Manual de calidad paso a paso es un blog donde puedes encontrar información sobre las normas ISO 9001, ISO 14001, ISO 45001 e ISO 17025. Implantación y seguimiento. Elaboración de documentación. Adaptación a las nuevas versiones de las normas. Integración de sistemas de gestión. Gestión de riesgos. Foro de calidad. Auditorías internas. Asesoramiento online.

martes, 27 de febrero de 2024

Documentos y registros del Sistema de Gestión de Riesgos

En el siguiente artículo, mi objetivo es proporcionar una explicación estructurada sobre la documentación, registros e informes clave generados en las diversas actividades relacionadas con la gestión de riesgos en varios sistemas de gestión. Además, aprovecho la oportunidad para sugerir el contenido y la estructura que podría adoptar un informe de análisis de riesgos en este contexto.


El propósito de elaborar un registro y un informe de evaluación de riesgos es el de comunicar el nivel de riesgos asociados a las diversas actividades o procesos de la organización, junto con los resultados obtenidos de la evaluación efectuada. La comunicación de estos resultados se justifica por las siguientes razones:

- Facilitar la toma de decisiones. Es crucial que la dirección de la empresa disponga de información analítica sobre los riesgos identificados y evaluados. De este modo, al conocer el grado de riesgo inherente a cada posible decisión, se incrementan las posibilidades de seleccionar la más adecuada.

- Informar a las partes interesadas pertinentes sobre los riesgos asociados a las actividades de la organización y las acciones para mitigarlos. Por ejemplo, los accionistas deben estar al tanto de los resultados de la evaluación de riesgos para comprender la situación real de la empresa, así como los motivos detrás de la disminución de beneficios o el aumento de costos.

- Mediante la identificación y evaluación de los riesgos de cada actividad, se lleva a cabo un análisis que proporciona oportunidades de mejora y optimización. Esto no solo reduce el riesgo negativo potencial, sino que también mejora el proceso o la actividad en sí misma, lo que contribuye a su eficiencia y efectividad.

Metodología y frecuencia

La metodología para la elaboración de los diversos documentos vinculados a la gestión de riesgos en los sistemas de gestión debe ser claramente documentada, habitualmente en uno o varios procedimientos. Estos procedimientos deben detallar exhaustivamente cada actividad realizada, así como la información necesaria para llevar a cabo cada tarea, incluyendo los documentos generados en todo el proceso. Además, es fundamental especificar quién es el responsable de llevar a cabo cada tarea en cada caso, junto con la frecuencia con la que se registran o elaboran los diferentes documentos asociados.

Documentos y registros del Sistema de Gestión de Riesgos

Como se ha comentado anteriormente, en cada una de las actividades que se realizan para gestionar los riesgos en la organización, se generan varios documentos importantes que ayudan a identificar, evaluar, mitigar y monitorear los riesgos en una organización. A continuación, se presenta un listado de los documentos más importantes:

- Procedimientos de Gestión de Riesgos. Estos procedimientos constituyen documentos fundamentales que delinean los pasos y protocolos para la identificación, evaluación, tratamiento y monitoreo de los riesgos en la organización. En ellos, se detallan exhaustivamente las tareas a realizar, la metodología para su ejecución y el control de su desempeño. Asimismo, se especifica quién es responsable de cada tarea y qué documentos se generan en cada fase del proceso. En ocasiones, las empresas buscan simplificar estos documentos mediante la creación de esquemas o diagramas de flujo que contienen toda la información requerida; en tales casos, se sustituyen los procedimientos por fichas de proceso. El formato, identificación y codificación deberán seguir la metodología aprobada en el sistema documental de la organización.

- La Matriz de Riesgos consiste en un documento que enumera y clasifica los riesgos identificados, junto con su probabilidad de ocurrencia y el impacto potencial.

- La Evaluación de Riesgos es un informe que detalla los resultados de la evaluación de riesgos, incluyendo la metodología utilizada, los criterios de evaluación, y las conclusiones derivadas del análisis de riesgos.

- El Plan de Gestión de Riesgos consiste en la elaboración de un documento que describe las estrategias y acciones para gestionar y mitigar los riesgos identificados, incluyendo responsabilidades, plazos y recursos asignados.

- El Registro de Riesgos contiene información detallada sobre cada riesgo identificado, incluyendo su descripción, clasificación, nivel de riesgo, acciones tomadas y estado actual.

- Informes de Riesgos. Informes periódicos que proporcionan una actualización sobre el estado de los riesgos identificados, las acciones implementadas y cualquier cambio en la evaluación de riesgos.

