tarea en cada caso, junto con la frecuencia con la que se registran o elaboran los diferentes documentos asociados.

Documentos y registros del Sistema de Gestión de Riesgos

Como se ha comentado anteriormente, en cada una de las actividades que se realizan para gestionar los riesgos en la organización, se generan varios documentos importantes que ayudan a identificar, evaluar, mitigar y monitorear los riesgos en una organización. A continuación, se presenta un listado de los documentos más importantes:

- Procedimientos de Gestión de Riesgos. Estos procedimientos constituyen documentos fundamentales que delinean los pasos y protocolos para la identificación, evaluación, tratamiento y monitoreo de los riesgos en la organización. En ellos, se detallan exhaustivamente las tareas a realizar, la metodología para su ejecución y el control de su desempeño. Asimismo, se especifica quién es responsable de cada tarea y qué documentos se generan en cada fase del proceso. En ocasiones, las empresas buscan simplificar estos documentos mediante la creación de esquemas o diagramas de flujo que contienen toda la información requerida; en tales casos, se sustituyen los procedimientos por fichas de proceso. El formato, identificación y codificación deberán seguir la metodología aprobada en el sistema documental de la organización.

- La Matriz de Riesgos consiste en un documento que enumera y clasifica los riesgos identificados, junto con su probabilidad de ocurrencia y el impacto potencial.

- La Evaluación de Riesgos es un informe que detalla los resultados de la evaluación de riesgos, incluyendo la metodología utilizada, los criterios de evaluación, y las conclusiones derivadas del análisis de riesgos.

- El Plan de Gestión de Riesgos consiste en la elaboración de un documento que describe las estrategias y acciones para gestionar y mitigar los riesgos identificados, incluyendo responsabilidades, plazos y recursos asignados.

- El Registro de Riesgos contiene información detallada sobre cada riesgo identificado, incluyendo su descripción, clasificación, nivel de riesgo, acciones tomadas y estado actual.

- Informes de Riesgos. Informes periódicos que proporcionan una actualización sobre el estado de los riesgos identificados, las acciones implementadas y cualquier cambio en la evaluación de riesgos.

- Protocolos de Comunicación de Riesgos son documentos que establecen cómo se comunican los riesgos identificados a las partes interesadas internas y externas, así como los protocolos para la divulgación de información relacionada con los riesgos. Habitualmente este documento se corresponde con un procedimiento incluido en el la metodología general de comunicación de la empresa.

- Análisis de Riesgos Específicos son documentos detallados que analizan riesgos específicos en áreas críticas de la organización, como seguridad laboral, seguridad informática, o impacto ambiental.

- Planes de Contingencia y Mitigación de los riesgos. Documentos que describen las acciones a seguir en caso de que ocurran eventos adversos significativos, con el objetivo de minimizar el impacto en las operaciones y la reputación de la organización.

- Revisiones y Auditorías de Riesgos. Informes y documentación relacionada con las revisiones periódicas y las auditorías internas y externas de la gestión de riesgos en la organización.

Estos son sólo algunos de los documentos clave que se generan en el contexto de la gestión de riesgos asociada a un sistema de gestión, si bien, la naturaleza y el alcance de los documentos pueden variar según las necesidades y la complejidad de la organización.

Estructura de un informe de evaluación de riesgos

Un informe de evaluación de riesgos en el contexto de los sistemas de gestión debería contener información detallada y estructurada que permita comprender claramente los riesgos identificados y evaluados. A continuación se muestra una propuesta de contenido que podría incluir un informe de evaluación de riesgos:

1. Introducción:

- Descripción del propósito del informe.

- Breve explicación del alcance y metodología utilizada en la evaluación de riesgos.

- Resumen de los hallazgos clave.

2. Contexto Organizacional:

- Descripción de la organización y su estructura.

- Identificación de los procesos, actividades o áreas evaluadas.

3. Metodología de Evaluación:

- Detalle de los métodos y herramientas empleadas para identificar y evaluar los riesgos.

- Explicación de los criterios utilizados para calificar y priorizar los riesgos.

4. Resultados de la Evaluación:

- Lista de los riesgos identificados, clasificados por categorías (por ejemplo, financieros, operacionales, legales, etc.).

- Descripción de cada riesgo, incluyendo su naturaleza, causas potenciales y posibles consecuencias.

- Asignación de niveles de probabilidad e impacto para cada riesgo evaluado.

- Determinación del nivel de riesgo residual (después de la aplicación de medidas de control o mitigación).

5. Análisis y Discusión:

- Interpretación de los resultados de la evaluación.

- Identificación de tendencias o patrones significativos en los riesgos evaluados.

- Discusión sobre las implicaciones de los riesgos identificados para la organización y sus partes interesadas.

6. Medidas de Control y Mitigación:

- Descripción de las medidas existentes para controlar o mitigar los riesgos identificados.

- Evaluación de la efectividad de las medidas actuales.

- Recomendaciones para implementar nuevas medidas de control o mejorar las existentes.

7. Responsabilidades y Cronograma:

- Asignación de responsabilidades para la gestión continua de los riesgos.

- Establecimiento de un cronograma para la implementación de medidas de control y seguimiento de los riesgos.

