Beruflich Dokumente
Kultur Dokumente
PARA LA GESTÍOÍ N
DE RÍESGO
En un sistema Normalizado ISO 9001:2015
www.jhuez.com
1
METODOLOGÍÍA PRAÍ CTÍCA PARA ÍMPLEMENTAR LA GESTÍOÍ N DE RÍESGOS EN UN
SÍSTEMA ÍSO 9001:2015
Jorge Jhueé z
j.jhuez@jhuez.com
2
Índice
INTRODUCCIÓN............................................................................................................................4
GESTIÓN DEL RIESGO. PRINCIPIOS BÁSICOS Y BENEFICIOS..........................................................6
CONCEPTOS MÁS RELEVANTES RELACIONADOS CON GESTIÓN DEL RIESGO.............................10
LA NORMA ISO 31000................................................................................................................. 12
DEFINICIÓN DEL RIEGO EMPRESARIAL Y PRINCIPALES TIPOS DE RIESGO...................................14
Partes de la norma ISO 31000.................................................................................................... 18
Metodologías de análisis de riesgos...........................................................................................20
Metodologías de gestión del riesgo........................................................................... 20
Metodologías de cuantificación................................................................................. 23
MÉTODOS CUALITATIVOS, CUANTITATIVOS Y SEMICUANTITATIVOS..............25
Proceso de gestión de riesgos...................................................................................... 29
Problemas habituales en la gestión de riesgos...........................................................................35
Herramienta propuesta................................................................................................. 37
Conclusiones Finales.................................................................................................... 43
Despedida y Cierre....................................................................................................... 45
3
INTRODUCCIÓN
Tradicionalmente los riesgos se han tratado de forma no estructurada, mediante
soluciones puntuales tomadas como acción correctiva a un accidente o incidente
ocurrido y con el daño ya causado.
Hasta ahora, quizás existan organizaciones que no lo estén haciendo y otras que
sí, pero, a partir de la publicación de esta norma, todas las organizaciones
interesadas en implantar un Sistema de Gestión de la Calidad tendrán que
ejecutar y poner en marcha un sistema de gestión de riesgos.
El presente libro hace un recorrido, desde la visión de ISO 9001:2015, del proceso
de gestión de los riesgos, a la vez que analiza las diferentes partes del mismo, las
herramientas de trabajo más habituales y la integración de la gestión del riesgo en
los diferentes requisitos de ISO 90001:2015, todo ello imprescindible de conocer
para poder integrar la gestión de riesgos en ISO 9001:2015; junto con dar a
conocer los cambios que enfrentaremos y cómo tenemos que adaptar nuestros
Sistemas de Gestión de la Calidad a la nueva versión ISO 9001:2015.
Teniendo en cuenta que las amenazas, las incertidumbres y los riesgos son
inherentes a cualquier actividad y organización, independientemente de su tamaño
y sector económico, resulta sorprendente comprobar que es muy habitual que las
organizaciones gestionen estos riesgos de manera ineficaz, normalmente como
4
una actividad no estructurada ni formal, lo cual no siempre permite alcanzar los
resultados esperados.
La nueva Norma ISO 9001:2015 y la norma ISO 31000 para “Gestión de Riesgos”
establecen una serie de principios que deben ser satisfechos para hacer una
gestión eficaz del riesgo, de forma que se desarrollen, implementen y si es
aplicable, se integren con el resto de los sistemas de gestión disponibles en la
empresa.
5
GESTIÓN DEL RIESGO. PRINCIPIOS BÁSICOS Y BENEFICIOS
6
Este conjunto de métodos o procedimientos conforman la Gestión del Riesgo, y
una buena forma de lograr que los mismos resulten efectivos consiste en tomar
como guía a los principios básicos que establece la Norma ISO 31000:
7
Adaptarse al entorno: Hecha a medida de la propia organización, alineada
con su contexto externo e interno y con su perfil de riesgo.
Considerar factores humanos y culturales: Reconoce la capacidad,
percepción e intenciones de la gente, tanto externa como interna que pueda
facilitar o dificultar la consecución de los objetivos de la organización.
Ser transparente, inclusiva, y relevante: La apropiada y oportuna
participación de los grupos de interés y, en particular, de los responsables a
todos los niveles, deben asegurar que la gestión del riesgo permanece
relevante y actualizada.
