sábado, 31 de marzo de 2018

LA RELEVANCIA DE LA POLÍTICA DE CALIDAD EN LA ISO 9001

Uno de los requisitos indispensables de la Política de Calidad es que los objetivos deben ser específicos, medibles y alcanzables en plazos de tiempo determinados.
La Política de Calidad se encuentra en la base del Sistema de Gestión de la Calidad, marca el punto de referencia para dirigir la empresa en la calidad, se convierte en un referente en el camino hacia la mejora continua y expresa, de forma básica, la necesaria implicación de la dirección en el sistema de gestión. Por todo esto, su relevancia es indiscutible.

En este artículo voy a exponer la relevancia y los requisitos de la Política de la Calidad, así como las cualidades que permiten que sea una herramienta eficaz para la mejora.

Relevancia y requisitos de la Política de Calidad.
La Política de Calidad se convierte en un elemento básico en el que se sustenta el Sistema de Gestión de la Calidad
La Política de Calidad crea un marco de referencia para establecer, así como revisar, los objetivos que la organización se propone alcanzar en materia de calidad.

La Política de Calidad es la representación física de la implicación de la dirección en el mantenimiento de este sistema, así como en la búsqueda de la calidad y la mejora continua. Teniendo esta idea como referencia ya tenemos clara la especial relevancia de este documento, pero si además le añadimos a esta imagen general el dato de que especifica los resultados que se pueden obtener y ayuda a que se empleen adecuadamente los recursos o herramientas que se encuentran a su alcance para lograrlos, su importancia se multiplica.

Y es que la Política de Calidad crea un marco de referencia para establecer, así como revisar, los objetivos que la organización se propone alcanzar en materia de calidad. Sin embargo, para que esta sea útil debe ser difundida y entendida por todo el personal de la organización ya que sino sólo será papel mojado. Además, debe estar revisada ya que de nada sirve si existe pero no está adaptada a la situación actual y debe estar formada por objetivos medibles.

Su importancia es tal que no debe ser vista como una simple declaración de intenciones, sino que debe tener en cuenta una serie de aspectos como pueden ser:
  • El grado que se espera o que sería deseable en la satisfacción del cliente.
  • Las futuras mejoras que serían claves para el éxito de la empresa.
  • El desarrollo de las personas que forman parte de la organización.
  • Las expectativas y las necesidades que las partes interesadas colocan sobre la empresa.
  • Alinearse con coherencia con la estrategia de la organización, así como con su visión de futuro.
  • Los objetivos de calidad deben ser enunciados de forma que pueda extenderse y difundirse por toda la empresa.
  • Debe ser una prueba del compromiso de la dirección hacia la calidad y demostrar la provisión de los recursos necesarios para alcanzarlos.
  • La mejora continua ocupará un lugar relevante en la política.
  • Los objetivos deben ser específicos, medibles y alcanzables en plazos de tiempo determinados.

La Política de Calidad como herramienta para la mejora.
La Política de Calidad suele ser un documento al que se le pone menor atención que a otros procedimientos o registros y sin embargo su relevancia es igual o mayor que estos. Y es que en muchas empresas tienen su Política de Calidad enmarcada y ocupando un lugar relevante en la pared pero, a parte de esto, no se le toma demasiado interés. Me explico: se toma casí como un elemento decorativo, en lugar de como una herramienta de alta eficacia, algo así como un mapa de objetivos a los que la empresa desea llegar en materia de calidad y para el que pone todos los medios.

No darle el valor que tiene a la Política de Calidad hará que el Sistema de Gestión de la Calidad de la empresa no tenga la misma fuerza que otro que si lo haga y que, por lo tanto, se tambalee en el camino hacia la calidad y la mejora continua.

Una última puntualización.
Por último, es interesante indicar que a la hora de crear la Política de Calidad es necesario que se tenga especial cuidado en no cometer determinados fallos que pueden convertir en inútil este documento, como puede ser que no esté disponible, que no incluya objetivos necesarios o que incluya algunos que luego no se desarrollan en el sistema, etc.

Tenemos que tener presente que la utilidad de esta herramienta radica en que haya sido diseñada de forma correcta, se emplee de forma adecuada y se actualice a las nuevas necesidades, ya que sino se cumplen estos principios básicos y lógicos no se convierte en más que un documento sin valor.

Tomado de: https://www.sbqconsultores.es

viernes, 30 de marzo de 2018

ISO 14001 2015 ¿CÓMO REALIZAR LA TRANSICIÓN DESDE ISO 14001 2004?

Hoy en día ninguna organización se puede permitir el lujo de poner en riesgo su reputación haciendo caso omiso de su responsabilidad ambiental. 
Con la norma ISO 14001 de gestión ambiental se puede:
  • Cumplir de forma sistemática con las responsabilidades ambientales con el paso de tiempo
  • Diferenciar su organización y conseguir más ventas
  • Mejorar el rendimiento de la organización ahorrando recursos
Un Sistema de Gestión Ambiental basado en la norma ISO 14001 le ayuda a llevar a cabo un seguimiento y gestionar los recursos e impactos ambientales realizando una única operación local o un negocio general. Es la primera norma para establecer un sistema de gestión ambiental en el mundo. La ISO 14001 le ayudará a identificar y controlar como su organización afecta al medio ambiental y a poner en marcha diferentes políticas sólidas para preservar sus recursos y ahorrar dinero.

Algunos de los beneficios que nos ofrecen han obtenido como resultado la adopción e implementación de un sistema que cumple con la norma ISO 14001.

La norma ISO 14001 facilita:
  • Convertirse en un competidor mucho más sólido en el mercado
  • Una mejor gestión de sus recursos y minimizar los residuos ahorrando dinero
  • Cumplir con la legislación, lo que minimiza el riesgo de multas y publicidad negativa
  • Mejora la responsabilidad corporativa cumpliendo con los requisitos en la cadena de suministro
  • Motivar y comprender al personal con procesos internos mucho más eficientes
  • Ampliar las oportunidades de negocio al demostrar el cumplimiento.
Comparando la última versión de ISO 14001:2015 con ISO 14001:2004

La norma ISO 14001 2015 se basa en el Anexo SL, la nueva estructura de alto nivel que aporta un marco común para todos los sistemas de gestión ISO. Esto facilita el mantenimiento de la coherencia, alinea los diferentes sistemas de gestión, presenta cláusulas que combina con la estructura de alto nivel y utiliza un lenguaje sencillo y común para todas las normas ISO. Gracias a la nueva ISO 14001 2015 será más sencillo para las empresas incorporar un Sistema de Gestión Ambiental en los procesos de negocio y conseguir una mayor participación de la alta dirección. Nos basamos en el Anexo SL para aplicar el ciclo planificar, hacer, verificar y actuar. El ciclo PHVA se puede aplicar a todos los procesos y al Sistema de Gestión Ambiental en su conjunto.

