Seguimos con el paseo por la norma ISO 31000: 2018.
Hoy nos metemos de lleno en el Capítulo 6: Proceso. En esta primera parte, vamos a ver los epígrafes hasta el 6.3 y en la siguiente parte llegaremos hasta el 6.7.
¿Preparado?
¡Vamos!
6. Proceso
6.1 Generalidades
El proceso de la gestión del riesgo implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo. Este proceso se ilustra en la Figura 4.
El proceso de la gestión del riesgo debería ser una parte integral de la gestión y de la toma de decisiones y se debería integrar en la estructura, las operaciones y los procesos de la organización. Puede aplicarse a nivel estratégico, operacional, de programa o de proyecto.
Puede haber muchas aplicaciones del proceso de la gestión del riesgo dentro de la organización, adaptadas para lograr objetivos, y apropiadas a los contextos externo e interno en los cuales se aplican.
A lo largo del proceso de la gestión del riesgo se debería considerar la naturaleza dinámica y variable del comportamiento humano y de la cultura.
Aunque el proceso de la gestión del riesgo se presenta frecuentemente como secuencial, en la práctica es iterativo.
Lo que nos cuenta la norma en este apartado es que el proceso de gestión del riesgo debe estar integrado en toda la organización como el respirar, pero claro, esto en la práctica cómo se hace.
En el libro Guía para la aplicación de UNE-ISO 31000:2018, de Ángel Escorial Bonet, Jorge Escalera Alcázar, Sergio Simón Quintana y Julián Cid Méndez, aparece la siguiente imagen que ilustra perfectamente el proceso de gestión del riesgo y sus principales interrogantes.
6.2 Comunicación y consulta
El propósito de la comunicación y consulta es asistir a las partes interesadas pertinentes a comprender el riesgo, las bases con las que se toman decisiones y las razones por las que son necesarias acciones específicas. La comunicación busca promover la toma de conciencia y la comprensión del riesgo, mientras que la consulta implica obtener retroalimentación e información para apoyar la toma de decisiones. Una coordinación cercana entre ambas debería facilitar un intercambio de información basado en hechos, oportuno, pertinente, exacto y comprensible, teniendo en cuenta la confidencialidad e integridad de la información, así como el derecho a la privacidad de las personas.
La comunicación y consulta con las partes interesadas apropiadas, externas e internas, se debería realizar en todas y cada una de las etapas del proceso de la gestión del riesgo.
La comunicación y consulta pretende:
— reunir diferentes áreas de experiencia para cada etapa del proceso de la gestión del riesgo;
— asegurar que se consideren de manera apropiada los diferentes puntos de vista cuando se definen los criterios del riesgo y cuando se valoran los riesgos;
— proporcionar suficiente información para facilitar la supervisión del riesgo y la toma de decisiones;
— construir un sentido de inclusión y propiedad entre las personas afectadas por el riesgo.
El proceso de comunicación busca promover la toma de conciencia; la consulta, obtener información. Pero para comunicar y consultar es necesario haber fijado con anterioridad de forma conveniente qué información se aporta y qué datos se necesitan. Uno de los grandes problemas de la comunicación y la consulta es que no se realizan de forma metódica y rigurosa.
Esto está muy bien, pero como en todo proceso de comunicación habrá que saber qué comunicar, a quién comunicar, por qué canales, etc. Y aquí entra la correcta identificación de las partes interesadas internas y externas, así como crear un Plan de comunicación que funcione y no uno que caiga en el olvido o que no entienda nadie.
Las partes interesadas requieren de información correcta, comunicada de manera apropiada y oportuna, y que les permita comprender sobre qué bases se toman las decisiones, así como tener la seguridad de que sus juicios son considerados de forma adecuada.
Como indica la norma, la consulta implica obtener retroalimentación e información para apoyar la toma de decisiones. De hecho, la consulta es un proceso por el que se es capaz de identificar eventos posibles, determinar con qué frecuencia pueden ocurrir, y estimar qué consecuencias pueden tener sobre nuestros objetivos.
Libro Guía para la aplicación de UNE-ISO 31000:2018, de Ángel Escorial Bonet, Jorge Escalera Alcázar, Sergio Simón Quintana y Julián Cid Méndez
Sí, ya sé que resulta bastante tedioso comunicar, pero este apartado va de eso, de hacer partícipes, además, a las partes interesadas y escuchar lo que tienen que decir sobre los riesgos que les hemos contado. No es un «así son los riesgos y así os lo hemos contado» 😂, hay que esforzarse un poco más.
6.3 Alcance, contexto y criterios
6.3.1 Generalidades
El propósito del establecimiento del alcance, contexto y criterios es adaptar el proceso de la gestión del riesgo, para permitir una evaluación del riesgo eficaz y un tratamiento apropiado del riesgo. El alcance, el contexto y los criterios implican definir el alcance del proceso, y comprender los contextos externo e interno.
