CERTIFICACIÓN ISO 20000-1 CÓMO CONSEGUIRLA EN TU ORGANIZACIÓN

ISO/IEC 20000-1:2018 es un estándar internacional que define requisitos para implantar, mantener y mejorar la gestión de servicios de tecnología de la información en tu organización.

Y cuando hablo de “gestión de servicios” me refiero al ciclo entero de un servicio:

• Planificación del servicio.
• Diseño del servicio y cambios.
• Entrega del servicio.
• Mejora del servicio.

Esta norma está preparada para que una organización que preste servicios de tecnología de la información mejore su gestión a través del cumplimiento de los diferentes requisitos que se mencionan en ella.

La ISO 20000-1:2018 se divide en diez cláusulas, siguiendo el Anexo SL de ISO:

1. Alcance: define qué cubre el SMS.
2. Referencias normativas: normas complementarias.
3. Términos y definiciones: para un lenguaje común.
4. Contexto de la organización: entender entorno y partes interesadas.
5. Liderazgo: compromiso de la alta dirección.
6. Planificación: riesgos, oportunidades y objetivos.
7. Soporte: recursos, competencia, documentación y comunicación.
8. Operación: gestión del portafolio, diseño, transición, entrega y aseguramiento del servicio.
9. Evaluación del desempeño: KPIs, auditorías y revisión por la dirección.
10. Mejora: no conformidades y acciones correctivas.

Cada bloque es importante para entender el proceso de certificación ISO 20000-1.

No obstante, es a partir del bloque 4 “Contexto de la organización”, donde se comienza a exigir requisitos de cumplimiento por parte de las organizaciones.

Si interesado en la certificación ISO 20000-1 es probable que sea directivo de su organización, responsable de TI o simplemente el responsable del sistema de gestión de servicio de su organización.

Tengas el rol que tengas, si quieres conseguir ISO 20000-1 en tu organización, estás en el blog adecuado. Te voy a contar con detalle:

• ¿Qué es ISO 20000-1?
• Cómo está estructurada ISO 20000-1: los bloques de la norma y requisitos.
• Cómo planificar el proyecto para conseguir ISO 20000-1.
• Qué debes hacer para obtener la certificación ISO 20000-1 en cada bloque de la norma.

Sin más introducción empiezo a contarte.

Cómo conseguir la certificación ISO 20000-1

Bien, entonces ¿cómo conseguir la certificación ISO 20000-1 ?

Lo consigues teniendo en cuenta esto 4 grandes hitos:

1. Planificación: recursos humanos, recursos económicos, formación interna, posibles contrataciones externas como consultores, un plan de trabajo.
2. Implantación: ejecutar el plan de trabajo definido para cumplir cada requisito de la norma.
3. Auditoría interna: realizar una auditoría interna (obligatoria por la norma).
4. Auditoría de certificación: superar la auditoría de certificación ISO 20000-1

La fase de planificación es una de las más importantes porque es donde podrás ver si el proyecto es viable o no.

Para realizar una buena planificación, necesitas:

• Política y alcance: definir por parte de dirección el alcance de certificación que quieren obtener.
• Análisis GAP: comparar el estado de tu gestión actual con los requisitos de la norma (debes conocer la norma para poder hacerlo).
• Recursos: define un presupuesto con horas de trabajo de tu personal, posibles contrataciones de consultores externos, posibles herramientas tecnológicas que debes adquirir para cumplir con los requisitos de la norma, honorarios de auditoría de certificación.

Si la fase de Planificación la tienes validada y aprobada por parte de Gerencia o Dirección es cuando puedes pasar a la fase de Implantación.

Entramos ya en quid de la cuestión, el comenzar a cumplir los requisitos de la norma.

Pero, ¿qué requisitos y cómo cumplirnos?

Eso es lo que te voy a indicar ahora.

Te voy a definir los diferentes bloques de la norma por los cuales se comienzan a exigir requisitos para que sepas cuáles son y cómo cumplir dichos requisitos.

Análisis del contexto de la organización para cumplir con ISO 20000-1

La ISO 20000-1 te pide definir y estudiar el contexto interno y externo (4.1), identificar partes interesadas y sus necesidades (4.2) y definir claramente el alcance del sistema de gestión de servicios de tecnología de la información (4.3).

Qué debes hacer para cumplir con ISO 20000-1 :

1. Listado y estudio de aeronaves internas y externas: reúne a Dirección, TI y los responsables de procesos clave. Lista una serie de asuntos internos y externos como pueden ser: estructura de la organización, situación económica interna, situación tecnológica, cultura, objetivos estratégicos, etc.
2. Mapa de procesos: identifica los principales procesos estratégicos, operativos y de soporte. Y describe cómo interactúan entre ellos.
3. Alcance del sistema de gestión de servicio: el alcance del sistema de gestión es una parte importantísima ya que sobre ella se basarán todo el cumplimiento de los requisitos para obtener la certificación ISO 20000-1.
4. Listado de partes interesadas: Identifica los diferentes stakeholders de tu organización tanto internos como externos. Y para cada uno de ellos redacta cuáles son las necesidades o expectativas de ellos respecto a tu organización y cómo va tu organización a cumplir con esas necesidades o expectativas.

Liderazgo y compromiso

Aquí la alta dirección debe demostrar liderazgo (5.1) y compromiso con la política del sistema de gestión se servicio de tecnología de la información  (5.2).

Sin esto, nada sale adelante.

Qué hacer debes hacer para cumplir con ISO 20000-1:

1. Política SMS: redacta y firma una política clara, alineada con objetivos de negocio desde el punto de vista de la gestión de servicios y el cumplimiento de las necesidades de las partes interesadas.
2. Roles y responsabilidades: designa un responsable del sistema de gestión de servicio (se encargará de hacer seguimiento a la implantación y defender la auditoría con los organismos certificadores ). Y además también define otros roles que existen en tu organización y que están alineados con el organigrama de tu empresa.

Acciones para abordar riesgos y oportunidades para cumplir con ISO 20000-1

ISO 20000-1 exige planificar el cómo identificar y tratar riesgos y oportunidades que afectan al sistema de gestión de servicio de tecnología de la información.

Si ha realizado un buen análisis interno y externo podrá haber identificado algunas situaciones de riesgos y también de oportunidades.

Qué debes hacer para cumplir este bloque de requisitos:

1. Registro de riesgos/oportunidades: crea un documento donde describe cada riesgo, su probabilidad y su impacto.
2. Planes de acción: para cada ítem, define si vas a mitigar, transferir, aceptar o explotar. Asigna responsable y plazo.
3. Revisión periódica: revisa el registro, como mínimo, cada tres o cuatro meses para que compruebes si estás alcanzando el resultado deseado.

Objetivos de gestión de servicios según ISO 20000-1

Los objetivos que define en tu organización deben ser SMART : específicos, medibles, alcanzables, relevantes y con tiempo.

Todos los objetivos deben tener coherencia con la política que se ha definido y estar alineados directamente con la gestión de servicios de tecnología de la información.