8. Conclusiones y Recomendaciones:

- Resumen de los principales hallazgos y conclusiones de la evaluación.

- Recomendaciones para mejorar la gestión de riesgos en la organización.

9. Anexos:

- Documentación adicional, como matrices de riesgos, registros de riesgos, análisis de causa raíz, entre otros.

Un informe bien elaborado proporciona una base sólida para la toma de decisiones y la gestión efectiva de riesgos en la organización. Es importante que el informe sea claro, conciso y fácilmente comprensible para todos los interesados involucrados en el proceso de gestión de riesgos.

Acceso y archivo

La metodología a seguir para diseñar, aprobar, realizar el seguimiento, archivar y conservar esta documentación debe seguir el mismo criterio que la demás documentación del sistema. Cabe decir que es información delicada y debe estar protegida y de acceso restringido para la mayoría de las partes interesadas. Se deberá establecer los criterios de acceso y consulta a la información asociada con esta documentación.

En la tabla siguiente se puede visualizar todos los aspectos comentados en este artículo:

En la elaboración de este artículo, me he fundamentado en los principios delineados en el apartado 6.7 "Registro e Informe" de la norma ISO 31000:2018. Dicha norma sugiere los elementos de la gestión de riesgos que deben ser documentados, así como el contenido esencial que debería incluirse en el informe que presenta los resultados de la evaluación de riesgos realizada durante un periodo específico.

[Continue reading...]

Los Objetivos en la Gestión de Riesgos en los Sistemas de Gestión ISO 9001, ISO 14001 e ISO 45001

Uno de los puntos de partida en la Gestión de Riesgos es fijar el alcance y los objetivos. En este artículo os explicaré en qué consisten los Objetivos y la razón de su importancia. Además os indico algunos ejemplos prácticos de Objetivos, así como de sus correspondientes indicadores de seguimiento, para cada uno de los Sistemas de Gestión basados en las normas ISO 9001 (Gestión de Calidad), ISO 14001 (Gestión Ambiental) e ISO 45001 (Seguridad y Salud). 

¿En qué consisten los objetivos? ¿Para qué sirven?

Los objetivos en la gestión de riesgos aplicados a los sistemas de gestión son metas específicas y medibles que una organización establece para guiar y mejorar su capacidad para identificar, evaluar, mitigar y gestionar los riesgos de manera efectiva.

Estos objetivos están diseñados para alinear la gestión de riesgos con los objetivos estratégicos y operativos de la organización, proporcionando una dirección clara y un marco para la toma de decisiones relacionadas con la gestión de riesgos. Por lo tanto, deben ser integrados en los objetivos generales de la organización. Además, pueden incluir la reducción de la frecuencia o gravedad de los incidentes, la mejora de la cultura de seguridad, la minimización del impacto ambiental, el cumplimiento de los requisitos legales y regulatorios, la protección de la reputación de la organización y la mejora continua del sistema de gestión de riesgos.

Estas metas deben ser coherentes, alcanzables, relevantes y estar sujetas a revisión y actualización periódicas para garantizar su efectividad y relevancia continua en la gestión de riesgos.

¿Por qué son importantes los Objetivos en la Gestión de Riesgos?  

Fijar unos objetivos es esencial para proporcionar claridad de propósito, enfoque y priorización, mejorar el desempeño, establecer responsabilidades y rendición de cuentas, y adaptarse al cambio. Estos objetivos proporcionan una dirección clara, permiten identificar y abordar los riesgos más relevantes, mejoran la capacidad de la organización para gestionar los riesgos de manera efectiva y fomentan la adaptabilidad y la responsabilidad en todo el proceso de gestión de riesgos.

¿Cómo deben ser? ¿Qué características deben cumplir?  

Debido a su importancia, en el apartado 6.1.4 “Definir los objetivos” de la norma ISO 31010 da una serie de recomendaciones definiendo las características que deben cumplir los objetivos. Considerando estas recomendaciones, los objetivos deben ser:

Específicos para el tema de la evaluación. Los objetivos en la gestión de riesgos deben ser precisos y estar directamente relacionados con el tema o área de evaluación. Deben abordar claramente los riesgos identificados y las preocupaciones específicas dentro del ámbito de la gestión de riesgos.

Medibles cualitativa o cuantitativamente. Los objetivos deben ser susceptibles de ser medidos de manera cualitativa o cuantitativa. Esto implica que se puedan evaluar y cuantificar los avances y resultados en relación con los objetivos establecidos, facilitando la monitorización y el seguimiento de su cumplimiento.

Alcanzables dentro del alcance definido y acotando las limitaciones impuestas por el contexto. Los objetivos deben ser realistas y alcanzables dentro del contexto y los recursos disponibles. Deben tener en cuenta las limitaciones y restricciones del entorno operativo, así como los recursos disponibles para la gestión de riesgos.

Relevantes para los objetivos generales o el contexto de la organización. Los objetivos en la gestión de riesgos deben estar alineados con los objetivos generales y estratégicos de la organización. Deben contribuir directamente a la consecución de los objetivos organizacionales más amplios y ser coherentes con el contexto y la naturaleza de la organización.

