Simbología de Soldadura, interpretacion y aplicacion en dibujo tecnico indus...
Introducción Norma ISO 31000:2009 Gestión de Riesgos
1. 58 59julio 2018 MANUAL DE COSTOS MATERIALES Y ACTIVIDADES DE LA CONSTRUCCIÓNVisita manualdeprecios.cl | ondac.com
ONDAC- MANUAL DE COSTOS, Materiales y Actividades para la Construcción
INTRODUCCIÓN
La Norma ISO 31000 nació al mundo en el 2009, después de
la crisis mundial de 2008. Coincidente nacimiento, ya que una
de las herramientas faltantes por ese entonces, en muchas
organizaciones, era la Gestión del Riesgo.
La Norma ISO 31000 no hace otra cosa que invitarnos a una
reflexión más sistémica para gestionar las organizaciones, en
base a este escenario de riesgos. La visión actual en general,
es fragmentaria, parcial, focalizada, de especialidades y
nos hemos olvidado o no querido ver irresponsablemente,
que la realidad es sistémica, en la cual todos los aspectos
están integrados e íntimamente relacionados. De hecho, las
decisiones gerenciales -por ejemplo- finalmente impactan
en todos los aspectos de la organización (dentro y fuera de
ella), en distintos tiempos e intensidades, generando a su vez
nuevos riesgos.
Muchas veces somos expertos en lo específico
y ciegos en lo sistémico. Nos cuesta ver o
pasamos por alto el escenario de riesgos en
el cual nos movemos y los efectos colaterales
que provocan nuestros actos.
Esta Norma se aplica a todo tipo de organizaciones, ya sean
públicas o privadas, con fines de lucro o sin ellos, grandes,
medianas o pequeñas. Precisa la forma de cómo gestionar
el riesgo y así tener información de las posibles amenazas
y oportunidades, para que los Directivos de las empresas,
teniendo esta información, tomen mejores decisiones. No
entrega una metodología detallada de cómo hacerlo, más
bien señala qué se debe considerar básicamente para
gestionar el riesgo (Principios y directrices genéricas sobre
la Gestión del Riesgo).
El escenario actual es tan riesgoso, que si no se hace un
estudio previo del contexto en que se mueve la organización
y se identifican, analizan, evalúan y controlan los riesgos
existentes, difícilmente se logrará cumplir los objetivos.
ESTRUCTURA BÁSICA DE LA NORMA
ISO-31000
La Norma ISO 31000 se estructura en base a tres etapas
consecutivas:
1. Comprender los Principios de la Gestión de Riesgos.
2. Elaborar un Marco de Trabajo y
3. Precisar los Procesos Claves para lograrlo.
Estas tres etapas de la Gestión de Riesgos están íntimamente
relacionadas y tienen un orden lógico de actuación.
La relación esquemática entre estas tres Etapas de la
Gestión del Riesgo es la siguiente: Primero los Directivos y
la organización deben entender cabalmente los Principios de
la Gestión de Riesgos (Cláusula N°3) y estar convencidos de
ellos (son 11 en total), para luego pasar a la segunda etapa,
en la cual se crea el Marco de Trabajo (Cláusula N°4), a
través del Compromiso de la Dirección. Posteriormente, se
pone en marcha este Marco de Trabajo utilizando los cinco
Procesos Claves para la Gestión de Riesgos (Cláusula N°5).
Vamos a precisar estas tres etapas por separado, sabiendo
que están íntimamente relacionadas.
PRIMERA ETAPA: PRINCIPIOS DE LA GESTIÓN DE
RIESGOS (CLÁUSULA N°3).
La Norma pretende dejar muy en claro que si no hay
entendimiento y valoración de estos Principios, en toda la
organización, desde Directivos a trabajadores, es mejor no
emprender la Gestión de Riesgos, pues estará destinada a
morir por inanición.
