Los profesionales que trabajamos con Sistemas de Gestión basados en normas ISO, debemos acostumbrarnos al término Gestión de Riesgos.
ISO 31000, tiene una importancia especial en este tema: en primera instancia, por ser la norma de referencia para la implementación de un plan de Gestión de Riesgos y luego, por que esta norma – ISO 31000 – ha sido la base para la revisión de 2015 de ISO 9001.
Importancia de contar con un plan de Gestión de Riesgos basado en ISO 31000
ISO 31000 es un estándar de carácter internacional, que contiene los principios y directrices que permiten gestionar el riesgo al interior de la organización. ISO 31000 se adapta a cualquier tipo de organización, pública o privada, ya que no existe ninguna que no esté expuesta a riesgo alguno.
La implementación de un plan de Gestión de Riesgos, produce, entre otros, los siguientes beneficios:
- La organización aumenta sus probabilidades de alcanzar las metas propuestas.
- Permite el cumplimiento de requisitos legales en varias áreas.
- Mejora el conocimiento en administración.
- Protege los recursos de la organización.
- Aumenta la eficacia y la eficiencia operativa de la organización.
- Establece una base de datos confiable para la toma de decisiones.
- Hace que la Alta Dirección de la organización, sea consciente de la importancia de controlar e identificar y gestionar los riesgos.
La importancia del plan de Gestión de Riesgos es evidente. Pero la pregunta es ¿Cómo implementarlo? Veamos 10 pasos para hacerlo:
10 pasos para implementar un plan de Gestión de Riesgos de acuerdo a ISO 31000
Establecer el contexto
En esta etapa, calificamos los riesgos y establecemos si son de contexto interno o externo. Se entiende por contexto externo, aquel riesgo que se deriva de factores culturales, sociales, políticos, jurídicos, reglamentarios, financieros, tecnológicos, económicos, o relativos a la competencia.
El riesgo de control interno, está relacionado con el capital, el tiempo, el recurso humano, los procesos, la estructura organizativa, las responsabilidades, las funciones, la estrategia, los procesos de toma de decisiones, etc.
El enfoque
Delimitar el contexto, ayuda a mejorar el enfoque en la definición de los riesgos en su organización, sincronizándolo con los objetivos que se desea alcanzar. Esto es de vital importancia, porque si se comete un error aquí, se perderá el trabajo en el resto de los pasos subsiguientes. Es el enfoque del contexto, el que define las metas, los objetivos, las actividades, las responsabilidades y los métodos.
Identificación de Riesgos
En este paso, tomamos los riesgos específicos, los reconocemos, describimos y obtenemos una lista completa de ellos y de los eventos que los pueden generar, aumentar, acelerar, o, por el contrario, reducir o retardar.
Sobre algunos de esos eventos, la organización puede o no tener control, de sus causas y sus consecuencias. Lo importante es contar con un registro detallado de estos riesgos, sobre los que ya conocemos su contexto y el enfoque con que debemos gestionarlos.
Análisis de riesgos
En este punto, evaluamos las causas y las fuentes de riesgos, sus consecuencias, negativas y positivas – pueden existir -, y las probabilidades de que se produzcan tales consecuencias. El análisis tiene como objetivo fundamental, entender la probabilidad real de que el riesgo ocurra, y el impacto que tendrá en caso de suceder.
Evaluación de riesgos
La evaluación ayuda a tomar decisiones, sobre la base obtenida del análisis. Si el análisis nos arroja una probabilidad de un 90%, por ejemplo, definitivamente el riesgo es inminente y de alto impacto. Es preciso generar acciones inmediatas para prevenir ese riesgo o minimizar su impacto. Esto nos conduce al siguiente paso.
Tratamiento de los riesgos
Este es el paso en el que se toman decisiones. Es el momento de actuar, y emprender acciones que modifiquen el riesgo. ¿Qué es modificar un riesgo?: Aliviarlo, prevenirlo, eliminarlo, cambiar su rumbo…
Comunicación y consulta
Este paso tiene una característica especial. Es continuo e iterativo. Resulta de la obtención de información, mediante la participación en diferentes espacios – diálogo, foros, debates – con las partes interesadas.
Monitoreo
Se trata de un proceso continuo de verificación, supervisión y observación crítica, que pretende identificar cambios en la situación que pudiesen generar nuevos riesgos, o afectar la eficacia del plan de Gestión de Riesgos.
Cuando las condiciones cambian, las probabilidades de los riesgos, y los mismos riesgos, también cambian. Imaginemos que estoy en la oficina, escribiendo este artículo. ¿Cuál es la probabilidad de ser asaltado o golpeado?: Probablemente extremadamente baja. Tanto como para no considerarla y no tomar acciones frente a ese riesgo.
Pero sí, por un cambio de condiciones – un sismo, una amenaza terrorista – debo abandonar la oficina y tomar mi ordenador portátil, para trabajar en la calle, dada la premura de la obligación laboral actual, la probabilidad de ser golpeado o asaltado, aumenta en forma sensible.
Análisis crítico
El análisis crítico es la actividad llevada a cabo para determinar la idoneidad, adecuación y eficacia del plan de Gestión de Riesgos. Más que una evaluación de resultados, es una evaluación al plan en sí mismo, señalando las mejoras sucesivas o, por el contrario, sus falencias.
Auditoría
El siguiente paso de cualquier proceso de implementación de un estándar de ISO, siempre será la auditoría de certificación. La auditoría, aunque creamos que es el final, en realidad es un nuevo comienzo.
El plan de Gestión de Riesgo, debe alimentarse, monitorearse, supervisarse y analizarse en forma continua, ya que los riesgos son dinámicos. Tanto sus causas como sus consecuencias pueden variar, y afectar la probabilidad y el impacto de ellos.
Gestión de Riesgos sistematizados
Existen en el mercado diversas y excelentes plataformas tecnológicas que permiten modernizar e informatizar la administración de Sistemas de Gestión ISO 31000 y cuentan con aplicativos que permiten a las organizaciones optimizar su gestión de riesgos:
- Riesgos y Oportunidades .
- Análisis del Contexto.
- Análisis y Expectativas de Partes Interesadas.
- Hallazgos.
- Gestión de Auditorías.
- Otras variables del pensamiento basado en riesgos.
Tomado de: https://www.isotools.org/
No hay comentarios.:
Publicar un comentario