Alcanzables dentro de un marco de tiempo establecido. Los objetivos deben tener plazos claros y definidos para su logro. Deben establecerse dentro de un marco de tiempo realista y acorde con las necesidades y prioridades de la organización, lo que facilita la planificación y el seguimiento del progreso.

Registrados, planificados y documentados. Los objetivos deben ser formalmente registrados, planificados y documentados en el marco de la gestión de riesgos de la organización. Esto garantiza que sean comunicados de manera efectiva, entendidos por todas las partes interesadas relevantes y seguidos de manera sistemática.

Establecer rangos de umbrales máximos y mínimos de aceptabilidad en su seguimiento, para garantizar su cumplimiento. Los objetivos deben incluir rangos de umbrales máximos y mínimos que definan los límites de aceptabilidad. Estos umbrales ayudan a establecer criterios claros para evaluar el progreso y determinar si se están cumpliendo los objetivos establecidos.

EJEMPLOS DE OBJETIVOS EN LA GESTIÓN DE RIESGOS  

Objetivos en la Gestión de Riesgos del Sistema de Gestión de Calidad (ISO 9001)

A continuación se muestran unos ejemplos de objetivos en base al Sistema de Gestión de Calidad, además se incluye, para cada objetivo, un ejemplo de medición del desempeño mediante indicadores de seguimiento:

- Objetivo: Reducir la incidencia de defectos de calidad en los productos o servicios. 

Indicador de seguimiento: % de productos o servicios defectuosos detectados durante el proceso de producción o prestación de servicios.

- Objetivo: Mejorar la satisfacción del cliente al garantizar la entrega oportuna de productos o servicios.

Indicador de seguimiento: % de entregas realizadas dentro del plazo acordado con el cliente.

- Objetivo: Optimizar los procesos para minimizar los riesgos de interrupciones o retrasos en la producción o prestación de servicios.

Indicador de seguimiento: Tiempo promedio de ciclo de producción o tiempo de respuesta en la prestación de servicios.

- Objetivo: Aumentar la eficiencia operativa y reducir los costes asociados con repeticiones o desperdicios.

Indicador de seguimiento: Coste de la no calidad como porcentaje de los costos totales de producción o prestación de servicios.

- Objetivo: Mejorar la capacitación y competencia del personal para reducir errores y aumentar la eficacia en la gestión de riesgos.

Indicador de seguimiento: % de empleados que han completado la formación en gestión de riesgos y calidad.

Objetivos en la Gestión de Riesgos del Sistema de Gestión Ambiental (ISO 14001)

A continuación se muestran unos ejemplos de objetivos en base al Sistema de Gestión Ambiental, además se incluye, para cada objetivo, un ejemplo de medición del desempeño mediante indicadores de seguimiento:

- Objetivo: Reducir el consumo de recursos naturales (agua, energía, materias primas) en las operaciones de la empresa.

Indicador de seguimiento: % de reducción en el consumo de recursos naturales en comparación con el año anterior.

- Objetivo: Minimizar la generación de residuos y promover su reciclaje y reutilización.

Indicador de seguimiento: % de residuos sólidos reciclados o reutilizados en relación con el total de residuos generados.

- Objetivo: Reducir las emisiones de gases de efecto invernadero y otros contaminantes atmosféricos.

Indicador de seguimiento: Toneladas de emisiones de CO2 equivalentes por unidad de producción o por período de tiempo.

- Objetivo: Prevenir la contaminación del suelo y del agua mediante la implementación de medidas de control y prevención adecuadas.

Indicador de seguimiento: Número de incidentes de contaminación del suelo o del agua reportados durante el período de seguimiento.

- Objetivo: Mejorar la conciencia y la capacitación del personal en prácticas ambientales seguras y sostenibles.

Indicador de seguimiento: % de empleados que han completado la formación en gestión ambiental y prácticas sostenibles.

Objetivos en la Gestión de Riesgos del Sistema de Gestión de Seguridad y Salud  (ISO 45001)

A continuación se muestran unos ejemplos de objetivos en base al Sistema de Gestión de Seguridad y Salud, además se incluye, para cada objetivo, un ejemplo de medición del desempeño mediante indicadores de seguimiento:

- Objetivo: Reducir la frecuencia de accidentes laborales en el lugar de trabajo.

Indicador de seguimiento: Tasa de frecuencia de accidentes laborales reportados por cada 1000 empleados durante un período específico (por ejemplo, por trimestre o por año).

- Objetivo: Mejorar la identificación y mitigación de peligros y riesgos ocupacionales.

Indicador de seguimiento: % de peligros identificados y evaluados en el lugar de trabajo dentro de un período determinado, en comparación con el total de peligros potenciales identificados.

- Objetivo: Incrementar la participación del personal en la identificación y notificación de riesgos laborales.

Indicador de seguimiento: Número de reportes de peligros o riesgos presentados por el personal por mes o trimestre, en comparación con periodos anteriores.

- Objetivo: Reducir el tiempo de respuesta ante emergencias y la implementación de medidas de control.

Indicador de seguimiento: Tiempo promedio de respuesta ante emergencias desde la detección hasta la implementación de medidas correctivas o preventivas, medido en minutos u horas.