Como en el alcance del sistema de gestión de la calidad, aquí buscamos definir dónde se va a analizar el riesgo y en qué contexto interno y externo nos movemos.
6.3.2 Definición del alcance
La organización debería definir el alcance de sus actividades de gestión del riesgo. Como el proceso de la gestión del riesgo puede aplicarse a niveles distintos (por ejemplo: estratégico, operacional, de programa, de proyecto u otras actividades), es importante tener claro el alcance considerado, los objetivos pertinentes a considerar y su alineamiento con los objetivos de la organización. En la planificación del enfoque se incluyen las siguientes consideraciones:
En este caso, RIESGO = INCERTIDUMBRE SOBRE LOS OBJETIVOS
La incertidumbre puede desembocar en una oportunidad o no. En la figura siguiente se aprecia mucho mejor.
Importante aquí alinear los objetivos estratégicos con el alcance que definamos.
6.3.3 Contextos externo e interno
Los contextos externo e interno son el entorno en el cual la organización busca definir y lograr sus objetivos.El contexto del proceso de la gestión del riesgo se debería establecer a partir de la comprensión de los entornos externo e interno en los cuales opera la organización y debería reflejar el entorno específico de la actividad en la cual se va a aplicar el proceso de la gestión del riesgo.La comprensión del contexto es importante porque:
— la gestión del riesgo tiene lugar en el contexto de los objetivos y las actividades de la organización;
— los factores organizacionales pueden ser una fuente de riesgo;
— el propósito y alcance del proceso de la gestión del riesgo puede estar interrelacionado con los objetivos de la organización como un todo;
La organización debería establecer los contextos externo e interno del proceso de la gestión del riesgo considerando los factores mencionados en 5.4.1.
En esta norma, como en la mayoría, es importante conocer el contexto tanto externo como interno de la organización. En esta serie de post que escribí hace un tiempo, tienes varias herramientas para análisis de contexto que te pueden resultar de ayuda en este caso.
6.3.4 Definición de los criterios del riesgo
La organización debería precisar la cantidad y el tipo de riesgo que puede o no puede tomar, con relación a los objetivos. También debería definir los criterios para valorar la importancia del riesgo y para apoyar los procesos de toma de decisiones. Los criterios del riesgo se deberían alinear con el marco de referencia de la gestión del riesgo y adaptar al propósito y al alcance específicos de la actividad considerada.
Los criterios del riesgo deberían reflejar los valores, objetivos y recursos de la organización y ser coherentes con las políticas y declaraciones acerca de la gestión del riesgo. Los criterios se deberían definir teniendo en consideración las obligaciones de la organización y los puntos de vista de sus partes interesadas. Aunque los criterios del riesgo se deberían establecer al principio del proceso de la evaluación del riesgo, éstos son dinámicos, y deberían revisarse continuamente y si fuese necesario, modificarse.
Para establecer los criterios de riesgo, se debería considerar lo siguiente:
El concepto de criterios de riesgo, no está definido en la norma ISO 31000, pero sí lo está en la ISO Guía 73, concretamente en el apartado 3.3.1.3 , que nos dice que son: “términos de referencia respecto a los que se evalúa la importancia de un riesgo”.
Esta definición va además, acompañada de dos notas aclaratorias:
Nota 1 Los criterios de riesgo se basan en los objetivos de la organización, y en el contexto externo e interno.
Nota 2 Los criterios de riesgo se pueden obtener de normas, leyes, políticas y otros requisitos.
Aquí entra la capacidad y la experiencia de cada empresa para definir los criterios y el concepto de «apetito de riesgo». Para el apetito de riesgo, te recomiendo este documento: «Definición e implantación de apetito de riesgo», del instituto de auditores internos de España.
Y hasta aquí hemos llegado. En el próximo post más. Cuéntame en los comentarios qué tal va el proceso en tu empresa.
Bibliografía
Para el desarrollo de este post he utilizado la Norma ISO 31000:2018 y el libro Guía para la aplicación de UNE-ISO 31000:2018, de Ángel Escorial Bonet, Jorge Escalera Alcázar, Sergio Simón Quintana y Julián Cid Méndez.
Ayudo a profesionales de la calidad y las mercancías peligrosas a optimizar su trabajo diario con la normativa brindándoles formación y asesoría para hacer que estos temas se conviertan en sencillos.
- ISO 31000:2018 Capítulo 6 (Parte I) - 7 abril, 2022
- El informe anual del Consejero de Seguridad - 3 junio, 2021
- ISO 31000:2018 Capítulo 5 (Parte II) - 2 junio, 2021