¿Qué es para ti realizar una buena gestión de servicio?

Pues eso debes aterrizarlo y asignarle algunas métricas concretas. Métricas internas y también relacionadas con la gestión a tus clientes.

Si lo haces así ya tendrás tus objetivos desplegados.

Qué debes hacer para superar la certificación ISO 20000-1:

1. Definir objetivos claros y concretos .
2. Asignar KPIs a cada objetivo.
3. Seguimiento a cada objetivo y medir su consecución.

Competencia, Concienciación y Comunicación 

La norma destaca la importancia del personal y la comunicación eficaz.

Si quieres obtener ISO 20000-1 debes demostrar que tus trabajadores están concienciados con la buena gestión de servicio y preparados para ello.

En la auditoría de certificación ISO 20000-1, el auditor elegirá algún puesto de trabajo que hayas descrito y comprobará que existe en el organigrama y que la persona que lo desarrolla cumple los requisitos que ha establecido para ese puesto.

Qué debes hacer para cumplir este bloque:

1. Plan de formación: identificación brechas de competencia y programa cursos (ITIL, seguridad de la información, gestión de cambios, etc).
2. Descripción de puestos alineados con competencias: para cada rol descrito como puestos de trabajo asegúrese de que las competencias descritas (educación, formación mínima y habilidades) las cumplan cada persona que desarrolla ese puesto de trabajo.
3. Plan de comunicación: establece un plan de comunicación para demostrar qué se comunica interna y externamente respecto al sistema de gestión de servicios de tecnología de la información.  

Información documentada para cumplir con ISO 20000-1

Gestionar adecuadamente la documentación física y digital de tu empresa es fundamental: procedimientos, políticas y registros, código fuente, etc.

Qué debes hacer para cumplir con este requisito:

1. Elaborar Procedimientos: para gestión de cambios, incidentes, peticiones, continuidad del servicio, etc.
2. Control de documentos: utilice un repositorio con versionado (SharePoint, Wiki) y un procedimiento para revisar caducidades.
3. Control del código fuente: utiliza un sistema de control de versiones para el código fuente, por ejemplo Git.

Portafolio de servicios 

Debes definir el catálogo de servicios y el portafolio definir qué ofreces y bajo qué condiciones.

Hay empresas que lo justifican con un portafolio Canvan.

Otras empresas tienen un porfolio de servicio al cual le añaden una ficha de servicio y explican con todo detalle el objetivo del servicio, a quién se presta, cuáles son las partes interesadas de dicho servicio, etc.

Además de esto deberás definir los tipos de elementos de configuración que existen en tus servicios. Es decir, qué elementos de configuración deben existir en la gestión de tus servicios para prestarse en situaciones controladas:

• Hardware
• Software
• Documentos
• Personas

Hay empresas que lo evidencian con una hoja de cálculo en la que van listando por filas los elementos de configuración y por columnas:

• La identificación del elemento de configuración.
• El tipo de elemento de configuración que es.
• Cómo se relaciona con otro elemento de configuración.
• El estado de dicho elemento de configuración.

Qué debes hacer para cumplir con este requisito:

1. Catálogo de servicios: haz una descripción de los mismos, objetivos, partes interesadas.
2. Defina los elementos de configuración para la gestión del servicio.

Relación y acuerdo

Aquí estamos hablando de tener definidos acuerdos de nivel de servicio tanto con tus proveedores como con tus clientes.

Cada uno de ellos tendrá sus acuerdos de nivel de servicio. Los proveedores te ayudarán con su gestión a cumplir los SLA que firmas con tus clientes.

Deben existir estos acuerdos de niveles de servicio tanto con proveedores como con clientes para luego poder medirlos periódicamente y conocer si se están llegando a los acuerdos que se han pactado.

¿Qué debes hacer?

1. SLA con clientes: tener firmados acuerdos de nivel de servicio, con objetivos de disponibilidad, tiempos de respuesta y resolución.
2. OLAs (Operational Level Agreements): acuerdos internos con los departamentos de tu organización para medir los SLA de tus clientes. para soporte y escalada.
3. SLAs con proveedores: tener firmados acuerdos de nivel de servicio con tus proveedores más críticos y los que influyen en mayor medida a la gestión del servicio que tu entregas a tus clientes.  

Oferta y demanda

La clave de este bloque de requisitos es conseguir tener un equilibrio y controlar la capacidad (de Recursos Humanos y de TI) de tu organización con la demanda de servicios que tienes.

Además, debes ser capaz de tener un control financiero entre los costos reales con respecto al presupuesto ofertado en cada uno de los servicios que entregas al mercado.

Qué debes hacer para cumplir los requisitos de oferta y demanda:

1. Previsión de demanda: análisis histórico y proyecciones (proyectos, lanzamientos).
2. Plan de capacidad: servidores, licencias, personal de soporte.
3. Control de presupuesto: monitorizar las diferencias entre costes reales derivados de los servicios entregados con los presupuestos realizados.

Diseño, construcción y transición de servicios para la certificación ISO 20000-1.

Este bloque de requisitos trata sobre cómo vas a diseñar los servicios, cómo los vas a entregar de forma controlada y cómo vas a gestionar los cambios.

Qué debes hacer para evidenciar estos requisitos:

1. Procedimiento de diseño: requisitos humanos, técnicos, dependencia de otros servicios, pruebas a realizar, criterios de aceptación, etc.
2. Procedimiento de cambios: solicitud, evaluación de impacto, autorización y planificación para los cambios, etc.
3. Procedimiento de entregas: definir los tipos de entregas (entrega continua, entrega de urgencia, entrega de cambios), planificación de la entrega, problemas durante la entrega, etc.

Resolución y ejecución del servicio 

En este bloque deberás de centrarte en cómo son tus procesos para la gestión de incidentes, peticiones de servicio y problemas.

Tanto las incidencias, las peticiones de servicios, como los problemas debes de registrarlas, clasificarlas, escalarlas (si es necesario) y cerrarlas.

Debes de diferenciar además entre una incidencia y un problema para poder gestionarlo correctamente.

Recuerda que un problema es la causa de una o más incidencias.

Y una incidencia es una interrupción inesperada de un servicio, una reducción en la calidad de un servicio o un evento que aún no ha tenido impacto en el servicio.

Qué debes hacer para cumplir con estos requisitos:

1. Procedimiento para atención de incidentes.
2. Procedimiento para atención de peticiones de servicio.
3. Procedimiento para atención de problemas.
4. KPIs para cada uno de ellos.

Aseguramiento de servicios

Este bloque de requisitos trata sobre la necesidad de verificar la calidad de lo que estás entregando y asegurandote de su continuidad.

Por eso un asunto importante aquí es garantizar la continuidad del negocio ante posibles riesgos externos e internos que puedan paralizar la continuidad del mismo (infecciones por virus, huelgas, ataques informáticos, caída de conectividad a la red eléctrica, datos, etc).

Qué debes hacer para obtener la certificación ISO 20000-1:

1. Plan de continuidad: define un plan de continuidad en el que refleja diferentes escenarios de desastres y cómo vas a responder ante ellos.
2. Controles de seguridad de la información: implemente una serie de controles de seguridad de la información según ISO 27001 o ISO 27002.