- Objetivo: Aumentar la eficacia de las evaluaciones de riesgos laborales en todos los departamentos.

Indicador de seguimiento: % de departamentos o áreas de trabajo que han completado evaluaciones de riesgos actualizadas dentro de los plazos establecidos.

En la siguiente tabla se puede visualizar los diferentes ejemplos de objetivos con sus indicadores de seguimiento para cada uno de los sistemas de gestión, explicados en este artículo:

Son sólo algunos ejemplos. Cada empresa deberá buscar sus propios objetivos, además de diseñar sus propios indicadores de seguimiento en función de la información que necesite y el propósito a seguir y medir.

[Continue reading...]

Factores clave en el análisis de riesgos con ejemplos aplicados a las normas ISO 9001, ISO 14001 e ISO 45001

En el siguiente artículo os quiero mostrar los principales factores clave que se deben tener en cuenta a la hora de analizar los riesgos en los sistemas de gestión. Para cada uno de los factores describiré un ejemplo práctico en base al contexto de los sistemas de gestión basados en las normas ISO, como pueden ser el sistema de gestión de calidad (ISO 9001), gestión ambiental (ISO 14001) y gestión de seguridad y salud (ISO 45001).

A continuación se presenta la tabla inicial de este artículo, que enumera los factores clave y proporciona las principales razones por las que cada uno puede considerarse esencial:

A continuación, presentaremos un ejemplo práctico de aplicación para cada uno de los factores, lo que nos permitirá comprender mejor su aplicabilidad en el contexto de los sistemas de gestión:

1. Impacto o consecuencias

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión ambiental (ISO 14001):

Imaginemos una empresa de fabricación de productos químicos. Uno de los riesgos identificados en su sistema de gestión es el potencial de fugas de sustancias químicas peligrosas durante el transporte desde la planta de producción hasta los puntos de distribución.

Consecuencias asociadas a este riesgo son las siguientes:

Impacto ambiental. Una fuga de sustancias químicas puede contaminar suelos, ríos y cuerpos de agua cercanos, afectando negativamente al medio ambiente y a la biodiversidad local.

Riesgo para la salud pública: Si las sustancias químicas contaminan el aire o el agua potable, podría haber riesgos para la salud de las personas que viven en las cercanías.

Reputación de la empresa: Incidentes de este tipo pueden generar una mala reputación para la empresa, afectando su imagen de marca y la confianza de los clientes y la comunidad.

Costes financieros: La limpieza de la contaminación, las multas regulatorias y los litigios asociados con la fuga pueden resultar en costos financieros significativos para la empresa.

En este ejemplo, el riesgo de fugas de sustancias químicas está asociado con una serie de consecuencias adversas que podrían tener un impacto negativo en el medio ambiente, la salud pública, la reputación y las finanzas de la empresa. Por lo tanto, es vital para la empresa implementar medidas preventivas y de mitigación efectivas para reducir la probabilidad de que ocurran tales incidentes y para manejar adecuadamente las consecuencias si llegaran a suceder.

2. Probabilidad de ocurrencia

La probabilidad en este contexto es fundamental para entender la frecuencia o la posibilidad de ocurrencia de un evento de riesgo, lo que permite a las organizaciones anticipar y prepararse para posibles escenarios adversos. Esta evaluación de probabilidad puede basarse en datos históricos, análisis estadísticos, juicios de expertos, modelos predictivos y otros métodos de evaluación de riesgos. Además de considerar dependiendo de la información de partida disponibles y de la necesidad en profundizar en el análisis de riesgos, la estimación de la probabilidad puede ser cualitativa o cuantitativa. A continuación se muestra un ejemplo sencillo, del cálculo de la probabilidad cuantitativa:

El siguiente ejemplo se explica en el contexto de la Gestión de Calidad (ISO 9001):

Una empresa de fabricación quiere evaluar la probabilidad de que una máquina específica falle durante un mes determinado (proceso operativo). Para ello, realiza un análisis basado en la recopilación de datos históricos de la máquina durante los últimos dos años. Durante ese período, la máquina ha experimentado 5 fallos en un total de 60 meses. Ahora, para calcular la probabilidad de que la máquina falle en un mes dado, simplemente dividimos el número de veces que la máquina falló entre el total de meses analizados:

P = nº fallos/total meses

P = 5/60 = 0.0833

Por lo tanto, la probabilidad de que la máquina falle en un mes determinado es del 8.33%.

Existen numerosas técnicas para determinar la probabilidad en el análisis de riesgos, la elección de una u otra dependerá de las necesidades de la empresa, así como la disponibilidad de información y recursos que se puedan destinar a esta tarea.

3. Complejidad del evento, proceso o escenario

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):

Supongamos una cadena de suministro global que involucra múltiples proveedores, centros de distribución y clientes en diferentes regiones del mundo. La complejidad de esta cadena de suministro radica en las numerosas interacciones y dependencias entre los diferentes actores y en la variedad de factores que pueden influir en su funcionamiento, como la disponibilidad de materias primas, las condiciones climáticas, los costos de transporte y las regulaciones gubernamentales.

