La coincidencia en el tiempo del quehacer empresarial, de asumir la transición hacia la versión 2015 de las normas ISO SG, con su enfoque explícito a riesgo, así como la implementación del SCI (R/60/2011 ), ha generado dudas y no pocas contradicciones a la hora de satisfacer las exigencias y expectativas de las partes interesadas involucradas.
El presente trabajo tiene el propósito de compartir algunas experiencias extraídas de la práctica de trabajo en diferentes empresas, en el interés de contribuir modestamente a una mejor y eficaz gestión de riesgos en el ámbito empresarial.
- Métodos y tecnologías aplicadas
Para la realización del presente trabajo se utilizó como herramientas fundamentales:
- CONTROL INTERNO REGLAMENTADO POR LA R/60/2011
- Normas ISO SG 2015
III. Desarrollo
OBJETIVO
- Argumentar la incidencia de determinados factores en la eficacia de la gestión de los riesgos en el entorno empresarial
TOPICOS
- Problemas más comunes en la gestión de riesgos en el ámbito empresarial
- Conceptos básicos
- Paralelo entre NC-ISO SG: 2015 y la R/60/2011 sobre SCI
- Consideraciones y sugerencias
- PROBLEMAS MÁS COMUNES EN LA GESTIÓN DE RIESGOS EN EL ÁMBITO EMPRESARIAL
- Gestión paralela y diferenciada de los riesgos para satisfacer los requisitos de las normas ISO 2015 y de la R/60/2011 (SIN INTEGRACIÓN).
- Se soslayan riesgos que inciden en los objetivos empresariales.
- Incoherencia en la interrelación de los diferentes elementos que componen el sistema de gestión empresarial (PROCESOS, ACTIVIDADES) y no observancia de la trazabilidad
- Confusión entre los conceptos de riesgo y las fuentes que lo originan.
- CONCEPTOS BÁSICOS
Algunos elementos y conceptos básicos necesarios para la identificación adecuada de los Riesgos
En la identificación, evaluación y prevención de los Riesgos, es importante analizar algunas acepciones de riesgo (peligro = factores de riesgo = fuentes del riesgo), las cuales pueden ser confundidas en su significado en el contexto de la gestión de riesgos.
Fuente de riesgo: Elemento que, por sí solo o en combinación con otros, presenta el potencial intrínseco de engendrar un riesgo
El Riesgo se define:
- La posibilidad o probabilidad de daños.
- Expresa la capacidad de actualización (ocurrencia del suceso en el tiempo) de una situación para generar daño.
- Depende de la probabilidad de ocurrencia; así como la importancia del daño que pudiera ocurrir.
Del análisis de las definiciones anteriores se puede llegar a algunas conclusiones:
Si alguien llama Riesgo a algo que puede ver o sentir, está percibiendo otra cosa.
Lo que puede obtenerse directamente de la observación de las situaciones está más relacionada con los FACTORES DE RIESGO lo que también se ha denominado PELIGROS y lo que no es otra cosa que las FUENTES DEL RIESGO
Del análisis de las definiciones anteriores se puede llegar a algunas conclusiones:
Por lo tanto
PELIGRO (fuentes del riesgo) : Factores que explican la existencia del Riesgo, es decir factores técnicos, humanos, organizativos, ambientales, etc.
Ejemplo errado
ACTIVIDAD | RIESGO |
Elaboración de temas del Plan de capacitación anual | Propuesta de temas que no se ajustan a las brechas de conocimiento y las necesidades de capacitación |
Ejemplo correcto
ACTIVIDAD | RIESGO |
Determinación de competencias y elaboración del plan de capacitación | Capacitación ineficaz |
- PARALELO ENTRE ISO SG: 2015 Y LA R/60/2011 SOBRE SCI
ISO 2015 | R/60/2011 |
6.1 Acciones para abordar riesgos y oportunidades
La organización debe establecer, implementar y mantener los procesos necesarios para asegurar que la organización esté en capacidad de lograr los resultados previstos (OBJETIVOS Y PROPÓSITOS EMPRESARIALES) de su sistema de gestión empresarial, prevenir o reducir los efectos indeseados y lograr la mejora continua. La organización |
ARTÍCULO 3. El control interno es el proceso integrado a las operaciones con un enfoque de mejoramiento continuo, extendido a todas las actividades inherentes a la gestión, efectuado por la dirección y el resto del personal; se implementa mediante un sistema integrado de normas y procedimientos, que contribuyen a prever y limitar los riesgos internos y externos, proporciona una seguridad razonable al logro de los OBJETIVOS INSTITUCIONALES y una adecuada rendición de |
puede asegurar esto determinando los riesgos y oportunidades que necesita abordar, y planificando las acciones para abordarlos. | cuentas.
