lunes, 4 de junio de 2018

CÓMO REALIZAR LA EVALUACIÓN DE RIESGOS SEGÚN ISO 31000:2018


La evaluación de riesgos según ISO 31000:2018 es un proceso dinámico, sistemático y repetitivo que pretende identificar, calificar y evaluar las amenazas a las que está expuesta una organización, con el fin de tomar las acciones necesarias para eliminar, mitigar, compartir o tratar los riesgos.
La evaluación de riesgos según ISO 31000:2018 exige información, conocimiento y discusiones en las que se incorporen los puntos de vista de las partes interesadas. Esta información debe ser actualizada, relevante y directamente asociada a los riesgos que se evaluarán.



Cómo realizar la evaluación de riesgos según ISO 31000:2018

El propósito inicial es encontrar, reconocer y describir los riesgos que pueden eventualmente impedir que la organización desarrolle su negocio y alcance los objetivos propuestos.

Las organizaciones pueden utilizar varias técnicas para identificar los riesgos a los que están expuestas. La evaluación de riesgos según ISO 31000:2018 debe atender en esencia a los siguientes factores:
  • Generadores de riesgos – Tangibles e Intangibles -.
  • Las causas y los eventos.
  • Las amenazas.
  • Las oportunidades.
  • Fortalezas y debilidades.
  • El contexto interno y externo (y sus cambios).
  • Los indicadores generales de riesgo.
  • Los activos y recursos de la organización.
  • Dificultades en el acceso a la información y calidad de la misma.
  • Mitos, sesgos y suposiciones de las partes interesadas.
La evaluación de riesgos según ISO 31000:2018 debe hacerse independientemente de que las fuentes de riesgo estén o no bajo el control de la organización.

Evaluación de riesgos según ISO 31000:2018 – El análisis

El propósito del análisis de riesgos es entender las características de la amenaza y su naturaleza, lo que requiere considerar la probabilidad de ocurrencia del evento, el escenario, el posible impacto y los escenarios en los que se puede dar.

El análisis, dentro de la evaluación de riesgos según ISO 31000:2018, puede efectuarse con diferentes niveles de detalle. Por supuesto, la complejidad aumenta. Ello depende del propósito del análisis y la calidad de la información disponible.

El análisis de riesgos puede afectase por causa de la diferencia de opiniones entre las partes interesadas, los sesgos, las diferencia entre las percepciones del riesgo, e, incluso, por suposiciones infundadas que conducen a exclusiones que limitan el efecto final del análisis.

La evaluación de riesgos

El propósito de la evaluación es incorporar los elementos cualitativos a la información obtenida con base en el análisis, con el fin de emprender acciones y tomar decisiones – tratamiento de los riesgos -.

¿Qué decisiones?… veamos algunos ejemplos:
  • No tomar ninguna acción (tolerar el riesgo).
  • Proponer acciones para el tratamiento del riesgo.
  • Ordenar nuevos análisis, con base en información adicional y/o de mayor calidad.
  • Establecer controles o eliminarlos (cuando se considere que el riesgo ha desaparecido).
  • Emprender acciones para compartir el riesgo.
La evaluación de riesgos según ISO 31000:2018 es un paso previo a las opciones de tratamiento de riesgo, sobre las que seguro tendremos una entrada en los próximos días. Entre tanto, es importante tener en cuenta que la evaluación de riesgos debe ser registrada, comunicada y validada en los niveles pertinentes dentro de la organización.

Por supuesto, y como solemos acostumbrar, nuestro objetivo principal es recomendar un programa de formación que permita a los encargados dentro de la organización cumplir con los requisitos de las normas ISO. 


No obstante todo lo anterior, es recomendable dar una mirada a fondo a la norma ISO 31010 Gestión del riesgo - Técnicas de valoración del riesgo. Ahí encontrará diversas alternativas para aplicar a casos específicos y de seguro encontrará una que se adapte a sus necesidades, capacidades y contexto organizacional.

Tomado de: https://www.escuelaeuropeaexcelencia.com

¿QUÉ SIGNIFICA PENSAMIENTO BASADO EN EL RIESGO EN EL CONTEXTO DE LOS NUEVOS ESTÁNDARES ISO?