Un riesgo potencial en esta cadena de suministro podría ser un desastre natural, como un terremoto, que afecte a una región donde se encuentran varios proveedores clave. Este evento podría interrumpir la producción y el suministro de materias primas, lo que a su vez podría afectar la capacidad de producción y la entrega de productos a los clientes finales en otras partes del mundo. La complejidad de la cadena de suministro aumenta la dificultad de anticipar y mitigar este tipo de riesgos, lo que resalta la importancia de tener en cuenta la complejidad en el análisis de riesgos aplicado a sistemas de gestión.

4. Las interrelaciones entre eventos, procesos o actividades

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):

Imaginemos una compañía de fabricación que produce automóviles. Esta empresa depende de varios proveedores para suministrar piezas clave, como motores, transmisiones y sistemas de frenos. Ahora, supongamos que uno de los proveedores principales experimenta una interrupción en su cadena de suministro debido a una huelga de trabajadores.

Esta interrupción puede tener múltiples interrelaciones en el sistema de gestión de la compañía de fabricación de automóviles:

- La producción puede detenerse temporalmente, lo que afecta la entrega de vehículos a los clientes.

- Los retrasos en la entrega pueden generar insatisfacción entre los clientes, dañando la reputación de la compañía.

- Los problemas de producción también pueden tener un impacto en la cadena de suministro de otros proveedores, creando una cascada de interrupciones en toda la red.

Este ejemplo ilustra cómo las interrelaciones pueden tener efectos significativos en un sistema de gestión y subraya la importancia de considerar estas interconexiones al realizar análisis de riesgos y desarrollar estrategias de mitigación adecuadas.

5. Factores temporales y de volatilidad

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):

Supongamos que un fabricante de dispositivos electrónicos depende de varios proveedores de componentes clave para ensamblar sus productos. En un mercado altamente volátil, los precios de los componentes pueden fluctuar significativamente en un corto período de tiempo debido a factores como la demanda del mercado, la disponibilidad de materias primas y los cambios en las regulaciones comerciales.

La volatilidad en los precios de los componentes puede representar un riesgo para el fabricante, ya que puede afectar los márgenes de ganancia y la viabilidad económica de sus productos. Para mitigar este riesgo, la empresa podría implementar estrategias como la diversificación de proveedores, la celebración de contratos a largo plazo con precios fijos y la vigilancia constante del mercado para anticipar cambios en los precios y tomar medidas correctivas de manera oportuna.

6. Eficacia de los controles existentes

Para entender mejor el concepto se va a considerar el siguiente ejemplo en base al sistema de gestión de calidad (ISO 9001):

Una institución financiera que tiene controles establecidos para prevenir el fraude en las transacciones realizadas por sus clientes. Estos controles incluyen medidas de verificación de identidad, monitoreo de transacciones sospechosas y capacitación del personal en detección de fraudes.

Para evaluar la eficacia de estos controles, la institución financiera puede llevar a cabo auditorías periódicas y revisiones de sus procedimientos internos. Durante estas evaluaciones, pueden descubrir que algunas medidas de verificación de identidad son obsoletas y pueden ser eludidas fácilmente por los estafadores. Además, el monitoreo de transacciones podría no estar siendo lo suficientemente proactivo para detectar actividades fraudulentas.

Con esta información, la institución financiera puede tomar medidas correctivas, como actualizar sus procedimientos de verificación de identidad y mejorar la capacidad de detección de fraudes en tiempo real. Al hacerlo, fortalecerán su sistema de gestión de riesgos y reducirán la probabilidad de que se produzcan eventos adversos relacionados con el fraude.

7. Niveles de sensibilidad y confianza

El siguiente ejemplo se basa en sistema de gestión de calidad (ISO 9001):

Una empresa de tecnología de la información gestiona datos confidenciales de clientes, incluida información financiera y personal. Los niveles de sensibilidad y confianza en este contexto podrían determinar cómo se gestionan y protegen estos datos críticos.

Los datos financieros y personales de los clientes se consideran altamente sensibles debido al riesgo de robo de identidad y fraude financiero asociado. Por lo tanto, estos datos tienen un nivel alto de sensibilidad que requiere medidas de protección más rigurosas.

La confianza del cliente en la seguridad y privacidad de sus datos es fundamental para el éxito continuo del negocio. Un incidente de seguridad que comprometa la confidencialidad de los datos podría tener consecuencias graves en términos de pérdida de clientes y daño a la reputación de la empresa.

En este ejemplo, la empresa implementa controles de acceso estrictos, cifrado de datos, monitoreo continuo y auditorías de seguridad para proteger la sensibilidad de los datos y mantener la confianza del cliente. Al considerar los niveles de sensibilidad y confianza, la empresa puede tomar decisiones informadas sobre la gestión de riesgos y garantizar la protección adecuada de los activos críticos del negocio.

8. Grado de incertidumbre

El siguiente ejemplo se basa en sistema de gestión de calidad (ISO 9001):

Una empresa de transporte que opera una flota de camiones para entregar mercancías a nivel nacional. El grado de incertidumbre en su sistema de gestión de riesgos puede aumentar durante la temporada de invierno, donde las condiciones climáticas impredecibles, como las nevadas y las tormentas, pueden afectar la seguridad y la eficiencia de las operaciones de transporte.

