martes, 8 de mayo de 2018

GUÍA PRÁCTICA PARA ELABORAR UN PLAN DE RIESGOS COMPLETO EN 12 ETAPAS

Los riesgos están en todas partes. Es fácil percibir y admitir su existencia, no importa de qué sector sea su empresa o en qué departamento usted trabaje
Pero en esta publicación, quiero introducirlos a una guía práctica que consiste en 12 etapas para que usted elabore un plan de riesgos.

De esta forma, además de percibir los riesgos, usted puede tratarlos para que pequeños riesgos no se transformen en grandes preocupaciones para usted.

Antes una rápida revisión.

Riesgo es el efecto (positivo o negativo) de un evento o de una serie de eventos que se manifiesta en uno o en varios locales. Se calcula a partir de la probabilidad de que este evento se manifieste y del impacto que el mismo podría ocasionar. Algunos elementos deben ser identificados para que se analicen los riesgos, incluyendo:

Evento: ¿Qué podría suceder?

Probabilidad: ¿Con qué frecuencia podría suceder?

Impacto: ¿Qué tan malo será si llega a suceder?

Mitigación: ¿Cómo usted puede reducir su probabilidad (y cuánto podría reducirla)?

Contingencia: ¿Cómo usted puede reducir su impacto (y cuánto podría reducirlo)?

Elaborando un plan de riesgos completo

Con estos conceptos en mente, vamos a las 12 etapas que le ayudarán en la elaboración de un plan de gestión de riesgos para enfrentar cualquier riesgo en su organización.

1 – Defina su alcance
Como vimos, los riesgos están presentes en muchas áreas de una organización. Luego, usted precisa definir el alcance de su plan de riesgos. ¿Voy a evaluar los riesgos de un proyecto? ¿De un proceso? ¿De una lista de activos? ¿O de mi planificación estratégica?

2 – Levante informaciones
Haga brainstorming sobre riesgos. Reúna a varias personas que tengan relación con el proyecto y pregúnteles sobre lo que podría suceder, cómo ayudar a prevenir y qué hacer si sucede. ¡Haga muchas anotaciones! Usted va a usar las informaciones obtenidas en esa sesión algunas veces durante los próximos pasos.

3 – Identifique los riesgos y sus consecuencias
Liste los riesgos y asocie cada riesgo con sus consecuencias. Sea específico. “Falta de recursos” no es tan deseable como “Mitad de la materia prima está faltando para la finalización de la actividad”. Si hubiere un valor monetario presente, lístelo.

4 – Identifique los controles de cada riesgo
Los controles son actividades, procedimientos o mecanismos que, si implementados, pueden actuar sobre un riesgo, alterando su probabilidad o su impacto. Identifique los controles ahora y ya considérelos en suya evaluación de los riesgos.

5 – Atribuya una probabilidad
Para cada riesgo de su lista, determine si la probabilidad de que este riesgo se materialice es alta, mediana o baja (este es sólo un ejemplo, usted puede crear su propia escala de acuerdo con sus necesidades).

6 – Evalúe el impacto
Con base en alguna guía predefinida, evalúe el impacto como alto, mediano o bajo. Si usted precisa usar números, coloque la lista de impactos en una escala numérica, así como fue hecho con la probabilidad.

7 – Determine el nivel del riesgo
Normalmente se usa una tabla para hacer eso. ¡Pero mucho mejor que eso es usar un software! Si usted usó los valores bajo, mediano y alto para probabilidad e impacto, una tabla simple será muy útil. Si usted usó valores numéricos, usted puede precisar un sistema de clasificación un poco más complejo (muy simple con un software). Es importante destacar que no hay una fórmula universal para combinar probabilidad e impacto, que puede variar entre empresas y proyectos.

8 – Ordene los riesgos de acuerdo a sus evaluaciones
Liste todos los riesgos que usted identificó y evaluó, desde el más crítico para el menos crítico.

9 – Planifique estrategias de mitigación y contingencia
La mitigación tiene el objetivo de reducir la probabilidad de que un riesgo se materialice. La contingencia tiene el objetivo de reducir el impacto de un riesgo si se materializa. Normalmente usted sólo aplica acciones de mitigación y contingencia para riesgos con resultado alto o mediano. Usted hasta puede querer mitigar riesgos bajos, pero con certeza dará prioridad para los otros.

