lunes, 7 de mayo de 2018

ISO 31000:2018: UN ESTÁNDAR RENOVADO Y SIMPLIFICADO PARA LA GESTIÓN DE RIESGOS

Esperábamos la publicación de la revisión de ISO 31000 para diciembre de 2017, pero esto definitivamente no sucedió. Al final, la norma será bautizada ISO 31000:2018.
Ha sido si duda, uno de los estándares ISO más esperados, y en gran medida a ello ha contribuido el accidentado camino que ha debido recorrer ISO 31000:2018 pero también las novedades que promete en materia de gestión y tratamiento del riesgo.

ISO 31000:2018 será un estándar renovado y moderno, pero simple y fácil de aplicar. Pero ¿cuáles son esos aspectos que hacen tan particular esta revisión?, ¿cómo puede la nueva versión de este estándar contribuir a que el futuro nuestro y de nuestras organizaciones sea más seguro?… veamos:

ISO 31000:2018 – ¿En qué consiste la renovación?

El riesgo está presente en cada una de las actividades que realizamos a diario. Para las organizaciones, el riesgo está presente en todos y cada uno de sus procesos. Por supuesto, se trata de riesgos de diversa índole, debido a su probabilidad de ocurrencia y al grado de impacto negativo que pueden producir.

El riesgo es antes que nada incertidumbre. Y así lo entiende ISO 31000 al proponer una norma que permite a todas las organizaciones, sin tener en cuenta el sector de la economía en que se desempeñen, identificar y administrar los riesgos a los que están expuestas, de manera efectiva.

Y es que este es uno de los elementos que hacen que este estándar sea considerado como innovador y moderno. El alcance de ISO 31000 va más allá de un grupo de organizaciones en particular. ISO 31000:2018 no conoce límites a la hora de proporcionar una estructura de buenas prácticas para la gestión de riesgos en cualquier área o en cualquier sector económico.

Las novedades de ISO 31000:2018

1-) Diversidad y pluralidad: el estándar ahora permite la toma de decisiones y la planificación en áreas muy diversas de la organización como la financiera y contable, pero también, en la operativa, producción o comercialización.

Igualmente, los campos de operación pueden ir desde la producción de alimentos hasta el diseño de sofisticados equipos de comunicaciones.

2-) Revisión ISO Guide 73: este documento, que establece la terminología operativa, también ha sido revisado para hacer de la gestión de riesgos una labor fácil y comprensible para cualquier empleado de la organización.

3-) Reducción del texto: el texto, en esta nueva ISO 31000 se ha reducido a los conceptos esenciales, obteniendo un documento breve, conciso, específico, fácil de comprender, de leer y de aplicar.

¿Qué le espera a la nueva ISO 31000:2018?

La publicación es la culminación de una etapa, pero también el comienzo de otra muy importante. El trabajo del comité se enfoca ahora en la difusión del estándar a nivel mundial, prestando un especial interés en América Latina, que ha sido tal vez la región que más ideas y propuestas ha presentado durante estos años de consenso y concertación para la norma.

Entre otras labores, está pendiente la traducción oficial de la norma al español. Después de todo, un poco más de 600 millones de personas lo hablamos en el mundo.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

¿CÓMO DE IMPORTANTE ES LA GESTIÓN DE RIESGOS EN SU EMPRESA?

Con diferencia de otras normas ISO, la ISO 31000 no es certificable, es una guía que opera bajo diferentes metodologías basadas en la gestión de riesgos y oportunidades en una empresa.
Si tenemos en cuenta que ISO 31000 nos ayuda a abordar la gestión de riesgos de una manera estratégica y general, se puede considerar que este estándar es un buen marco de gestión de diferente tipo de riesgos, que pueden trabajar según otras normas, incluyendo la norma ISO 27001.

Para implantar la norma ISO 27001 es necesario hacer uso de la norma ISO 31000 es cierto que la norma ISO 27001 resulta muy útil para realizar la aplicación de la segunda a pesar de que existen diferencias entre ISO 31000 e ISO 27001.

La norma ISO 31000 nos entrega directrices sobre la manera de gestionar los riegos, en las empresas, sin concentrarse en la seguridad de la información ya que además aborda la continuidad de negocio, el mercado, e incluso los riesgos operacionales.

La norma, nos facilita un glosario detallado de términos relativos a la gestión de riesgos, estableciendo un marco general que incluye un ciclo de PHVA (planificar, hacer, verificar y actuar), para la gestión de riesgo.

La ISO 31000 no proporciona metodologías específicas, ya que la gestión de riesgos aborda cualquier tipo de riesgos y no profundiza en ninguno de ellos.

La norma ISO 27001 es un estándar especializado en el tema de la seguridad de la información, lo que supone que la empresa debe establecer procesos que salvaguarden, controlen, almacenen su información gestionando cualquier riesgo que pudieses afectarla de forma eventual.

La duda surge de la ISO 27001 2013 en la que se menciona el estándar ISO 31000. Y surge de forma particular porque, la versión de 2005 de la norma no hace referencia.

Según la cláusula 4.1 la empresa deberá considerar los contextos externos e internos según la cláusula 5.3 de la norma ISO 31000.

Por su puesto, si leemos con detalle la cláusula 5.3.2 y 5.3.3 de la norma ISO 31000 entendemos que son muy útiles, ya que nos proporcionan una guía muy valiosa sobre el tema de los contextos internos y externos.

Es bueno tener en cuenta que esta mención se realiza en una nota, lo que supone que no son directrices obligatorias. Es solo un punto de referencia.

En la cláusula 6.1.3 de la norma ISO 27001 nos dice:

La gestión de la seguridad de la información, se encuentra alineada con la norma ISO 31001.

Esto no supone que un estándar se convierta en requisito esencial. Solo dice que los requisitos entre ambas normas son compatibles a pesar de las diferencias entre la ISO 31000 e ISO 27001.

Diferencias entre ISO 31000 e ISO 27001 – Las normas frente a frente

La norma ISO 31000 no suministra ninguna recomendación específica sobre el tratamiento de la seguridad de la información y la gestión de los riesgos. Por el contario, la norma ISO 27001 si lo hace y de una forma sobresaliente.

El análisis de riesgos es el corazón de la norma ISO 22301, la cual establece el análisis y la gestión de los riesgos según su predecesora la norma BS 25999.

La ISO 31000 es un estándar internacional publicado en 2009 para analizar y gestionar los riegos, se encuentra relacionada con la ISO 22301 para corroborar todas sus garantías. Si no se realiza una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad del negocio.

La norma ISO 27001 establece la identificación de activos, amenazas y vulnerabilidades, pero también para evaluar todas las consecuencias de unos determinados riesgos y calcular la probabilidad de que ocurra.

No necesitamos la ISO 31000 para implementar la norma ISO 27001. Lo anterior no significa que ISO 31000 no resulta de utilidad, sobre todo para identificar contextos externos e internos y para conseguir un marco apropiado para la gestión de todo tipo de riesgos a nivel de toda la empresa.

Si tenemos en cuenta que la ISO 31001 nos ayuda a abordar la gestión de riesgos de manera estratégica y general, se puede considerar este estándar como un excelente marco de gestión de todo tipo de riesgos, que puede trabajar en conjunto.

Es muy importante que las organizaciones implanten un sistema de gestión de riesgos eficiente, que les permite consolidarse y estar preparados para situaciones adversas que puedan representar amenazas para la continuidad del negocio.

La norma busca analizar riesgos de una forma integrada bajo una metodología de gestión de riesgos imple que consta de 4 etapas:
  • Identificación de riesgos
  • Evaluación de riesgos
  • Valoración de riesgos
  • Control de riesgos
Tomado de: https://www.isotools.org/

LA REVISIÓN DE LA NORMA ISO 31000 ACTUALIZA LA GESTIÓN DEL RIESGO

Cuando hablamos de la norma ISO 31000 no podemos decir que se trate de una norma con un largo pasado, pues su primera versión apareció en el año 2009. 
No obstante, la necesidad de adaptarla a la situación del mercado actual y de las organizaciones, así como la de facilitar su uso puso en marcha la revisión de la misma.

Al inicio, durante la reunión que tuvo lugar en septiembre del 2013 en Chicago, se planteó una adaptación no demasiado compleja con el objetivo de introducir grandes cambios técnicos. Sin embargo, durante la reunión que tuvo lugar en marzo del 2015 en París, se barajó la posibilidad de llevar a cabo una revisión global que favoreciese la aplicación de la ISO 31000 a los usuarios. Desde entonces esa ha sido la dirección que se ha seguido en el resto de reuniones hasta el día de hoy.

El grupo encargado de llevar a cabo la revisión de la ISO 31000 es el grupo ISO/TC 262. Este grupo fue creado en el año 2011 y está centrado en la normalización en materia de gestión del riesgo. Para la revisión de la ISO 31000 se unificará la opinión de los diferentes expertos adaptando los distintos comentarios recibidos. En estos momentos también se está trabajando en otros tres estándares relacionados con la gestión del riesgo para lo que se cuenta con cuatro grupos de trabajo, 52 países participantes y 16 países observadores.

