Cómo desarrollar un modelo de gestión de riesgos

 
gestion-riesgo-seguredNo hay fórmulas para la elaboración de un Plan de Seguridad, pero sí un modelo integrador de la seguridad basado en las tendencias mundiales de gestión de riesgo
Cada organización, a causa del cumplimiento de su objetivo social y de las actividades que desarrolla, se enfrenta a un muy diverso universo de amenazas y se ve abocada a adoptar una serie de estrategias, cuyo esfuerzo se realiza en forma dispersa por falta de un modelo articulador, dando como resultado que la seguridad sea muchas veces más costosa que las mismas consecuencias de los daños a los que se está enfrentando.
Debido a esa dispersión costosa, existe una tendencia mundial que empieza a hacer carrera en América Latina y es la aplicación de un Modelo de Gestión de Riesgos y Seguridad, apoyándose en herramientas administrativas que permiten planificar (planear), implantar (hacer), verificar (supervisar y auditar) e implementar de forma ordenada la intervención de riesgos en una empresa. En otras palabras, es la aplicación de los conocimientos adquiridos en las organizaciones, derivados de la adopción de sistemas de gestión y ciclos de mejoramiento, basados en la metodología PDCA (Por sus siglas en inglés Plan, Do, Check & Act), con sus acciones y procedimientos debidamente planificadas por medio de los cuales se busca conseguir resultados específicos de prevención, protección y control y así lograr una mejor ¨gestión integrada¨ de los riesgos a los que se enfrenta una empresa.
DEFINICIÓN DEL ALCANCE
En principio es importante definir la voluntad de la Alta Dirección con respecto al riesgo. Esto define el alcance del proyecto, necesario también para involucrar a las diferentes áreas en el desarrollo de las actividades requeridas con el fin de desarrollar un Sistema de Gestión de Riesgos y Seguridad Corporativa. Esto se traduce en el diseño de una Política de Seguridad, en la determinación del alcance del Sistema y la definición de las áreas que se comprometen (Seguridad Física, Seguridad Industrial, Seguridad de la Información y Gestión de Procesos, Contraloría, incluso); esto permitirá designar responsables, asignar tiempos y garantizar la disponibilidad de los funcionarios.
CONOCER LA ORGANIZACIÓN
Para Zona Segura, empresa dedicada a la formación, consultoría y soporte para la gestión de riesgos, este es un proceso ineludible para entender la naturaleza del riesgo y deducir el nivel del mismo. Éste comienza con la determinación del perfil de la organización, es decir la identificación de la actividad económica principal y secundaria y el contexto en la que se desarrolla. En cada empresa se evidencian multiplicidad de riesgos, unos relacionados con el contexto, otros con la operación misma (responsabilidades), los hay asociados al medio ambiente, las personas y los bienes o propiedades, entre otros.
Para hacer un análisis de contexto de la organización es preciso tener en cuenta dos variables principales: una externa, que puede incluir desde las tendencias macroeconómicas, las decisiones políticas que afecten el negocio, etc. y una interna que incluye el Plan Estratégico.
El análisis interno se hace teniendo en cuenta cinco factores a saber:
1. Tipo de Organización y Plan Estratégico. Estructura de funcionamiento existente para la generación de valor y la entrega del producto de la empresa. En este aparte es importante entender la composición del organigrama formal e informal de la empresa, así como la cadena de valor y/o mapa de procesos existentes. Incluye misión, visión, valores, políticas, objetivos y estrategias.
2. Infraestructura. Distribución espacial, equipamiento, capacidad, estado y disponibilidad de las instalaciones propias o subcontratadas de la organización.
3. Capacitación. Capacidad de aforo de las instalaciones,-población permanente y flotante, tipología de personas -clientes, proveedores, empleados, visitantes-, etc.
4. Entorno. Ubicación geográfica, vecindad, bienes y servicios próximos a las instalaciones y/u operaciones de la empresa.
5. Historial de Incidentes. Entendiéndose como la sumatoria de los eventos de seguridad que hayan sucedido en un periodo determinado de tiempo habiéndose manifestado directamente en la empresa o que hayan afectado a las personas, instalaciones y/o procesos de la cadena de suministro de la organización.
Con estos cinco factores debidamente documentados, el analista está en capacidad de entender la empresa y su funcionamiento, así como de identificar los posibles escenarios de riesgo y estará listo para comenzar a hacer una interrelación con las amenazas a las que está asociada la operación y podrá definir cuáles se constituyen en riesgos estratégicos.