Los 11 Principios son:
I. Crea valor
II. Está integrada en los procesos de la organización
Introducción
Norma ISO
31000:2009.
Gestión de
Riesgos
POR NELSON BERRÍOS VILLAGRA
GERENTE DE PREVENCIÓN DE RIESGOS
EMPRESA HH INGENIERÍA
CONSTRUCTOR CIVIL / EXPERTO EN
PREVENCIÓN DE RIESGOS / MÁSTER EN
ADMINISTRACIÓN DE EMPRESAS / AUDITOR
NORMAS ISO-9001 Y OHSAS 18001
nberriosv@gmail.com
III. Forma parte de la toma de decisiones
IV. Trata explícitamente la incertidumbre
V. Es sistemática, estructurada y adecuada
VI. Está basada en la mayor información disponible
VII. Está hecha a medida
VIII. Tiene en cuenta factores humanos y culturales
IX. Es transparente e inclusiva
X. Es dinámica, iterativa y sensible al cambio
XI. Facilita la mejora continua de la organización
Esta lista de Principios es clave para fundamentar el paso
siguiente y los Directivos deben detenerse en ello, no se debe
tomar a la ligera y decir “-bueno, ya los leí, ahora vamos a
la acción-”. Estos Principios son el alimento del Compromiso
de la Dirección y si ésta no lo considera así y no se alimenta
de ellos, no podrá verdaderamente fortalecer su Compromiso
con la Gestión de Riesgos (subcláusula 4.2). Todos sabemos
en qué terminan las iniciativas que no son lideradas por la
Dirección.
El primer y más clave principio es: “Crea valor” para
la compañía, ya que ayuda directamente a la toma de
decisiones desde el ámbito estratégico hasta los niveles más
operativos. Cuando se implementa la Gestión de Riesgos
en una empresa, se comienza usualmente detectando los
posibles factores y causas que puedan impactar a la misión
de la empresa, pero luego se dirige la mirada hacia la
operatividad del día a día de la organización, de manera de
precisar los riesgos que puedan generar incertidumbre en el
cumplimiento de los objetivos.
De ahí el poder que tiene esta herramienta de
gestión en la creación de valor.
SEGUNDA ETAPA: MARCO DE TRABAJO O
FRAMEWORK (CLÁUSULA N°4).
Esta Etapa comienza con el Compromiso de la Dirección
(4.2), el cual crea un Ciclo de Mejoramiento Continuo para
dar movimiento al Marco de Trabajo, que es simplemente
un marco de referencia general para la gestión del riesgo al
interior de la organización. Este Compromiso de la Dirección
genera el Diseño del Marco de Trabajo (subcláusula 4.3),
acto seguido viene su Implementación (subcláusula 4.4),
posteriormente se requiere efectuar el Seguimiento y
Revisión (subcláusula 4.5) y finalmente se termina este
primer ciclo con el Mejoramiento Continuo (subcláusula 4.6).
Como se puede observar, estamos frente al primer Ciclo de
Mejoramiento ( Planificar-implementar-Verificar-Actual), que
es iterativo ascendente, de manera de que en cada repetición
del ciclo se aprenda de lo vivido y se mejore su gestión.
La Norma ISO 31000 en esta etapa, señala los pasos
necesarios para armar la estructura que tendrá la Gestión
de Riesgos en la organización. La Dirección lidera la
construcción de esta estructura de manera de convertirla
en una herramienta útil e indispensable para la toma de
decisiones. Además, se debe asegurar que efectivamente
llegue a todos los niveles de la organización.
El Marco de Trabajo es como la estructura ósea y muscular
del cuerpo humano, pues tiene la misión de darle sustento,
movilidad y alcance a la etapa siguiente. Es necesario
mantenerla saludable a través de la alimentación (Principios)
y del ejercicio ( Práctica del Mejoramiento Continuo), sólo
así podrá ser un correcto soporte para la Cláusula N°5 (
Procesos de la Gestión de Riesgos).