Evaluación del desempeño

Mide y analiza la eficacia del sistema de gestión del servicio de tecnología de la información.

Utiliza método para analizar la satisfacción del cliente y la entrega de informes de servicios.

Realiza además una auditoría interna del sistema de gestión y lleva a cabo la revisión por la dirección.

Qué debes hacer para cumplir este bloque de requisitos:

1. Indicadores de gestión: porcentaje de SLAs cumplidos, nivel de satisfacción de tus clientes, hallazgos de auditoría.
2. Realización de auditoría interna: realice la auditoría y documente bien los hallazgos encontrados.
3. Acta de revisión por dirección: realice el acta de revisión por dirección que obliga la norma a llevar a cabo.
4. Informes de servicio: redacta y entrega informes sobre el rendimiento de tus servicios a tus clientes. Utilice para ello toda la información que ha ido trabajando en el sistema de gestión.

Mejora continua

Cierra el ciclo de la gestión de servicios, con acciones de mejora continua en tu organización.

Para mejorar continuamente puedes utilizar, aparte de lo comentado anteriormente, la herramienta del estudio de no conformidades y acciones correctivas.

Qué hacer:

1. Registro de no conformidades: documenta la causa raíz de lo ocurrido y propón y acciones correctivas que eliminan dicha causa raíz.
2. Seguimiento a las no conformidades: haz un seguimiento a las no conformidades abiertas hasta asegurarte de que la acción correctiva ha sido eficaz ya que elimina la causa raíz de lo ocurrido.

 Bueno, pues con este trabajo, podrás obtener la certificación ISO 20000-1 sin problema.

La clave está en planificar bien, ejecutar y hacer un seguimiento a la implantación.

Tomado de: https://iveconsultores.com/

¿QUÉ ES LA DECLARACIÓN DE APLICABILIDAD EN LA ISO 27001?

La ISO 27001, es un estándar internacionalmente reconocido que ayuda a las organizaciones a proteger de forma sistemática y efectiva su información sensible, incluyendo datos financieros, propiedad intelectual, información de empleados o de clientes.

La Declaración de Aplicabilidad (Statement of Applicability o SoA) es un documento fundamental dentro del sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001, que de debe ser actualizado periódicamente.

¿Qué es?

La Declaración de Aplicabilidad es un documento que:

1. Lista todos los controles del Anexo A de la norma ISO 27001 (versión 2022: 93 controles organizados en 4 secciones).
2. Indica si cada control se aplica o no al SGSI de la organización.
3. Justifica por qué se aplica o no cada control.
4. Proporciona una referencia a cómo se implementa cada control aplicable.

¿Para qué sirve?

• Es una herramienta clave para demostrar conformidad con la norma.
• Conecta el análisis de riesgos con los controles implementados.
• Sirve como guía para auditorías internas y externas.
• Asegura que la organización ha considerado todos los controles pertinentes y ha tomado decisiones informadas sobre su aplicabilidad.

¿Qué contiene típicamente? 

Una tabla con columnas como:

Relación con el análisis de riesgos

La Declaración de Aplicabilidad se basa en los resultados del análisis y tratamiento de riesgos. Una vez identificados los riesgos, se seleccionan los controles necesarios para mitigarlos, y esto se refleja en la SoA.

Importancia para certificación ISO 27001

Durante una auditoría de certificación, el auditor revisará en detalle la SoA para verificar:

• Coherencia con el análisis de riesgos.
• Implementación efectiva de los controles aplicables.
• Justificaciones razonables para controles no aplicados.

Tomado de: https://isotools.org/

GESTIÓN DE RIESGOS DE PROVEEDORES: ESTRATEGIA DE 9 PASOS A SEGUIR

El área de Gestión de Riesgos y los profesionales especializados en gestión de riesgos de proveedores trabajan para eliminar o minimizar las eventualidades que pueden surgir al trabajar con socios comerciales o terceros.

Estos son eslabones clave en la cadena de suministro o cadena de valor.

La gestión de riesgos de proveedores es un área esencial en la organización por una razón incuestionable: los proveedores pueden asociar riesgos tan o más lesivos que la simple interrupción del suministro, que ya es de por sí una amenaza demoledora.

En qué consiste la gestión de riesgos de proveedores

La gestión de riesgos de proveedores es el área que se ocupa de identificar, evaluar, clasificar, calificar y tratar las amenazas y las oportunidades asociadas a la relación comercial que se establece con una persona u organización que suministra algún tipo de producto o servicio necesario para la fabricación de otro bien o para prestar un servicio.

Hay que tener en cuenta, por otra parte, que en una cadena de suministro hay diferentes eslabones. Una organización tiene unos proveedores inmediatos, pero también tiene unos anteriores, un poco alejados en la cadena, que tienen la capacidad para afectar la capacidad para producir de la organización.

Estas secuencias de productos y procesos pueden ser muy largas, pueden tener eslabones cercanos o lejanos en términos geográficos, pueden ser simples o complejas y pueden tener ramificaciones laterales relevantes a la hora de aplicar la gestión de riesgos de proveedores.

El objetivo de la gestión de riesgos de proveedores es tratar las amenazas que tienen capacidad para impedir la entrega de productos conformes a los consumidores. Esto incluye evaluar a proveedores de transporte, de servicios de embalaje, de almacenamiento o de servicios de logística, entre otros.

Por qué es clave la gestión de riesgos de proveedores

La gestión de riesgos de proveedores busca conservar la continuidad del suministro y es importante entender que los riesgos asociados a un tercero son de diferente tipo y procedencia. Por eso, puede priorizar las eventualidades de acuerdo con su capacidad para interrumpir el suministro, calcular impacto negativo en función del tiempo de interrupción o establecer daños colaterales. Esto permite obtener una visión clara e inmediata de la solidez de la cadena o su vulnerabilidad.

El área de la gestión de riesgos de proveedores, por otro lado, adquiere especial importancia por tres razones: las cadenas de suministro hoy son globalizadas, el escenario geopolítico es convulso e imprevisible y el calentamiento global agrega factores de preocupación que no se vislumbraban hace algunas décadas.

Tipos de riesgos que evalúa la gestión de riesgos de proveedores

El primer riesgo para considerar es el de interrupción del suministro. Las causas son varias: incapacidad financiera del proveedor, impacto climático o de desastres naturales, problemas legales, etc. Sin embargo, en la práctica, todos los tipos de riesgo, incluidos los que se mencionan a continuación, tienen una consecuencia ulterior: interrupción del suministro.

1. Riesgos de seguridad de la información

Las agresiones cibernéticas o las infracciones de seguridad de los datos son problemas que tienen un efecto dominó sobre todos los eslabones de la cadena de suministro. Una violación de seguridad de la información hace que la organización suspenda operaciones con ese proveedor de inmediato. Es, de un modo u otro, una interrupción de suministro. Con un agravante: hay una afectación a la reputación para todos.

2. Riesgos de cumplimiento

Las organizaciones que no cumplen con sus obligaciones legales, normativas, contractuales o voluntarias, tienen problemas con organismos reguladores. También con sus partes interesadas y con sus clientes, especialmente cuando estos últimos han implementado sistemas de gestión en varias áreas, comenzando por la de compliance.

3. Riesgos financieros

La falta de liquidez del proveedor genera incapacidad para producir como primera consecuencia. Los procesos de fusión o adquisición suelen poner al eslabón más débil en condiciones financieras difíciles, aunque esto suele ser temporal. La imposición de multas o sanciones en extremo onerosas son también condiciones que provocan riesgo financiero que afecta a varias organizaciones en la cadena ascendente.

4. Riesgos de eventos disruptivos

La globalización hace que cualquier evento pueda afectar cadenas de suministro extendidas por el mundo. El cambio climático, por supuesto, aumenta la probabilidad de ocurrencia de eventos disruptivos. La gestión de riesgos de proveedores ejerce constante vigilancia sobre las condiciones climáticas, sociales, económicas, políticas y comerciales en todo el mundo.

Evaluar un proveedor y aplicar sobre él procesos eficaces de debida diligencia implica comprender y considerar factores económicos, sociales, políticos, climáticos, legales, contractuales, etc. Las evaluaciones se realizan de manera sistemática y uniforme.

Organizaciones con un alto número de terceros requieren herramientas eficaces para aplicar la debida diligencia, para procesar grandes cantidades de datos y para obtener informes inmediatos. La digitalización es un elemento esencial en una estrategia de gestión de riesgos eficaz. La automatización, sumada a la formación, permitirán desplegar estrategias efectivas para gestionar las eventualidades que llegan de la mano de los proveedores.

Cómo gestionar de manera efectiva los riesgos de proveedores

La gestión de riesgos de proveedores es una herramienta estratégica para cualquier organización. Por eso, necesita planificación, diseño, implementación, conocimiento y tecnología.

1. Formar un equipo multidisciplinario

La gestión de riesgos de proveedores exige esfuerzos comunes. De acuerdo con los tipos de riesgo mencionados, es evidente que áreas como finanzas, TI, seguridad de la información, cumplimiento y alta dirección, deben tener un representante en este equipo interdisciplinario.

2. Elegir un estándar de gestión de riesgos

Existen muchos estándares para la gestión de riesgos. Y existen otros tantos para gestionar la seguridad de la información o el cumplimiento, por mencionar dos áreas asociadas. Sin embargo, el estándar previsible para gestionar los riesgos es ISO 31000.

3. Aplicar la debida diligencia

La debida diligencia es el proceso que se utiliza para recopilar información sobre una persona o un tercero, como en este caso, que permite formular predicciones sobre su comportamiento en determinadas circunstancias con un alto grado de certeza.

Es una herramienta que necesita inversión tecnológica, pero que entrega un retorno de la inversión rápido y tangible. Algunos de los aspectos relevantes sobre los que se recopila información son los siguientes:

• Comportamiento financiero.
• Sanciones, mulas o acciones regulatorias.
• Afectación reputacional en medios de comunicación.
• Infracciones de seguridad de datos padecidas por el proveedor.
• Estándares internacionales implementados y certificados.
• Reconocimientos y felicitaciones de organismos reguladores u otras partes interesadas similares.

4. Mantener una base de datos de proveedores actualizada

Si un proveedor se ve afectado por un riesgo, o si la evaluación indica que lo será pronto, es preciso contar con un repositorio de información suficiente que permita reemplazarlo con celeridad antes de que se genera una interrupción del suministro o una transmisión del riesgo.

5. Categorizar los proveedores en función del nivel de riesgo

Una de las funcionalidades de una gestión de riesgos de proveedores automatizada, a cargo de profesionales formados en el área, es la capacidad para analizar grandes cantidades de información y establecer si tratar un riesgo en un determinado proveedor es más caro que reemplazarlo o invertir dinero en la implementación de controles complejos.

6. Auditar y evaluar a los proveedores

La categorización o priorización de los proveedores produce un segundo efecto beneficioso para la gestión: permite identificar terceros que requieren vigilancia constante. Esta vigilancia se lleva a cabo con evaluaciones, inspecciones o revisiones. Para algunos podrán ser anuales, pero otros necesitarán auditorías o inspecciones semestrales o trimestrales.

7. Monitorear el panorama de riesgos

El panorama de riesgos es cambiante y dinámico. Y lo es porque está condicionado por factores externos como fenómenos sociales, económicos, regulatorios, políticos o ambientales. Es importante ejercer vigilancia constante para establecer tendencias con base en los indicadores, tomar decisiones o reclasificar a los terceros de acuerdo al aumento o disminución de señales de alerta.

8. Medir el cumplimiento del SLA

SLA, Acuerdo de Nivel de Servicio por sus iniciales en inglés, es una adenda del contrato de suministro. En ella, las dos partes establecen condiciones, tiempos de atención y otro tipo de requisitos referentes a las condiciones de suministro y a la satisfacción de reclamaciones u otro tipo de solicitudes del cliente al proveedor. Los resultados de cumplimiento del SLA son un indicador fiable de la solidez de una organización como proveedor y del nivel de riesgos que representa.

9. Gestionar los riesgos de proveedores cuando el contrato finaliza

Los proveedores que dejan de serlo porque el contrato concluye de forma natural o anticipada siguen siendo una fuente de riesgos. Pueden hacer mal uso de información confidencial o reservada a la que hayan tenido acceso. 

También pueden compartir secretos técnicos o revelar información comercial sensible. Por eso, también forman parte del radio de acción de la gestión de riesgos de proveedores.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

CÓMO DESCRIBIR UN PROBLEMA PARA QUE TODOS ENTIENDAN

Para describir un problema, necesitas dar una descripción concisa de los hechos que deben abordarse. Además, responde a las cinco preguntas clave del método 5W2H: Quién, Dónde, Qué, Cuándo y Por qué.

Fíjate que el “Cómo” (la H del método) no se incluye en esta etapa. Eso es porque esta pregunta se responde más adelante, cuando se investiga la causa raíz del problema. Una vez que conoces los hechos relacionados, el análisis y la resolución pueden hacerse de forma más rápida y con menos costes.

Resolver problemas es algo habitual en cualquier empresa. En áreas como Calidad, este tipo de situaciones se trata con especial cuidado, aplicando métodos para identificar la causa raíz y definir acciones correctivas. Sin embargo, muchas veces no se le da la importancia que merece a un paso clave del proceso: redactar una buena descripción del problema.

Una descripción bien hecha aclara mucho mejor la situación, identificando su gravedad, localización e impacto económico. También es una herramienta de comunicación muy útil, ya que ayuda a conseguir apoyo y compromiso por parte de otras personas. Cuando los problemas están bien descritos, los demás entienden claramente qué estás intentando resolver.

¿Qué dificultad hay en describir un problema?