- Protocolos de Comunicación de Riesgos son documentos que establecen cómo se comunican los riesgos identificados a las partes interesadas internas y externas, así como los protocolos para la divulgación de información relacionada con los riesgos. Habitualmente este documento se corresponde con un procedimiento incluido en el la metodología general de comunicación de la empresa.

- Análisis de Riesgos Específicos son documentos detallados que analizan riesgos específicos en áreas críticas de la organización, como seguridad laboral, seguridad informática, o impacto ambiental.

- Planes de Contingencia y Mitigación de los riesgos. Documentos que describen las acciones a seguir en caso de que ocurran eventos adversos significativos, con el objetivo de minimizar el impacto en las operaciones y la reputación de la organización.

- Revisiones y Auditorías de Riesgos. Informes y documentación relacionada con las revisiones periódicas y las auditorías internas y externas de la gestión de riesgos en la organización.

Estos son sólo algunos de los documentos clave que se generan en el contexto de la gestión de riesgos asociada a un sistema de gestión, si bien, la naturaleza y el alcance de los documentos pueden variar según las necesidades y la complejidad de la organización.

Estructura de un informe de evaluación de riesgos

Un informe de evaluación de riesgos en el contexto de los sistemas de gestión debería contener información detallada y estructurada que permita comprender claramente los riesgos identificados y evaluados. A continuación se muestra una propuesta de contenido que podría incluir un informe de evaluación de riesgos:

1. Introducción:

- Descripción del propósito del informe.

- Breve explicación del alcance y metodología utilizada en la evaluación de riesgos.

- Resumen de los hallazgos clave.


2. Contexto Organizacional:

- Descripción de la organización y su estructura.

- Identificación de los procesos, actividades o áreas evaluadas.


3. Metodología de Evaluación:




4. Resultados de la Evaluación:

- Lista de los riesgos identificados, clasificados por categorías (por ejemplo, financieros, operacionales, legales, etc.).

- Descripción de cada riesgo, incluyendo su naturaleza, causas potenciales y posibles consecuencias.

- Asignación de niveles de probabilidad e impacto para cada riesgo evaluado.

- Determinación del nivel de riesgo residual (después de la aplicación de medidas de control o mitigación).


5. Análisis y Discusión:

- Interpretación de los resultados de la evaluación.

- Identificación de tendencias o patrones significativos en los riesgos evaluados.

- Discusión sobre las implicaciones de los riesgos identificados para la organización y sus partes interesadas.


6. Medidas de Control y Mitigación:

- Descripción de las medidas existentes para controlar o mitigar los riesgos identificados.

- Evaluación de la efectividad de las medidas actuales.

- Recomendaciones para implementar nuevas medidas de control o mejorar las existentes.


7. Responsabilidades y Cronograma:

- Asignación de responsabilidades para la gestión continua de los riesgos.

- Establecimiento de un cronograma para la implementación de medidas de control y seguimiento de los riesgos.


8. Conclusiones y Recomendaciones:

- Resumen de los principales hallazgos y conclusiones de la evaluación.

- Recomendaciones para mejorar la gestión de riesgos en la organización.


9. Anexos:

- Documentación adicional, como matrices de riesgos, registros de riesgos, análisis de causa raíz, entre otros.

Un informe bien elaborado proporciona una base sólida para la toma de decisiones y la gestión efectiva de riesgos en la organización. Es importante que el informe sea claro, conciso y fácilmente comprensible para todos los interesados involucrados en el proceso de gestión de riesgos.

Acceso y archivo

La metodología a seguir para diseñar, aprobar, realizar el seguimiento, archivar y conservar esta documentación debe seguir el mismo criterio que la demás documentación del sistema. Cabe decir que es información delicada y debe estar protegida y de acceso restringido para la mayoría de las partes interesadas. Se deberá establecer los criterios de acceso y consulta a la información asociada con esta documentación.

En la tabla siguiente se puede visualizar todos los aspectos comentados en este artículo:


En la elaboración de este artículo, me he fundamentado en los principios delineados en el apartado 6.7 "Registro e Informe" de la norma ISO 31000:2018. Dicha norma sugiere los elementos de la gestión de riesgos que deben ser documentados, así como el contenido esencial que debería incluirse en el informe que presenta los resultados de la evaluación de riesgos realizada durante un periodo específico.

0 comments:

Publicar un comentario

 
Copyright © . Manual de gestión de calidad paso a paso - Posts · Comments
Theme Template by BTDesigner · Powered by Blogger
Visítenos en Google+