Gestión de riesgos
El análisis del riesgo ayuda a las personas encargadas de tomar decisiones y a los directivos a entender la gestión de riesgos y cómo pueden afectar a la consecución de sus objetivos, y a la capacidad de eficiencia de los controles ya implantados.
Los resultados de este análisis, nos servirán de referencia a la hora de tomar decisiones en la empresa. Por qué usar GAP Análisis en la implementación de ISO 9001
Los pasos para la evaluación del riesgo son:
- Identificación
- Análisis
- Valoración del riesgo
La forma de aplicar este procedimiento va en función del contexto en el que nos encontremos, incluso depende de las técnicas que empleemos para llevar a cabo el análisis.
Identificación del riesgo
Es la parte del proceso de gestión de riesgos en la que conocemos e inspeccionamos los riesgos.
El objetivo de la identificación del riesgo es conocer los sucesos que se pueden producir en la organización y las consecuencias que puedan tener sobre los objetivos de la empresa. Una vez que tenemos realizado este paso, debemos identificar los controles implantados.
El procedimiento para la gestión de riesgos contiene el reconocimiento de las causas y la procedencia del riesgo que puedan afectar a los objetivos.
Los procedimientos de identificación del riesgo pueden contener:
- Procedimientos con base en evidencias, como por ejemplo las revisiones de datos anteriores…
- Los enfoques metódicos del equipo, en el que los expertos identifican los riesgos a través de una serie de preguntas.
- Métodos de razonamiento inductivo, como por ejemplo HAZOP.
Análisis del riesgo
Generalidades
Con esto pretendemos comprender el riesgo de la forma más detallada posible. Es el primer paso en el estudio de la evolución del riesgo. Lo usaremos para tomar decisiones en cuanto a si debemos tratar los riesgos y los métodos que utilizaremos.
Nos sirve para conocer las consecuencias y la probabilidad de que algún riesgo se produzca, sin perder de vista los controles implantados. Estos parámetros nos servirán para establecer el nivel del riesgo.
Debemos estudiar en profundidad todos los factores que pueden influir en las causas y en las consecuencias. Una situación puede tener muchas causas y muchas consecuencias. Debemos de considerar los controles de riesgo que tenemos implementados en la organización y la eficacia y eficiencia de estos.
El análisis del riesgo comprende las posibles consecuencias que pueden traer consigo determinadas situaciones y la probabilidad de que estas se produzcan con el objetivo de medir el nivel del riesgo. Cuando la probabilidad sea muy baja, no necesitaremos más de un parámetro para ser capaces de tomar una decisión.
Es posible que tenga efecto como consecuencia de un conjunto de circunstancias distintas, o cuando la situación no está definida. Aquí, lo importante es identificar las debilidades del sistema para establecer los tratamientos necesarios para la gestión de riesgos.
Los procedimientos para la gestión de riesgos son: cuantitativos, cualitativos y semicuantitativos. Los métodos son más específicos en función del uso que vayamos a darle. Cualquiera de los métodos puede determinarse por ley.
El método cualitativo define el nivel del riesgo en función de: alto, medio y bajo, y te permite acoplar efectos y la posibilidad de determinar el nivel de riesgo a través de pautas cualitativas.
En cuanto a los métodos semicuantitativos, usan la escala numérica para analizar los efectos y la posibilidad de que algún riesgo se produzca, y las combina para establecer el nivel del riesgo utilizando una fórmula.
Con el análisis cuantitativo se establecen valores realistas para los efectos y las posibilidades, y se establecen los niveles de riesgo en unidades concretas.
En las situaciones que empleemos el análisis cualitativo, debemos especificar los conceptos usados.
Valoración de los controles
El riesgo será mayor o menor en función de la eficiencia de los controles implementados en la organización. Nos hacemos las siguientes preguntas:
- ¿Hay controles para riesgos específicos y cuáles son?
- ¿Los controles reducen el riesgo a un nivel considerable?
- ¿Se puede demostrar la eficacia de los controles implementados?
Estas preguntas solo se pueden responder si contamos con la documentación correcta y si se implementan procedimientos de confianza en su lugar.
Gestión de riesgos: identificación y análisis Clic para tuitearEstudio de las consecuencias
Una determinada situación puede provocar efectos diferentes y de distintas magnitudes, afectando a varios o a un único objetivo. El análisis puede ser más o menos detallado.
Debemos prestarle mayor atención a los riesgos que puedan tener mayores consecuencias, ya que son los que más tienen en cuenta la dirección. Puede ser que haya un riesgo con consecuencias leves, pero que a la larga traiga consigo una gran consecuencia. El tratamiento de estos riesgos es distinto, por ello es importante hacer el análisis por separado.
Estudio y valoración de la probabilidad
Existen tres enfoques para estimar la probabilidad, pudiendo utilizarlos de forma individual o conjuntamente.
- Podemos usar los datos de años anteriores para observar situaciones pasadas y poder conocer la probabilidad de que se produzcan en el futuro.
- Otro de los métodos empleados es el árbol de fallas o el análisis del árbol de eventos. Los datos empleados podemos obtenerlos de fuentes de datos publicados o de experiencia operacional.
- También podemos estimar la probabilidad mediante la opinión de un experto. Es el análisis más complejo, ya que tienen en cuenta los datos históricos, específicos, de diseño… Entre otros métodos podemos encontrar el método Delphi, la clasificación en categorías…
Análisis previo
Debemos filtrar los riesgos, con objetivo de separar los riesgos en función de la importancia que represente cada uno de ellos, y así poder dirigir los mayores recursos a estos riegos.
Este filtro debemos tenerlo definido en el contexto, teniendo cuidado de no descartar los riesgos bajos que se produzcan de una forma continuada.
Todas las hipótesis planteadas y los resultados obtenidos deben estar perfectamente documentadas. Cómo documentar la evaluación de riesgos
Sensibilidad e incertidumbre
Es importante que la persona encargada de la gestión de riesgos tenga unos mínimos conocimientos de las incertidumbres. El análisis de las mismas relacionadas con métodos, modelos o datos que usamos para evaluar el riesgo tiene gran relevancia en cuanto a su aplicación.
Con el análisis de la sensibilidad establecemos la importancia del riesgo frente a cambios en los parámetros.
Todo esto y mucho más es lo que puedes aprender si te matriculas en nuestro Taller ISO 9001:2015 Enfoque basado en riesgos. No pierdas la oportunidad de aprender de la mano de los mejores expertos.
