miércoles, 12 de mayo de 2021

ISO 31000: ERRORES A EVITAR EN LA IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS

Los errores a evitar en la identificación y evaluación de riesgos son más frecuentes de lo que podemos suponer, aún para profesionales del área experimentados.

La evaluación de riesgos, en su forma más simple, implica imaginar con anticipación los posibles eventos, sus efectos y las consecuencias.

Gestionar los riesgos es importante en todas las organizaciones, no sólo desde el punto de vista comercial, sino también porque es una obligación legal. Por lo tanto, los encargados del área deben tener en cuenta esos errores a evitar en la identificación y evaluación de riesgos.

Existen numerosas formas para identificar, analizar y evaluar los riesgos. Y pueden adoptar diversas formas según el contexto, el sector y la línea de negocio. Independientemente de estos factores, existen 5 errores a evitar en la identificación y evaluación de riesgos, que se presentan en forma recurrente y que por ello, analizamos en nuestro informe de hoy.

5 Errores a evitar en la identificación y evaluación de riesgos

A menudo sucede que sólo se abordan problemas urgentes, mientras se hace a un lado un enfoque sistemático. Este, en sí, puede ser uno de los errores a evitar en la identificación y evaluación de riesgos. Sin embargo, existen otros:

No entender la diferencia entre el análisis de riesgo y la evaluación de riesgo

El análisis de riesgo identifica las causas y los posibles impactos de un riesgo cualitativamente. Por ejemplo, al conducir un coche por una carretera, se puede pinchar un neumático. ¿Las razones?: baja presión del neumático, conducir demasiado rápido, malas condiciones de la carretera, un clavo en el camino. etc.

Luego se tienen en cuenta las consecuencias inmediatas y a largo plazo: la seguridad de los ocupantes del automóvil, el impacto financiero, daños a largo plazo para el coche, ramificaciones legales, etc. Las causas y el impacto son parte del análisis de riesgos.

La evaluación de riesgos, por otra parte, define la gravedad del riesgo en comparación con otros riesgos. Es la parte cuantitativa del proceso. Retomando el ejemplo anterior, tener un neumático deshinchado es un riesgo al que vale la pena prestar atención, ahora bien, ¿cómo se compara esto con el riesgo de una colisión frontal o la posibilidad de patinar en el hielo en invierno? Al igual que en este ejemplo, comprender los riesgos asociados con el negocio y cómo priorizarlos, permite asignar esfuerzos y recursos de la manera más adecuada.

Es importante reconocer la diferencia entre el análisis y la evaluación para determinar cuándo aplicar cada práctica.

Involucrar a las personas equivocadas en el proceso

Entre los errores a evitar en la identificación y evaluación de riesgos ocupa un lugar principal el no considerar a las partes interesadas y, eventualmente perjudicadas, con la ocurrencia de los diferentes tipos de riesgo. Volviendo a nuestra analogía de la conducción, es probable que el conductor hable sobre la posibilidad de un accidente como consecuencia de un neumático pinchado con un amigo, con su mecánico o incluso, con un desconocido con quien entabla una conversación casual.

Pero no se preocupa por indagar la opinión de las personas que lo acompañarán en el viaje. ¿Entenderán ellos que el automóvil puede virar intempestivamente hacia un lado si se revienta un neumático en la carretera?, ¿entenderán que habrá una pérdida inmediata y dramática del control del automóvil?, ¿estarán preparados para tomar acciones que disminuyan el impacto del suceso? Probablemente, no.

Idealmente, una persona que identifica, analiza y evalúa riesgos, debe tomar como base de su trabajo la experiencia y las opiniones de las personas afectadas por la ocurrencia de un evento catastrófico.

Confundir el factor de riesgo con el riesgo en sí

Un factor de riesgo es una condición o un elemento que contribuye a aumentar la probabilidad de que ocurra un riesgo, pero no es el riesgo en sí mismo. Los neumáticos con baja presión, el clima impredecible o los baches en la carretera no significan que necesariamente habrá un pinchazo, y que este tendrá consecuencias fatales.

Sin embargo, estos factores de riesgo contribuyen a aumentar la posibilidad de ocurrencia. Ser capaz de distinguir entre “factor de riesgo” y “riesgo” es útil para determinar las causas y las consecuencias de acciones comerciales específicas. Esto permite a las partes interesadas incorporar medidas preventivas y reactivas correctas, para evitar, minimizar o mitigar los riesgos asociados.

Evaluar los riesgos sin tener en cuenta todos los criterios necesarios

Los objetivos definidos por la organización para medir el éxito de un programa deben usarse para identificar los riesgos asociados. El peligro radica en hacer una evaluación basada en el nivel de predisposición al riesgo del evaluador, en lugar de basarlo en los objetivos de la organización.

Para evitar esto, los profesionales de gestión de riesgos tendrán que conocer los objetivos de la organización para realizar un análisis alienado con los objetivos comerciales. Tener información y comunicarla a las personas adecuadas, en el momento adecuado, es clave. La identificación y evaluación de riesgos deben incluir información organizacional, estratégica, operativa y de costes relacionada con los factores de riesgo.

Comparar el riesgo con la efectividad de los controles

Para finalizar, uno de los errores a evitar en la identificación y evaluación de riesgos es comparar el riesgo con la efectividad de los controles implementados. Es necesario comprender la forma en que los controles afectan y reducen un riesgo inherente a un riesgo residual.