La dificultad de describir un problema es que muchos asumen que todo el mundo sabe cuál es el reto al que hay que enfrentarse. En estos casos, inevitablemente, se produce una descripción mal elaborada o incluso incorrecta del problema.

Cuando se asume que el motivo de un problema ya se conoce, se obtiene una de estas dos versiones posibles de la descripción del problema:

• En un caso, la descripción del problema es extremadamente escasa en información y detalles, como: “Nuestro departamento ha estado recibiendo quejas de los clientes”.
• En el otro extremo, esto puede conducir a una descripción detallada pero completamente incorrecta del problema o a una que ya apunta a identificar la solución. Por ejemplo: “Necesitamos volver a capacitar a los empleados porque están tardando demasiado en realizar sus tareas, lo que hace que los clientes se quejen de la lentitud de nuestro departamento”.

Como se puede ver, ambas descripciones de problemas son inadecuadas para invertir recursos valiosos en resolverlos.

Estas son algunos dos métodos que puede usar para identificar y describir un problema:

5W2H

Herramienta de gestión que organiza la descripción de un problema o plan de acción en siete preguntas clave: “¿Qué?”, “¿Por qué?”, “¿Dónde?”, “¿Cuándo?”, “¿Quién?”, “¿Cómo?” y “¿Cuánto?”.

Al responder cada una de forma sistemática, consigues comunicar el problema o el plan con claridad, amplitud y objetividad.

Causa raíz

Es el factor principal que, si se elimina, evita que el problema vuelva a repetirse, en lugar de simplemente tratar los síntomas.

Para identificarla, se suelen usar técnicas como los “porqués” encadenados o el análisis de fallos en cascada.

Diagrama de Ishikawa (espina de pescado)

Gráfico con forma de espina de pescado que agrupa visualmente las posibles causas de un problema en categorías como Método, Máquina, Material, Mano de obra, Medio ambiente y Medición.

Es muy útil para hacer lluvias de ideas estructuradas y ayuda al equipo a ver conexiones y decidir qué hipótesis investigar primero.

Análisis de Pareto

Método basado en el principio de que el 80% de los efectos provienen del 20% de las causas. Sirve para ordenar los fallos según su impacto.

Al centrarte en los pocos factores más relevantes, puedes ahorrar tiempo y recursos al resolver problemas.

PDCA (PHVA)

Ciclo de mejora continua con cuatro fases: Planificar (Plan), Hacer (Do), Verificar (Check) y Actuar (Act).

Consiste en aplicar pequeños cambios de forma iterativa, evaluar los resultados y ajustar procesos hasta alcanzar el rendimiento deseado.

CAPA (Acción Correctiva y Preventiva)

Conjunto de acciones para corregir no conformidades detectadas (acción correctiva) y evitar que vuelvan a ocurrir (acción preventiva).

Es clave en sistemas de gestión de calidad y cumplimiento normativo, asegurando que se aprendan lecciones de los errores.

Sigue leyendo – No conformidades y CAPA: cómo garantizar la calidad y seguridad en la industria farmacéutica

Matriz de causa y efecto

Herramienta usada en metodologías como Six Sigma para relacionar causas (variables de entrada, llamadas “X”) con efectos (resultados o problemas, llamados “Y”). Asigna pesos numéricos a cada relación para priorizar las variables con mayor impacto.

Al cuantificar estas relaciones, la matriz permite enfocar el análisis en las causas más críticas. A diferencia de herramientas como 5W2H o Ishikawa, su objetivo es establecer vínculos estadísticos y jerárquicos entre los factores del proceso y los resultados no deseados, evitando suposiciones subjetivas.

Entrevistas estructuradas

Técnica para recopilar información mediante preguntas predefinidas a personas clave o expertas, con el fin de entender mejor el contexto del problema.

Asegura coherencia en los datos recogidos y permite obtener evidencias claras sobre quién, cuándo y por qué ocurre el problema.

¿Qué dificultad tienes al describir un problema?

Comenzar desde un boceto es una excelente manera. Se puede representar como una matriz de descripción del problema que incluye consejos para identificar las cinco W (consulte la tabla a continuación).

Los datos necesarios para completar la matriz se pueden encontrar a través de entrevistas específicas, datos históricos o análisis preliminares que se pueden realizar rápidamente a bajo costo.

A continuación, se debe utilizar la matriz para escribir la descripción detallada del problema. Por ejemplo: “Nuestro departamento de procesamiento de órdenes de trabajo ha visto un promedio mensual de quejas un 20% más alto en los últimos tres meses después de introducir la nueva herramienta para administrar órdenes de trabajo para todos los departamentos de la organización”.

Una descripción objetiva con datos relevantes ayudará al equipo en los siguientes pasos, que tienen como objetivo investigar las causas y definir posibles acciones para que la tasa de quejas vuelva a disminuir.

Más consejos para describir un problema

Para ayudarte, echa un vistazo a un resumen de seis buenas prácticas a la hora de describir un problema.

1. Escribe la descripción del problema pensando en el público

Ten en cuenta que probablemente tendrás que convencer a la gerencia para que te proporcione recursos para resolver el problema y reclutar a miembros del equipo para que te ayuden. No querrás gastar tu precioso tiempo explicando repetidamente lo que estás tratando de lograr. Por lo tanto, sea claro y objetivo al describir el problema.

2. Mantenga la descripción del problema concisa e incluya al menos:

• Una breve descripción del problema;
• Indicación de dónde se está produciendo el problema;
• La cantidad de tiempo durante el cual ocurre el problema;
• El tamaño o la magnitud del problema.

3. Tenga cuidado de no reducir demasiado la descripción del problema

Una tendencia natural es escribir una descripción del problema de una manera muy simplista, ya que ya estás familiarizado con ella. Recuerde que otras personas también necesitan entender el contexto y el significado para poder ayudarlo a resolver el problema. Así que trata de proporcionar suficiente contexto e información para todos.

4. Cuidado con la solución

No incluya ninguna indicación o especulación sobre la causa del problema o las acciones que se tomarán para resolverlo. Nunca intentes resolver el problema o dirigir la solución en esta etapa.

5. Que sea fácil de interpretar

Elimine la información que conduzca a algún sesgo de interpretación. La intuición no es bienvenida en esta etapa, siempre sé objetivo y evita dejar algo dudoso.

6. Incluya números cuando sea posible

Incluya alguna cuantificación de la magnitud del problema para ayudar a los lectores a tomar una mejor decisión.

Conclusión

El soporte del software de gestión de problemas es crucial para guiar a las personas a través de la descripción y corrección de un problema.

Con las soluciones de SoftExpert, usted tiene las herramientas que necesita para ayudar a su organización a investigar incidentes, accidentes, errores, defectos, fallas y desviaciones en diversas áreas de actividad.

Preguntas frecuentes

¿Cómo empezar a redactar un problema?

Para comenzar, organiza la información usando la matriz de los cinco Ws: Quién está implicado, Dónde ocurre, Qué sucede, Cuándo se manifiesta y Por qué es importante. Apóyate en datos objetivos, como registros o entrevistas, y evita suposiciones o soluciones anticipadas. Este enfoque te ayuda a estructurar el problema de forma clara y neutral.