|
Aspectos comunes: En ambos casos se están abordando los riesgos que afectan los Objetivos
Empresariales |
ISO 2015 | R/60/2011 |
0 Introducción
0.1 Generalidades
Esta Norma Internacional emplea el enfoque a procesos, que incorpora el ciclo PlanificarHacer-Verificar-Actuar (PHVA) y el pensamiento basado en riesgos |
ARTÍCULO 7. El Sistema de Control Interno diseñado por los órganos, organismos, organizaciones y demás entidades, tiene las características generales siguientes:
a. Integral. Considera la totalidad de los procesos, actividades y operaciones con un enfoque sistémico y participativo de todos los trabajadores. b. Flexible. Responde a sus características y condiciones propias, permitiendo su adecuación, armonización y actualización periódica…. |
Aspectos comunes: En ambos casos se tiene un enfoque sistémico y de proceso y se caracterizan por su integralidad y flexibilidad |
ISO 2015 | R/60/2011 |
6.1 Acciones para abordar riesgos y oportunidades
La organización debe establecer, implementar y mantener los procesos necesarios para asegurar que la organización esté en capacidad de lograr los resultados previstos (OBJETIVOS Y PROPÓSITOS EMPRESARIALES) de su sistema de gestión empresarial….. |
ARTÍCULO 11….
a) identificación de riesgos y detección del cambio: en la identificación de los riesgos, se tipifican todos los que pueden afectar el cumplimiento de los objetivos. La identificación de riesgos se nutre de la experiencia derivada de hechos ocurridos, así como de los que puedan preverse en el futuro y se determinan para cada proceso, actividad y operación a desarrollar |
Aspectos comunes: En ambos casos se tiene en cuenta TODOS los riesgos que puedan afectar el |
cumplimiento de los objetivos
ISO 2015 | R/60/2011 |
Factores externos
a)las condiciones ambientales relacionadas con el clima, la calidad del aire, la calidad del agua, el uso del suelo, la contaminación existente, la disponibilidad de recursos ….; b)el contexto cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo externo; Factores internos c)las características o condiciones internas de la organización, tales como sus actividades, productos y servicios, dirección estratégica, cultura y capacidades (es decir, personas, conocimiento, procesos, sistemas). |
ARTÍCULO 11.
Los factores externos incluyen los económico – financieros, medioambientales, políticos, sociales y tecnológicos y los internos incluyen la estructura organizativa, composición de los recursos humanos, procesos productivos o de servicios y de tecnología, entre otros. |
Aspectos comunes: En ambos casos se tiene en cuenta similares factores internos y externos |
ISO 2015 | R/60/2011 |
5.1 Liderazgo y compromiso
La alta dirección debe asegurarse de la integración de los requisitos del sistema de gestión (calidad, ambiental) en los procesos de negocio de la organización |
ARTÍCULO 18 (R/60/2011).
Los órganos, organismos, organizaciones y demás entidades que tienen implementados sistemas de gestión, integran estos al Sistema de Control Interno |
Aspectos comunes: En ambos casos se aboga por LA INTEGRACIÓN |
Algunos elementos comunes de las normas ISO del 2015 y la R/60/2011
- Enfocadas a la gestión de riesgos que pueden afectar el cumplimiento de los objetivos institucionales
- Enfoque a procesos
- Enfoque sistémico y participativo de todo el personal
- Comparten la divisa de la mejora continua
- Identifican los mismos factores externo e internos que pueden estar relacionados con los riesgos
- Flexibilidad
- Integralidad (para todos los procesos y actividades)
- Integración (abogan por la integración de los diferentes elementos y sistemas que conforman la gestión empresarial.
- Conclusiones. CONSIDERACIONES Y SUGERENCIAS
Problema #1. Gestión paralela y diferenciada de los riesgos para satisfacer los requisitos de las normas ISO 2015 y de la R/60/2011 (SIN INTEGRACIÓN).
Cómo suele manifestarse: Doble documentación con la finalidad de mostrar a las partes interesadas, pasando a un segundo plano la gestión real. Se dividen los riesgos: los que se mostraran a los auditores del CI y los que se mostraran a los auditores del SG.
Consecuencias: Se trabaja más, pero no mejor. Se duplica la documentación. Se complejiza la gestión real y eficaz de los riesgos. Se distorsiona y confunde la realidad.
Sugerencia: Integrar en el proceso de gestión de riesgos las normas ISO del 2015 y la R/60/2011 cuidando de satisfacer los requisitos y exigencias particulares de cada una de ellas.
Problema #2. Se soslayan riesgos que inciden en los objetivos empresariales.