La revisión de la ISO 31000 avanza y tiene prevista su publicación a finales del 2017 o en el primer trimestre del 2018. Actualmente se encuentra disponible el borrador, el cual permite conocer cuáles serán los cambios clave con su predecesora de 2009, que analizaremos a continuación.

Objetivo de la Norma ISO 31000

El objetivo de la norma 31000 seguirá siendo el mismo pues la gestión del riesgo es una parte fundamental en cuanto a la gestión estratégica y operacional de las organizaciones, la cual afecta de manera activa al presente y futuro. Esto puede observarse a través de la norma ISO ISO 9001 2015 relacionada con el Sistema de Gestión de la Calidad o de la ISO 14001 2015 relacionada con el Sistema de Gestión Ambiental.

Cambios en terminología y mayor definición

Gracias a la revisión de la ISO 31000 se desea proporcionar información más detallada con el objetivo de mejorar y facilitar la comprensión de la norma. Se pretende generalizar en las definiciones y los términos utilizados para que cualquier organización pueda comprender y utilizar la norma independientemente del sector en el que opere.

Por otra parte se desea utilizar un lenguaje más sencillo que facilite la comunicación clara de ideas fundamentales y conceptos, principalmente en los apartados iniciales de la ISO 31000, como la introducción o el alcance.

Mayor precisión en el apartado “Procesos”

No se han incluido modificaciones importantes respecto al apartado “procesos” en la revisión de la norma ISO 31000. No obstante, es relevante la labor que se está desarrollando dando como consecuencia una disminución del lenguaje técnico y de la extensión de los textos, volviéndose estos más precisos. Se pretende favorecer la comprensión de los mismos acercándose a una versión más práctica del documento de la ISO 31000.

Algunos aspectos desaparecen y otros se enfatizan

En relación a los aspectos que desaparecen se produce un cambio en el título de la ISO 31000, pasando de conocerse como “Gestión del Riesgo. Principios y Directrices” a “Gestión de Riesgos – Directrices”.

Por otro lado, el Anexo A “Atributos de una gestión del riesgo optimizada” de la actual versión de ISO 31000 del año 2009 desaparece con la revisión.

En relación a los aspectos que se enfatizan se centran en la relevancia de aquellos factores humanos y culturales de la gestión del riesgo en la empresa. Así como en el papel que representará dentro de la ISO 31000.

Conclusión

De esta manera, con la revisión de la ISO 31000 se unifican las opiniones de los expertos para que el documento incorpore las mejores prácticas en la gestión global del riesgo de forma que se pueda adaptar a las necesidades de cada una de las organizaciones como parte esencial de la toma de decisiones y objetivos estratégicas de cada una de ellas.

Además, se busca en todos los puntos y requisitos del documento facilitar su adaptación a la situación de las organizaciones, simplificando textos y generalizándolos para que puedan ser comprendidos fácilmente.

Tomado de: https://www.isotools.org

CÓMO DEFINIR EL ALCANCE, CONTEXTO Y CRITERIOS DE RIESGO EN ISO 31000

¿Porqué definir el alcance, contexto y criterios de riesgo en ISO 31000? Una buena razón para ello es configurar los procesos de Gestión de Riesgos, de tal forma se puedan evaluar de forma efectiva, pero también que se adapten a los factores internos y externos que afecten a la organización.
No obstante, para definir el alcance, contexto y criterios de riesgo en ISO 31000 es preciso comprender estos tres conceptos y la importancia que tienen en la implementación de la norma.

Cómo definir el alcance, contexto y criterios de riesgo en ISO 31000

El Alcance – Definición

La organización debe considerar el alcance de sus actividades de Gestión de Riesgos, y como puede aplicarse en diferentes niveles de la organización, como estratégico, operativo, proyectos, etc.
  • La definición del alcance implica considerar los siguientes elementos:
  • Decisiones que deben tomarse y objetivos que se persiguen.
  • Resultados que se espera obtener de la Gestión de Riesgos.
  • Ubicaciones, tiempo, inclusiones y exclusiones.
  • Herramientas disponibles para la evaluación de riesgos.
  • Recursos disponibles, responsabilidades asignadas y registros que se mantendrán.
  • Relación de la Gestión de Riesgos con otros Sistemas, proceso, proyectos o actividades.
El Contexto Interno y Externo

El Contexto de la organización, al que ya hemos hecho referencia en muchos de nuestros textos, es el entorno en el que se mueve la organización y en el que trabaja para alcanzar sus metas y cumplir con sus objetivos.