El riesgo siempre ha estado presente en las normas publicadas por ISO. 

Pero es claro que el pensamiento basado en el riesgo en el contexto de los nuevos estándares ISO es mucho más notorio y evidente.

El pensamiento basado en el riesgo en el contexto de los nuevos estándares ISO, como ISO 9001:2015 e ISO 14001:2015, insta a las organizaciones a aplicarlo en los procesos, haciendo uso de la planificación, las operaciones y la evaluación de desempeño.



Pero es importante hacer una precisión: no es lo mismo “gestión de riesgos” que “pensamiento basado en el riesgo en el contexto de los nuevos estándares ISO”. ¿Cuál es la diferencia?, ¿Pueden las herramientas de gestión de riesgos ayudar a incorporar el pensamiento basado en el riesgo en los diferentes procesos?… ese es nuestro tema de hoy.

Pensamiento basado en el riesgo en el contexto de los nuevos estándares ISO

Hasta la versión 2008 de la norma ISO 9001, se hablaba de acción preventiva. En el contexto de ISO 9001:2015, la acción preventiva es reemplazada por el pensamiento basado en el riesgo. Hasta 2008 ISO destinó una cláusula a la acción preventiva. Hoy, este apartado está reservado para el pensamiento basado en el riesgo.

Pero el pensamiento basado en el riesgo en el contexto de los nuevos estándares ISO no está limitado a los impactos negativos. Por el contrario. este enfoque permite identificar oportunidades, que, finalmente, representan el lado positivo de las amenazas.

Áreas donde aparece el riesgo en las nuevas normas ISO

Contexto de la organización: la norma exige que las organizaciones identifiquen los riesgos que pueden comprometer sus objetivos de calidad y generar productos no conformes.

Liderazgo: la Alta Dirección debe asumir el compromiso que garantice que se aborden los riesgos y las oportunidades que pueden afectar la calidad del producto y la consecución de los objetivos organizacionales. .

Planificación: no solo es necesario identificar los riesgos y las oportunidades, sino también crear planes de acción para abordarlos.

Operación: ISO requiere la implementación de controles que verifiquen el resultado de las acciones identificadas durante la etapa de planificación del proyecto.

Evaluación de desempeño: es en este punto donde se hace seguimiento del análisis de riesgos y oportunidades identificadas.

El Pensamiento Basado en Riesgos en el contexto de los nuevos Estándares ISO es ahora más relevante. Es determinante conocer las principales características

Mejora continua: las organizaciones deben emprender acciones que conduzcan a la mejora continua, ante cualquier cambio en los riesgos.

Los nuevos estándares de ISO incorporan el ciclo PDCA (Plan, Do, Check, Act) para la mejora de procesos, que se alinea con enfoques de gestión de riesgos suficientemente probados.

El pensamiento basado en el riesgo VS la gestión de riesgos en los estándares de ISO

El pensamiento basado en el riesgo está alineado con la gestión del riesgo. Tanto, que surge una pregunta que resulta lógica: ¿Por qué no llamarlos igual?… Algunos expertos consideran que se trata solo de una cuestión semántica. Pero otros, encuentran una razón de fondo para ello. Veamos:

ISO 9001:2015 no requiere evaluación de riesgos formal, ni exige que se conserve un registro de riesgos. En esta norma, los requisitos de pensamiento basado en el riesgo, se enfocan en que el riesgo sea considerado siempre en la toma de decisiones.

Es probable que ISO haya pensado en dar mayor flexibilidad a las organizaciones para que satisfagan los requisitos de los diversos estándares. Aunque también es probable que se trate de una estrategia para lograr que el pensamiento basado en el riesgo sea – sin que lo parezca – un requisito formal para obtener la certificación.

De una forma u otra, las organizaciones necesitan herramientas para hacer que el pensamiento basado en el riesgo forme parte de su Sistema de Gestión de la Calidad y de su cultura de calidad. Por supuesto, y como siempre lo hemos recomendado desde este espacio, las mejores herramientas son la formación y el conocimiento.


Tomado de: https://www.escuelaeuropeaexcelencia.com

DOCUMENTOS Y REGISTROS OBLIGATORIOS REQUERIDOS POR ISO 45001:2018


Con la publicación de la norma ISO 45001:2018, los expertos en seguridad y salud en el trabajo inician la investigación sobre los requisitos de la norma, bien sea para hacer la transición desde OHSAS 18001 o para emprender el camino hacia la certificación en la nueva norma. 

Los documentos y registros obligatorios requeridos por ISO 45001 son un buen punto de partida en cualquiera de los dos casos.


Dos claves dentro de la norma nos indican el tipo de documento que se esta demandando: “conservar información documentada como evidencia de…”, nos indica que los registros deben generarse. Por otra parte, “mantener como información documentada” sugiere que el documento tendrá que ser desarrollado, incluyendo los procedimientos.


Pero ¿Cuáles son esos documentos y registros obligatorios requeridos por ISO 45001?… hoy compartimos una lista de ellos, y también de los que no son obligatorios, con el ánimo de facilitar la labor de los expertos en seguridad y salud en el trabajo, para quienes ya empieza a correr el término de tres años para completar la transacción u obtener la certificación.



Lista de documentos y registros obligatorios requeridos por ISO 45001:2018

Iniciemos por los documentos obligatorios que son solo 7. A continuación, de cada uno de ellos, encontrará la cláusula que lo exige:
  • Alcance del Sistema de Gestión de Seguridad y Salud en el Trabajo – 4.3
  • Política de Salud y Seguridad Ocupacional – 5.2
  • Autoridades y responsabilidades dentro del SG-SST – 5.3
  • Procesos dentro del plan de Salud y Seguridad Ocupacional para abordar riesgos y oportunidades – 6.1.1
  • Criterios y Metodologías para la evaluación de los riesgos en el SG-SST – 6.1.2.2
  • Planes y objetivos de Seguridad y Salud Ocupacional para ser alcanzados – 6.2.2
  • Preparación para emergencia y planes de respuesta – 8.2
Hasta aquí, los documentos obligatorios requeridos por ISO 45001. Veamos los registros:
  • Riesgos y oportunidades en Salud Ocupacional y Seguridad en el Trabajo. Acciones para abordarlos – 6.1.1
  • Requisitos legales y de otro tipo – 6.1.3
  • Evidencia de competencia – 7.3
  • Evidencia de comunicaciones – 7.4.1
  • Planes de respuesta a situaciones de emergencia – 8.2
  • Resultados de mediciones, monitoreos y análisis de desempeño – 9.1.1
  • Mantenimiento, calibración o verificación del equipo de monitoreo – 9.1.1
  • Resultados de las evaluaciones de cumplimiento – 9.1.2
  • Programación de auditorías internas – 9.2.2
  • Informes de auditorías internas – 9.2.2
  • Resultados de la revisión de la gestión – 9.3
  • Incidentes, no conformidades y las acciones correctivas que hayan tomado – 10.2
  • Resultados de cualquier acción y acción correctiva, incluida su calificación de efectividad – 10.2
  • Evidencia de los resultados de la mejora continua – 10.3
Documentos no obligatorios


Muchos documentos no son obligatorios según ISO 45001. Sin embargo, pueden resultar de gran utilidad en la implementación del sistema:
  • Cómo determinar el contexto de la organización y las partes interesadas – 4.1
  • Manual de Salud Ocupacional y Seguridad en el Trabajo – 4
  • Procedimiento de consulta y participación de los trabajadores – 5.4
  • Procedimiento para la identificación y evaluación de riesgos – 6.1.2.1
  • Procedimiento para la identificación de requisitos legales – 6.1.3
  • Procedimiento para la comunicación – 7.4.1
  • Procedimiento para el control de documentos y registros – 7.5
  • Procedimiento para la planificación y el control operativos – 8.1
  • Procedimiento para la gestión del cambio – 8.1.3
  • Procedimiento para la medición, monitoreo y análisis – 9.1.1
  • Procedimiento para la evaluación del cumplimiento – 9.1.2
  • Procedimiento para la auditoría interna – 9.2
  • Procedimiento para la revisión de la gestión – 9.3
  • Procedimiento para la investigación de incidentes – 10.1
  • Procedimiento para el Manejo de No Conformidades y Acciones Correctivas – 10.1
  • Procedimiento para la mejora continua – 10.3
Si nos detenemos un poco en los documentos y registros obligatorios requeridos por ISO 45001, notaremos que se conserva el mismo enfoque de otros estándares que han sido revisados en años recientes.

