viernes, 26 de junio de 2020

CORONAVIRUS, LO QUE LAS NORMAS ISO APORTAN EN LA CRISIS

Entre los muchos comunicados que las compañías están lanzando estos días tranquilizando a los clientes y garantizando la continuidad del servicio de forma remota, recibimos uno de una empresa colaboradora en la cuál, dos de los cinco párrafos se sustentaban en sus sistemas ISO.

La empresa, certificada en ISO 9001 y en ISO/IEC 27001, ponía en valor la gestión que le aporta estas normas, más concretamente el análisis de riesgos y Plan de Continuidad de Negocio de ISO 27001 así como los procesos gestionados que les aporta ISO 9001.

Ayer, muchas organizaciones tomaban la ISO y los sistemas de gestión como una burocracia más, un requisito obligado para trabajar con tal cliente, un elemento de marketing, un sello que queda bonito en nuestros documentos….

Hoy, son estas empresas las que están desempolvando y revisando los Planes de Continuidad, los Planes de Comunicación, los procedimientos de trabajo o recordando cómo evaluaban los indicadores de desempeño para tener elementos medibles de cómo les va a afectar esta crisis.

Las que, como la empresa a la que hacíamos en referencia al principio, no necesitaron quitar el polvo a los procedimientos, cuentan con una ventaja competitiva respecto de las demás.

Las herramientas de los sistemas de gestión ISO están a nuestra disposición en momentos de crisis y es un buen momento para ponerlos en valor.

En este post te contamos qué nos aporta ISO en la crisis del COVID-19.

COVID-19 y la continuidad de mi empresa
Muchas empresas están preocupadas por lo que puede hacer este virus, que solo afecta a las personas, con la continuidad de sus actividades y con la supervivencia de la compañía. 

No es para menos pensar, que debemos mantener nuestra empresa a flote y que por medio de diferentes normas o la actualización de ellas podamos elevar nuestra capacidad de reacción a eventos tan desafortunados como el que se esta viviendo. 

A continuación, mencionamos algunas de las normas que pueden ayudar a mantener un nivel adecuado de atención y respuesta de nuestra empresa 

ISO 9001: Gestión de Calidad
ISO 9001, en su enfoque de gestión por procesos, identifica el mapa de procesos de nuestra organización y sus interacciones, nos da herramientas para describir cómo se desarrollan dichos procesos, quiénes son los responsables de estos, sus entradas y salidas y sus indicadores de desempeño entre otros.

El tener definidos y estandarizados los procesos, cualquiera pueda seguir llevándolos a cabo desde donde este; permitirá a las compañías continuar y regresar con el menor impacto posible en su actividad.

ISO 9001 establece procesos de gestión del cambio que se requieren ante este tipo de contingencia. Con ISO 9001 ya tendremos implantadas herramientas para planificar los cambios, considerando el propósito y consecuencia de los mismos, la integridad del sistema de gestión de calidad, la disponibilidad de recursos y la asignación de responsabilidades.

Otro aporte importante que se ha puesto de manifiesto en estos días es la necesidad de un Plan de Comunicación. Las empresas certificadas en ISO 9001 cuentan ya con un proceso para determinar las comunicaciones internas y externas que incluye: qué, cuándo, a quién, como y quién comunica y por lo tanto les ayuda a gestionar cómo dar información a las diferentes partes interesadas.

Otras herramientas importantes de ISO 9001 que podemos destacar son:
  • Herramientas de análisis de contexto interno y externo.
  • Tener identificados los stakeholders y sus necesidades y expectativas.
  • La identificación de los riesgos y oportunidades de los procesos de la organización (ahora es un buen momento para revisarlos y reevaluarlos)
  • La identificación de los requisitos de los clientes y los riesgos que pueden afectar la conformidad de nuestros productos y servicios.
  • Los procesos ya sistematizados para abordar los riesgos y oportunidades.
  • La gestión de la infraestructura como tecnologías de la información y la comunicación necesaria para la operación de los procesos.
  • Las herramientas de análisis y evaluación del desempeño que nos permitirán evaluar el impacto de esta crisis en nuestras operaciones.
  • Herramientas de mejora como las no conformidades y las acciones correctivas que establecen mecanismos para detectar incidencias en esta nueva forma de operar y poder subsanarlo lo antes posible.