10 – Analice la eficacia de las estrategias implementadas
¿Cuánto usted redujo la probabilidad y el impacto de los riesgos? Evalúe sus estrategias de mitigación y contingencia y rehaga la evaluación de sus riesgos.

11 – Calcule su riesgo residual
Después de aplicar los planes de contingencia y mitigación, la evaluación mejoró? Esto significa que ha obtenido una reducción en su riesgo y que ahora se encuentra dentro de un nivel aceptable.

12 – Monitorice sus riesgos
Después de saber cuáles son sus riesgos, el décimo segundo y último paso es: determinar cómo saber cuándo estos riesgos van a ocurrir. Sólo así usted sabrá cuándo colocar las acciones correctivas en práctica. Los indicadores y alertas pueden ayudar en este punto. Tenga gatillos y alertas para cada uno de los riesgos altos y medianos. Así, de acuerdo al progreso de su proyecto, usted va a ser capaz de saber cuándo un riesgo se vuelve algo preocupante.

¡Listo! No fue tan difícil, ¿no es cierto? Con estas 12 etapas usted ya tiene una óptima base para su plan de riesgos. Pero como dije, aquí presenté sólo una introducción sobre el asunto. #HayQueLeer

Tomado de: https://blog.softexpert.com

CUÁL ES LA METODOLOGÍA QUE SE UTILIZA EN LA GESTIÓN DE RIESGO?


Es necesario detectar todos los posibles riesgos y debemos saber cómo de expuestos estamos a cada riesgo. 
Es necesario analizar las medidas de control interno y adecuar la transferencia de riesgos, además de realizar la elaboración de planes de gestión de riesgos según los programas de transferencia y los planes de reducción y control. Finalmente, se deberá realizar un análisis del nivel de cobertura que existe en la organización.

Es necesario conocer los datos de entrada que tenemos, debemos entender el negocio, la elaboración de mapas de riesgo y pólizas. Los manuales son para implementar un proceso de riesgos de forma efectiva, es necesario ofrecer informes sobre la situación en la que nos encontramos. Los informes son necesarios para conocer si vamos por el buen camino. Los manuales que se deben realizar son:
  • Esquemas de negocio
  • Políticas de riesgos
  • Mapa de riesgos
  • Mapas de pólizas
  • Mapa de riesgos en pólizas
  • Plan de aseguramiento
  • Plan de reducción

Una de las metodologías que se utiliza para gestionar los riesgos viene ofrecida por la norma ISO 31000, que cuenta con diferentes principios, una estructura establecida y un proceso.


El proceso de gestión de riesgos es dinámico, nunca se queda estático. Es necesario identificar los riesgos, analizarlos, evaluarlos y por supuesto, tratar los riesgos.

El cubo de COSO ha sido actualizado, contando con 5 componentes diferentes y 17 principios, es necesario trasladar a la organización el cumplimento de cada uno de los principios.

En Europa cuentan con el Sistema de Gestión de Riesgos en los estándares de la Federación Europea de Asociaciones de Gerencia de Riesgos, que establece lo mismo que venimos comentado, es decir, los objetivo estratégicos de la empresa, la valoración de los riesgos, el análisis de riesgos, la decisión que se debe tomar, como tratar los riesgos, realizar informes de riesgos residuales y llevar a cabo una supervisión por parte de la alta dirección.

Mapa de riesgos

Las variables que se utilizan en el mapa de riesgos son:
  • Probabilidad
  • Impacto cuantitativo y cualitativo
El mapa de riesgos tienen variables de probabilidad de impacto para generar el mapa de calor, en el cual mediante diferentes colores se establece el apetito, la tolerancia y la capacidad, es decir, se traslada de forma gráfica con el que explicamos los objetivos estratégicos de la organización y se puede tomar decisiones según el nivel de riesgo.

Es necesario documentar el mapa de riesgos, por lo que es necesario el proceso que se está documentado, cuál es el objetivo del área que se está analizando, los riesgos que encuentras dentro de la clasificación en cada uno de ellos, la estrategia es la que vamos a seguir y establecer a los responsables de cada una de la toma de decisiones.