En la Cláusula Marco de Trabajo se deben realizar una serie
de actividades claves, tales como:
Redactar una Política de Gestión de Riesgos, los objetivos
y sus respectivos Indicadores. Para contribuir al logro de
los objetivos planteados, se deben definir además las
responsabilidades de las personas involucradas y los
recursos necesarios para cumplir las actividades requeridas.
En esta segunda etapa deberá definirse la estrategia de
implementación y asegurarse que la toma de decisiones esté
realmente basada en la Gestión de Riesgos.
Finalmente, se debe realizar el respectivo Seguimiento,
revisando la aplicación y resultados de la estrategia de
implementación, los indicadores y el grado de cumplimiento
de los objetivos de la Gestión de Riesgos.
Una cosa importante en esta etapa de Verificación es
asegurarse que se está cumpliendo la Política de Gestión de
Riesgos, ya que es el marco general en el cual se moverá la
compañía en este aspecto.
TERCERA ETAPA: PROCESOS CLAVES DE LA
GESTIÓN DE RIESGOS (CLÁUSULA N°5)
Acá se detallan 5 Procesos Claves para echar a andar
la Gestión de Riesgos al interior de la organización. Son
5 Procesos que podrían analogarse a los cinco órganos
necesarios para que circule la vida en la estructura ya
formada anteriormente. A saber:
>> Comunicación y Consulta (sub cláusula 5.2)
>> Establecer el Contexto (sub cláusula 5.3)
>> Evaluación de Riesgos (sub cláusula 5.4)
>> Tratar los Riesgos (sub cláusula 5.5)
>> Monitorización y Revisión (sub cláusula 5.6)
Además agrega la función de gestionar los Registros de los
Procesos de la Gestión de Riesgos (sub cláusula 5.7).
Acá la Norma 31000 despliega toda su sustancia, al centrarse
en estos 5 Procesos Claves, que finalmente materializarán la
Gestión de Riesgos al interior de la organización.
Estos 5 Procesos también tienen un orden lógico y funcional.
El primer proceso clave es la “Comunicación y Consulta”,
que alimenta a los tres procesos que finalmente representan
el corazón de la Gestión de Riesgos (Establecer el Contexto,
Evaluación de Riesgos y Tratar los Riesgos). Este proceso de
Comunicación y Consulta permite que la organización esté
en continuo contacto con las partes interesadas, ya que son
principalmente ellas las que proporcionarán la información
necesaria para que la organización gestione sus riesgos
vigentes, pues indefectiblemente los riesgos van modificándose
a través del tiempo. Esta información debe ser oportuna
y correctamente transmitida a la compañía, la cual deberá
utilizarla para adecuar y actualizar la información sobre los
riesgos.
Una vez hecho el análisis general del “terreno que está
pisando la organización o el proyecto en particular” (Contexto
de la Organizaciòn) e identificar las Partes Interesadas y sus
requisitos, se va al tercer proceso que es la Evaluación de
Riesgos.
Esta Evaluación de Riesgos está compuesta por tres sub
etapas: Identificación de los Riesgos, Análisis de los Riesgos
y finalmente Evaluación del Riesgo. Se trata de identificar los
efectos negativos de la incertidumbre (Riesgos Negativos) y
los efectos positivos de la incertidumbre (Riesgos Positivos).
Este proceso es crucial, ya que no es nada fácil identificar los
riesgos para la organización o el proyecto y luego priorizarlos
(recordar que los recursos siempre son limitados). Algunas
veces se confunde “hechos”, por “Riesgos”. Los prejuicios
motivacionales hacen perder la objetividad para identificar los
riesgos o no se centra la discusión en los riesgos específicos
que afectan el cumplimiento de los objetivos. Es clave identificar
correctamente los riesgos, ya que de lo contrario, todos los
pasos siguientes perderán valor. En esta etapa de Evaluación
de Riesgos se puede recurrir a la Norma ISO-31010, de manera
de determinar las herramientas que se puede utilizar en la
identificación y análisis de los riesgos.