Es claro que, para la continuidad de nuestro negocio, estos elementos son claves para el cambio de procesos que se deben estar llevando a cabo dentro de las organizaciones y proporciona una manera de gestión de calidad de cada proceso de cambio, así sea solo temporal. 

ISO 27001: Seguridad de la Información
Si ISO 27001 era una norma en crecimiento, ahora va a ser una norma en crecimiento exponencial por los nuevos tiempos que nos esperan.
  • Seguridad de los equipos
  • Copias de seguridad
  • Intercambio de información
  • Control de acceso a la red
  • Ordenadores portátiles y comunicaciones móviles
  • Teletrabajo
  • Gestión de claves
  • Protección de datos y privacidad de la información de carácter personal
  • Planes de continuidad de negocio

Seguro que si en tu empresa estáis teletrabajando todos estos elementos se han puesto encima de la mesa. Estos son algunos de los controles que establece ISO 27001 y que las empresas que ya está certificadas tienen implementados.

Por eso su transición al teletrabajo o a otra nueva forma de operar ha sido sencilla para ellos.

Además, con la cantidad de información malintencionada que circula por los diferentes medios de comunicación digital sobre el CORONAVIRUS; se hace imperativo mantener resguardada la información y establecer los protocolos de seguridad dentro de la compañía.

Para ello, la norma ISO 27001 permite implantar un sistema de gestión de Seguridad de la información como una herramienta indispensable para proteger a las empresas y organizaciones de las amenazas y riesgos contra la información.

Esta norma permite: 
  • Conocer los riesgos
  • Gestionar los riegos 
  • Minimizar los riesgos 

LA ISO 27001 Es una norma que mantiene la información propia de la empresa, de los clientes y de los proveedores controlada y protegida de cualquier intrusión y posible ciberpirata o ciberatacante.

ISO 22301: Continuidad del negocio 
ISO 22301 nos provee de plan de continuidad para eventos inesperados y permite la definición de una serie de procedimientos documentados que conducen a las organizaciones a responder, recuperar, reanudar y restaurar el nivel de operación predefinido después de la interrupción.

La norma ISO 22301 es una buena herramienta para implementar y gestionar un Plan de Continuidad, ya que es una forma de detección de oportunidades y de mejorar la eficacia operativa de nuestro núcleo empresarial

Con esta norma se podrá analizar la estructura de funcionamiento interna de la empresa, lo que permite encontrar diversas oportunidades de mejora cuya eliminación minimizan de manera clara los riesgos y costes de nuestra entidad.

ISO 20000: Calidad de Servicios IT
Esta norma permite mantener una gestión de servicios de TI eficientes y orientados a conseguir los objetivos del negocio, con calidad y de valor agregado para sus clientes.

En este momento con la crisis presentada por el CORONAVIRUS, las políticas de trabajo desde casa y desde las diferentes tecnologías; impulsan a que las empresas mantengan sus estándares de calidad y de servicios actualizados para que las actividades se desarrollen de manera eficiente y efectiva. 

Si eres una empresa que presta servicios TI un simple proceso de gestión de incidentes y problemas es tu tabla de salvación para poder organizar de forma eficiente la nueva manera de prestar el servicio.

ISO 20000 permite que tu empresa logre realizar y gestionar el suministro de servicios de tecnologías de la información de manera efectiva; y que se convierta en una herramienta para el trabajo que desempeñas. 

ISO 45001: Seguridad y Salud en el Trabajo
Esta norma garantiza de manera directa el cumplimiento de las exigencias establecidas por la legislación de cada país en materia de seguridad y salud dentro del sector en el que opera nuestra empresa.

Es por ello que sobre todo te aporta tranquilidad ante cualquier contingencia por enfermedad que pueda surgir en tu empresa.