Cláusula 4: Contexto de la organización

Es una nueva cláusula que aborda el concepto depreciado de la acción preventiva y, en parte, establece el contexto del Sistema de Gestión Ambiental. Cumple con todos los objetivos que se basan de forma conjunta en las cuestiones externas e internas de forma pertinente en la cláusula 4.1 con los requisitos de las partes interesadas en las cláusula 4.2 para ayudar a establecer el alcance del Sistema de Gestión Ambiental, en la cláusula 4.3 se debe señalar el término cuestión que abarca no sólo desde los problemas que pueden existir sino de la acción preventiva en las normas anteriores, además existen asuntos importantes para dirigir el Sistema de Gestión Ambiental, como puede ser el objetivo de aseguramiento de mercado que la empresa puede establecer. Es muy importante destacar que las cuestiones deberán incluir las condiciones ambientales en las que la empresa afecta o se ve afectada.

Cláusula 5: Liderazgo

La cláusula 5 establece requisitos para la alta dirección, que es la persona o grupo de personas que dirige y controla la empresa al más alto nivel. Es necesario tener en cuenta que si la empresa es objeto del Sistema de Gestión Ambiental es parte de una empresa mucho más grande, por lo que el término alta dirección se refiere a la empresa más pequeña. El propósito de los requisitos es que los altos mandos demuestren liderazgo y compromiso, además que sea posible la integración de la gestión ambiental en los procesos de negocio.

La responsabilidad específica de la alta dirección será establecer la política ambiental, y la norma ISO 14001 define las características y las propiedades que se deben incluir en la política. Se tienen que incluir compromisos específicos en el contexto de la empresa, más allá de los estrictamente exigido, como la protección del medio ambiente.

La cláusula establece diferentes requisitos a la alta dirección siendo referentes a la asignación y a la comunicación de las funciones, responsabilidades y autoridades para los que facilitan un Sistema de Gestión Ambiental eficiente.

Clausula 6: Planificación

La cláusula 6 presenta una mayor área de cambio para los usuarios de las versiones anteriores de la norma. Se trabaja con las cláusulas 4.1 y 4.2 para complementar la nueva forma de hacer frente a las acciones preventivas. Se centra en la empresa de desarrollo y utilización de un proceso de planificación para hacer frente a una serie de factores como al riesgo asociado a dichos factores.

Tomado de: https://www.isotools.org

lunes, 26 de marzo de 2018

LA NUEVA ISO 45001:2018 SEGURIDAD Y SALUD EN EL TRABAJO

Desde niños hemos escuchado que la salud es lo más importante de la vida. Sin embargo, la juventud es esa época de la vida en que nos consideráramos invulnerables, casi inmortales. 
La toma de riesgos a temprana edad parece ser el mandato, y muchos de los aprendizajes se dan gracias a los errores, al dolor. Pero el camino del dolor puede llevar a la destrucción total o parcial. Entonces debemos recorrer otro camino: el autocuidado.

En los últimos años los temas de seguridad y salud en el trabajo han llegado con mucha fuerza a las empresas (lugar en el que pasamos casi la mitad de nuestro tiempo consiente), y en general, su enfoque de aplicación ha sido la obligación. Las empresas imponen la seguridad y salud a los trabajadores para evitar demandas que les puedan hacer perder millones.

Algunas de las estadísticas reportadas sobre la problemática de seguridad y salud en el trabajo son:
  • “Según el Congreso Mundial sobre Seguridad y Salud en el Trabajo, hay 860 000 accidentes laborales por día, con consecuencias en términos de lesiones. El costo directo o indirecto de las enfermedades ocupacionales y los accidentes en el trabajo se estima en USD 2,8 billones en todo el mundo”. [isofocus2015]
  • “Las últimas estimaciones de la Organización Internacional del Trabajo (OIT) muestran que, cada día, más de 7 600 personas mueren como resultado de actividades laborales (es decir, más de 2,78 millones al año) y más de 370 millones de accidentes ocurren en el trabajo anualmente. La carga para los empleadores y los empleados es inmensa, lo que genera pérdidas para la economía en general debido a las jubilaciones anticipadas, la ausencia del personal y el aumento de las primas de seguro.” OIT.
  • Pero el autocuidado, es decir, la aplicación del PHVA (Planear, Hacer, Verificar, Actuar) a la seguridad y salud, dirigida desde el propio trabajador, no se ha logrado completamente.
Esa debe ser la meta del nuevo modelo ISO 45001.

ISO 45001 tiene su origen en la BS 8800 de 1996 y posteriormente convertida  en la mundialmente reconocida, OHSAS 18001 en 1997 con una actualización en 2007.

Desde siempre nos han preguntado por qué OHSAS 18001 (modelo de seguridad y salud en el trabajo más conocido) no es una norma ISO, ISO 18001. La razón es que desde su inicio esta norma fue elaborada por BSI British Estándar International, quien de manera unilateral lideró este modelo. Después de varios intentos, hace unos pocos años se logró un acuerdo con ISO para tener un modelo único, e inició la elaboración de la nueva ISO 45001 por medio del comité ISO / PC 283. En la elaboración de la nueva norma se invitaron a los trabajadores representados por la OIT (Organización Internacional Para el Trabajo).

La aparición de la  nueva norma tardó más de lo esperado debido a las profundas discusiones entre “empleadores” y “trabajadores”. Sobre cómo determinar y balancear la responsabilidad de la seguridad y salud en el trabajo y las consecuencias que se derivan.

Podemos ver en acta 331 de enero de 2018 algunos de los temas de discusión entre la OIT e ISO:
  • La nueva ISO 45001 agregó una nueva capa a la multiplicidad de instrumentos existentes que gestionan la seguridad y salud en el trabajo. (Requisitos legales y normativos).
  • Se aumenta la carga para las empresas en especial para las PYMES.
  • El modelo ISO 45001 no es apropiado para abordar problemas sociales más amplios que requerían procesos verdaderamente representativos para equilibrar los intereses contrapuestos de diferentes partes interesadas.
  • La ISO 45001 establecería normas de protección menos favorables para los trabajadores en lo que atañe a importantes principios de la seguridad y salud en el trabajo, como, por ejemplo, la potestad de alejarse de situaciones de peligro inminente y grave y el suministro del equipo y la capacitación necesarios en materia de seguridad y salud sin costo para los trabajadores.
Para las empresas que tenían ISO 9001 (sistema de gestión de calidad) e ISO 14001 (sistema de gestión ambiental), con las nuevas versiones 2015, era necesario tener el nuevo estándar ISO 45001 para lograr un sistema de gestión integrado armónico.

Inicia el proceso, pues,  de conocimiento del nuevo modelo y todas las actividades para que los entes acreditadores (organizaciones que garantizan la debida aplicación de la norma), den el aval a los organismos certificadores (organizaciones que van a cada empresa a realizar auditorías), con el fin de demostrar que las empresas cumplen con el nuevo modelo.

La IAF, (Foro Internacional de Acreditación siglas en inglés), es el máximo organismo a nivel mundial que regula a los entes acreditadores y ha emitido un documento en el que propone 3 años para la adopción de la norma ISO 45001:2018 y la desaparición de la OHSAS 18001:2007.

Tomado de: https://www.prismaconsultoria.com

sábado, 24 de marzo de 2018

LA FORMA MÁS PODEROSA DE HACER ANÁLISIS DE CAUSA RAÍZ

El análisis de causa raíz es un paso importante que permite a las compañías hacer los cambios correctos para prevenir que las fallas ocurran una y otra vez. 
A menudo nos encontramos en una situación en la que pensamos que hemos hecho un buen análisis de causa raíz pero nos encontramos con que los mismos incidentes vuelven a ocurrir. La pregunta es ¿por qué? ¿Será que no realizamos de forma correcta el análisis? o ¿será que implementamos las medidas preventivas incorrectas? ¿Cuál es la causa raíz de la falla en nuestro análisis de causa raíz?

¿Por qué preguntar cinco veces POR QUÉ?

El análisis de 5 porqués es una técnica simple y muy efectiva. Al preguntar de forma repetitiva POR QUÉ, se pueden ir descartando las capas de síntomas y así poder llegar a la causa subyacente real de un problema. A veces se requerirá menos de 5 preguntas antes de encontrar la cuestión relacionada con un problema. Algunos Directores de Calidad encuentran muy importante escribir exactamente 5 veces POR QUÉ. Si no lo haces, no están satisfechos, pero en realidad se trata de encontrar la causa raíz del problema y no importa cuántas veces te haces la pregunta. Es solamente una herramienta que puede ayudarte, no un dogma.

¿Cómo usar el análisis de los 5 POR QUÉ?

Los siguientes son algunos pasos sencillos para realizar un análisis de 5 POR QUÉs:
  1. Escriba el problema. Escribirlo te ayuda a formalizarlo y describirlo completamente. Si trabajas en equipo, escribirlo le ayudará a todos a enfocarse en el mismo problema.
  2. Pregúntate por qué ocurrió el problema – la causa – y escribe la respuesta.
  3. Pregúntate a ti mismo – mirando tu respuesta – nuevamente por qué ocurrió lo que tu respuesta plantea – el porqué de la causa.
  4. Nuevamente, pregúntate – mirando la respuesta – por qué ocurrió lo que la respuesta plantea.
  5. Hazte la pregunta tantas veces como sea posible hasta que el equipo esté de acuerdo con que la causa raíz real del problema ha sido identificada. Esto puede tomar menos o más que 5 POR QUÉs.


Ejemplo y plantillas de los 5 POR QUÉs

A continuación mostraremos un ejemplo de un análisis de los 5 POR QUÉs para un incidente en el que había vidrio en un producto terminado que se entregó a un cliente.
  1. ¿Por qué el cliente encontró vidrio en nuestro producto? Porque uno de los bombillos de la línea de producción #5 se rompió. Ahora, ya sabemos dónde ocurrió.
  2. ¿Por qué se rompió el bombillo? Porque el montacargas rompió el bombillo cuando el conductor estaba quitando el contenedor. Ahora ya sabemos quién fue el responsable de romper el bombillo.
  3. ¿Por qué es posible que el conductor rompiera el bombillo? Porque el espacio es demasiado estrecho para dar vuelta al montacargas.
  4. ¿Por qué el espacio es estrecho para dar vuelta al montacargas? Porque el bombillo está colgando de un cable demasiado largo.
  5. ¿Por qué el cable es tan largo? Porque lo diseñaron así, pero el largo podría adaptarse. Solución encontrada: Adaptar el largo del cable del bombillo.


PERO…
  1. ¿Por qué es posible que el vidrio se haya encontrado en el producto terminado? Porque el bombillo se rompió después del proceso de cedazo. No tenemos otra posibilidad de poner un cedazo en la línea 5.
  2. ¿Por qué no se paró la producción de acuerdo al procedimiento? Porque el conductor no conocía el procedimiento.
  3. ¿Por qué el conductor del montacargas no conocía el procedimiento? Porque no se entrenó al equipo en la política de vidrios.
  4. ¿Por qué no entrenamos a la gente en la política de vidrios? Porque pensamos que era obvio, puro sentido común. Segunda acción preventiva: entrenar periódicamente a todo el personal en la política de vidrios.

Abajo se encuentra un gráfico con uno de varios de los modelos que se puede usar:


Crear 5 POR QUÉs combinando este con el análisis de espina de pescado

El análisis de 5 POR QUÉs puede ser utilizado individualmente o como parte de un diagrama de espina de pescado o Ishikawa (ver el diagrama abajo para un ejemplo). Típicamente se inicia explorando el problema mediante el análisis de espina de pescado y luego se realiza un análisis de 5 POR QUÉs a cada uno de los componentes del diagrama de espina de pescado. ¡Al hacerlo de esta manera realmente se estará forzando a la organización para investigar profundamente y hallar así la causa raíz!


Beneficios de combinar los 5 POR QUÉs con la Espina de pescado

El análisis de 5 POR QUÉs combinado con la Espina de pescado presenta varios beneficios poderosos:
  • Le ayuda a identificar la causa raíz de un problema
  • Puede ayudar a determinar la relación entre las diferentes causas raíz de un problema
  • Es realmente una de las herramientas más sencillas que se puede usar
  • Es fácil de complementar con análisis estadísticos
  • Esta combinación garantiza que no se estará enfocando únicamente en una “hebra” del análisis, que es un riesgo al usar análisis de los 5 POR QUÉs.

Conclusión

El análisis de los 5 POR QUÉs es por si solo una herramienta muy poderosa, pero al combinarla con el análisis de Espina de pescado se logra la más poderosa combinación de análisis que se puede implementar para hallar la causa raíz.

Por Rob Kooijmans & Kitty Appels & Rob Kooijmans in Food SafetyQuality 7Traducción del artículo “The most Powerful way to perform Root Cause Analysis”. Del Blog: FOOD SAFETY EXPERTS
Tomado de: http://web.isolucion.com.co/

lunes, 19 de marzo de 2018

8D ¿CUÁLES SON LOS OCHO PASOS QUE SE DEBEN SEGUIR PARA RESOLVER PROBLEMAS?

Las 8D son las ocho disciplinas necesarias para resolver problemas. Esta es una de herramientas que más se utiliza para hacer frente y resolver algunos de los problemas que se producen con más regularidad en las organizaciones. 
Las 8D propone ocho pasos secuenciales que tenemos que seguir para resolver con éxito cualquier tipo de problema.

A dicho método se le denomina Resolución de problemas 8D, G8D o Global 8D.

¿Cuáles son los 8 pasos?

Los pasos que se deben seguir ante la aparición de un problema relevante son los siguientes:

Disciplina 1: formar un equipo de expertos que cubra todas las funciones. Es necesario que ser consciente de que un problema debe ser solucionado porque la gente que sepa del tema, por ello primeramente se debe generar un grupo con las personas que tengan experiencia en la actividad en cuestión, se puede hacer cargo de la responsabilidad y que sean capaces de ofrecer una solución correcta.

Disciplina 2: es necesario definir el problema. Después se tendrá que llevar a cabo una descripción detallada sobre el problema. Se pueden hacer uso de diferentes herramientas como los 5 por qués o 4W + 1H (qué, cuándo, quién, dónde y cómo).

Disciplina 3: es necesario implantar una acción provisional de contención. Si el problema es algo serio, antes de implantar la solución definitiva se propone establecer una solución rápida provisional que evite que el problema crezca hasta que se encuentre lista la solución definitiva.

Disciplina 4: identificar la causa raíz. Se tienen que buscar causas raíz sobre la generación de incidencias. Para llegar a la causa real se puede hacer uso de diferentes herramientas específicas de calidad.

Disciplina 5: determinar las acciones correctivas que se deben llevar a cabo. Antes se implementaron acciones provisionales para evitar que un problema parecido surja de nuevo mientras buscábamos la causa raíz. En ese momento debemos determinar cuál será la acción correctiva definitiva que elimine la causa raíz del problema. Esta etapa puede ser larga, y también influyen los recursos de los que disponga la organización, en ambos casos no hay que desistir.

Disciplina 6: implantar las acciones correctivas permanentes. Una vez que se han definido las acciones correctivas necesarias, se llevará a cabo la implantación por lo que resulta necesario tener el control para verificar que han sido eficaces y que no surge de nuevo el fallo.

Disciplina 7: prevenir que vuelva a aparecer un problema similar. Ahora que ya conocemos cómo y dónde se producen diferentes tipos de problemas estudiados, podemos extrapolar este tipo de mecanismos a otros procesos parecidos, se debe evitar la nueva aparición de fallos similares.

Disciplina 8: es necesario que se reconozcan los esfuerzos del equipo. Para acabar, se recomienda felicitar o recompensar de alguna forma al equipo de trabajo. Si se manejan bien estos procesos, es necesario que se aplique dicha metodología que servirá para incrementar la eficacia de la organización y para tener el personal mucho más implicado y contento con su trabajo diario.

El resultado que se obtiene al realizar todos estos pasos es que se produzcan menos incidencia y aumente la eficacia en las diferentes actividades. El 8D permite la mejora de productos, servicios y procesos, además establece una práctica estandarizar a seguir. De forma básica, lo que se busca es centrarse en el origen de cada problema mediante la determinación de la causa raíz para así poder implementar las soluciones necesarias para que san eficientes.

Es una herramienta de mucha utilidad, ya que se crea una estructura de trabajo que se encuentra sistematizada, se trabaja en equipo y se consigue un enfoque común. Como consecuencia se mejoran los sistemas de las empresas, se mejora el rendimiento y se previenen no conformidades y fallos en el futuro.

Como conclusión podemos recordar ciertos puntos:
  • La clave de la metodología de las 8D para focalizarse en hechos y no en opiniones.
  • Ser lo suficientemente disciplinados para seguir el proceso paso a paso.
  • Recordar que los resultados de un buen equipo son mayores a las disposiciones individuales.

Tomado de: https://www.isotools.org

AUDITORÍAS INTERNAS QUE AGREGAN VALOR, CÓMO LOGRARLO?

Ese proceso que tanta expectativa genera en las organizaciones debe trascender del mero requisito de las normas y pasar a ser ese esperado instrumento de mejora continua y valor agregado... Eso dice la literatura referenciada en las normas internacionales de gestión. Pero, y cómo lograrlo?
Por: Roberto Daniel Campo *

I.- AUDITORIA INTERNA Y COMO AGREGAR VALOR 

La Doctrina y la Historia reciente han generado en el Auditor Interno la obligación primordial de ser por función el "Control de Controles", o "Control de Excepción" pero los nuevos tiempos le imponen como premisa básica "Generar o Agregar Valor".
Ambos parecen ser Objetivos distintos pero en realidad se complementan fuertemente ya que en su esencia son formas de "Buscar la Verdad", ya que el control implica usar la verdad y se logra agregar valor exponiendo la verdad.

La verdad surge tanto en una Auditoría operativa, en una Auditoría financiera o en una Auditoría de investigación de Fraude. La idea más reciente de Auditoría integral nos remite a una idea de revisión completa en la que los distintos procesos de la Organización pueden ser auditados con una óptica de Independencia de Criterio y Objetividad, partiendo de un accionar veraz por parte del Auditor Interno.

II.- FORMAS QUE TIENE AUDITORIA INTERNA PARA GENERAR VALOR



Las siguientes son formas concretas que tiene la Auditoria Interna para Generar Valor Agregado:

1. Auditoria debe convertirse en un Agente o Motor de Cambio: Debemos dejar de poner énfasis en lo que salio mal citando errores, pasando a definir que procesos o acciones ayudarán a una Unidad de Negocios a operar efectivamente. Debemos ayudar a decidir que cambios deben ser hechos para mejorar la rentabilidad y el retorno de Activos, generando para ello Recupero de Costos, Alternativas de Ahorro o Ingresos no previstos. (inicio )

2. Auditoria debe focalizarce en los Riesgos del Negocio: Definir los Riesgos relevantes a los que están sujetos los distintos procesos de la Organización, posibilitando dedicar el recurso escaso de Auditoría a cubrir en forma aleatoria y por relevancia los riesgos a los que la Empresa está sujeta, manteniendo para ello un mapa actualizado de Pistas Claves de Auditoría.

3. Atacar Areas concretas con Problemas para Resolver: Relevar los distintos procesos de la Organización y definir los puntos de control que deberían mitigar problemas concretos para resolver, verificando las posibilidades de mejoras que se deberían implementar. 

4. Generar un Proceso de Mejora Continua en la Organización: Facilitar la implementación de un proceso en los que los aspectos a mejorar y las deficiencias de control detectadas generen por parte de las Áreas auditadas responsables, los respectivos Planes de Acción concretos que los remedien.

5. Conducir Auditorias Preventivas en la Organización: Anticipar que aspectos pueden afectar la Efectividad y la Eficiencia de la Organización, actuando preventivamente y logrando que sus eventuales efectos impacten de la mejor forma posible. La misión es pasar de una "Auditoría Detectiva" a una "Auditoría Preventiva".

6. Colaborar en Tareas Especiales y Temporarias de relevancia: Si bien se mantiene el criterio de mantener independencia de los aspectos operativos de la Organización, nadie mejor y de confianza como Auditoría Interna para participar de procesos Temporarios y Especiales como: Due Dilligence de Empresas, Implementaci´no de Controles SOX o participar entre otros en Proyectos de Autoevaluación de Controles. (inicio )

7. Colaborar en el mantenimiento del Gobierno Corporativo de la Organización. Participar en las reuniones de Alta Dirección donde se defina la participación en nuevos negocios y cual serán las Estrategias y los Riesgos a asumir, considerando su cobertura en el Plan Anual de Auditoria. Participar activamente en las reuniones del Comité de Auditoría y del Comité de Ética dando su opinión y recomendación fundamentada. Asimismo debe informar al Comité de Ética ante cualquier desavenencia con las Áreas de Negocios referidas a cual debe ser el umbral de Riesgos aceptable para un Proceso. 

III.- CONCLUSIÓN

Auditoría Interna va ampliando su función, pasando de los roles tradicionales de salvaguarda de Activos y cumplimiento de Normas, a un enfoque más proactivo de Generar Valor Agregado a la Organización, evaluando Efectividad y Eficiencia de los procesos y llegando al contenido más reciente que suma a las funciones anteriores la de ser un Asesor que evalúa Riesgos y colabora con la Alta Dirección en el cumplimiento de los Objetivos de Control. El mantenimiento de un Mapa de Pistas Claves de Auditoría hacen más efectivo nuestro trabajo, permitiendo focalizar nuestro esfuerzo y revisión en temas concretos y potenciales sobre los que tomando Acciones Preventivas y Oportunas se aportarán Mejoras a los dinstintos procesos de la Organización.

* Cr. Roberto Daniel Campo, Auditores Internos Asociados

Tomado de: http://auditoresinternosasociados.com

miércoles, 14 de marzo de 2018

LOS INDICADORES DE DESEMPEÑO EN LA NORMA ISO 39001

En el Sistema de Gestión de Seguridad Vial según la Norma ISO 39001, los indicadores de desempeño son clave para la mejora continua y la identificación, establecimiento, seguimiento y medición de los distintos objetivos.
La Norma ISO 39001, Sistema de Gestión de Seguridad Vial, es una herramienta centrada en proporcionar las directrices necesarias para que las empresas de cualquier sector que busquen reducir y eliminar la incidencia de muertes y lesiones graves derivadas de accidentes de tráfico durante el desarrollo de la actividad y en los viajes in itinere, cuenten con la base adecuada establecida desde la experiencia y conocimiento internacional.

De esta forma, establecer unos adecuados y eficaces indicadores de desempeño va a ser clave para la identificación, seguimiento y medición de los objetivos a cumplir, así como asentar las bases para la mejora continua.

En este artículo voy a hablar de los distintos indicadores de desempeño específicos para el sistema de gestión de seguridad vial.

Breve definición de los indicadores de desempeño de seguridad vial.
Ante todo, tenemos que partir de la definición de indicador de desempeño que nos aporta el propio sistema de gestión y que indica lo siguiente:
Factor medible, elemento o criterio que contribuye a la seguridad vial en el que una organización puede ejercer influencia, y que le permite determinar los impactos en la seguridad vial.
Cada uno de los indicadores de desempeño se convierten en elementos objetivos para medir la evolución de la empresa en el grado de alcance de las metas establecidas relacionadas con la seguridad vial, así como detectar tendencias que permitan identificar previamente aspectos concretos que, en un futuro, pueden convertirse en no conformidades o riesgos que ponga en juego la seguridad, calidad y mantenimiento de la vida de los trabajadores.

Si tenemos presente que si algo no se mide no se puede mejorar entenderemos de forma más concreta la importancia de estos indicadores de desempeño como elementos de medición proactiva y reactiva o marcadores de mejora, que tiene muy presentes en su identificación el contexto de la empresa, las necesidades y expectativas de las partes interesadas y los riesgos y oportunidades, entre otros elementos de entrada.

Para adaptar a la seguridad vial estas mediciones, los indicadores se dividen en distintas secciones que veremos a continuación, como son:
  • Exposición al riesgo
  • Resultado de seguridad vial
  • Indicadores intermedios
Exposición al riesgo y sus indicadores.
El Sistema de Gestión de Seguridad Vial según la Norma ISO 39001 indica que, teniendo presente el contexto, las partes interesadas  y los riesgos y oportunidades, es necesario considerar, identificar y establecer los indicadores relacionados con la exposición a los riesgos a los que está expuesta la empresa y, una vez realizado esto, adquirir información sobre ellos.

De esta forma, los indicadores de exposición al riesgo de seguridad vial se establecerán teniendo en cuenta factores como la distancia a recorrer, el volumen de tráfico en las vías que se emplean, los vehículos utilizados, el volumen de productos y/o servicios que la empresa realiza en relación con las vías de tránsito, etc.

Estos indicadores variarán, disminuyendo o aumentando, en razón a periodos de tiempo, épocas, usuarios, historial del conductor, estado del vehículo utilizado, transporte utilizado, etc.

Resultado de seguridad vial como medidor.
Como es lógico, tener en cuenta el histórico de accidentes producidos, heridas, coste humano y económico del accidente, etc. es clave para prevenir que se vuelvan a producir estas situaciones de emergencia. Sobre cada una de estos eventos se han tenido que recoger los distintos datos relacionados que, además de aportarnos una imagen real del accidente, nos permite identificar factores a tener en cuenta para futuras situaciones.

Este indicador tiene como objetivo  tratar de evitar, asentando las bases adecuadas, las pérdidas materiales, de productividad, costes externos adicionales, pérdidas económicas, así como costes humanos que se traducen en dolor, rehabilitación, tratamiento o situaciones fatales en última instancia.

Indicadores intermedios de seguridad vial.
Este grupo de elementos de medición reflejan una variedad compleja debido a que salen como resultado de la planificación, diseño y utilización segura de las vías de transporte, los productos y/o servicios, usuarios, etc.