Teniendo los riesgos evaluados, el paso lógico es Tratarlos,
para luego Monitorearlos y finalmente Revisarlos. El
Tratamiento de los riesgos debe ser un proceso cíclico.
Si los riesgos resultan de la evaluación como: “riesgos no
tolerables”, hay que volver a tratarlos.
Recordar que al tratar los riesgos pueden aparecer nuevos
riesgos.
El proceso de Monitorización y Revisión (subcláusula 5.6),
implica que la organización se asegure que los controles
son eficaces y eficientes, tanto en el diseño como en el
funcionamiento.
Recordar que se requiere mayor y mejor información para
mejorar la evaluación de los riesgos. Esta sub cláusula
promueve el aprendizaje de lo vivido y permite detectar los
cambios en el contexto interno como externo, además de los
posibles riesgos emergentes.
Es importantísimo no olvidar que estamos ante una Norma
de Gestión que requiere registrar todo lo realizado y sus
cambios. De ahí nace la sub cláusula 5.7 (Registro de los
Procesos de la Gestión de Riesgos). Se debe tener presente
en este punto que para el Registro, existen necesidades
legales, reglamentarias y operativas.
Existe un proceso cíclico entre el proceso de Comunicación
y Consulta (sub cláusula 5.2) y el proceso Monitorización y
Revisión (sub cláusula 5.6).
Como se puede apreciar, la Norma ISO-31000, es una norma
compleja, de avanzada y que servirá de base para todas
las otras normas de Sistemas de Gestión, ya que estos
Sistemas,en su esencia, deben ser Preventivos.
Este año 2018, salió a circulación una nueva versión de esta
norma ISO-31000, más simplificada que la versión 2009, pero
apuntando en la misma dirección.
RECOMENDACIONES PARA
IMPLEMENTAR LA GESTIÓN DE
RIESGOS EN UNA EMPRESA O EN UN
PROYECTO.
1. Se debe entender primero que la incertidumbre es un
elemento natural en la gestión de cualquier empresa o
proyecto y por lo tanto, no se puede eliminar completamente.
Cada vez existe más incertidumbre en el quehacer de las
empresas o en la implementación de un proyecto. Por lo cual
se debe entender que no sólo es natural la incertidumbre,
sino que además va en aumento.
2. Cuando se identifican los Riesgos, se deben considerar no
sólo los que resultan en amenazas, sino que también los que
representan oportunidades, aunque culturalmente estamos
acostumbrados a percibir los Riesgos como algo negativo.
3. La Gestión de Riesgos es responsabilidad de todos, ya que
en todo proceso existirán riesgos. Las personas que viven
los Riesgos en la ejecución de sus respectivos procesos, son
muchas veces las que primero pueden detectarlos.
4. La Gestión de Riesgos debe ser liderada por el Gerente
General, ya que requiere ser impulsada por la máxima
autoridad de la empresa. De lo contrario, será muy difícil
generar una cultura al interior de la organización y disponer
de los recursos necesarios para su correcta implementación.
5. En su implementación se requiere comunicación clara,
fluida y honesta, pues cuando se habla de Riesgos se está
hablando de probabilidad de que algo ocurra o no ocurra y
por ello debe comunicarse de manera directa, oportuna y con
la intensión real de gestionar lo identificado.
6. La Gestión de Riesgos requiere de recursos financieros y
herramientas de gestión para que pueda ser implementada.
Sedebetenerpresentequeexistiráncostos deprevención,los
cuales son absolutamente necesarios y considerablemente
inferiores a los costos de no calidad.
7. La Gerencia debe elaborar una Política de Gestión de
Riesgos que sirva de orientación clara a la empresa o al
proyecto donde se implementará.