¿Para qué nos sirve tener implementada una norma ISO?  
En los momentos de crisis y de eventos inesperados; requerimos mantener todas nuestras organizaciones y los procesos internos de manera ordenada, esto nos abre las posibilidades de mantener y cuidar los recursos y de generar acciones de interacción rápida.

Entre las muchas ventajas de tener una Norma ISO implantada en nuestra compañía podemos encontrar las siguientes como más importantes:
  • Estandarización y Mantenimiento de los procesos de la organización
  • Mejora y asesoramiento de procesos no definidos para una situación de emergencia
  • Generación de planes de contingencia para eventos inesperados
  • Establecimiento de procesos de comunicación interna y con terceros
  • La necesidad de disponer de certificados para cuando salgan concursos públicos.
  • La protección de datos sensibles de la información de la compañía
  • Acciones preventivas y de aseguramiento de las actividades laborales


Tomado de: https://ingertec.com/

CÓMO CONOCER EL GRADO DE MADUREZ DE TU GESTIÓN DE RIESGOS


Las organizaciones deben realizar un diagnóstico de su actual situación de cara a conocer el grado de madurez de gestión de riesgos que presentan.
Enfoque basado en Riesgos en ISO 9001:2015
La importancia de lo anterior reside en el hecho de que la nueva versión de 2015 de la norma ISO 9001 presta especial atención a la aplicación del conocido como Enfoque basado en riesgos.

Dicho enfoque basado en riesgos se pone de manifiesto mediante la identificación de potenciales riesgos y oportunidades y la implementación de unos efectivos controles sobre los procesos de gestión de calidad.

Este nuevo cambio viene recogido en el llamado Anexo SL, el cual establece una estructura de alto nivel que será de aplicación a todas aquellas normas de la familia ISO, que se creen nuevamente o se revisen.

Concretamente, en la norma ISO 9001:2015, el enfoque basado en riesgos se hace presente a lo largo de varias cláusulas de la misma.

Sin embargo, se deja notar en especial en los apartados referentes al enfoque basado en procesos, el liderazgo y en la planificación.

Con ello, vemos la necesidad de que las organizaciones cuenten con unas adecuadas herramientas que le permitan la gestión oportuna de riesgos y fortalecer los Sistemas de Gestión de las organizaciones.



Herramienta para conocer el grado de madurez de gestión de riesgos

Como vemos, bajo los requisitos de ISO 9001:2015 es muy importante la gestión de riesgos y oportunidades. Esto, hace necesario que las organizaciones se esfuercen por lograr la mejora continua en cuanto a Gestión de Riesgos.

El paso previo para ello es conocer el grado de madurez de Gestión de Riesgos.

A través de tal plantilla, podrás conocer el nivel en que tu organización cumple con los principios que, sobre la Gestión de Riesgos, establece la norma ISO 9001:2015, para, en base a ello, conocer el grado de madurez de Gestión de Riesgos.

Un aspecto a considerar sobre la Gestión de Riesgos es que debe ser considerada como una parte integral en todos los procesos de la organización y ser aplicada de forma estructurada, sistemática y oportuna.

De manera concreta, conocer el grado de madurez de tu gestión de riesgos según ISO 9001:2015, mediante nuestra Plantilla para tal evaluación, permitirá a tu organización:
  • Conocer el nivel en que tu organización da cumplimiento a los diferentes requisitos que ISO 9001:2015 establece sobre Gestión de Riesgos.
  • Análisis del grado de madurez en Gestión de Riesgos de acuerdo a ISO 9001:2015 que presenta tu organización.
  • Identificar las posibles áreas en las que sea necesario aplicar mejoras.
Por todo lo anterior, recomendamos la utilización de nuestra plantilla de Autoevaluación de la Gestión de Riesgos.


Tomado de: https://www.escuelaeuropeaexcelencia.com/

GESTIÓN DE RIESGOS: ¿QUÉ ES? ¿POR QUÉ EMPLEARLA? ¿CÓMO EMPLEARLA?

La GESTIÓN DE LOS RIESGOS es cada vez una actividad más determinante para alcanzar el éxito en las organizaciones, razón por la cual es IMPERATIVO aprender sobre ello de manera transversal en las entidades. 