¿Cómo describir una situación problemática?

Sé breve y directo: incluye el lugar, el periodo, las personas afectadas y el impacto medible (por ejemplo, costes económicos o pérdida de productividad). Usa cifras o porcentajes para evitar ambigüedades y céntrate solo en hechos comprobables, sin entrar en causas ni soluciones. Así lograrás claridad y mostrarás la dimensión real del problema.

¿Cómo informar sobre un problema?

Utiliza la estructura 5W2H, que añade el Cómo ocurre y Cuánto impacto genera. Aporta datos concretos (como frecuencia o costes) para que quienes lo lean entiendan la urgencia y el alcance. Evita conjeturas y prioriza la información verificable para no sesgar los siguientes pasos.

¿Cómo redactar una hipótesis?

Una hipótesis es una explicación que se puede poner a prueba. Puedes formularla como una afirmación directa (por ejemplo: “El fallo se debe a X”) o como una condición (“Si pasa X, entonces ocurre Y”). Basa tu hipótesis en datos previos y en vacíos detectados en la matriz, y asegúrate de que sea específica y medible para poder analizarla.

¿Cómo hacer un análisis de un problema?

Recoge los datos de la matriz y aplica métodos como los 5 Porqués o el diagrama de Ishikawa para explorar posibles causas. Combina evidencias cuantitativas (como indicadores) y cualitativas (como entrevistas) para validar cada hipótesis y evitar conclusiones apresuradas.

Cómo reportar un problema en el trabajo?

Incluye todo el contexto: lugar, periodo, frecuencia e impacto medible (como horas perdidas o costes adicionales). Usa un lenguaje claro y adaptado al público, ya sea tu equipo o tus responsables. No propongas causas sin haberlas analizado antes, así mantendrás la credibilidad y facilitarás el apoyo para resolverlo.

Tomado de: https://blog.softexpert.com/

5 PORQUÉS: QUÉ ES Y CÓMO APLICAR CORRECTAMENTE ESTA METODOLOGÍA PARA RESOLVER PROBLEMAS DE RAÍZ

¿Alguna vez te has enfrentado a un problema recurrente y has pensado: “¿Por qué sigue ocurriendo esto?” La metodología de los 5 Porqués te ayuda a llegar a la raíz del problema — de forma sencilla, directa y eficaz, haciendo una única pregunta: ¿por qué?

 

¿Qué es el método de los 5 porqués?

Cuando nos enfrentamos a un problema, es muy común tratar de solucionarlo observando sus síntomas. Es algo que proviene del instinto humano. Sin embargo, este tipo de enfoque tiene un efecto parcial o temporal. Además, si no se trata su causa raíz, es posible que el problema se repita, lo que se conoce como reincidencia.

Fue para lidiar con esto que Taiichi Ohno, ingeniero de Toyota, creó la metodología en los años 70, detallada en su libro Toyota System Production (TPS). Además de los 5 porqués, Taiichi también inventó el pensamiento lean y el kanban.

En su enfoque, Taiichi creó una forma de resolver problemas internos de manera eficiente y sencilla. Estas características han hecho que los 5 porqués sean tan populares. Es por eso que muchas personas todavía creen que esta es una herramienta exclusiva de la industria automotriz.

Sin embargo, esta estrategia funciona en empresas de cualquier tamaño o segmento.

Lo importante es que existe la necesidad de resolver problemas e implementar acciones correctivas de forma rápida, sencilla y eficaz.

¿Cómo aplicar los 5 Porqués en la prática?

La aplicación de los 5 porqués es bastante sencilla: cuando identificas un problema, te preguntas “por qué” cinco veces, hasta llegar a la causa del problema. Es importante aclarar que “cinco” es solo un número sugerido por el método.

Habrá casos en los que será necesario continuar más allá de las cinco preguntas, al igual que también habrá situaciones en las que la causa raíz del problema surgirá antes que la quinta pregunta.

¿Cuáles son los pasos para usar los 5 Porqués? 

|1. Forma un equipo cualificado: Una persona no puede resolverlo todo. Cuente con un equipo que conozca bien el proceso y los detalles del problema que hay que corregir. Debe contar con un facilitador, que guiará a los demás participantes y ayudará a mantener el foco en identificar las causas del tema analizado.

2. Describe el problema con claridad: Para ello, utiliza documentos, registros, correos electrónicos y otros elementos útiles, observando todo lo que está sucediendo. Así, todos tendrán el mismo enfoque y los detalles no pasarán desapercibidos.

3. Pregunta: “¿Por qué ocurrió este problema?”: Evite responder a esta pregunta con suposiciones o hipótesis. Asegúrese de que cada respuesta se base en pruebas concretas y en hechos o datos.

4. Repite la pregunta “¿por qué?” hasta llegar a la causa raíz: Recuerda que cinco es solo una referencia. En ciertos problemas tendrás que repetir la pregunta más veces, mientras que en otros podrás determinar la causa raíz antes de eso.

5. Define acciones correctivas, asigna responsables y haz seguimiento: Otro punto que suele causar confusión es saber el momento correcto para cerrar las preguntas y finalizar el análisis. Esto suele ocurrir cuando se hace la pregunta y no se llega a una respuesta con pruebas.

Una vez identificada la causa raíz del problema, el equipo debe definir qué acciones se tomarán para corregirlo, evitando que se repita.

¿Cuál es un ejemplo claro de aplicación de los 5 Porqués?

Ya conoces el concepto detrás del funcionamiento de los 5 porqués. Para ayudarte a poner esto en práctica, hemos preparado un ejemplo ilustrativo de la aplicación de esta herramienta.

Ejemplo de uso de los 5 Porqués:  

Problema que debe analizarse: Las piezas están pintadas de forma incompleta.

• Primero, ¿por qué? La cabina de pintura se apagó en medio del proceso.
• Segundo, ¿por qué? Había falta de electricidad.
• Tercero, ¿por qué? El disyuntor terminó disparándose.
• Cuarto, ¿por qué? El cableado del disyuntor se derritió y se cortocircuitó.
• Quinto, ¿por qué? El cableado instalado en el disyuntor era inadecuado y de mala calidad.

¡Esa es la causa raíz!

¿Cómo validar con razonamiento inverso? Piensa de esta manera:  

1. El cableado de alimentación era inadecuado; 
2. Esto provocó un sobrecalentamiento; 
3. El sobrecalentamiento hizo que la cubierta de plástico se derritiera y se cortocircuitara; 
4. El cortocircuito disparó el disyuntor e interrumpió el funcionamiento de la cabina; 
5. Esto significó que el proceso de pintura no se completó.

¿Qué hacer tras identificar la causa raíz? 

Con la identificación de la causa raíz, el equipo debe discutir y definir qué acciones se implementarán para evitar que el problema vuelva a ocurrir. Siguiendo nuestro ejemplo anterior, una medida adecuada sería reemplazar el cableado de alimentación por uno que cumpla con las recomendaciones del fabricante de la cabina de pintura.

