gestiÓn de amenazas y riesgos
TRANSCRIPT
1
www.iplacex.cl
GESTIÓN DE AMENAZAS Y RIESGOS UNIDAD III Técnicas de gestión de riesgos, aplicadas a la seguridad privada
2
www.iplacex.cl
Introducción
El nivel de madurez de una organización determina, en gran medida, las técnicas de apreciación del riesgo que ésta utilizará. Es por eso que entre las numerosas técnicas que propone ISO 31010, debemos utilizar la que se adecue con nuestros propósitos y posibilidades, cada una con sus ventajas o inconvenientes.
Para una organización sin experiencia previa en la apreciación de sus riesgos, puede ser conveniente utilizar una técnica que nos proporcione un primer nivel de aproximación de nuestros riesgos, la cual nos permita gestionar los mismos. Ejemplos de esta filosofía pueden ser las técnicas como “Tormenta de ideas (Brainstorming)” o Entrevistas con los responsables de las distintas áreas, fáciles y rápidas de implementar pero que necesitan que los participantes cuenten con una dilatada experiencia en el área para una consecución satisfactoria, apoyándose primordialmente en el factor humano.
Por el contrario, en una compañía que cuente con un notable nivel de madurez puede ser conveniente realizar la apreciación de una forma mucho más minuciosa, eliminando de manera sensible la incertidumbre y utilizando métodos estadísticos como los analizados en la Unidad II.
No obstante, en una organización de tamaño considerable, podría ser
imprudente realizar una gestión de riesgos de manera manual, pues la complejidad de las tareas seguramente lo impediría. Además en el caso en que una empresa utilice distintas metodologías (por los diferentes propósitos de los distintos departamentos) dificultaría en gran medida el análisis de riesgos, el plan o planes de tratamiento pertinentes y la obtención de los distintos indicadores para la mejora continua que propone la norma.
Es por ello que la norma ISO 31010, no entrega respuesta a muchas de estas
interrogantes, al entregarnos pautas o modelos bajo los cuales podemos analizar y gestionar adecuadamente los riesgos. Durante esta semana analizaremos dos de las técnicas más utilizadas y que sin duda nos entregan herramientas suficientes para la gestión de las amenazas y riesgos.
“Acepta los riesgos, toda la vida no es sino una oportunidad.
El hombre que llega más lejos es, generalmente, el que quiere y se
atreve a serlo”
Dale Carnegie
SEMANA 6
3
www.iplacex.cl
Desarrollo 1. Matriz de consecuencia/probabilidad
La matriz de consecuencia/probabilidad es un medio que permite combinar clasificaciones cualitativas o semicuantitativas de consecuencia y probabilidad, para producir un nivel de riesgo o una clasificación del riesgo.
El formato de la matriz y de las definiciones que se apliquen depende del contexto en que se utilizan, y es importante que se manejen en un diseño apropiado a las circunstancias.
1.1 Usos:
La matriz de consecuencia/probabilidad se usa para categorizar los riesgos, sus orígenes y los tratamientos sobre la base del nivel de riesgo asociado. Normalmente, se utiliza como una herramienta de filtrado cuando se han identificado muchos riesgos, por ejemplo, para definir cuáles son los riesgos que necesitan ser analizados en profundidad y categorizarlos para identificar los que deben ser tratados primeros, o cuáles deben ser tratados a un nivel de gestión más elevado.
La matriz de consecuencia/probabilidad también puede ser utilizada para
ayudar a la organización partícipe en la comprensión común de los niveles cualitativos de riesgos, incluyendo la forma en que se establecen los niveles del riesgo y cómo se asignan reglas de decisión a quienes se deberían alienar con el deseo de riesgo de la organización.
Esta matriz se utiliza en el análisis de criticidad del AMFEC (análisis del
modo de fallo, del efecto y la criticidad) o FMEAC (por sus siglas en inglés) o para poder ajustar las propiedades después del HAZOP. También se puede usar en
4
www.iplacex.cl
situaciones en que los datos sean insuficientes para un análisis más completo, o la situación no garantice el tiempo y el esfuerzo para un análisis cuantitativo más profundo.