En este artículo pretendemos ayudar y motivar sobre la materia. Es importante señalara que sobre este particular existen estándares internacionales que ayudan esta labor en las organizaciones, como la ISO 31000 que está en la versión 2018 y cada vez es de mayor interés a nivel mundial y al interior de las organizaciones, sin importar su sector, tamaño, grupos de valor y partes interesadas, etc. Así lo demanda el mundo moderno en tiempos de COVID-19. 


1. ¿Qué es la gestión de riesgos?
La gestión de riesgos es el proceso de identificar, analizar y responder a factores de riesgo a lo largo de la vida de un proyecto y en beneficio de sus objetivos. La gestión de riesgos adecuada implica el control de posibles eventos futuros. Además, es proactiva, en lugar de reactiva.

2. Sistemas de gestión de riesgos
Los sistemas de gestión de riesgos están diseñados para hacer más que solo identificar el riesgo. El sistema también debe poder cuantificar el riesgo y predecir su impacto en el proyecto. En consecuencia, el resultado es un riesgo aceptable o inaceptable. La aceptación o no aceptación de un riesgo depende, a menudo, del nivel de tolerancia del gerente de proyectos por el riesgo.

Si la gestión de riesgos es configurada como un proceso continuo y disciplinado de la identificación y resolución de un problema, entonces el sistema complementará con facilidad otros sistemas. Esto incluye la organización, la planificación y el presupuesto y el control de costos. Las sorpresas disminuirán porque el énfasis ahora será una gestión proactiva en lugar de una reactiva.

3. La gestión de riesgos: Un proceso continuo
Una vez que el equipo de proyectos identifica todos los posibles riesgos que pueden perjudicar el éxito del proyecto, debe escoger los que tienen más probabilidades de suceder. Basará su decisión en las experiencias pasadas respecto de la probabilidad de ocurrencia, su intuición, las lecciones aprendidas, los datos históricos, entre otros.

A inicios de un proyecto hay más en riesgo que a medida que este avanza hacia su finalización. En consecuencia, la gestión de riesgos debe hacerse a inicios del ciclo de vida del proyecto, así como de manera continua.

La importancia es que la oportunidad y el riesgo por lo general permanecen relativamente altos durante la planificación del proyecto (al inicio del ciclo de vida), pero debido al relativo bajo nivel de inversión en este punto, lo que está en juego permanece bajo. Por el contrario, durante la ejecución del proyecto, el riesgo cae de forma progresiva a niveles inferiores a medida que lo desconocido se convierte en conocido. Al mismo tiempo, lo que está en juego aumenta de manera constante a medida que los recursos necesarios se invierten de manera progresiva para completar el proyecto.

El punto crítico es que la gestión de riesgos sea un proceso continuo y como tal se realice no solo al inicio del proyecto, sino de manera continua a lo largo de la vida del proyecto.

4. Respuesta a los riesgos
La respuesta a los riesgos por lo general incluye:
Prevención: Eliminación de una amenaza específica, a menudo al eliminar la causa.
Mitigación: Reducción del valor monetario estimado de un riesgo al reducir la probabilidad de ocurrencia.
Aceptación: Aceptar las consecuencias del riesgo. Con frecuencia, esto se cumple al desarrollar un plan de contingencia para ejecutar si el riesgo llega a ocurrir.

Al desarrollar un plan de contingencia, el equipo de proyectos participa en el proceso de solución de un problema. El resultado final será un plan que se pueda aplicar al momento.

Lo que el equipo de proyectos requiere es la habilidad de lidiar con los obstáculos para completar de forma exitosa el proyecto, a tiempo y dentro del presupuesto. Los planes de contingencia ayudarán a garantizar que el equipo pueda atender con rapidez la mayoría de problemas que surjan.

5. ¿Por qué emplear la gestión de riesgos?
El propósito de la gestión de riesgos es la siguiente:
  • Identificar posibles riesgos
  • Reducir o dividir los riesgos
  • Proporcionar una base racional para la toma de decisiones en relación con todos los riesgos
  • Planificar

Evaluar y gestionar riesgos es la mejor herramienta frente a las catástrofes en los proyectos. Al evaluar el plan para potenciales problemas y al desarrollar estrategias para abordarlos, mejorarán las probabilidades de éxito del proyecto.