El equipo responsable del mantenimiento del equipo debe monitorear la implementación de estas acciones correctivas y evaluar si fueron efectivas y realmente eliminaron la causa del problema.

¿Y si el problema persiste? 

Si la causa raíz persiste incluso después de analizar e implementar medidas correctivas, repita el método de los 5 porqués.

Esta persistencia es un indicador de que la verdadera razón del problema aún no se ha identificado y resuelto correctamente, y que esto debe hacerse.

¿Cuál es la mejor forma de aplicar los 5 Porqués? 

Además de entender el proceso de aplicación de los 5 porqués, también es necesario seguir buenas prácticas para garantizar que la metodología se utilice de la mejor manera.

1. Describa el problema con claridad

En primer lugar, reúna al equipo responsable de identificar la causa del problema y descríbalo con la mayor precisión posible. Sea lo más objetivo y conciso posible para aumentar la claridad, la eficiencia y la simplicidad del proceso.

2. Documenta todo el proceso cuidadosamente

Como ya has visto, registrar los pasos y anotar las decisiones y tareas es fundamental. Esto evita fallos, aporta transparencia y agiliza todo el proceso. Esto también optimiza la comunicación para todos los involucrados, especialmente cuando se realiza a través de un software de gestión de calidad.

3. Planificar las soluciones e implementarlas correctamente

No lo olvides: encontrar la causa de un problema no es suficiente, es fundamental definir soluciones para él. Junto con todo el equipo, comprenda qué corregirá el problema y evitará que se repita. También registra todo esto y define a los responsables de cada acción.

La  metodología 5W2H  y las plantillas de planes de acción pueden ser grandes aliados para facilitar todo este proceso.

4. Crear formas de monitorear los resultados y revisar las medidas adoptadas

Los procesos y actividades de una empresa están en constante cambio. Del mismo modo, cualquier problema (y sus causas raíz) también puede cambiar. Por lo tanto, crear formas de medir la eficiencia de las soluciones adoptadas y revisar todo esto cada vez que se cambie un elemento vinculado a él.

5. Sepa cuándo detenerse

Por último, algo que puede parecer sencillo, pero muy importante: saber cuándo parar. Las actividades complejas tienen varios elementos que están conectados. Así, un problema que parecía simple al principio puede ser en realidad el síntoma de algo más profundo.

Por lo tanto, mantente enfocado y siempre trata de entender qué es, objetivamente, está causando esa situación, y qué puede ser realmente un nuevo problema.

En resumen: ¿Por qué utilizar los 5 Porqués?

La metodología de los 5 Porqués es una herramienta simple, de bajo coste y altamente eficaz para empresas que buscan resolver problemas de forma estructurada, atacando la causa en lugar de los efectos. .

Al combinar un equipo calificado que conoce el método y con sus procesos claros y organizados, tiene una poderosa herramienta para identificar y resolver fallas.

Preguntas frecuentes sobre el método de los 5 Porqués

¿Es necesario hacer exactamente 5 preguntas en el método?  

No necesariamente. El número cinco es una guía. Pueden ser 3 o 7 — lo importante es llegar a la causa real.  

¿Puedo usar el método junto con otras herramientas?  

Sí. Suele combinarse con 5W2H, Diagrama de Ishikawa y sesiones de brainstorming.  

¿Cómo saber si encontré la causa raíz?  

Cuando ya no hay respuestas basadas en hechos o cuando la solución elimina el problema de forma definitiva.  

¿Y si no logro identificar la causa raíz con este método? 

Tal vez necesites más datos o revisar la definición inicial del problema. 

¿Hace falta software para aplicar los 5 Porqués?  

No, aunque herramientas digitales como SoftExpert Suite pueden agilizar el proceso, centralizar el análisis y automatizar el plan de acción. 

¿La herramienta 5W2H complementa a los 5 Porqués?   

Sí. Ayuda a transformar la causa raíz en acciones prácticas y bien estructuradas.

Tomado de: https://blog.softexpert.com/

GESTIÓN DE RIESGOS SIN COMPLICACIONES: CONOCE LAS ETAPAS FUNDAMENTALES

La gestión de riesgos es el proceso de identificar, evaluar y controlar las amenazas financieras, legales, estratégicas y de seguridad que pueden afectar las operaciones de una empresa.

 

Estos riesgos pueden surgir de diversas fuentes, como incertidumbres financieras, problemas tecnológicos, errores de gestión estratégica, desastres naturales y responsabilidades legales.

Varias instituciones han desarrollado estándares de gestión de riesgos, como la Organización Internacional de Normalización con la ISO 31000, el Project Management Institute (PMI), el National Institute of Standards and Technology (NIST) y sociedades actuariales. Los métodos, definiciones y objetivos pueden variar según el estándar elegido y el contexto específico de cada empresa.

Un buen programa de gestión de riesgos ayudará a tu organización a manejar mejor todas las amenazas que enfrenta. Este campo de conocimiento también evalúa la relación entre los diferentes tipos de riesgos corporativos y el efecto dominó que pueden tener en los objetivos estratégicos de tu compañía.

¿Quieres saber cuáles son las etapas fundamentales para gestionar los riesgos correctamente? ¡Sigue leyendo que te lo explicamos!

Importancia de la gestión de riesgos

Un evento negativo inesperado puede tener diversas consecuencias para tu organización. Con suerte, el impacto será mínimo, como un pequeño efecto en tus inversiones trimestrales, requiriendo solo una reorganización del presupuesto.

Pero, en el peor de los casos, el evento puede ser catastrófico y tener consecuencias graves. En situaciones extremas, el resultado puede ser un gasto significativo en contención de daños o incluso el cierre de tu negocio.

Por eso, es crucial para la sostenibilidad de la organización que el consejo de directores tome en serio la gestión de riesgos. Es necesario evaluar bien la exposición a amenazas, los procesos para gestionarlas y las personas responsables de hacerlo.

Cada vez es más popular la gestión de riesgos proactiva, evaluando frecuentemente la probabilidad de enfrentar diferentes tipos de pérdidas. Al mismo tiempo, las organizaciones pueden definir qué impactos negativos son aceptables y cuáles requieren una reacción inmediata.

Esto contrasta con la gestión reactiva, que era más común en décadas pasadas. En ese caso, las empresas corregían riesgos que ya habían causado daños y solo cambiaban sus prácticas después de que una nueva amenaza provocara problemas.

Tipos de riesgos corporativos

La gestión de riesgos empresariales busca manejar seis tipos de amenazas diferentes, que van desde problemas de cumplimiento hasta cuestiones financieras o de seguridad. Estos riesgos potenciales pueden afectar negativamente el ambiente de trabajo, amenazando el futuro de tu empresa e incluso la salud de los empleados.

Aquí tienes los seis tipos de riesgos corporativos que puedes encontrar:

1. Salud y seguridad: Estas amenazas pueden aparecer de diversas maneras, tanto en oficinas como en fábricas o sitios de construcción. Incluyen cuestiones físicas, ergonómicas, químicas y biológicas que pueden afectar la salud o el bienestar físico de los empleados.