De esta forma, la empresa tiene que tener en cuenta como base los siguientes aspectos para identificar estos indicadores intermedios:
  • Velocidad establecida en las vías de tráfico.
  • Diseño vial, especialmente teniendo presente la segregación, tráfico en dirección contrario, usuarios y edades de estos, zonas próximas industriales, residenciales o de servicios, intersecciones, pasos a nivel, etc.
  • Utilización de las distintas vías en función a los vehículos utilizados, conductor, usuario, carga, etc.
  • Utilización de equipos de seguridad, como cinturones, sistemas de retención infantil, cascos de bicicleta, chalecos reflectantes, etc.
  • En relación con el punto anterior, también hay que tener presentes las herramientas y tecnológica de refuerzo y ayuda a la conducción.
  • Velocidad segura en relación con el vehículo utilizado, tráfico, carga y condiciones climatológicas.
  • Condición del conductor, como fatiga, distracción, alcohol, drogas, estados depresivos, etc.
  • Planificación del viaje en relación con las necesidades del viaje, ruta elegida, vehículo, conductor, carga, horarios, etc.
  • Elementos de seguridad de los vehículos.
  • Inspecciones técnicas del estado de los vehículos.
  • Capacidad de carga y su aseguramiento en el interior y exterior del vehículo.
  • Carnet de conducir en relación con los vehículos utilizados, teniendo presente tanto las obligaciones legales como las establecidas de forma interna.
  • Retirada del vehículo y conductor no actos de las vías de tráfico a consecuencia, por ejemplo, de infracciones de tráfico.
  • Repuesta a accidentes y primeros auxilios después de que se produzcan.
  • Formación en respuesta a emergencias.
  • Recuperación y rehabilitación después de que se produzca el accidente.
Conclusiones.

Todo estos indicadores van a proporcionar una base esencial para la mejora de la seguridad vial y dibujarán de una imagen real para la motivación y la concienciación de los trabajadores y personal relacionado con la empresa, en materia como el uso de vías adecuadas, utilización de equipos personales de seguridad eficaces, conducción a una velocidad segura en relación con el vehículo, tráfico, carga y condiciones climatológicas, adecuada condición del conductor, planificación segura de todos los viajes, mantenimiento adecuado de los vehículos y sus elementos de seguridad, respuesta de accidentes y primeros auxilios cuando se producen, retirada efectiva de vehículos y conductores que no se encuentren aptos para realizar la actividad planificada, etc.

Para finalizar, como ya comente al principio, estos indicadores son aplicables a cualquier empresa, sin importar, sector, dimensiones, complejidad o área de actuación, sin embargo es necesario en muchos casos adaptar los indicadores de desempeño  a la realidad de la empresa ya que los listados anteriores marcan unos elementos mínimos, aunque no completos en algunos casos.

Tomado de: https://www.sbqconsultores.es

martes, 13 de marzo de 2018

LA EFICACIA DE LAS LISTAS DE COMPROBACIÓN EN AUDITORÍAS INTERNAS

Disponer de una lista de comprobación eficaz puede aportar una gran ayuda de cara a la realización de la auditoría interna como herramienta de calidad y mejora continua.
Siempre ha existido un debate sobre la importancia y la necesidad de utilización de las listas de comprobación en la realización de las auditorías internas, sin embargo hay que hacer una clara diferencia entre aquellas listas que aportan un esquema o guía a seguir y las que se convierten en una serie de preguntas a responder si o no.

Las listas de comprobación bien entendidas y diseñadas se convierten en una herramienta eficaz para la realización de la auditoría interna, debido a que si aportan pautas para su realización y permiten profundizar más ampliamente en aquellos elementos a mejorar o corregir. La gran diferencia entre una lista de comprobación eficaz y aquella que no lo es, es que la primera se convierta en una ayuda a la auditoría y no en un guión de la misma como es el caso de la segunda.  

En este artículo voy a hablar de las características de una lista de comprobación eficaz y su utilización durante el proceso de auditoría interna en cualquiera de sistemas de gestión existentes, como puede ser de la Norma ISO 9001:2015, Sistema de Gestión de la Calidad, ISO 14001:2015, Sistema de Gestión Ambiental, o ISO 27001, Sistema de Gestión de la Seguridad de la Información, por poner algunos ejemplos.

Características de las listas de comprobación.
Las listas de comprobación se convierten en herramientas eficaces en la realización de las Auditoría Internas siempre que se gestionen de forma correcta.
Como indicaba anteriormente, las listas de comprobación se convierten en una herramienta al servicio del auditor para que esta actividad se realice abarcando todos los puntos dentro del alcance de la auditoría interna.

Disponer de una lista de comprobación proporciona, en muchos de los casos, una mayor objetividad entre los distintos auditores que realizan la actividad debido a que aporta un mismo guión a seguir por todas las partes en forma de determinadas preguntas a contestar.

Junto con esto permiten una mejor distribución del tiempo disponible de cara a que no se dedique una parte excesiva del horario en la verificación del cumplimiento de los primeros requisitos y luego, en la última etapa, sea necesario realizar superficialmente la comprobación  del cumplimiento de otros puntos debido a la falta de tiempo.

Por otra parte, las listas de comprobación no aportan solamente ventajas sino que también conllevan un gran riesgo, debido a que pueden hacer que se caiga en la rutina y se conviertan en meros check-list a contestar de  SI/NO, no promoviendo que se registren las evidencias encontradas, por poner un ejemplo.

La eficacia de las listas de comprobación  se puede detectar en el carácter de las preguntas. Vamos a ver un ejemplo a continuación de dos tipos de preguntas que se corresponden a una ineficaz lista de comprobación y a una eficaz lista de comprobación:
  1. Pregunta ineficaz – ¿Tiene un procedimiento de Acciones Correctivas?
  2. Pregunta eficaz – En relación con las acciones correctivas y tomando como referencia cinco registros ¿las acciones para eliminar la causa se han realizado de forma eficaz?

Ambas preguntas son válidas, pero en el primero de los casos es posible contestarla sin revisar ningún registro y sin variar año tras año, por lo que no nos aporta ningún elemento para mejorar. En el caso de la segunda pregunta provoca que en cada auditoría interna se revisen los registros y se dispongan de evidencias de su cumplimiento más allá del mero procedimiento en sí, pasando del procedimiento a la actividad diaria de la empresa. Además, permite que cada año estas preguntas se maticen y se adapte a la realidad de la organización.

De esta forma, la Auditoría Interna no caería en la lectura del auditor de una serie de preguntas y promovería la exploración de las distintas respuestas que se producen durante esta actividad, convirtiéndose en una herramienta de mejora continua.

Algunos de los elementos necesarios para realizar una eficaz lista de comprobación son los siguientes:
  • Basar la lista de comprobación en los distintos procesos, utilizando para ello los modelos de procesos de los que he hablado anteriormente en el artículo “Los modelos de procesos en las auditorías de Normas ISO”
  • No solamente centrarse en los requisitos mínimos de la norma, sino que verificar la adecuación de las entradas de cada proceso y la eficacia de los resultados, para detectar elementos o aspectos de mejora.
  • Debe tener en cuenta la interrelación entre los distintos procesos de forma que se pueda realizar una adecuada trazabilidad de las pistas de auditoría.
  • Es necesario que los puntos o preguntas de las listas de verificación se centren en hechos y datos que permitan una verificación eficaz del cumplimiento, y no en simples respuestas de si/no.
  • Hay que adaptar las preguntas para situaciones específicas de acuerdo a las características de la empresa y de los procesos, incluyendo la terminología utilizada por esta.
  • Deben ser claras y no convertirse en un guión a leer, sino en una herramienta a seguir o guía del proceso a auditor a consultar. 