Dinámica, sensible al cambio, e iterativa: La organización debe velar
para que la gestión de riesgos detecte y responda a los cambios de la
empresa. Conocer como ocurren los acontecimientos externos e internos,
cambio del contexto, nuevos riesgos que surgen y otros que desaparecen.
Facilitar la mejora continua de la organización: Las organizaciones
deberían desarrollar e implementar estrategias para mejorar continuamente,
tanto en la gestión del riesgo como en cualquier otro aspecto de la
organización.
8
Mejorar la prevención así como la gestión de incidentes;
Repartir y utilizar de forma efectiva los recursos para la gestión de riesgos.
9
CONCEPTOS MÁS RELEVANTES RELACIONADOS CON GESTIÓN
DEL RIESGO
La Norma ISO 31000: 2009 “RISK MANAGEMENT. PRINCIPLES AND
GUIDELINES”, entre los conceptos más relevantes vinculados con la Gestión del
Riesgo se pueden mencionar los siguientes:
Plan para la gestión del riesgo: Esquema dentro del marco de referencia para la
gestión del riesgo que especifica el enfoque, los componentes y los recursos de la
gestión que se van a aplicar a la gestión del riesgo. Los componentes de la
gestión comúnmente incluyen procedimientos, prácticas, asignación de
responsabilidades, secuencia y oportunidad de las actividades.
10
Proceso para la gestión del riesgo: Aplicación sistemática de las políticas, los
procedimientos y las prácticas de gestión a las actividades de comunicación,
consulta, establecimiento del contexto, y de identificación, análisis, evaluación,
tratamiento, monitoreo y revisión del riesgo.
11
LA NORMA ISO 31000
La Gestión de Riesgos en las
empresas nace en la década
de los 60. Ante la tecnificación
y modernización de ciertos
procesos que hasta ese
momento se habían
desarrollado de forma manual,
en muchos sectores se puso de
manifiesto la necesidad de realizar un mejor control de las actividades. La
tecnología supuso mayor agilidad y calidad, pero a la vez nuevos retos de control
y seguimiento.
A partir de esos años se publicó la primera literatura al respecto. Los sectores que
más contribuyeron a la consolidación del concepto fueron el asegurador, el
tecnológico, el militar y el de la ingeniería náutica y nuclear.
Sin embargo, sólo en la segunda mitad de los años 70 la Gestión de Riesgos entró
de lleno a las empresas. Esto se debió a la aparición de las primeras normas y
estándares internacionales. Quizá el más significativo fue el código de seguridad
nuclear que hizo público la US Nuclear Regulatory Comission, el cual intentaba
minimizar los riesgos a los que estaba expuesto el sector nuclear estadounidense.
12
alcance genérico, es una norma no certificable; son las empresas las que se
acogen voluntariamente a sus directrices en el área de Gestión de Riesgos.
13
DEFINICIÓN DEL RIEGO EMPRESARIAL Y PRINCIPALES TIPOS
DE RIESGO
Toda actividad empresarial lleva implícito un riesgo. Algunas en mayor medida que
otras, pero ninguna se encuentra exenta. El riesgo es parte de cualquier área de
negocio, pues en cierta forma lo define y ayuda a ponerle límites.
Los riesgos están presentes en cualquier actividad. Sin embargo, algunos implican
un mayor o menor nivel de incidencia sobre las actividades de las empresas. Una
primera clasificación de los mismos puede hacerse en los siguientes términos:
Riesgo sistemático:
Riesgo no sistemático:
14
concreto y no el conjunto del mercado o escenario comercial. Varían en
función de cada tipo de actividad y cada caso, al igual que la manera en
que son gestionados. Las situaciones de crisis internas o un plan de
crecimiento mal implementado son algunos ejemplos.
Según su naturaleza
Riesgos financieros:
• Riesgo de crédito.
• Riesgo de tasas de interés.
• Riesgo de mercado.
• Riesgo gestión.
• Riesgo de liquidez.
• Riesgo de cambio.
Riesgos económicos:
Riesgos ambientales:
Son aquellos a los que están expuestas las empresas cuando el entorno en
el que operan es especialmente hostil o puede llegar a serlo. Tienen dos
15
causas básicas: naturales o sociales. En el primer grupo podemos
mencionar elementos como la temperatura, la altitud, la presión
atmosférica, las fallas geológicas, entre otros. En el segundo, cuestiones
como los niveles de violencia y la desigualdad. Sea como sea, lo cierto es
que son riesgos que no dependen de las empresas y que, por tanto, su
gestión requiere de planes preventivos más eficaces.
Riesgos políticos:
Riesgos legales:
En consecuencia, el riesgo puro es aquél del que sólo puede derivarse un daño en
caso de ocurrencia y, por tanto, una pérdida económica. Por el contrario, en el
riesgo especulativo existe la incertidumbre, respecto al propio suceso, de que
pudiera producirse indistintamente un beneficio o una pérdida.
16
si bien actualmente existe un cierto acercamiento del seguro a determinadas
parcelas de riesgos especulativos. Dentro de los riesgos puros, con relación a los
peligros desencadenantes de estos riesgos pueden distinguirse tres grandes
áreas:
Riesgos personales.
Riesgos de daños materiales sobre las propiedades.
Riesgos de responsabilidad civil.
La norma ISO 31000 es una herramienta que establece una serie de principios
para la implementación de un Sistema de Gestión de Riesgos en las empre-
sas. Como se dijo antes, puede aplicarse a cualquier tipo de organización
independiente de su tamaño, razón social, mercado, fuente de capital, espectro
comercial o forma de financiación. No especifica ningún área o sector en concreto.
La norma parte del hecho de que todas las empresas, en mayor o menor medida,
llevan a cabo prácticas para la gestión de los riesgos. La diferencia radica en la
coordinación y alineamiento de dichas prácticas.
17
Partes de la norma ISO 31000
Para una mejor comprensión de sus principios y directrices, la norma
ISO 31000:2009 divide su contenido en tres áreas básicas:
2. Gestión de riesgos:
Consecuencia:
18
Probabilidad:
3. Vocabulario de gestión:
19
Metodologías de análisis de riesgos
Dado que los riesgos no
tienen el mismo origen
ni la misma naturaleza,
existen varias
estrategias para su
gestión. Sin embargo,
otros factores que
inciden
significativamente son el
tamaño de las
empresas, su número
de integrantes, su estructura, la actividad de producción y el sector en el que
operan.
20
cuando son ejecutados en secuencia, posibilitan una mejora continua en el
proceso de toma de decisiones.
Este Estándar puede ser aplicado a todas las etapas de la vida de una actividad,
función, proyecto, producto o activo. El beneficio máximo se obtiene generalmente
aplicando el proceso de administración de riesgos desde el principio.
21
aplicación de sistemas de gestión de calidad, como la serie ISO 9000, y es el
método utilizado de preferencia para controlar la inocuidad de los alimentos en el
marco de tales sistemas.
PERSONAS Y
ACCIONES
MATERIALES EQUIPO ó
ARO HERRAMIENTAS
CONDICIONES
AMBIENTALES
22
Metodologías de cuantificación
En este caso, se trata de aquellas herramientas que se enfocan exclusivamente en
la cuantificación de los riesgos. Es decir, aplican una serie de indicadores (de
carácter numérico casi siempre) para medir el impacto que tienen los riesgos en
las organizaciones y, a partir de ese cálculo, elaborar acciones coordinadas para
su gestión, tratamiento o, incluso, eliminación.
23
Delphi: es un método orientado a conocer la opinión de expertos. En un primer
momento, un grupo de especialistas anónimos responde a un cuestionario que
elabora una organización sobre un tema específico, en este caso la Gestión de
Riesgos. Tras analizar los resultados, los responsables piden su opinión a cada
uno de los integrantes del grupo. Finalmente, la empresa elabora un segundo
cuestionario, aunque éste con preguntas más precisas y focalizadas. La idea es
que al final se elabora un texto con las conclusiones.
24
MÉTODOS CUALITATIVOS, CUANTITATIVOS Y SEMICUANTITATIVOS
METODOS
METODOS
METODOS
CUALITATIVOS
SEMICUANTITATIVOS
CUANTITATIVOS
Métodos Cualitativos
Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los
recursos necesarios para hacer un análisis completo O bien porque los datos
numéricos son inadecuados para un análisis más cuantitativo que sirva de base
para un análisis posterior y más detallado del riesgo global del emprendedor.
Brainstorming
Esta herramienta fue ideada en el año 1919 por Alex Faickney Osborn (fue
denominada brainstorming), cuando su búsqueda de ideas creativas resultó
en un proceso interactivo de grupo no estructurado que generaba más y
mejores ideas que las que los individuos podían producir trabajando de forma
25
independiente; dando
oportunidad de hacer
sugerencias sobre un
determinado asunto y
aprovechando la
capacidad creativa
de los participantes.
Métodos Semicuantitativos
Métodos Cuantitativos
26
• Análisis de consecuencias
• Simulación computacional
Para ello son realizadas diversas simulaciones donde, en cada una de ellas, son
generados valores aleatorios para el conjunto de variables de entrada y
parámetros del modelo que están sujetos a incertidumbre. Tales valores aleatorios
generados siguen distribuciones de probabilidades específicas que deben ser
identificadas o estimadas previamente.
27
Esta información será fundamental como respaldo de decisiones gerenciales; no
pueden quedar dudas que el conocimiento de la probabilidad de ocurrencia de
toda la gama de posibles rendimientos, brinda una cierta seguridad de que la
información disponible ha sido empleada con la máxima eficacia.
28
Proceso de gestión de riesgos
La norma ISO 31000 tiene un enfoque de procesos. La implementación de un
Sistema de Gestión de Riesgos, por tanto, debe seguir una serie de pasos para
que sea eficaz y cumpla con los objetivos trazados al inicio. Los pasos básicos
son:
Definición de objetivos:
En esta primera etapa se definen los objetivos del proceso. Es decir, se deja claro
qué es lo que se busca con la implementación del Sistema de Gestión de Riesgos
y cuál debe ser el alcance del mismo. La dirección de la empresa debe ser la
instancia con más alto grado de implicación en la difusión de estos objetivos, pues
29
de lo contrario no logrará que el resto de niveles se comprometan del modo
deseado. Pero no sólo se apoya en una buena difusión. También es preciso definir
un presupuesto y destinar los recursos necesarios para la materialización del plan
de riesgos.
Nombramiento de responsables:
30
c) ¿Qué efectos tiene sobre dicha área?
d) ¿Qué efectos tiene sobre la organización en su conjunto?
e) ¿Qué margen de maniobra otorga?
f) ¿Qué tiempo de reacción permite a la dirección?
g) ¿Qué grado de complejidad requieren sus soluciones?
h) ¿Qué consecuencias implicará el no afrontarlo?
Análisis de Riesgos
El objetivo es establecer una valoración y priorización de los riesgos con el fin de
que es:
En donde:
31
PE: Pérdida esperada o exposición expresada en pesos y en forma anual.
F: Frecuencia, veces probables en que el riesgo se concreta en el año.
32
Definición de las respuestas a los riesgos:
Pero así como cada organización tiene sus propios retos en esta materia, de la
misma manera debe reaccionar a los riesgos que eventualmente pueden
perjudicarle.
Explotación del riesgo: Recordemos que no todos los riesgos son negativos.
Algunas veces, su irrupción es una oportunidad para las organizaciones. Cuando
eso ocurre, en vez de mitigarla o eliminarla, la estrategia de la empresa debe
33
centrarse en sacar el máximo provecho de la circunstancia. Un riesgo con efectos
positivos se puede potenciar gracias a la designación de más personal cualificado,
mayor apoyo económico o una adaptación a la planificación realizada al inicio.
Plan de tratamiento
El plan de tratamiento, último paso del proceso de Gestión de Riesgos, tiene como
fin la mejora de los controles para el tratamiento del riesgo. Esta etapa debe ser
dinámica y flexible ante los cambios que puedan presentarse. El tratamiento de los
riesgos necesita labores adicionales de registro, monitorización, actualización e
intervención.
Los planes de tratamiento suelen proyectarse a corto plazo, pues con esto se evita
que las condiciones iniciales se modifiquen cuando llegue el momento de la
intervención. La manera más habitual de realizar el monitoreo es través de
evaluaciones periódicas o auditorías, las cuales son efectuadas por el equipo
delegado.
Pero aunque todo esté previsto y las acciones se proyecten en el corto plazo,
conviene contemplar alguno de los siguientes escenarios:
34
Problemas habituales en la gestión de riesgos
Es evidente que los procesos de Gestión de Riesgos no están exentos de
problemas. Tal como hemos visto en los apartados anteriores, están compuestos
por pasos complejos y que requieren de coordinación y seguimiento permanentes.
En este sentido, la norma ISO 31000 ayuda a disminuir los obstáculos e n dos
sentidos:
En la implementación:
Criterios distintos: Sucede sobre todo en las grandes empresas. Cuando los
grupos de responsables tienen demasiados miembros o su elección no ha seguido
parámetros de cierta unidad, lo más común es que entre estas personas se
presenten diferencias de criterio a la hora de implementar el plan. Esto se traduce
en retrasos, reuniones excesivas y, posiblemente, nombramiento de nuevos
integrantes.
d) Falta de una figura coordinadora: Del mismo modo, algunos grupos suelen
notar la ausencia de una persona líder que direccione los procesos. De ahí la
importancia de la elección de esa persona en los primeros pasos de la
implementación.
35
primero, porque obstaculiza la realización del proyecto en sí mismo; y segundo,
porque se pierde tiempo valioso para mitigar o gestionar riesgos que, en muchos
casos, tienen carácter urgente.
En el mantenimiento:
a) Omisión de recursos: Llegados a esta etapa, las empresas descubren que los
recursos destinados para el mantenimiento y la supervisión del plan de Gestión de
Riesgos no alcanzan; son insuficientes, con lo cual se compromete la continuidad
del mismo y se deja en el aire el conjunto de avances realizados hasta la fecha.
36
Herramienta propuesta
La matriz debe ser una herramienta flexible que documente los procesos y evalúe
de manera integral el riesgo de una organización, a partir de los cuales se realiza
un diagnóstico objetivo de la situación global del riesgo. Exige la participación
activa de las unidades de negocios, operativas y funcionales en la definición de la
estrategia institucional de riesgo de la empresa. Una efectiva matriz de riesgo
permite hacer comparaciones objetivas entre proyectos, áreas, productos,
procesos o actividades. Todo ello constituye un soporte conceptual y funcional de
un efectivo Sistema de Gestión de la calidad.
Los beneficios de esta metodología de gestión de riesgos, entre otros, son los
siguientes:
37
De esta manera la matriz de riesgo permite establecer de un modo uniforme y
consistente el perfil de riesgo de cada uno de los procesos.
Pasos a seguir
38
2. Identificar los riesgos posibles dentro de cada proceso, listarlos de manera
sistemática sin ningún orden, aquí, podemos utilizar lluvia de ideas, análisis
de probabilidades, experticia ingenieril.
39
Y dentro del nivel misional el proceso de formación musical
GRAVEDAD (IMPACTO)
40
5. Establecer nuestra categoría de riesgo
GRAVEDAD (IMPACTO)
Riesgo importante.
Riesgo apreciable.
Riesgo marginal.
41
8. Matriz de riesgos aplicada
42
Conclusiones Finales
La evaluación de los riesgos en un sistema de gestión normalizado, debe de ser
sencillo y practico, debe de cubrir la prevención de una manera sistemática.
Las acciones llevadas a cabo para abordar los riesgos y oportunidades deben ser
proporcionales al impacto potencial en la conformidad de los productos y los
servicios.
NOTA 1 Las opciones para afrontar los riesgos pueden incluir: evitar riesgos, asumir
riesgos para perseguir una oportunidad, eliminar la fuente de riesgo, cambiar la
probabilidad o las consecuencias, compartir el riesgo o mantener riesgos mediante
decisiones informadas.
En este apartado se plasma gran parte de lo que quiere transmitir la norma ISO
9001:2015. Es una parte muy novedosa, por lo que es la que más puede impactar
en los Sistemas de Gestión de la Calidad actuales.
43
además se tiene que realizar una planificación de las acciones que harán frente a
todos los riesgos y las oportunidades.
La gestión del riesgo planteada sustituye a la que se han conocido hasta ahora
cómo acciones preventivas. La norma ISO 9001:2015 no establece la metodología
de gestión de riesgos que se deben utilizar para identificar, analizar y evaluar
todos los riesgos ligados a procesos, para reducir o eliminar todos los fallos que
derivan de los riesgos y se gestionan los riesgos de una manera proactiva.
44
Despedida y Cierre
Llegado a este punto no me resta más que agradecer a todos los que se tomaron
el tiempo para leer este trabajo, quedo a su disposición, la verdad estaría
encantado de su retroalimentación, por lo que queda abierta una ventana para la
mejora continua, pueden tomar contacto con mi persona al siguiente correo
electrónico j.jhuez@jhuez.com, espero que este trabajo se convierta en un
material de consulta, de nuevo muchas gracias.
Jorge Jhuéz
www.jhuez.com
https://sv.linkedin.com/in/jorgejhuez
http://jhuez.blogspot.com/
45