Contexto
Actualmente, ha cobrado tanta importancia la gestión de Riesgos en las organizaciones que la ISO en su nueva estructura de las Normas de Sistema de Gestión (Anexo SL) ha decidido incorporarla como una Cláusula obligatoria, en donde se determinan los riesgos asociados y estos son tomados en cuenta en el sistema de gestión; así como tomar las acciones para prevenir o reducir sus efectos en la organización.
Por lo señalado anteriormente, en cada sector existen riesgos para la salud, la seguridad y el medio ambiente que deben ser identificados y abordados con procedimientos sólidos de gestión de riesgos. Y muy pronto serán exigidos en las normas de calidad (ISO9001), ambiente (ISO14001), seguridad y salud Laboral (ISO45001), entre otras.
Una Norma que nos puede ayudar es la ISO 31000, esta ha permitido a las empresas incorporar estándares y procesos de alto nivel para evaluar y limitar los riesgos en todas sus operaciones.
La ISO 31000 ofrece principios y directrices genéricas sobre gestión de riesgos. La norma no es específica de ninguna industria o sector y puede ser utilizada por cualquier organización pública o privada y aplicarse a cualquier tipo de riesgo en una amplia serie de actividades y operaciones. ISO 31000 es la referencia mundial en sistemas de gestión de riesgos, y elegirla le pondrá a la vanguardia del mercado; además sus clientes confiarán en su toma de decisiones estratégicas.
¿De qué riesgos estamos hablando?
Es decir, habrá amenazas económico-financieras, amenazas de seguridad física y seguridad informática (seguridad lógica), amenazas de recursos humanos, amenazas industriales, operativas, propias del mercado o país en el que nos movemos, amenazas legales, etc., aquí ISO 31000 (por volver al estándar internacional) no limita la cantidad de riesgos a gestionar, y eso es bueno.
Pero, ¿qué es gestionar riesgos?, vamos a poner un ejemplo: ¿tenemos la empresa cerca de un río?, tenemos un riesgo; ¿tenemos los sistemas de información anticuados o con pocas medidas de seguridad?, tenemos otro riesgo; ¿tenemos un proveedor crítico que si deja de prestarnos servicio nosotros dejamos de prestar servicio a nuestros clientes?, tenemos otro (gran) riesgo. Y así, a través de reuniones con los distintos departamentos de la organización y sabiendo obtener esa información, podemos construir un buen análisis de riesgos de la organización. Después vendrá la fase en la que se verá cómo gestionarlos.
¿Hay que analizar todos los riesgos?
No es necesario. Podemos centrarnos en riesgos de un único tipo, podemos centrarnos en un departamento o servicio, o podemos hacerlo por fases y empezar con los riesgos más estratégicos e ir aumentando el nivel de detalle poco a poco hasta llegar a los riesgos más operativos; también de acuerdo a los sistemas que tengamos certificados, como expusimos anteriormente serán una exigencia en las futuras normas ISO de sistema de gestión.
Por tal motivo, se deberán hacer reuniones, definir y utilizar una metodología de cálculo del riesgo final, que se basará sobre todo en la probabilidad de que las amenazas ocurran y en el daño/impacto que nos ocasionarían de cara a conseguir los objetivos que la organización ha marcado. Conseguir identificar esos escenarios de riesgo, esas amenazas, es la clave del proceso. La metodología es muy sencilla, y cuanto menos la compliquemos más fácil será interpretar después los resultados.»
Daruma Software, solución tecnológica para los sistemas integrados de gestión
El objetivo del módulo de Gestión del Riesgo es proporcionar una aplicación integral en el estudio de riesgos para diferentes escenarios:
Riesgos Estratégicos
Riesgos de seguridad y salud ocupacional
Riesgos de gestión ambiental
AMEF
Entre otros Riesgos. Permite manejar la incertidumbre del logro de las metas y objetivos referentes a la planeación.
Dar el cumplimiento a la metodología establecida por el DAFP (departamento administrativo de la función pública), que da cumplimiento a la trazabilidad, registro y monitoreo a través de la presentación de los criterios para la identificación, análisis, valoración, definición de acciones de mitigación y seguimientos de los riesgos en los procesos, que puedan afectar el cumplimiento. Además las medidas de control y seguimiento de los riesgos determinado en el estudio integral del riesgo.