La utilización de las listas de comprobación en la auditoría interna.
Teniendo en cuenta todo lo indicado anteriormente, es necesario precisar que, como herramienta a emplear, será de gran utilidad en los primeros años del auditor sin embargo, una vez vaya adquiriendo experiencia, cada vez se consultará la lista de comprobación de forma más puntual, aunque siempre es interesante realizarla como guión y preparación de la auditoría.

Durante la auditoría interna, la lista de comprobación se puede emplear tanto en la técnica de desglose como para la técnica de trazado.

En el caso de la primera de estas herramientas, la técnica de desglose, se parte de una explicación por parte del auditado de un proceso concreto, y utilizando la escucha activa se van identificando los puntos clave para obtener más información. Una vez finalizado este paso el auditor vuelve sobre los puntos identificados, consultando los registros y procedimientos documentados y concluyendo el proceso con la revisión del resto de elementos menores. En este caso, la lista de comprobación es útil una vez el auditado a realizado la descripción del proceso ya que permite realizar preguntas y revisar los registros específicos de la actividad.

Por otra parte, la técnica de trazado permite avanzar hacia adelante o hacía atrás en el sistema de gestión, interrelacionando los distintos procesos. En esta técnica la lista de comprobación aporta el guión en cada una de las actividades para que no se quede ningún requisito por comprobar.

En ambos casos, es interesante que se realice una última pregunta general incluida dentro de la lista de comprobación para verificar que se han tratado todos los puntos del proceso o procesos auditados, de forma que se pueda incidir de una forma más específica en determinados aspectos que, si seguimos un check-list propiamente dicho, quedarían enmascarados y no permitirían identificar elementos de mejora.

Por último, es necesario precisar que la lista de comprobación se convierte en la guía para realizar una auditoría fluida en las que la participación del auditado es completa, viéndolo no como una respuesta de si/no a una serie de preguntas leídas o aprendidas de memoria por el auditor, sino en una herramienta que le motiva a aportar puntos a mejorar o elementos que aportan mayor valor al proceso y que no es posible identificarlos desde la mera revisión de la documentación.

Tomado de: https://www.sbqconsultores.es

APLICACIÓN DE LAS NORMAS ISO PARA LA CORRECTA GESTIÓN DE LAS TIC

La utilización de las herramientas adecuadas, es decir, de las Normas ISO que mejor se adapten a sus necesidades, le ayudará a mejorar su gestión de las TIC.
En la actualidad, la utilización de la Tecnología TIC es cada vez mayor y con ello también aumentan los riesgos asociados.

Para poder controlar todos estos riesgos que vienen unidos al aumento del uso de la tecnología, las empresas pueden utilizar una serie de herramientas que les permitirán controlar, prevenir y remediar los fallos de seguridad y dar una confianza y tranquilidad a los clientes que asegurará la fidelidad de estos y su continuidad en el negocio.

De esta forma, vamos a hablar en este post de algunas de estas herramientas que pueden adoptar las empresas que así lo deseen y de las ventajas que aportarán a las organizaciones que las implanten para asegurar que la gestión de las TIC se realiza de forma correcta y que se consiguen los máximos beneficios con la inversión realizada.

Gestión de las TIC en las empresas
Desde la década de los noventa, la utilización de las TIC se ha ido haciendo más relevante para la gestión de las empresas.
En la pasada década de los noventa aparecieron las TIC y esta innovación rápidamente se expandió por todo el tejido empresarial y por las administraciones públicas de todo el país. Pero en ese momento no se pudieron apreciar una serie de preocupaciones que en la actualidad si observamos y no se acompañó a las TIC con una serie de regulaciones de calidad que solucionarán los problemas de seguridad y confianza que iban unidos a las TIC y que surgían de su aplicación en las organizaciones.

Como solución inicial y parcial al problema anteriormente planteado, se utilizó la implantación y la certificación de la Norma ISO 9001, Sistema de Gestión de la Calidad, sin embargo, al no tratarse de una norma específica no se adaptaba correctamente a las necesidades que implicaban las TIC en las empresas.

Para que lo entendamos mejor, debemos pensar que la Norma ISO 9001 ofrece unas soluciones generalistas que, aunque son de gran utilidad para cualquier organización, no permiten resolver todas las demandas que las TIC necesitan. Es decir, las empresas deben adoptar unas herramientas más aptas y que se adapten mejor a la importancia, responsabilidad, espacio y competencia de las TIC en la empresa, dando resultados más adaptados a las necesidades de estas aplicaciones.

Sin perjuicio de lo anteriormente dicho, no debemos olvidar que las TIC y los responsables de su aplicación se configuran con un área más de la empresa, con unos objetivos empresariales claros y definidos por la dirección y, por lo tanto, deben de seguir el mismo concepto de calidad, seguridad, eficacia y eficiencia que el resto de la empresa.

Aplicación de la Norma ISO 27001 a la gestión TIC en las empresas
La Norma ISO 27001, junto con otras normas ISO, aportan soluciones adaptadas a las TIC y permiten su correcta gestión.
La Norma ISO 27001, Sistema de Gestión de la Seguridad de la Información, ayuda a la gestión correcta de las TIC en las empresas gracias a una mejora en el campo de la gestión, aportando una seguridad de la información de que dispone la empresa y que se convierte en un valor de gran importancia para la correcta gestión de la organización.

Tenemos que tener en cuenta que la consecución de un grado alto de seguridad es un valor altamente buscado por todas las empresas y disponer de un sistema que nos ayuda a ver los puntos débiles de nuestro sistema, corregir los errores en materia de seguridad de la información y evitar que estos se produzcan antes de que supongan un alto riesgo, aporta seguridad a nuestros clientes y, en definitiva, lucha por una gestión eficaz e eficiente de la seguridad de la información, es un punto en alta estima y un gran valor estratégico para cualquier empresa.

En definitiva, podemos resumir que la implantación de la Norma ISO 27001 o Sistema de Gestión de Seguridad de la Información ayuda a la gestión adecuada y eficaz de los riesgos existentes en los sistemas de información de la empresa y ayuda a aumentar la seguridad de los mismos. Estos dos factores conllevan la minimización de los posibles riesgos de las TIC y aumenta la confianza y, además, si lo unimos con las Normas que a continuación vamos a explicar, conseguirán que la empresa disponga y ofrezca unos servicios con una alta seguridad y calidad en el uso de las TIC.

Aplicación de otras Normas ISO a las TIC
Podemos dividir la aplicación de las herramientas adaptadas a las TIC en diferentes campos según la utilidad y finalidad con la que se han creado. En primer lugar, en el campo de la gestión, existen las siguientes herramientas:
  • La Norma ISO 27001 o Sistema de Gestión de la Seguridad de la Información que hemos visto anteriormente.
  • Y el Sistema de Gestión de Servicios TI SGSTI (UNE-ISO / IEC 20000 – 1).