Asimismo, la gestión de riesgos continua logrará lo siguiente:
  • Garantizar que los riesgos de mayor prioridad sean gestionados de forma agresiva y que todos los riesgos sean gestionados, cuidando los costos, a lo largo del proyecto.
  • Proporcionar gestión en todos los niveles con la información necesaria para tomar decisiones informadas en problemas críticos para el éxito del proyecto.

Si no se atacan de forma activa los riesgos, estos atacarán activamente.

6. ¿Cómo emplear la gestión de riesgos?
Primero, se necesita considerar las diversas fuentes de riesgo. Esta lista no pretende ser exhaustiva sino servir de guía para la lluvia de ideas inicial de todos los riesgos.

Varias fuentes de riego incluyen:

Gestión de proyectos
  • Demasiados proyectos que se realizan al mismo tiempo
  • Cronogramas imposibles de cumplir
  • No hay una persona responsable de todo el proyecto
  • Pobre control de los cambios de diseño
  • Problemas con los miembros del equipo
  • Pobre control de los cambios de clientes
  • Pobre comprensión del trabajo de gerente de proyectos
  • Persona equivocada asignada como gerente de proyectos
  • Prioridades del proyecto en conflicto
  • Planeamiento y control no integrados
  • Oficina de proyectos mal organizada
Externos
Impredecibles:
  • Requisitos regulatorios inesperados
  • Desastres naturales
  • Vandalismo, sabotaje o efectos secundarios impredecibles
Predecibles:
  • Riesgos del mercado u operacionales
  • Riesgo social
  • Riesgo ambienta
  • Medios de comunicacón
  • Inflación
  • Fluctuaciones en la divisa
Técnicos:
  • Cambios tecnológicos
  • Riesgos derivados de los procesos de diseño
Legal:
  • Uso no autorizado de marcas y licencias
  • Demandas por ruptura de contrato
  • Problemas con la fuerza laboral o el lugar de trabajo
  • Legislación

7. El proceso de análisis de riesgos
El proceso de análisis de riesgo es esencialmente un proceso de solución de problemas de calidad. Las herramientas de calidad y de evaluación se utilizan para determinar y priorizar riesgos de evaluación y resolución.

El proceso de análisis de riesgos es el siguiente:

Identificar del riesgo
  • Este paso es la lluvia de ideas. Al revisar la lista de posibles fuentes de riesgo, así como la experiencia y el conocimiento del equipo de proyectos, se identifican todos los potenciales riesgos.
  • Al utilizar un instrumento de evaluación, los riesgos son categorizados y priorizados. El número de riesgos identificados a menudo excede la capacidad de tiempo del equipo de proyectos para analizar y desarrollar contingencias. El proceso de priorización ayuda a gestionar aquellos riesgos que tienen un alto impacto y una alta probabilidad de ocurrencia.

Evaluar los riesgos
  • Con frecuencia, la solución de problemas tradicional transita de la identificación de problemas a la solución de problemas. Sin embargo, antes de intentar determinar cómo gestionar mejor los riesgos, el equipo de proyectos debe identificar los orígenes de tales riesgos.

Desarrollo de respuestas frente al riesgo

Ahora el equipo de proyectos está listo para el proceso de evaluación de posibles remedios para gestionar el riesgo o tal vez evitar que el riesgo ocurra.

8. Desarrollo de un plan de contingencia o medidas preventivas para el riesgo
  • El equipo de proyectos convertirá en tareas las ideas que fueron identificadas para reducir o eliminar las probabilidades de riesgo.
  • Aquellas tareas identificadas para gestionar el riesgo, si ocurren, se desarrollan en pequeños planes de contingencia que pueden dejarse de lado. Si el riesgo ocurriese, se aplican las tareas identificadas, reduciéndose así la probabilidad de tener que gestionar una crisis.
Artículo traducido y adaptado de Business Improvement Architects.

Tomado de: https://gerens.pe/