Durante la realización de la gestión del riesgo deben estar implicadas varias personas, por lo que con la herramienta ISOTools es mucho más fácil de integrar a los diferentes participantes e incluso si alguien sale de organización y la sustituye otra persona se encuentra con toda la documentación de forma rápida y sencilla.

Al existir diferentes personas implicadas en un mismo proceso, se pueden ofrecer diferentes tipos de permisos para cada una de ellas. La persona responsable tendrá acceso absoluto a su parte del proceso, pero sólo tendrán el acceso necesario al resto de partes de los procesos y así sucede lo mismo con las demás personas implicadas en el proceso, con esto se evita que alguien modifique o borre datos.

Es necesario que toda la organización se encuentre motivados para formar parte del proceso, es necesario la ayuda de todos para implementar la gestión de riesgos de forma exitosa.

Otra forma de representar un mapa de procesos puede ser mediante los siguientes pasos; en primer lugar establecer un ciclo de la actividad, los objetivos que queremos conseguir, los riesgos a los que nos enfrentemos, la normativa que debemos cumplir, cual es el control que tenemos, la periodicidad de revisión de los controles y las personas responsables de proceso.
Identificación de riesgos

Para identificar los riesgos contamos con la legislación, el sector en el que trabaje la organización, el entorno, fuerzas externas, política y la competencia. Todos estos riesgos no podemos controlarlos de forma directa pero tenemos que ver la forma en la que impacta en nuestra organización.

No es lo mismo trabajar en un sector que otro, además de los procesos que tiene cada empresa, las alianzas ofrecen diferentes tipos de riesgos, los productos y servicios que ofrece la organización generará también diferentes tipos de riesgos y finalmente el cliente también modifica el tipo de riesgo.

Estructura

Es necesario definir de forma clara las tres líneas de defensa de cualquier organización que implemente la gestión de riesgos:

Sobre las líneas de defensa, se encuentra el comité de gestión de riesgos y el comité de auditoría, seguidamente nos encontramos con la alta dirección de la organización.

Las líneas de defensa, son todo el equipo que forma la organización que nos aporta la información necesaria para trabajar.

En la primera línea de defensa, se encuentra la gestión operativa y el control interno, que se controla con la realización de encuestas en las que se preguntan los riesgos que se encuentran en la organización para que nosotros le pongamos remedio.

En la segunda línea de defensa se encuentra el control financiero, la seguridad, la gestión de riesgos, calidad, inspección, cumplimiento normativo, responsabilidad social corporativa, siendo los comités los que nos ayudan a realizar la gestión de riesgos.

En la tercera línea de defensa nos encontramos con el auditor interno que supervisa toda la documentación, ofreciéndonos su aporte para que pueda ser aportada en el comité de riesgos.


Tomado de: https://www.isotools.org

CÓMO HACER UN ANÁLISIS DE RIESGOS


En este artículo nos centraremos en una de las muchas formas que existen para aprender cómo hacer un análisis de riesgos.
Si queremos saber cómo hacer un análisis de riesgos cumpliendo los requisitos que establece la norma ISO 9001:2015 podemos elegir entre muchas posibilidades.

En este caso nos centraremos en el análisis DAFO, que analiza las Debilidades, Amenazas, Fortalezas y Oportunidades. Estas siglas provienen de las inglesas SWOFT (Strengths, weaknesses, Opportunities, Threats).

Esta herramienta no es de las más complejas que existe, sin embargo, es lo que toda persona debería conocer si desea aprender cómo hacer un análisis de riesgos, ya que es de gran utilidad y sirve como base y complemento para utilizar posteriormente herramientas más complejas.

ANÁLISIS DAFO

En nuestra matriz DAFO se deben analizar los recursos y posibilidades de una organización teniendo en cuenta todos los niveles que abarca esta matriz, es decir, Fortalezas, Amenazas, Debilidades y Oportunidades. A continuación, nos disponemos a analizar cada una de las variables.

FORTALEZAS

En este apartado debemos buscar los aspectos positivos de nuestra empresa y los elementos internos que afecten al desarrollo de nuestro negocio y los consideremos como una fortaleza frente a la competencia. Generalmente, estos elementos suelen ser fáciles de cambiar, por lo que hay que tenerlos bajo control y fomentarlos siempre que se pueda.

¿Cómo saber cuáles son nuestras fortalezas?