El Contexto, antes que definirse o delimitarse, se comprende. Y para comprenderlo es importante conocer los factores que afectan las actividades de la organización, al interior de sus instalaciones, pero también en el exterior.

¿Por qué es importante comprender el contexto de la organización?
  • Porque la Gestión de Riesgos se produce precisamente dentro de ese entorno en el que la organización desarrolla su actividad.
  • Porque los factores que conforman el Contexto pueden ser fuente de riesgos.
  • Porque puede existir una relación entre los factores que conforman el Contexto interno o externo y los objetivos de la organización, por lo que es necesario analizarlos en su conjunto como un todo.
Criterios de Riesgo – Definición

La definición de los Criterios de Riesgo, que es requerida para elaborar la Política de Riesgo de la Organización. Definir los Criterios de Riesgo implica especificar cada uno de ellos, y establecer cuáles pueden ser tolerados por la organización y en qué nivel.

Los Criterios de Riesgo deben estar alineados con el marco de Gestión de Riesgos y deben reflejar los valores, objetivos y recursos de la organización. Así mismo, ser coherentes con la política y la declaración sobre Gestión de Riesgos hechas por la organización.

Aunque los Criterios de Riesgo deben definirse al iniciar el proceso de evaluación, esta es una actividad dinámica que debe ser revisada y modificada en forma continua. Para establecer los Criterios de Riesgo, se deben considerar los siguientes aspectos:
  • La naturaleza y el tipo de riesgo, sea tangible o intangible.
  • Cómo se debe medir la probabilidad y el impacto de los riesgos.
  • El tiempo y la ubicación.
  • La forma en que se determina el nivel de riesgo.
  • La capacidad de la organización.
Tomado de: https://www.escuelaeuropeaexcelencia.com

LISTA DE VERIFICACIÓN PARA ADOPTAR EL PENSAMIENTO BASADO EN EL RIESGO EN SU ORGANIZACIÓN

El pensamiento basado en el riesgo es algo que todos los seres humanos hacemos de forma instintiva. Y, aunque este concepto siempre ha estado presente en ISO 9001, la revisión 2015 de la norma considera un requisito adoptar el pensamiento basado en el riesgo.
En ISO 9001:2015, el riesgo es considerado desde el principio, a lo largo de toda la norma y hasta el fin, haciendo de la acción preventiva parte de la planificación estratégica, así como de la operación y del análisis crítico. Entonces, tratándose de un espectro amplio de aplicación, lo más prudente pude ser utilizar una lista de verificación para adoptar el pensamiento basado en el riesgo, no solo en la implementación de la norma ISO 9001:2015, sino en cualquiera de las normas ISO de reciente publicación que tienen este requisito en común.

Pero esta lista de verificación que proponemos, resultará aún más eficiente si se adapta a la metodología PDCA – Planificar, Hacer, Verificar y Actuar -, que ha resultado tan útil para lograr la excelencia en tantos campos de aplicación.

Así es que veamos una propuesta de lista de verificación para adoptar el pensamiento basado en el riesgo, de acuerdo con la metodología PDCA:

Lista de verificación para adoptar el pensamiento basado en el riesgo

1-) Planificar:
  • Reunir a las personas clave para la gestión de riesgos en todas las áreas de la organización, incluyendo la cadena de proveedores.
  • Identificar los riesgos a los que está expuesta la organización.
  • De acuerdo con los riesgos identificados, identificar la probabilidad de ocurrencia de cada uno de ellos.
  • Categorizar los riesgos de acuerdo con su probabilidad de ocurrencia y el impacto negativo que pueden ocasionar.

2-) Hacer:
  • Capacitar a todos los empleados para que puedan ejecutar planes destinados a la prevención del riesgo, incluyendo a los miembros de la Alta Dirección.
  • Elaborar un registro documentado de los riesgos identificados y la forma en que fueron categorizados. Esta información debe ser accesible para todos los miembros de la organización.
  • Implementar herramientas eficaces para la evaluación del riesgo, tales como la matriz de riesgos.
  • Integrar las herramientas utilizadas según el ítem anterior, con el Sistema de Gestión de Riesgos, de la Calidad o de Medio Ambiente.
  • Identificar los riesgos que puedan ser eliminados mediante la implementación de acciones correctivas.

3-) Verificar:
  • Revisar las herramientas de evaluación de riesgos, utilizando casos reales ya ocurridos para asegurarse de que se ajustan al contexto de la organización.
  • Realice auditorías a los procesos, con el fin de detectar eventos generadores de riesgo no identificados hasta el momento.
  • Consultar a los empleados acerca de problemas no evidenciados con las herramientas utilizadas.
  • Asegurarse de recopilar información suficiente, de tal forma que resulte útil para realizar predicciones, establecer tendencias e implementar medidas preventivas.
  • Registrar las “casi” fallas y los “casi” accidentes. Ellos ayudan a establecer patrones que indican riesgos mayores.
  • Analizar en forma continua el registro de riesgos para identificar áreas altamente expuestas, tendencias o correlaciones entre riesgos.