1.2 Elementos de entrada:
Los elementos de entrada al proceso son escalas personalizadas de la consecuencia y de la probabilidad, y una matriz que combina las dos.
Las escalas de consecuencia deberían cubrir los diferentes tipos de
consecuencia, considerando, por ejemplo, las pérdidas financieras, parámetros de seguridad, aspectos ambientales asociados a los procesos, entre otros, dependiendo del contexto. Se debe extender desde la consecuencia máxima verosímil hasta la que representa la de menor riesgo o interés. La escala puede tener cualquier número de puntos, pero las escalas más comunes son de 3, 4 o 5 puntos.
Respecto de las definiciones de las probabilidades, estas se deben seleccionar
de manera que sean lo menos ambiguas posible. Si se utilizan guías numéricas para definir probabilidades diferentes, se deben indicar las unidades. La escala de probabilidad debe estar adaptada a las distintas posibilidades de aplicabilidad del estudio que se tiene entre manos, recordando que la probabilidad más baja debe ser aceptable para la consecuencia más alta definida. En caso contrario, todas las actividades con la consecuencia más alta se definen como intolerables. Una matriz se dibuja con la consecuencia representada sobre un eje de coordenadas y la probabilidad sobre el otro eje.
Los niveles de riesgos asignados a las celdas dependerán de las definiciones
de las escalas de probabilidad/consecuencia. La matriz se puede establecer de manera que realce el peso de las consecuencias o el de la probabilidad, o puede ser simétrica dependiendo de la aplicación. Los niveles de riesgo pueden estar enlazados a reglas de toma de decisiones, tales como el nivel de atención de la gestión o de la escala de tiempo para la que se necesita la respuesta.
5
www.iplacex.cl
Ejemplo parcial de una matriz de criterios de probabilidad
Fuente: ISO 31010:2009 Anexo B (p.54)
Las escalas de clasificación y la matriz se pueden establecer con las escalas
cuantitativas. Por ejemplo, en un contexto de fiabilidad, la escala de probabilidad podría representar los regímenes de fallos indicativos, y la escala de consecuencia los costes del fallo en dólares.
Para la utilización de las herramientas se necesitan personas que tengan los
conocimientos técnicos correspondientes, y que dispongan de datos para poder enjuiciar la consecuencia y la probabilidad.
1.3 Proceso:
Para lograr la clasificación jerárquica del riesgo, en primer lugar, se debe localizar el descriptor de la consecuencia que mejor se adapta a la situación, y después definir la probabilidad con la que ocurrirá esta consecuencia. A continuación de la matriz se deduce el nivel de riesgo.
Muchos sucesos de riesgo pueden tener una gama de consecuencias con
diferentes probabilidades asociadas. Usualmente, los problemas menores son más comunes, o las más serias, incluida alguna otra combinación de sucesos, pero en muchos casos, es adecuado enfocar las consecuencias verosímiles más serias ya que estas plantean las mayores amenazas y con frecuencia son las de mayor importancia. En otros, puede ser apropiado jerarquizar como riesgos independientes los problemas comunes y las catástrofes improbables. Es importante que se utilice la probabilidad aplicable a la consecuencia seleccionada y no la probabilidad del suceso como un todo.
El nivel de riesgo definido por la matriz puede estar asociado a una regla de
toma de decisiones, tal como la de tratar o de no tratar el riesgo.
6
www.iplacex.cl
1.4 Resultados:
La Matriz de riesgo entrega como resultado a la organización, los siguientes aspectos:
Fuente: Resultados esperados para el análisis de árbol de sucesos, basado en ISO 31010:2009
1 •Identificación de áreas que requieren mayor atención y áreas críticas de riesgo.
2
•Uso eficiente de recursos aplicados a la supervisión, basado en los perfiles de riesgo emitidos.
3 •Permite la intervención inmediata y acción oportuna..
4 •Permite una evaluación metódica de los riesgos.
5
•Promueve una sólida gestión de los riesgos basado en maleabilidad de la herramienta para trabajar en forma simbiótica con otras herramientas de gestión de riesgo.
6 •Promueve el monitoreo continuo de los riesgos.
7
www.iplacex.cl
1.5 Fortalezas y Debilidades:
Como la gran mayoría de las herramientas, la Matriz de riesgos no está exenta
de poseer fortalezas y limitaciones. Dentro de la siguiente gráfica se identifican las más importantes asociadas a esta herramienta:
Fuente: Elementos esperados en los resultados de la matriz de riesgos, basado en ISO 31010:2009
Los resultados dependerán del nivel de detalle del análisis. Esto subestimará el nivel de riesgo real. La forma de agrupar los escenarios para la descripción del riesgo debería estar definida al comienzo del estudio.
1.6 Ejemplo:
La matriz de consecuencia/probabilidad como herramienta de gestión se aplica asignando magnitud asociada al nivel de ocurrencia del evento, comparándolo con la magnitud de ocurrencia del evento dentro de los distintos departamentos de la empresa.
El siguiente ejemplo de matriz está aplicado a eventos asociados a salud y
Fortalezas
* Es relativamente fácil de usar.
* Proporciona una clasificación jerarquizada y rápida del riesgo, con diferentes niveles de importancia.
Limitaciones
* La matriz se debería diseñar de manera que sea apropiada a las circunstancias, por lo que en una organización puede ser difícil disponer de un sistema común que se aplique a una gama de circunstancias importantes.
* Es difícil definir escalas que no sean ambiguas. Su utilización es muy subjetiva, y por tanto pueden existir variaciones significativas entre los clasificadores.
* Los riesgos no se pueden sumar (es decir, no se puede definir que un número particular de riesgos bajos repetido n veces sea equivalente a un riesgo medio).
* Es difícil combinar o comparar el nivel de riesgo para categorías de diferentes consecuencias.
8
www.iplacex.cl
seguridad ocupacional, calidad y medioambiente.
Fuente: Matriz de riesgo para gestión de seguridad, calidad y ambiente, basado en ISO 31010:2009
En la figura se aprecian categorizaciones de uno a cuatro, donde uno es leve y
cuatro es crítico, dependiendo del departamento donde se presente el evento y su frecuencia. En este caso, en seguridad (guardias) existe un nivel uno debido a que no tienen exposición a riesgos mayores en ninguno de los eventos. Distinto es el nivel de producción que está en nivel cuatro, es decir, casi nivel crítico en prácticamente todos los eventos.
2. Análisis HACCP
El análisis de riesgo y puntos de control críticos (HACCP) proporciona una estructura para la identificación de los riesgos y para establecer controles en todas las partes importantes de un proceso, a fin de protegerlo contra los riesgos y de mantener la fiabilidad y la seguridad de la calidad de un producto. El HACCP tiene por objeto
“Los invito a ver el siguiente video, donde se profundiza el análisis y
la confección de la matriz de riesgo”
https://www.youtube.com/watch?v=rEJzW57nSGI
9
www.iplacex.cl
asegurar que los riesgos se minimicen mediante controles a lo largo de todo el proceso, mejor que con una inspección del producto final.
2.1 Uso:
El desarrollo del HACCP se orientó inicialmente a asegurar la calidad de los alimentos en los programas espaciales de la NASA. Actualmente lo utilizan las organizaciones que funcionan dentro de una cadena alimenticia, para controlar los riesgos que se pueden generar debido a los contaminantes físicos, químicos o biológicos de los alimentos.
También se ha extendido su utilización a la fabricación de productos farmacéuticos y productos sanitarios. Los principios para identificar artículos que pueden influir en la calidad del producto y para definir puntos en un proceso donde puede realizarse el seguimiento de los parámetros críticos y los peligros se pueden controlar y generalizar para otros sistemas técnicos.
2.2 Elementos de entrada:
El análisis HACCP se inicia a partir de un organigrama básico o un diagrama de proceso basado en la información sobre los peligros que podrían afectar la calidad, seguridad o fiabilidad de los resultados del producto o proceso. La información sobre los peligros y sus riesgos, así como de las maneras en que estos se pueden controlar, constituye un elemento de entrada al análisis HACCP.
“El HACCP se define como un sistema de prevención para evitar la
contaminación alimentaria que garantiza una seguridad en los alimentos. En
el cual se identifica, evalúa, se previene y se lleva un registro de todos los
riesgos de contaminación a lo largo de toda la cadena de producción”
31010:2009
Los invito a revisar el siguiente video, donde encontrarán más
información del análisis HACCP
https://www.youtube.com/watch?v=C1A5BNjcqio
10
www.iplacex.cl
2.3 Proceso:
El árbol de decisiones comienza con una decisión inicial. Por ejemplo, elegir el proyecto A en vez de con el proyecto B. Como los dos proyectos anteriores son hipotéticos, se producirán sucesos diferentes y será necesario tomar diferentes decisiones previsibles. Estas se presentan en formato de árbol, similar al de sucesos, y la posibilidad de los sucesos se puede estimar junto con los costes de la decisión o la utilidad del resultado final del camino seguido.
Fuente: Principios de HACCP, basado en ISO 31010:2009 (pp. 40-41)
2.4 Resultados:
Los resultados son registros documentados que incluyen una ficha de trabajo del análisis del peligro y un plan HACCP. La ficha de análisis del peligro registra para cada etapa del proceso lo siguiente:
Los peligros que se podrían introducir, controlar o empeorar en cada etapa. Si los peligros presentan un riesgo importante (en base a la consideración de
1 • Identificar los peligros y las medidas preventivas relativas a tales peligros.
2 •Determinar los puntos del proceso donde los peligros se pueden controlar o eliminar (los puntos de control crítico o
CCP)
3 • Establecer los límites críticos necesarios para controlar los peligros, es decir, cada CCP debería funcionar dentro de
parámetros específicos para asegurar que el peligro esté controlado.
4 •Hacer el seguimiento de los límites críticos de cada CCP a intervalos definidos.
5 • Establecer las acciones correctivas si el proceso se sale de los límites establecidos
6 • Establecer los procedimientos de verificación.
7
• Implantar la preparación de registros y los procedimientos de documentación para cada etapa
11
www.iplacex.cl
las consecuencias y de la probabilidad a partir de una combinación de experiencia, datos y documentación técnica).
La justificación de la importancia.
Las posibles medidas preventivas para cada peligro.
Si las medidas de seguimiento y de control se pueden aplicar en esta etapa (es decir, ¿qué es un CCP?)
El plan HACCP delinea los procedimientos a seguir para asegurar el control de
un diseño, producto, proceso o procedimiento específico. El plan incluye una relación de todos los CCP, y para cada uno de ellos debe indicar:
Los límites críticos de las medidas preventivas.
Las actividades de seguimiento y de control (incluyendo por qué, cómo y cuándo se realizará el seguimiento y quién lo llevará a cabo).
Las acciones correctivas que se requieren, si se detectan desviaciones con respecto a los límites críticos.
Las actividades de verificación y de conservación de registro.
Fuente: Principios de HACCP, basado en ISO 31010:2009 (pp. 40-41
12
www.iplacex.cl
2.5 Fortalezas y Limitaciones:
Las fortalezas y limitaciones del análisis HACCP:
Fuente: Fortalezas y Limitaciones del análisis HACCP, basado en ISO 31010:2009 (anexo A1, pp. 42-41)
1.7 Ejemplo:
El siguiente ejemplo es un diagrama de flujo de evaluación HACCP, que aplicaremos posteriormente en los procesos de una empresa productiva:
Fortalezas
Es un proceso estructurado que proporciona evidencias documentadas del control de sistema de gestión, así como la identificación y reducción de riesgos.
Es un enfoque sobre las posibilidades de cómo y cuándo en un proceso. Se pueden prevenir los peligros y controlar los riesgos.
El HACCP utiliza como premisa que de que es mejor, controlar el riesgo a lo largo de todo el proceso que dejarlo para la inspección del producto final.
Limitaciones
El análisis HACCP requiere que se identifiquen los peligros, definiendo los riesgos que ellos representan, y que las importancias de los mismos se consideren como entradas al proceso. También es necesario definir los controles apropiados. Estos controles se requieren con el objeto de especificar los puntos de control críticos y parámetros de control durante el análisis HACCP, donde puede ser necesario combinarlos con otras herramientas para conseguirlo.
La toma de decisiones cuando los parámetros de control exceden los límites definidos pueden suponer la pérdida de la introducción de cambios graduales en los parámetros de control, que son estadísticame
13
www.iplacex.cl
Lo aplicamos en una empresa de alimentos, para identificar los PCC, y establecer en una tabla los riesgos biológicos, químicos y físicos asociados a los elementos del proceso.
14
www.iplacex.cl
15
www.iplacex.cl
Tabla:
Fuente: Tabla de clasificación de riesgos asociados a proceso de empresa de alimentos
basado en clasificación HACCP
En combinación, ambos elementos permiten clasificar las distintas etapas de
una empresa de alimentos, detectando los PCC. La tabla proporciona los riesgos biológicos, químicos y físicos asociados a los elementos del proceso.
16
www.iplacex.cl
Conclusiones
La apreciación del riesgo es el proceso global de identificación, análisis y de evaluación del riesgo, sin embargo surgen muchas dudas cuando se llevan a cabo esta labor. Esto derivado principalmente a que existen muchos factores que intervienen en dicha tarea, entre ellos la división en distintos departamentos de la organización con escasa comunicación, la diferente naturaleza de los riesgos que se gestionan y el factor humano. Es por eso que cabe preguntarnos: ¿Dos departamentos deben tener la misma metodología de análisis de riesgos?, ¿De qué manera gestiono los riesgos ante distintos servicios o procesos de la organización?, ¿De qué manera puedo informar a la dirección del resultado de los riesgos de la organización y de su tratamiento, sin que esta labor sea un lastre para la operativa de la misma? Y ¿Se establecen criterios formales para la identificación del riesgo en mi organización?
Para unificar criterios y proponer soluciones a algunos de estos problemas, la
norma ISO 31010, que hemos analizado en las tres unidades de esta asignatura, propone una serie de cuestiones a tener en cuenta en el proceso de apreciación del riesgo. Principalmente se tratan de una serie de directrices que van a determinar, en gran medida, el criterio de identificación de cada riesgo.
Recuerden que estas directrices pasan por establecer el contexto y objetivos de
la organización, con el fin de adaptar dicho criterio a los aspectos propios de la compañía; otra parte fundamental será establecer el alcance y el tipo de riesgos que se consideran tolerables; además serán determinantes los recursos disponibles y la comunicación entre las partes internas y externas. Por último, será un factor determinante para el éxito del mismo los métodos y técnicas utilizadas para la apreciación del riesgo, que comprenden la identificación de los mismos, el análisis de estos y su posterior evaluación.
Resumen:
Las herramientas de gestión de riesgos sin duda son elementos importantísimos que el experto debe distinguir para una gestión del riesgo
más eficiente. A continuación se entrega un cuadro resumen de las herramientas mencionadas en la ISO 31010:2009
17
www.iplacex.cl
18
www.iplacex.cl
Bibliografía
International Organization for Standardization (2009). ISO 31000:2009, Gestión de riesgos “Principios y orientaciones”. Ginebra, Suiza: ISO
International Organization for Standardization (2009). ISO 31000:2009, Gestión de riesgos “Herramientas para evaluar gestión de riesgos”. Ginebra, Suiza: ISO
International Organization for Standardization (2009). ISO 31000:2009, Gestión de riesgos “Guía para la implementación de ISO 31000”. Ginebra, Suiza: ISO
MACHIAVELO SALINAS Victor, (2016). Introducción a los Análisis de Arboles de falla (Faul Tree Analysis-FTA), TÜV Rheinland Diplomado, Santiago de Chile. Consultado en https://www.tuv.com/chile/es/
Real Academia Española. (2001). Diccionario de la lengua española (22.aed.). Consultado en http://www.rae.es/rae.html
19
www.iplacex.cl