Cómo suele manifestarse: Preponderancia de los riesgos vinculados a conductas de malversación y corrupción y se omite otra gama de riesgos existentes.
Consecuencias: Se dejan de gestionar otros riesgos con incidencia negativa en la gestión de la empresa.
Sugerencia: Los riesgos asociados a conductas negativas (corrupción) merecen la mayor atención en la gestión empresarial, pero no se deben soslayar ni tratar con menoscabo los riesgos asociados a otras causas y sucesos.
Nota: La gestión de los riesgos que pueden afectar la consecución de los objetivos empresariales (estratégicos y específicos) presupone en primer lugar una adecuada identificación y elaboración de dichos objetivos, que abarquen todas las aristas pertinentes de las áreas de resultados claves alineados a la misión y visión. Es obvio que cualquier déficit o incongruencia en este aspecto, repercutirá negativamente (presumiblemente por omisión) en la identificación y gestión adecuada de los riesgos.
Problema #3. Incoherencia en la interrelación de los diferentes elementos que componen el sistema de gestión empresarial (PROCESOS, ACTIVIDADES) y no observancia de la trazabilidad
Cómo suele manifestarse: Se suele inventar los procesos y actividades a la hora de identificar los RIESGOS, al margen de los que la organización tiene identificados (con mapa de procesos, actividades, fichas, interrelaciones, evaluaciones, etc incluidos) y que se supone son la base de su sistema de gestión.
Consecuencias: Se desaprovecha una estructura existente y probada y peor aún, se introducen distorsiones que a la postre dificultan una gestión empresarial eficaz y restan credibilidad a la misma.
Sugerencia: Conocimiento y voluntad de aplicación del enfoque a procesos para identificar los riesgos asociados a los mismos y a las actividades que lo componen.
Problema #4. Confusión entre los conceptos de riesgo y las fuentes que lo originan.
Cómo suele manifestarse: Se identifican riesgos que realmente no lo son.
Consecuencias: Una consecuencia inevitable de esta confusión a que hacemos referencia, es la que deriva en la práctica, en la identificación de una cantidad abrumadora de riesgos que en realidad no lo son, tipificando como tales las fuentes que originan los mismos.
Sugerencia: Cualquier procedimiento o manual para la gestión de riesgos, debe coadyuvar a que esta etapa inicial del proceso de identificación de riesgos sea eficaz y asegure la trazabilidad adecuada y que queden debidamente registradas las fuentes de riesgo relacionadas con los diferentes riesgos.
Nota: El concepto de identificación del riesgo según ISO Guía 73: 2015 y NC-ISO 31000: 2015 implica en primerísimo lugar la identificación de las fuentes de riesgo, lo que también se le ha denominado “peligro” o “factores de riesgo” pero que en definitiva son las causas que pueden propiciar un evento no deseado. En la práctica son estos elementos (tangible o intangible) los que las personas perciben a través de sus sentidos, conocimiento y experiencia y nos alertan sobre la posibilidad de que se manifieste un evento no deseado y se reconozca por lo tanto el riesgo relacionado con dichas causas.
IDENTIFICACIÓN E INVENTARIO DE RIESGOS No necesariamente para mostrar al CI, pero
UNIDAD ORGANIZATIVA: UEB X imprescindible para la trazabilidad y una gestión de riesgos más eficaz
PROCESO: Gestión del Capital Humano (1)
No No Actividad/Área (2) Fuentes del Riesgo (4) Posibles objetivos afectados Área de Resultado
(UO) (P) Riesgo (3) (5) Clave (ARC) (6)
Determinación de – No se determinan las Formación y Objetivo estratégico general Gestión del Capital competencias y necesidades de capacitación No.5: Actualizar e implementar Humano/ capacitación formación del personal, ineficaz el Sistema Integrado de Capital Capacitación y
asociadas a los aspectos Humano a tono con el nuevo competencia ambientales, y riesgos modelo normativo legal laboral
(1)- Mapa de procesos, (2)- ficha de procesos (flujograma de actividades), (3) y (4)- Se determinan previo conocimiento del contexto interno y externo por parte del equipo de trabajo en sesiones donde se puede utilizar la herramienta de “tormentas de ideas”, (5)-
Planeación estratégica y despliegue de objetivos empresariales y de la UEB, (6)- Planeación estratégica.