2. Financieros: Aquellos que representan una posibilidad de pérdida financiera repentina e inmediata. Ejemplos son las fluctuaciones en las tasas de cambio, la pérdida de crédito y la falta de liquidez.

3. Reputación: Los riesgos de reputación pueden afectar negativamente la percepción pública de la empresa. Ejemplos incluyen reportajes negativos o publicaciones en redes sociales que se vuelvan virales.

4. Operacionales: Posibilidades de pérdidas relacionadas con procesos internos, personas o sistemas. Incluyen fallos en los sistemas de TI, fraudes, litigios, entre otras situaciones.

5. Cumplimiento: Falta de cumplimiento con legislaciones, políticas o mejores prácticas de negocios. Puede resultar en problemas financieros o legales, y en el peor de los casos, en la clausura de la empresa.

6. Estratégicos: Amenazan el futuro a largo plazo de la empresa. Incluyen la llegada de nuevos competidores al mercado o avances tecnológicos que hagan obsoleto tu producto.

¿Qué es la ISO 31000?

El estándar más conocido para la gestión de riesgos empresariales es la ISO 31000, desarrollado y mantenido por la Organización Internacional de Normalización (ISO). Describe un proceso de gestión de riesgos que puede ser utilizado por cualquier entidad e incluye los pasos necesarios para identificar, evaluar y gestionar las amenazas a tu organización.

Aquí tienes los cinco pasos definidos por la ISO, que explicaremos en más detalle a continuación:

1. Identifica los riesgos que enfrenta tu organización.
2. Analiza la probabilidad y el impacto potencial de cada uno.
3. Evalúa y prioriza las amenazas según tus objetivos de negocio.
4. Gestiona las condiciones de riesgo o crea respuestas para ellas.
5. Monitorea los resultados de los controles de riesgo y haz los ajustes necesarios.

Para que tu organización tenga un conocimiento sólido de lo que está ocurriendo, el proceso de certificación ISO 31000 exige que comiences definiendo el alcance de tu gestión de riesgos. También es necesario que tu equipo determine el contexto de negocio en el que se va a aplicar y cree criterios de riesgos.

El objetivo del estándar es permitirte saber cómo se clasifica cada riesgo identificado dentro de la categorización de “aceptable” o “inaceptable”. A partir de ahí, es posible definir qué acciones deben tomarse para preservar y mejorar los valores de tu organización.

Etapas fundamentales para la gestión de riesgos

Los riesgos, esenciales para las decisiones estratégicas, son la principal causa de incertidumbre en las organizaciones y pueden afectar sus procesos, actividades, productos y servicios. La gestión de riesgos corporativos ayuda a manejar estas incertidumbres, aumentando la capacidad de generar valor y permitiendo decisiones estratégicas más eficientes y cambios organizacionales efectivos.

Una buena gestión de riesgos puede reducir la probabilidad de eventos adversos y mejorar la eficiencia operativa. Además, ofrece beneficios como informes financieros más precisos, reducción del coste de capital y ventaja competitiva, beneficiando incluso a empresas de servicio público con mejor apoyo político y comunitario.

Vamos a ver ahora las principales etapas para la gestión de riesgos:

1. Identificación

La etapa de identificación requiere un análisis minucioso, donde se deben considerar todos los escenarios posibles para asegurar una cobertura completa de amenazas potenciales. Los riesgos identificados deben documentarse de forma clara y detallada para establecer un entendimiento común entre todas las partes interesadas, asegurando la base para medidas efectivas de mitigación.

Siguiendo las directrices de la ISO 31000, la identificación de riesgos debe involucrar la colaboración entre diferentes departamentos de la organización, promoviendo un enfoque integrado y completo. Esta colaboración no solo facilita la identificación de riesgos, sino que también promueve la transformación digital al asegurar que todos los equipos estén alineados hacia la excelencia operativa y el cumplimiento.

2. Evaluación

La evaluación de riesgos implica analizar la probabilidad de su ocurrencia y el impacto potencial que pueden causar. Este proceso sirve para asegurar el cumplimiento y promover la eficiencia operativa en las organizaciones.

El uso de soluciones modulares en el contexto de la transformación digital permite un enfoque sistemático, facilitando la identificación y mitigación de riesgos en diversas áreas funcionales. La colaboración entre departamentos ayuda a implementar estos procesos de manera efectiva, resultando en una excelencia operativa alineada con los objetivos estratégicos de la empresa.

3. Tratamiento

Un enfoque eficaz para el tratamiento de riesgos debe estructurarse considerando cuán aceptable es el riesgo en cuestión. En determinadas situaciones, la opción puede ser no actuar, pero esta decisión debe estar respaldada por un análisis riguroso.

Para promover el cumplimiento y la eficiencia en la organización, es necesario establecer un plan de acción adecuado. Este puede incluir estrategias para prevenir, reducir o transferir riesgos. El enfoque en soluciones modulares y la colaboración entre las diversas funciones de negocio maximizan la integración y la eficacia de la gestión de riesgos.

4. Monitoreo

Un proceso continuo de revisión es esencial para una gestión de riesgos proactiva, reevaluando las amenazas y monitoreando la situación de los tratamientos y controles implementados. La revisión periódica asegura que las medidas de mitigación sean efectivas y se ajusten según sea necesario.

La tecnología juega un papel crucial en el monitoreo, permitiendo la recopilación y análisis de datos en tiempo real. Esto facilita la identificación rápida de nuevos riesgos y la adaptación de las estrategias de gestión.

5. Comunicación

La comunicación en cada una de estas cuatro etapas anteriores es fundamental para un proceso efectivo de toma de decisiones en la gestión de riesgos. Asegura que todas las partes interesadas estén informadas y alineadas respecto a los riesgos y las estrategias de mitigación.

a transparencia en la comunicación facilita la colaboración y la confianza entre los departamentos. Esto resulta en una respuesta más rápida y coordinada a los riesgos emergentes, fortaleciendo la resiliencia organizacional.

Conclusión

La implementación de la gestión de riesgos no es solo una cuestión de control, sino de sostenibilidad y resiliencia para la empresa. Con una estrategia sólida, cada etapa trabaja para proteger el valor y la longevidad del negocio, desde la identificación hasta el monitoreo y la comunicación.

En un entorno corporativo cada vez más dinámico y globalizado, la gestión de riesgos se ha convertido en una herramienta estratégica para la toma de decisiones seguras, garantizando que las empresas no solo enfrenten adversidades, sino que también prosperen.

¿Buscando más eficiencia y conformidad en sus operaciones? Nuestros especialistas pueden ayudar a identificar las mejores estrategias para su empresa con las soluciones de SoftExpert. ¡Hable con nosotros hoy mismo! 

Sobre el autor:

Tobias Schroeder

MBA en Gestión Estratégica en la UFPR. Analista de negocio y de mercadeo en SoftExpert, proveedora de software para automatización y mejora de procesos de negocio, conformidad reglamentaria y gobernanza corporativa.

Tomado de: https://blog.softexpert.com/