En el ejemplo que hemos utilizado a lo largo de este artículo, el riesgo es tener una llanta desinflada, mientras que los controles son someter los neumáticos a revisiones regulares, tomar rutas que utilicen carreteras en buen estado, contar con un servicio de asistencia de vehículos, evitar viajar bajo condiciones climáticas adversas, entre otros.

Para evaluar con precisión la situación y establecer una estrategia efectiva, es importante diferenciar los riesgos de los controles establecidos, comprenderlos, priorizarlos y asignar recursos adecuados.

Tomado de: https://www.escuelaeuropeaexcelencia.com

AUDITORÍA INTERNA REMOTA: UNA NUEVA NORMALIDAD A FUTURO

Nos ha tocado vivir una pandemia mundial que nos obliga a encontrar soluciones, de forma rápida, para poder continuar con las actividades que realizamos. 

Las condiciones en las que estamos trabajando a día de hoy son diferentes a como veníamos haciéndolo antes de la pandemia.

La auditoría interna de calidad es uno de los procesos que, en su forma tradicional, se vuelve muy difícil de llevar a cabo. Se generan diferentes dificultades que pueden poner en riesgo la salud de los auditores y de los auditados, pero es necesario encontrar una alternativa ya que la realización de las auditorías mantiene vivos los procedimientos y la cultura de calidad que se ha implementado en la organización. La alternativa más factible es la de realizar la auditoría interna remota de calidad en las organizaciones.

Auditoría interna remota de calidad, la solución

La auditoría interna remota puede volverse una práctica ventajosa, principalmente para organizaciones que sean muy dispersas de forma geográfica o que tenga un elevado número de unidades. Con la utilización de las herramientas de apoyo correcta es posible que se realicen auditorías remotas tan eficaces como las que se realizan de forma presencial. Además, presenta una serie de ventajas como puede ser que se pueden realizar con mayor frecuencia y en un mayor número de locales debido a su costo más reducido.

¿Cuáles son las ventajas de la auditoría remota?
  • No existe la necesidad de desplazamiento.
  • Incrementa la frecuencia y número de locales que se pueden auditar.
  • Mayor disponibilidad de los auditores necesarios en el momento correcto.
  • Extiende la amplitud de la auditoría.
  • Cada vez más personas realizan teletrabajo.
  • Minimización de costes.
¿Cómo se lleva a cabo una auditoría interna remota?

La auditoría interna remota es, en su esencia, idéntica a una auditoría presencial. De la misma manera que en su realización física, la auditoría se deberá centrar en el alcance seleccionado, garantizar que las evidencias sean correctamente recopiladas, validadas y archivadas de forma adecuada. Sin embargo, las auditorías remotas exigen algunos cuidados extras que no pueden ser descuidados. Por ejemplo:
  • Comunicar con tiempo a todos los involucrados las tecnologías que se utilizarán y el alcance de la auditoría.
  • Verificar que se dispongan de equipamientos y recursos necesarios.
  • Instalar algún software de videoconferencia.
  • Involucrar al personal de TI para los temas de seguridad en el acceso.
  • Prever los registros que deberán evaluados en el plan de auditoría.
  • Certificarse de que las personas puedan utilizar los softwares necesarios.
  • Llevar a cabo test.
  • Definir el tiempo de preparación antes de llevar a cabo la reunión para realizar los ajustes de conexión.
  • Dejar preestablecido lo que realizará en caso de se produzca una caída de la conexión.
Una vez concluya la auditoría, es necesario que todo el resultado del trabajo sea formalizado en el informe de auditoría. Por medio del mismo, se transmitirán todos los resultados a la alta dirección.

¿Cuáles son los beneficios de realizar la auditoría interna remota con ISO 9001?

Una vez se ha implementado la norma ISO 9001 y se ha obtenido el certificado, la auditoría interna remota puede presentar interesantes beneficios en muchos casos:

Eficiencia en tiempo y coste

La nueva generación de auditores tiene un pensamiento muy diferente. Piensan que no es necesario acudir a realizar una auditoría en un lugar lejano y de difícil acceso cuando pueden obtener los documentos alojándolos en la nube.

Esto genera, sobre todo, beneficios económicos ya que se reducen los gastos en desplazamiento y tiempo.

Ubicaciones de difícil acceso

No siempre el coste y el ahorro de tiempo son los únicos factores que se deben considerar. Los lugares en los que el ruido de la producción interrumpe o dificultan la labor del auditor, en este caso realizar una auditoría remota sería mucho más eficiente.

Funcionalidades de la tecnología

Las empresas realizan inversiones en tecnología que tiene un elevado coste. El objetivo es obtener el máximo de beneficio.

Las organizaciones que utilizan sistemas de videoconferencia para mantenerse en contacto con las sucursales, en algunos casos en el exterior, en temas que se relacionan con la estrategia comercial o el giro ordinario de los negocios.

Comodidad de auditores y auditados

Cuando se sugiere la realización de una auditoría interna remota, los auditados apoyan la idea porque esto supone que no pierden una sala de conferencia para destinarla a los auditores durante una semana, o no tener que disponer de una logística de alimentación y alojamiento que se puede obviar con la auditoría remota.

La interactividad y la conectividad que proporcionan las herramientas de tecnología actual abren muchas posibilidades con las que mantenerse y aún hasta optimizar los procesos que, a primera vista, parecen imposibles de realizar.

 Tomado de: https://www.nueva-iso-9001-2015.com/