La incertidumbre asociada con las condiciones climáticas invernales hace que sea difícil para la empresa prever con precisión cómo afectarán estas condiciones a las rutas de entrega, los tiempos de tránsito y la disponibilidad de conductores. Como resultado, la empresa debe tomar decisiones sobre la asignación de recursos, como equipos de nieve y hielo, capacitación del personal y ajustes en las rutas, con un nivel de incertidumbre en mente.

La capacidad de la empresa para gestionar eficazmente los riesgos asociados con la incertidumbre climática invernal determinará su capacidad para mantener la continuidad del negocio y satisfacer las expectativas de los clientes. Por lo tanto, es crucial que la empresa considere el grado de incertidumbre al desarrollar estrategias de gestión de riesgos que mitiguen los impactos adversos de las condiciones climáticas cambiantes.

9. Opiniones, percepciones y valoraciones

El siguiente ejemplo se basa en sistema de Gestión de seguridad y Salud (ISO 45001):

En una empresa que busca obtener la certificación ISO 45001, se realiza un análisis de riesgos para identificar y evaluar los peligros asociados con las operaciones diarias. Durante el proceso de análisis, se llevan a cabo sesiones de consulta con los trabajadores de diferentes departamentos para recopilar sus opiniones y percepciones sobre los riesgos en sus áreas de trabajo.

Un trabajador del departamento de producción señala que la falta de mantenimiento preventivo en ciertas máquinas representa un riesgo significativo de accidentes. Su percepción se basa en observaciones directas y experiencias previas con incidentes relacionados con la maquinaria. Esta información es valorada y se incorpora al informe de análisis de riesgos, lo que lleva a la implementación de un programa de mantenimiento preventivo más riguroso para abordar este riesgo específico.

En este ejemplo, las opiniones y percepciones de los empleados contribuyen directamente a la identificación y mitigación de riesgos, lo que fortalece el sistema de gestión de seguridad y salud ocupacional de acuerdo con los requisitos de la norma ISO 45001.

10. Documentación y comunicación

El siguiente ejemplo, dependiendo cómo se enfoque puede englobarse tanto en el sistema de Gestión de Seguridad y Salud (ISO 45001) como en el de Gestión Ambiental (ISO 14001):

En una empresa de manufactura de productos químicos, se lleva a cabo un análisis de riesgos para identificar posibles peligros asociados con los procesos de producción y las sustancias químicas utilizadas. Después de completar el análisis, se genera un informe detallado que documenta los riesgos identificados, las evaluaciones de riesgos realizadas y las medidas de control recomendadas.

Este informe se comunica a todas las partes interesadas relevantes, incluidos los trabajadores de la planta, los supervisores de seguridad, los gerentes de producción y los reguladores gubernamentales. La comunicación se realiza a través de reuniones, sesiones informativas, correos electrónicos y documentos impresos.

La documentación y la comunicación efectiva de los riesgos permiten que todas las partes interesadas estén informadas y alineadas en relación con la gestión de riesgos en la empresa. Además, proporciona un punto de referencia claro para futuras evaluaciones y revisiones de riesgos, lo que contribuye a la mejora continua de los procesos de gestión de riesgos en la organización.

[Continue reading...]

Análisis de escenarios como herramienta de Gestión de Riesgos aplicada a los Sistemas de Gestión

El análisis de escenarios es una técnica utilizada para conocer las posibles consecuencias que puede llegar a tener la empresa considerando varios escenarios a medida que pasa el tiempo. En este artículo os explicaré en qué consiste y cómo podéis aplicarla en vuestra empresa, además de mostraros un ejemplo práctico basado en el sistema de gestión basado en la norma ISO 9001. El análisis de escenarios es una de las técnicas propuestas en la norma ISO 31010:2018 "Técnicas de Gestión de Riesgos", norma recomendada en las normas ISO de Sistemas de Gestión.

La sociedad, la legislación y las necesidades de los clientes experimentan cambios constantes con el transcurso del tiempo. En respuesta, las empresas deben mantenerse flexibles y adaptarse a estas transformaciones para satisfacer las demandas y expectativas de sus clientes. Es fundamental anticiparse a los posibles riesgos que puedan surgir y prepararse para los cambios que puedan influir en su entorno operativo. Por esta razón, es necesario realizar un análisis exhaustivo para comprender hacia dónde se dirige la empresa y qué medidas deben implementarse para estar preparados ante cualquier eventualidad. Es en este punto donde entra en juego la técnica de análisis de escenarios.

A través de este análisis, es posible visualizar diversos escenarios futuros y evaluar los riesgos asociados a cada uno de ellos. Esto permite identificar y comprender mejor las posibles amenazas y oportunidades que podrían surgir en el horizonte temporal de la empresa, desarrollando fortalezas que minimicen los riesgos asociados a estos cambios.

¿En qué consiste?

El análisis de escenarios se concibe como un conjunto de técnicas destinadas a desarrollar modelos que permitan visualizar posibles futuros. Consiste en definir un contexto posible y considerar los diversos eventos que podrían ocurrir, así como observar su evolución a lo largo del tiempo.

Dependiendo del horizonte temporal, los escenarios planteados pueden variar:

- A corto plazo, se utiliza para investigar las consecuencias de un evento que inicia una serie de sucesos que pueden comportar ciertos riesgos. Estos escenarios se pueden plantear en base a la extrapolación de eventos pasados. Por ejemplo, se puede utilizar para planificar cómo actuar ante una interrupción de funcionamiento de una línea de producción porque una máquina se ha estropeado.

- A medio o largo plazo, se requiere la creación de escenarios creíbles y realistas para nuestra empresa, seguido del análisis exhaustivo de todos los riesgos potenciales asociados a estos escenarios hipotéticos. El análisis de escenarios a largo plazo ayuda en la planificación de los cambios que puedan suceder en el futuro como puede ser cambios en la tecnología, en las preferencias de los clientes, actitudes sociales...

Como se mencionó anteriormente, el propósito de analizar diferentes escenarios es estar preparado para posibles cambios que puedan surgir en la empresa, especialmente en relación con su entorno. 

Algunos de los cambios más comunes que enfrentan las empresas en el tiempo incluyen:

- Las innovaciones tecnológicas. La adopción de nuevas tecnologías, equipos o maquinaria que permitan la automatización de procesos o la fabricación de nuevos productos.

- Las decisiones futuras como la apertura de nuevas sucursales o la expansión a nivel internacional, cuyos resultados pueden variar ampliamente.

- La evolución de las necesidades y objetivos de las partes interesadas. Por ejemplo, la creación de productos que satisfagan las demandas emergentes de los clientes.

- Los cambios en el contexto externo como modificaciones en la legislación que afecta a la empresa.

- Las dinámicas internas como la necesidad de capacitación especializada del personal o la rotación del mismo.

Esta técnica NO PUEDE predecir las probabilidades de cada uno de los cambios pero SÍ QUE PUEDE considerar las consecuencias y ayudar a las empresas a estar preparadas para desarrollar acciones que puedan mitigar los riesgos ocasionados por los posibles cambios que puedan producirse con el tiempo.

¿Quién lo debe realizar?

Es importante que el equipo encargado de aplicar este análisis sea un grupo de partes interesadas con diferentes intereses y experiencia, además de un amplio conocimiento de los procesos de la empresa. Deben ser capaces de:

- Crear un escenario realista teniendo en cuenta el contexto de la organización a corto, medio y largo plazo.

- Identificar todos los riesgos asociados a ese escenario asociados al contexto, objetivos y procesos de la empresa.

- Analizar cómo podría variar la significancia de los riesgos identificados con el tiempo.

¿Qué pasos hay que seguir para realizar el análisis de escenarios?

Para aplicar el Análisis de Escenarios como herramienta de Gestión de Riesgos en los Sistemas de Gestión, se pueden seguir los siguientes pasos:

Identificar los objetivos del análisis. Es fundamental comprender qué se espera lograr con el análisis de escenarios. Esto puede incluir la identificación de riesgos potenciales, la preparación para cambios en el entorno empresarial o la evaluación de posibles oportunidades.

Definir el alcance del análisis. Determinar qué aspectos del sistema de gestión se van a analizar y qué variables se considerarán en los escenarios.

Reunir información relevante. Recopilar datos sobre el entorno empresarial, tendencias del mercado, cambios regulatorios, avances tecnológicos y cualquier otro factor que pueda influir en el sistema de gestión y sus riesgos asociados. A largo plazo, además de lo anterior, se deberá disponer de personas que dispongan de gran experiencia técnica.

Identificar los escenarios. Basándose en la información recopilada, desarrollar una serie de escenarios posibles que representen diferentes situaciones futuras que podrían afectar al sistema de gestión y a la organización en general. Se pueden utilizar conjuntos de escenarios que reflejen, el mejor caso, el peor caso y el caso esperado.

Evaluar los riesgos en cada escenario. Analizar los riesgos potenciales asociados con cada escenario identificado. Esto implica identificar las posibles amenazas, evaluar su impacto y probabilidad de ocurrencia, y determinar las medidas de control existentes o necesarias para mitigar los riesgos.

Priorizar los riesgos. Clasificar los riesgos identificados según su nivel de impacto y probabilidad, priorizando aquellos que representen las mayores amenazas para el sistema de gestión y la organización en su conjunto.

Desarrollar estrategias de respuesta. Una vez identificados y priorizados los riesgos, desarrollar estrategias de respuesta adecuadas para cada escenario. Esto puede incluir la implementación de controles adicionales, la asignación de recursos para la mitigación de riesgos o la preparación de planes de contingencia.

Monitorear y revisar. Es importante monitorear de cerca el entorno empresarial y los cambios en los escenarios identificados. Además, revisar periódicamente el análisis de escenarios y ajustar las estrategias de respuesta según sea necesario para garantizar la efectividad continua de la gestión de riesgos.

Elaboración de un informe. El informe debe contener la siguiente información:

- Introducción. Debe proporcionar un resumen del propósito del análisis de escenarios, los objetivos del informe y el alcance del estudio.

- Descripción de la metodología. Describe cómo se llevó a cabo el análisis de escenarios, incluyendo la recopilación de datos, las fuentes utilizadas, los modelos o herramientas empleadas y los criterios de selección de escenarios.