IDENTIFICACIÓN E INVENTARIO DE RIESGOS
UNIDAD ORGANIZATIVA: UEB X
Anexo II R/60/2011 |
PROCESO: Gestión del Capital Humano (1)
No. | Actividad/ Área | Riesgos | Posibles manifestaciones negativas
(consecuencias) |
Medias a aplicar (Acciones preventivas) | Responsable | Ejecutante | Fecha de cumplimiento |
1 | Determinación de competencias y capacitación | Formación y capacitación ineficaz | Personal con brechas de conocimiento, niveles de competencias sin cubrir que incidirán negativamente en el desempeño de la organización | Modificar acápite 7.1 de la Instrucción xxx para ampliar la gama de competencias a los tópicos MA y de RL | J RH | Tec RH | 30/8/16 |
Realizar un nuevo levantamiento de necesidades de formación de acorde a los cambios introducidos en Instrucción xxx | J RH | Tec RH | 5/9/16 | ||||
La propuesta de temas de capacitación deben ser validado por los especialistas de los temas en cuestión antes de su aprobación e impartición | J RH | Especialistas | Antes de la aprobación de los
temas de capacitación |
Resumen: En nuestra opinión para un eficaz proceso de gestión de riesgos deben tenerse como premisas fundamentales las siguientes:
- Determinación y conocimiento del contexto interno y externo de la organización.
- Conocimiento y claridad por parte del personal de los conceptos fuentes de riesgo y riesgo propiamente dicho.
- Conocimiento y voluntad de aplicación del enfoque a procesos para identificar los riesgos asociados a los mismos y a las actividades que lo componen.
- Conocimiento de la estructura organizativa y de los procesos.
- Adecuada planeación estratégica y conocimiento por parte del personal de sus elementos fundamentales: áreas de resultados claves, direcciones estratégicas, objetivos estratégicos.
- Adecuado despliegue de los objetivos en cada área organizativa y conocimiento por parte del personal de los mismos.
- Evitar la improvisación y utilizar los datos e información real disponible para asegurar la coherencia y trazabilidad del proceso.
- Integrar en el proceso de gestión de riesgos las normas ISO del 2015 y la R/60/2011 cuidando de satisfacer los requisitos y exigencias particulares de cada una de ellas.
- Conformación de equipos de trabajo calificados.
Por último debemos tener en cuenta lo siguiente:
La Resolución 60/2011 no explicita el tema de las oportunidades en el texto del documento, por lo que no parece ser un elemento relevante en las prioridades de la parte interesada (Contraloría General), no obstante si resulta importante en la gestión empresarial y de alta prioridad en las normas ISO de sistemas de gestión versión 2015 que le otorgan un tratamiento específico y diferenciado
Ejemplo
IDENTIFICACIÓN E INVENTARIO DE OPORTUNIDADES
UNIDAD ORGANIZATIVA: UEB X
PROCESO: Generación de Energía Eléctrica
No (UO) | No
(P) |
Actividad/Área | Fuentes de
la Oportunidad |
Oportunidad | Posibles objetivos afectados | Área de
Resultado Clave (ARC) |
11 | 9 | Manejo de residuales
líquidos/Sistema de Tratamiento de Residuales (STR) |
Proyecto rehabilitación y
modernización del STR |
Reducción de la
significancia del aspecto ambiental y minimización del impacto asociado (contaminación del suelo y aguas marinas) |
Objetivo estratégico general No. 6: Mejorar el desempeño del
Sistema Integrado de Gestión de la Empresa,… disminuyendo la accidentalidad, minimizando…. el efecto adverso de los impactos Ambientales significativos…. (Asociado a los Lineamientos No. 133, 135, 138, 216 y 218.)
Objetivo específico No.1 Reducir la significancia de los Aspectos Ambientales Significativos en un 5 % en el año 2016 con respecto al 2015 |
Gestión de
Generación/ Planeamiento tecnológico |
No. | Actividad / Área | Oportunid ad | Posibles manifestacio nes
positivas (consecuenc ias) |
Medias a aplicar
(Acciones potenciadoras) |
Respon sable | Ejecuta nte | Fecha de cumplimie nto |
9 | Manejo de residuales líquidos/Si stema de
Tratamient o de Residuales (STR) |
Reducción de la
significanci a del aspecto ambiental y minimizació n del impacto asociado (contaminaci ón del suelo y aguas marinas |
– Beneficios al medio natural
– Cumplimiento de requisitos legales y satisfacción de requerimientos de partes interesadas (organismos reguladores del CITMA) – Evitar sanciones legales – Mejor imagen corporativa |
Tramitar traspaso de fondo del
proyecto a la cuenta de la empresa |
Director General | Director
Económi co |
Antes del 30/7/16 |
Elaborar y tramitar la documentación
y permisología del proyecto |
J
Inversion es |
Tec Inv | Antes del 30/8/16 | ||||
Realizar trámites para contratación de empresa constructora | J
Inversion es |
Tec Inv | 5/9/16 |
Referencias
- CONTROL INTERNO REGLAMENTADO POR LA R/60/2011
- Normas ISO SG 2015