Es fácil perderse en materias de gestión si la Dirección no
elabora y comunica una Política clara al respecto. La Dirección
debe precisar el “rayado de cancha”, para poder orientar a los
trabajadores de la empresa y a las otras partes interesadas.
8. La Gestión de Riesgos debe integrarse a todas las otras
áreas de la empresa (Adquisiciones, Costos, Finanzas,
Estudio, Diseño, Ejecución, etc.) No es una gestión que
se aplique sólo a un área, ya que los Riesgos son propios
de cada uno de los procesos y así como los procesos se
interrelacionan, también los Riesgos se interrelacionan.
9. La Gestión de Riesgos es una disciplina que debe aplicarse
de manera permanente y no sólo en forma puntual cuando
comienza un proyecto o un nuevo negocio. En muchas
ocasiones se destinan esfuerzos a identificar los Riesgos sólo
al comienzo y no se piensa que los Riesgos van cambiando a
medida que se avanza en la empresa o en algún proyecto. La
identificación de Riesgos debe ser periódica.
10. Se debe entender que no existe el “Riesgo Cero”.
Toda actividad humana tiene Riesgos y éstos deben ser
identificados y gestionados. Puede que se elimine un riesgo
específico en particular, pero no se pueden eliminar todos
los riesgos de un proceso, ya que el proceso tiene múltiples
riesgos y además éstos son cambiantes.
11. En general, no es imprescindible tener datos cuantitativos
para identificar los Riesgos.
Se puede llegar a pensar que la Gestión de Riesgos exige
datos numéricos y manejo estadístico para su identificación
y que si no se los tiene, poco o nada se puede hacer. Nada
más alejado de la realidad, pues en la mayoría de los casos,
la identificación se realiza de manera cualitativa.
12. La Gestión de Riesgos no se puede asumir por una sola
persona, todos deben tener señalada su responsabilidad en
la Gestión de Riesgos. Si bien puede existir un coordinador
de la Gestión de Riesgos, no es práctico pensar que él es el
único responsable de la gestión y que si hay un problema es
él quien debe dar explicaciones. Esto demuestra no entender
de lo que estamos hablando. Todos deben tener definida su
responsabilidad en estas materias, de acuerdo a su nivel
dentro de la organización.
13. Para implementar la Gestión de Riesgos debe hacerse un
análisis específico de los Riesgos de los procesos principales
y de apoyo de la empresa o proyecto y no sólo delinear los
Riesgos generales.
Si bien es útil identificar los Riesgos globales a los que está
expuesta una organización, esta labor si no va acompañada
con la identificación de los Riesgos específicos por procesos,
no tiene mucho valor real y práctico.
14. La Gestión de Riesgos debe ser proactiva y no reactiva.
Éste es uno de los más importantes desafíos de una correcta
Gestión de Riesgos.
Nuestra cultura es generalmente reactiva y las cosas se
nos vienen encima como si fuera la primera vez que las
hacemos. La Gestión de Riesgos implica un cambio de switch
y por ello nos parece tan ajena. Implica salirse de nuestra
forma habitual de hacer las cosas y pensar de otra manera,
detectando y actuando antes.
15. Los resultados de implementación de la Gestión de
Riesgos deben comunicarse periódicamente, de manera
de motivar la participación de todos los integrantes de una
empresa o proyecto. No es fácil mantener la motivación en
algo de lo cual no se ven resultados de forma periódica y
más aún cuando se están haciendo esfuerzos e invirtiendo
recursos para lograr estos resultados.
BIBLIOGRAFÍA:
>> Norma ISO-31000 - 2009 Gestión de Riesgo, Principios
y Guías
>> Norma ISO 31010 -2009 Gestión de Riesgos, Técnicas de
Apreciación del Riesgo.
>> Norma ISO 9001 -2015 Sistemas de Gestión de Calidad,
Requisitos
Artículo Técnico
NORMATIVAS
Artículo Técnico
NORMATIVA