- Escenarios Considerados. Enumera y describe detalladamente cada uno de los escenarios analizados, incluyendo su plausibilidad, contexto y variables clave consideradas.

- Historias de Escenarios. Presenta una narrativa para cada escenario, describiendo cómo se desarrollaría la transición desde el presente hasta el escenario en cuestión. Se deben incluir los efectos potenciales, tanto beneficiosos como perjudiciales, y se pueden agregar detalles plausibles que enriquezcan la comprensión del escenario.

- Efectos de Políticas o Planes. Ofrece una comprensión de los posibles impactos de políticas o planes específicos en cada uno de los escenarios considerados.

- Lista de Riesgos Emergentes. Identifica y enumera los riesgos que podrían surgir en cada escenario, junto con una evaluación preliminar de su probabilidad e impacto.

- Indicadores Clave de Riesgo. En algunas aplicaciones, se pueden incluir listas de indicadores clave que podrían señalar la aparición o evolución de riesgos específicos en cada escenario.

- Conclusiones y Recomendaciones. Resume las principales conclusiones derivadas del análisis de escenarios y proporciona recomendaciones para la gestión de riesgos y la toma de decisiones estratégicas basadas en los hallazgos.

- Referencias. Incluye cualquier referencia bibliográfica o fuente de datos utilizada durante el proceso de análisis de escenarios.

- Anexos. Puede contener información adicional, como datos de entrada, resultados detallados de los modelos utilizados o cualquier otra información relevante que complemente el informe principal.

El informe debe ser claro, conciso y fácil de entender para los destinatarios, y debe proporcionar una visión completa de los escenarios considerados y sus implicaciones para la gestión de riesgos en los sistemas de gestión.

En la siguiente tabla disponéis de un breve resumen de lo descrito anteriormente:

Ejemplo de informe de análisis de escenarios de un supuesto en base a la norma ISO 9001

1. Introducción

El presente informe detalla el análisis de escenarios realizado conforme a los requisitos de la norma ISO 9001, con el objetivo de identificar posibles riesgos y oportunidades para el sistema de gestión de calidad de la empresa.

2. Metodología

El análisis de escenarios se llevó a cabo mediante la recopilación de datos históricos, entrevistas con el equipo de gestión de calidad y el uso de herramientas de modelado para simular diferentes situaciones futuras. Se seleccionaron tres escenarios principales: el mejor caso, el peor caso y el escenario esperado.

3. Escenarios Considerados

Mejor Caso: Se considera un escenario en el que la empresa experimenta un aumento significativo en la satisfacción del cliente, una reducción en los costos de producción y un aumento en la eficiencia de los procesos. Todos los indicadores de desempeño cumplen con los objetivos establecidos por la norma ISO 9001.

Peor Caso: Este escenario contempla una disminución en la satisfacción del cliente debido a problemas de calidad, un aumento en las quejas y reclamaciones, así como la pérdida de certificación ISO 9001 debido a incumplimientos graves en los procesos.

Escenario Esperado: Se prevé un escenario en el que la empresa mantiene su desempeño actual, con mejoras graduales en la eficiencia de los procesos y la satisfacción del cliente. Se enfrenta a desafíos y oportunidades típicas del entorno empresarial actual.

4. Historias de Escenarios

Mejor Caso: La empresa implementa nuevas tecnologías de vanguardia, lo que resulta en una mayor productividad y calidad. Se logran certificaciones adicionales y se expande a nuevos mercados.

Peor Caso: La empresa sufre una crisis de calidad debido a fallas en la cadena de suministro. Esto conduce a la pérdida de clientes y daña la reputación de la marca. Se requieren acciones correctivas urgentes para evitar la pérdida de la certificación ISO 9001.

Escenario Esperado: La empresa experimenta un crecimiento constante, manteniendo su enfoque en la mejora continua y la satisfacción del cliente. Se realizan ajustes en los procesos para adaptarse a los cambios del mercado.

5. Efectos de Políticas o Planes

Se identifican políticas y planes específicos para cada escenario, incluyendo acciones preventivas y correctivas, revisiones de procesos y estrategias de comunicación con los clientes y partes interesadas.

6. Lista de Riesgos Emergentes

Para cada escenario, se enumeran los riesgos potenciales que podrían surgir y se proporcionan recomendaciones para su mitigación.

7. Indicadores Clave de Riesgo

Se definen indicadores clave para monitorear la evolución de los riesgos identificados y tomar medidas preventivas según sea necesario.

8. Conclusiones y Recomendaciones

El análisis de escenarios destaca la importancia de la gestión proactiva de riesgos y la adaptabilidad del sistema de gestión de calidad. Se recomienda implementar medidas preventivas y estar preparados para abordar diferentes situaciones.

9. Referencias

Se hace referencia a la norma ISO 9001 y a fuentes de datos relevantes utilizadas durante el análisis.

10. Anexos

Se adjuntan datos adicionales, gráficos y modelos utilizados en el análisis de escenarios.

Este informe proporciona una visión detallada de los posibles futuros de la empresa y establece pautas para la gestión efectiva de riesgos y oportunidades en su sistema de gestión de calidad, conforme a los principios de la norma ISO 9001.

[Continue reading...]