Por otro lado, en el campo de las actividades enfocadas a la calidad del software disponemos del:
  • Modelo de evaluación, mejora y madurez del software SPICE ISO 15504
  • ISO 12207, Ciclo de vida de desarrollo del software
  • Sistema de Gestión de activos de software (Licencias de software) UNE-ISO 19770 – 1.
Adicionalmente, también se puede completar con:
  • ISO / IEC 29110 sobre perfiles del ciclo de vida para pequeñas entidades.
  • Familia de Normas ISO 25000 sobre Calidad del Producto de Software.
  • ISO / IEC 29119 sobre pruebas de software que todavía se encuentra en elaboración.
Por último, tenemos que tener en cuenta que todas estas normas tienen su base en el reconocido mundialmente esquema PHVA (Planificar – Hacer – Verificar y Actuar) y, por lo tanto, son perfectamente compatibles con otros modelos de gestión como el Sistema de Gestión de la Calidad según la ISO 9001 o el Sistema de Gestión Ambiental según la Norma ISO 14001.

Las Normas ISO están al alcance de cualquier empresa u organización, pública o privada, que quiera gestionar adecuadamente las TIC y aportar un valor añadido a la empresa frente a sus competidores y a sus clientes. Para la correcta aplicación de estas es aconsejable ponerse en manos de profesionales que, como SBQ Consultores, estudien las características de su empresa y sus necesidades y le aconsejen sobre la implantación de las herramientas que mayores beneficios le aporten, solucionen de una forma más completa y eficaz los problemas derivados de la aplicación de las TIC y solucione cualquier consulta que pueda tener sobre el tema que hemos tratado en este post.

Tomado de: https://www.sbqconsultores.es

lunes, 12 de marzo de 2018

¿CUÁLES SON LOS PRINCIPIOS DE LA NUEVA NORMA ISO 31000?

El principal objetivo de la gestión de riesgos es la creación y protección del valor. Mejora el rendimiento fomenta la innovación y apoya el logro de los objetivos.
Los principios que encontramos en la norma ISO 31000 proporcionan orientación sobre las características de eficiencia y eficacia en la gestión del riesgo, se comunica el valor y se explica la intención y el propósito. Los principios son la base para gestionar el riesgo y debe considerarse al establecer el riesgo de la organización marco de gestión y procesos. Los principios deben permitir que una empresa administre el efecto de la incertidumbre en los objetivos.

La gestión eficaz del riesgo requiere los elementos y se puede explicar de la siguiente forma:
  • Integrado. La gestión de riesgos es una parte integral de todas las actividades de la empresa.
  • Estructurado y completo. Un enfoque estructurado e integral de la gestión de riesgos que contribuye a la coherencia y a los resultados comparables.
  • Personalizado. El marco y el proceso de gestión de riesgos son personalizados y proporcionales al contexto externo e interno de la empresa relacionado con sus objetivos.
  • Inclusivo. La participación adecuada y oportuna de los interesados permite su conocimiento, puntos de vista y percepciones a considerar. Esto se traduce en una mejor conciencia y una gestión de riesgos informada.
  • Dinámico. Los riesgos pueden surgir, cambiar o desaparecer a medida que cambia el contexto externo o interno de la empresa. La gestión de riesgos anticipa, detecta, reconoce y responde a los cambios y efecto de una forma apropiada y oportuna.
  • La mejor información disponible. Las aportaciones a la gestión de riesgos se basan en información histórica y actual, así como en el futuro. La gestión de riesgos tiene en cuenta cualquier limitación e incertidumbre asociada a la información y expectativas. La información debe ser oportuna, clara y disponible para las partes interesadas relevantes.
  • Factores humanos y culturales. El comportamiento humano y la cultura influyen de forma significativa en todos los aspectos de la gestión del riesgo en cada nivel o etapa.
  • Mejora continua. La gestión del riesgo se mejora de forma continua mediante el aprendizaje y la experiencia.
Liderazgo

5.1 General 

El objetivo del marco de gestión de riesgos es ayudar a la organización e integrar los riesgos en actividades y funciones significativas. La eficacia de la gestión de riesgos dependerá sobre la integración en la gobernanza de la empresa, incluyendo la toma de decisiones. Esto requiere del apoyo de los interesados, en particular la alta dirección.

El desarrollo del marco abarca la integración, el diseño, la implantación, la evaluación y la mejora gestión de riesgos en toda la empresa. Se ilustra los componentes de un marco. La empresa debe evaluar sus prácticas y procesos de gestión de riesgos existentes, evaluar cualquier laguna y abordar las lagunas dentro del marco. Los componentes del marco y la forma en la que se trabajan juntos deben personalizarse para las necesidades de la empresa.

5.2 Liderazgo y compromiso 

Los órganos superiores de gestión y supervisión, en su caso, deberían garantizar que la gestión de riesgos se integra en todas las actividades de la empresa y debe demostrar liderazgo y compromiso por:
  • Personalizar e implantar todos los componentes del marco.
  • Emitir una declaración o política que establezca un enfoque, plan o línea de acción de gestión de riesgos, garantizar los recursos necesarios que se encuentran asignados a la gestión del riesgo.
Asignando autoridad, responsabilidad y rendición de cuentas a niveles apropiados dentro de la empresa. Esto ayuda a que la empresa:
  • Se alinee con la gestión del riesgo con los objetivos, estrategia y cultura.
  • Es necesario reconocer y abordar todas las obligaciones, además de los compromisos voluntarios.
  • Es necesario establecer la cantidad y el tipo de riesgo que puede o no tomarse para guiar el desarrollo del riesgo, asegurarse que sean comunicados a la empresa y sus partes interesadas.
  • Comunicar el valor de la gestión del riesgo a la empresa y sus partes interesadas.· Promover el control sistemático de los riesgos.
  • Garantizar que el marco de gestión de riesgos sigue siendo adecuado para el contexto de la empresa.
La alta gerencia es responsable de administrar el riesgo mientras que los órganos de supervisión son responsables de la supervisión de la gestión del riesgo. Se espera o se requiere que los órganos de supervisión:
  • Garanticen que los riesgos se tengan en cuenta de forma adecuada al establecer los objetivos de la empresa.
  • Comprendan los riesgos que enfrenta a la empresa en la búsqueda de los objetivos.·
  • Garanticen que los sistemas para gestionar dichos riesgos se implanten y funcionen de forma efectiva.
  • Garanticen que los riesgos sean apropiados en el contexto de los objetivos de la organización.
  • Garanticen que la información sobre tales riesgos y su gestión se comunique de forma correcta.
Tomado de: https://www.isotools.org