4-) Actuar:
  • Reunir al equipo de riesgos para revisar los resultados de los diferentes Sistemas de Gestión, determinar opciones para el tratamiento de los riesgos e implementar acciones correctivas.
  • Tomar medidas inmediatas en casos críticos.
  • Hacer seguimiento a las acciones correctivas diseñadas e implementadas, con el fin de verificar su eficacia.
  • En el caso de encontrar acciones correctivas ineficaces, definir nuevas acciones que permitan disminuir el riesgo a niveles tolerables para la organización.
  • Documentar y registrar todas las acciones emprendidas para anular, disminuir, compartir o tratar los riesgos a los que está expuesta la organización.

Tomado de: https://www.escuelaeuropeaexcelencia.com

AUDITORÍA DE CALIDAD A PROVEEDORES: 3 CONSEJOS CLAVE

Contar con una cadena de proveedores capaz de satisfacer las demandas industriales con calidad, y de conformidad con las exigencias y los estándares del SGC, asegura la excelencia en los productos fabricados y la satisfacción del cliente. 
La auditoría de calidad a proveedores es la herramienta más eficaz para lograr este propósito.

Es fundamental que todos los proveedores sean calificados de acuerdo con los requerimientos del Sistema de Calidad, pero también con las determinaciones y reglamentos que regulan las actividades desempeñadas por la organización. La auditoría de calidad a proveedores, garantiza que la cadena de suministro sea confiable y que esté alineada con los objetivos de calidad perseguidos por la organización.

Pero ¿Cuál es la mejor forma de realizar una auditoría de calidad a proveedores, que resulte eficaz y ofrezca resultados confiables?… Ese es nuestro tema de hoy. Veamos tres consejos clave para lograrlo.

Consejos para realizar una auditoría de calidad a proveedores efectiva

Los productos y servicios ofrecidos por los proveedores, influyen en forma directa en la calidad y la reputación de la organización contratante. Por lo tanto, es importante mantener una agenda de auditorías a los proveedores, enfocada siempre en la mejora continua de procesos y la reducción de riesgos. Para ello, es importante seguir las siguientes recomendaciones:

1-) Planificar la auditoría

La planificación de la auditoría de calidad a proveedores es esencial, porque gracias a ella podemos comprender la dimensión de la tarea que vamos a emprender y los obstáculos que encontraremos en el camino. La planificación de la auditoría considera los siguientes pasos:
  • Selección de los proveedores que serán auditados: no siempre es posible evaluar a todas y cada una de las organizaciones con las que hemos tercerizado. Por lo tanto, es necesario hacer una selección previa, atendiendo al volumen, pero también a la relevancia de los proveedores escogidos.
  • Programar auditoría: cronogramas, fechas, actividades.
  • Crear listas de verificación: de acuerdo con los requisitos exigidos por el Sistema de Gestión de la Calidad, basado en la norma ISO 9001:2015.
  • Revisar los problemas pasados: la auditoría debe considerar las no conformidades y los hallazgos reportados en auditorías pasadas.
2-) Durante la realización de la auditoría de calidad a proveedores

En la práctica, la realización de la auditoria requiere observar algunos procedimientos básicos:
  • Revisar las observaciones anteriores y la efectividad de las acciones correctivas que se hayan implementado.
  • Enfocarse en los procedimientos antes que en la documentación.
  • Utilizar herramientas móviles que permitan agilizar las auditorías, cuando la organización auditada cuenta con varias ubicaciones.
3-) Después de la auditoría

Muchas organizaciones cometen error de realizar auditorías a proveedores, internas o de certificación, y luego archivar los informes pues piensan que ya han cumplido con el requisito exigido por alguna norma.

El trabajo real en cualquier auditoría inicia cuando ha concluido el trabajo de campo. Es entonces cuando debemos analizar los hallazgos, revisar las no conformidades, pero, sobre todo, diseñar e implementar acciones correctivas que se enfoquen en el principio de mejora continua.

Así, los informes y las acciones correctivas se convierten en las dos herramientas clave que ofrece una auditoría de calidad a proveedores, para asegurar el cumplimiento de los requisitos de calidad planteados en el Sistemas de Gestión de la Calidad.

Tomado de: https://www.escuelaeuropeaexcelencia.com