Los documentos y los registros en un sistema de gestión permiten garantizar la coherencia entre los procesos y proporcionar evidencia de que los procedimientos requeridos han sido implementados y se aplican en la práctica, lo que, al final del día, significa que el sistema funciona, es eficaz y su implementación ha resultado exitosa.


Tomado de: https://www.escuelaeuropeaexcelencia.com

CÓMO DEFINIR EL ALCANCE, CONTEXTO Y CRITERIOS DE RIESGO EN ISO 31000


¿Porqué definir el alcance, contexto y criterios de riesgo en ISO 31000?

Una buena razón para ello es configurar los procesos de Gestión de Riesgos, de tal forma se puedan evaluar de forma efectiva, pero también que se adapten a los factores internos y externos que afecten a la organización.

No obstante, para definir el alcance, contexto y criterios de riesgo en ISO 31000 es preciso comprender estos tres conceptos y la importancia que tienen en la implementación de la norma.



Cómo definir el alcance, contexto y criterios de riesgo en ISO 31000
El Alcance – Definición

La organización debe considerar el alcance de sus actividades de Gestión de Riesgos, y como puede aplicarse en diferentes niveles de la organización, como estratégico, operativo, proyectos, etc.

La definición del alcance implica considerar los siguientes elementos:
  • Decisiones que deben tomarse y objetivos que se persiguen.
  • Resultados que se espera obtener de la Gestión de Riesgos.
  • Ubicaciones, tiempo, inclusiones y exclusiones.
  • Herramientas disponibles para la evaluación de riesgos.
  • Recursos disponibles, responsabilidades asignadas y registros que se mantendrán.
  • Relación de la Gestión de Riesgos con otros Sistemas, proceso, proyectos o actividades.
El Contexto Interno y Externo

El Contexto de la organización, al que ya hemos hecho referencia en muchos de nuestros textos, es el entorno en el que se mueve la organización y en el que trabaja para alcanzar sus metas y cumplir con sus objetivos.

El Contexto, antes que definirse o delimitarse, se comprende. Y para comprenderlo es importante conocer los factores que afectan las actividades de la organización, al interior de sus instalaciones, pero también en el exterior.



¿Por qué es importante comprender el contexto de la organización?
  • Porque la Gestión de Riesgos se produce precisamente dentro de ese entorno en el que la organización desarrolla su actividad.
  • Porque los factores que conforman el Contexto pueden ser fuente de riesgos.
  • Porque puede existir una relación entre los factores que conforman el Contexto interno o externo y los objetivos de la organización, por lo que es necesario analizarlos en su conjunto como un todo.
Criterios de Riesgo – Definición

La definición de los Criterios de Riesgo, que es requerida para elaborar la Política de Riesgo de la Organización. Definir los Criterios de Riesgo implica especificar cada uno de ellos, y establecer cuáles pueden ser tolerados por la organización y en qué nivel.

Los Criterios de Riesgo deben estar alineados con el marco de Gestión de Riesgos y deben reflejar los valores, objetivos y recursos de la organización. Así mismo, ser coherentes con la política y la declaración sobre Gestión de Riesgos hechas por la organización.

Aunque los Criterios de Riesgo deben definirse al iniciar el proceso de evaluación, esta es una actividad dinámica que debe ser revisada y modificada en forma continua. Para establecer los Criterios de Riesgo, se deben considerar los siguientes aspectos:
  • La naturaleza y el tipo de riesgo, sea tangible o intangible.
  • Cómo se debe medir la probabilidad y el impacto de los riesgos.
  • El tiempo y la ubicación.
  • La forma en que se determina el nivel de riesgo.
  • La capacidad de la organización.

Tomado de: https://www.escuelaeuropeaexcelencia.com