Debemos tener en cuenta nuestras fortalezas tanto a nivel interno como externo y desde el punto de vista de nuestros clientes. En algunos casos, al igual que ocurre cuando hacemos un análisis DAFO personal, es difícil definir nuestras fortalezas porque no nos valoramos adecuadamente. Por ello, podemos escribir las características de nuestra empresa. De este modo encontraremos alguna fortaleza sin darnos cuenta.

Una vez que hayamos identificado nuestros puntos fuertes debemos ponerlos en relación con la competencia. Si por ejemplo, uno de nuestros puntos fuertes es que realizamos envíos gratuitos de nuestros productos cuando la competencia también lo hace no debemos considerar como una fortaleza, sino como una necesidad si queremos ser competentes.

Algunas de las cuestiones que podemos responder para encontrar nuestras fortalezas son las siguientes:
  • ¿Qué ventajas ofrecemos?
  • ¿Cuáles son los productos o servicios distintivos de nuestro mercado?
  • ¿Qué sabemos hacer mejor que los demás?
  • ¿Qué se percibe como punto fuerte en el mercado en el que estamos?
  • ¿Por qué motivo compran nuestros productos o servicios?
  • ¿Qué podemos utilizar a menor coste?
DEBILIDADES

Al igual que las fortalezas, las debilidades hay que analizarlas a nivel tanto interno como externo. Dependiendo de la persona que las analice encontrará muchas o pocas, no obstante, hay que ser realista y aceptar que podamos estar haciendo algo mal, que nuestra competencia haga algo mejor que nosotros o que simplemente no veamos nuestras propias debilidades. Es por eso que debemos responder algunas preguntas para ayudar a reconocerlas:
  • ¿Qué deberíamos evitar hacer?
  • ¿Qué se considera como una debilidad en nuestro mercado?
  • ¿Por qué hemos perdido una venta?
  • ¿Podemos mejorar algo?
OPORTUNIDADES

Generalmente, para encontrar las oportunidades lo que se suele hacer es detectar las fortalezas en un primer lugar y potenciarlas. Otra forma de identificarlas consiste en observar nuestras debilidades y convertirlas en una oportunidad.

Veámoslo con un ejemplo. Si producimos un producto de mayor calidad que los de nuestra competencia, pero como consecuencia, nuestro es precio es más caro que el de la competencia, podemos considerar vender nuestro producto en otros mercados donde se aprecie la calidad por encima del precio convirtiendo así una debilidad en una oportunidad.

También podemos encontrar oportunidades en:
  • Cambios en demografía, estilo de vida…
  • Eventos.
  • Cambios tecnológicos y de mercado.
  • Cambios políticos y legales.
AMENAZAS

Consideramos las amenazas como situaciones negativas, externas a nosotros que podrían perjudicar nuestro proyecto. Por este motivo, debemos analizarlas para elaborar una estrategia que impida que nos afecten o a minimizar sus consecuencias.

Algunas de las preguntas que podemos responder para detectarlas son:
  • ¿A qué obstáculos nos enfrentamos?
  • ¿Han cambiado los estándares de calidad para nuestro producto o servicio?
  • ¿Qué hace la competencia?
  • ¿Tenemos problemas económicos?
  • ¿Es una amenaza alguna de mis debilidades?
  • ¿El cambio tecnológico afecta a mi negocio?
Tener en cuenta todos estos factores es importante para conocer cómo realizar un análisis de riesgos. A continuación, le dejamos unas recomendaciones para que realice su análisis DAFO de la forma más precisa posible.
  • Sea concreto: podría hacer listas claras y concisas para organizarse.
  • Tenga clara sus prioridades: Dedique tiempo a lo verdaderamente importante.
  • Asegúrese: las opciones que tenemos deben usarse en nuestra estrategia posterior.
  • Ejecútelas: cuando sea necesario.
Tanto las fortalezas como las debilidades internas pueden darnos información extra sobre el estado y potencial de nuestra empresa si las comparamos con las oportunidades y amenazas. El auténtico valor de realizar un análisis DAFO consiste en recopilar la información de la empresa a nivel interno, externo y de la competencia para así evaluar las mejores oportunidades y las amenazas más peligrosas.


Tomado de: https://www.nueva-iso-9001-2015.com