EMPEZANDO LA LABOR
Para lograr un acercamiento a los procesos propios de una organización, el inicio de este proyecto requiere de conformar un equipo de trabajo con los encargados de las áreas involucradas (determinadas en el alcance del proyecto y ratificadas por la Alta Dirección), con quienes se deberán realizar las visitas técnicas y desarrollar entrevistas para hacer un levantamiento de inventario de escenarios, que luego se asocian con amenazas posibles (naturales, antrópicas, antisociales, tecnológicas, informáticas, ocupacionales) con el fin de obtener un panorama de riesgos que permita definir los niveles de intervención (prevención, protección, control y retención) y las formas tangibles de aplicación de esos métodos, en forma de planes (estrategias), programas (tácticas) y protocolos (actividades) de gestión de riesgo con aplicación directa a la Gestión de Salud Ocupacional, Seguridad Industrial, Seguridad física y Seguridad de la información de cada unidad de negocio, instalación o sede.
En las visitas técnicas, es posible identificar las instalaciones de cada organización obteniendo así un listado preciso de las áreas que la conforman y su destinación (locales, oficinas, parqueaderos, zonas de comidas, zonas de entretenimiento, zonas duras y zonas comunes, equipamiento y mobiliario), las actividades que se desarrollan allí y a qué línea de trabajo y procesos de la empresa están vinculados. Con esto se logra obtener la información necesaria del inventario de escenarios.
-1er. Factor- Una vez identificados los escenarios de riesgo, éstos se asocian con riesgos específicos de la actividad que desarrolla en cada escenario, contemplando así riesgos asociados con la actividad comercial (agresión física y verbal, hurto, inundación, caídas, accidentes, corte de suministro, lesiones personales), los asociados con la concentración de personas (atentados, sismos, vendavales, inundaciones, derrumbes, desplomes, intoxicación, etc) y otros asociados a diferentes procesos de la organización como fraude, corrupción, extorsión, secuestro, y demás riesgos antisociales. Con este análisis de vulnerabilidad aplicado a cada uno de los grupos de instalaciones, se obtiene con facilidad el manejo por grupos de riesgo y se codifican conformando la denominada plantilla de amenazas.
-2do. Factor- Como punto de partida para el análisis de vulnerabilidad se identifican las amenazas que puedan afectar los escenarios (instalaciones, procesos, subprocesos y actividades) desde el punto de vista de “frecuencia de ocurrencia¨ y ¨severidad de sus consecuencias¨ para cada uno de los procesos de la empresa. Para evaluar la probabilidad de que se materialice una amenaza y la gravedad de sus consecuencias, se deben definir escalas de valoración relativas para cada uno de los recursos, con el fin de valorar hasta dónde la organización está en capacidad de resistir o afrontar las consecuencias de la ocurrencia de un evento.
-3er Factor- Finalmente, se llega a la fase de ponderación y se presenta en una matriz de vulnerabilidad donde se califican la gravedad de la consecuencia de los siniestros (desde Insignificante hasta Muy crítico). De igual forma se procede con las frecuencias de ocurrencia de los siniestros (desde Improbable hasta Frecuente).
-4to. Factor- La explicación de esta fase se constituye en el denominado Mapa de riesgos, en donde se presentará individualmente por contenido en cada informe, el desarrollo de las fases de Inspección, Identificación y Análisis de Seguridad de cada una, así como las conclusiones de la aplicación de Matrices de vulnerabilidad.
-5to. Factor- INTERVENCIÓN DEL RIESGO
Una de las principales dudas que suele expresarse a la hora de implementar un Sistema de Gestión de Riesgos y Seguridad es cómo abordar el Tratamiento de Riesgos, una vez que disponemos del análisis de riesgos. El objetivo es intentar aclarar cómo encajar esta tarea tan común en la práctica, con los conceptos ya conocidos dentro del ámbito de la consultoría de seguridad.
En Zona Segura trabajamos con la Norma NTC 5254 (AS/NZ4360 y pronto ISO 31000), pues nos ofrece una orientación acerca de las opciones de tratamiento para los riesgos con resultados negativos (de los cuales se ocupa Seguridad):
1. Evitar el riesgo, decidiendo no empezar, ni continuar con la actividad que lo origina.
2. Reducir la posibilidad de la ocurrencia o repetición de resultados negativos, que se conoce comúnmente como Prevenir.
3. Cambiar las consecuencias para reducir la extensión de las pérdidas, mitigar el impacto que se conoce como Proteger.
4. Cuando la organización decide contratar con otra entidad la Gestión del Riesgo, esto implica que un tercero recibe una parte de este consentimiento mutuo, esto se conoce como Compartir.
5. Finalmente puede haber riesgos residuales que se asumen, lo cual sucede también cuando no se identifican adecuadamente y a esto se le conoce como Retener.
Una vez seleccionado el Método de Gestión apropiado para cada escenario de riesgo, es importante considerar los costos directos e indirectos así como los beneficios de su aplicación, con el objetivo de poder medir la efectividad de la decisión en términos de la rentabilidad del negocio.
La selección del tratamiento es el punto de partida para la construcción de un Plan de Seguridad, que contiene la forma de implantación de los controles (humanos, técnicos, operativos y contractuales) aplicables a la seguridad de la organización; que destaca y prioriza los controles más “importantes” y su forma de operarlos, articulados en “programas”.
CONSTRUYENDO EL PLAN
Normalmente los Modelos de Gestión se implementan (entendiéndose como la acción de implementar o poner a interactuar los recursos), sin embargo en el caso de la seguridad esta tarea es de mayor envergadura, se trata de ¨Implantar¨. Esta acción demanda no sólo la existencia de recursos, sino también la creación de una ¨Cultura de Seguridad¨ y la transformación de actitudes positivas frente a las políticas, estrategias y actividades que se diseñan para lograr un mayor nivel de prevención de pérdidas, protección de instalaciones y control de procesos en las empresas.
Para nosotros la acción de implantar un Sistema de Gestión de Riesgos y Seguridad demanda entonces de cuatro requisitos básicos:
1. El Compromiso gerencial. Todas las personas que participan en la decisión de implantar un sistema de gestión deben contar con una comprensión básica de lo que esto supone. Puede resultar muy beneficioso que la alta dirección asista a un curso de formación introductorio, de un día de duración.
2. Conocer la norma NTC 5254 de Gestión de Riesgos. Puede parecer una tarea ardua, pero para que el equipo líder facilite la implementación del Sistema de Gestión debe estar familiarizado con la totalidad de la norma.
3. Comprender el alcance del sistema. Todos los Sistemas de Gestión exigen algunas herramientas comunes que se pueden utilizar, así como un mismo ciclo PHVA y de procesos para seguirlos. Esto quiere decir que no necesita sobreponer un sistema a otro o implementarlos en forma paralela, lo que se busca es integrarlo en un ciclo que exista o que sea amigable con los demás existentes.
4. Formar al Recurso humano para la comprensión del sistema. Durante la implantación es importante que todos los miembros de la organización se familiaricen con el sistema de gestión, es decir, que sepa qué es y cómo va a afectar las tareas cotidianas.
No hay fórmulas específicas para la elaboración de un Plan, pero sí una estructura que obedece a las tendencias de la administración postmoderna y que no son una adaptación amañada del concepto devaluado de seguridad- defensa, heredados de la guerra fría y colapsado desde los acontecimientos del 11-S, sino que responde a un modelo integrador de la seguridad en sus apartes de Seguridad física, Seguridad Industrial, Seguridad de la Información y Seguros.
La estructura obedece a una estructura conceptual básica compuesta por: una política, cuatro estrategias objetivas, dos componentes administrativos y once programas operativos, en los que se puede involucrar a cada estructura, proceso y persona, en las tareas de mantener la estabilidad y trabajar en la conservación de la vida, la integridad personal y del patrimonio de la organización.
El Plan de Seguridad Corporativa debe siempre derivarse de la definición de la Política de Seguridad de la Organización (declaración que la Alta Dirección debe irradiar a todos sus miembros), del Plan Estratégico de la Organización y de un Modelo de Gestión con tres elementos básicos:
1. Revisión inicial: Se identifican los requisitos legales relacionados con la seguridad de los productos, bienes y servicios de la organización.
2. Elemento estratégico: Hace referencia a las políticas y objetivos que definen el norte de la empresa y a los lineamientos que deberán seguir quienes la componen para alcanzar los resultados esperados en materia de prevención, protección y control de los riesgos.
3. Elemento operativo: Es la implantación de la estrategia. En esta etapa se hacen realidad los diseños del Plan de Seguridad Corporativa para manejar situaciones normales y rutinarias, anormales y no rutinarias y de emergencia. En este nivel deberán diseñarse las intervenciones a que haya lugar para la gestión del riesgo en materia de:
• Relaciones con las autoridades y de seguridad pública.
• Seguridad perimetral y de control de accesos.
• Gestión de servicios contratados (vigilancia privada y seguridad electrónica).
• Seguridad de las personas.
• Aseguramiento de procesos de la organización (seguridad de procesos).
• Gestión de novedades, incidentes y eventos críticos.
• Gestión de emergencias.
• Planeación de la Continuidad de Negocio.
Cada uno de los enunciados demanda el diseño de un programa específico por sede, regional o contrato y sus componentes son: definición, objetivo, descripción de actividades (basadas en el método de gestión seleccionado para el tratamiento de cada riesgo y para cada escenario identificado), recursos, registros e indicadores de gestión e impacto.
CONCLUSIÓN
Como dijimos antes, no hay fórmulas mágicas pero nuestra experiencia nos acerca cada día más a una construcción colectiva de la seguridad y este modelo resulta ser democrático, administrable, trazable y auditable, con obvios resultados en el control de las variables de costo eficiencia, que a la postre terminan siendo los indicadores de los cuáles (hasta ahora) adolecía la seguridad en Latino América.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *