modelo basc para la gestiÓn del riesgo · 2020. 8. 11. · ilustran situaciones que es común...

25
MODELO BASC PARA LA GESTIÓN DEL RIESGO Diego Castillo Maldonado Este manual pretende ser una fuente de consulta para que las empresas conozcan una forma de aplicar los requisitos de la Norma Internacional BASC V5-2017, en lo que corresponde a la gestión de riesgos

Upload: others

Post on 06-Mar-2021

3 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

MODELO BASC PARA LA

GESTIÓN DEL RIESGO

Diego Castillo Maldonado

Este manual pretende ser una fuente de consulta para que las empresas conozcan una forma de aplicar los requisitos de la

Norma Internacional BASC V5-2017, en lo que corresponde a la gestión de riesgos

Page 2: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 1

INDICE

INTRODUCCIÓN 2

Por qué las operaciones necesitan gestión de riesgos 2

MODELO BASC PARA LA GESTIÓN DE RIESGOS 7

Características de los riesgos 7

LOS PRINCIPIOS DEL ÉXITO EN LA GESTIÓN DE RIESGOS 7

INTRODUCCIÓN AL MODELO 8

LISTAS DE RIESGOS 9

Lista de riesgos principales 9

Lista de riesgos superiores 9

Lista de riesgos eliminados 9

Prácticas recomendadas para todo el proceso 10

Adoptar la gestión de riesgos 10

Agentes principales de riesgos 10

Equipos de respuesta de emergencia 10

Entrenamiento y recursos humanos 10

LOS SIETE PASOS DEL MODELO BASC PARA LA GESTIÓN DE RIESGOS 11

Paso 1: IDENTIFICAR EL RIESGO 11

Origen del riesgo 12

Modo de error 13

Paso 2: ANALIZAR Y EVALUAR EL RIESGO 16

Probabilidad del riesgo 16

Impacto del riesgo 17

Exposición al riesgo 17

Paso 3: ESTABLECER CONTROLES OPERACIONALES 18

Paso 4: RESPUESTA A EVENTOS 19

Plan de Contingencias 20

Paso 5: SEGUIMIENTO 20

Paso 6: REVISIONES 21

Paso 7: COMUNICACIÓN 22

Page 3: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 2

MODELO BASC PARA LA GESTIÓN DEL RIESGO

INTRODUCCIÓN

La Norma Internacional BASC V5-2017, establece que las empresas que busquen obtener

la certificación deben cumplir con ciertos requisitos que evidencien de manera objetiva,

una metodología para gestionar los riesgos relacionados a las operaciones logísticas de

cualquier tipo.

Dice también la Norma, que esta metodología debe considerar al menos 7 aspectos, los

mismos que serán mencionados más adelante.

Los profesionales en todas las áreas que son responsables de procesos críticos para la

misión han visto cambiar su trabajo de tal manera que la gestión de riesgos es cada vez

más importante. El mundo de la empresa se basa más que antes en la obtención de

información, lo que acrecienta el impacto de cualquier error; el entorno de una empresa

tiene más partes móviles de las que tenía, lo que aumenta la probabilidad de que surjan

problemas; cada vez es mayor el número de personas que percibe los problemas y

reacciona ante ellos, lo que crea consecuencias adicionales para el error; y cada vez es

más la infraestructura que queda

fuera del control directo del

responsable del área. Así mismo, la

empresa tiene menos tiempo para

reaccionar y menos posibilidades de

administrar los riesgos mediante la

aplicación de medidas estrictas de

control de los cambios. Juntas, estas

tendencias implican que las empresas

se enfrentan a retos mayores con un

kit de herramientas más pequeño. El modelo de gestión de riesgos permite ampliar el kit

de herramientas.

La administración del riesgo para las operaciones debe estar destinada al personal en

todos sus niveles. Este modelo es aplicable en todas las organizaciones y los ejemplos

ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin

importar su complejidad o tamaño.

En primer lugar, el documento recalca que la gestión de riesgos es cada vez más

importante y difícil. Describe después el modelo de administración del riesgo para

operaciones: un proceso de gestión de riesgos con un enfoque proactivo que integra las

prácticas de gestión de riesgos en todos los procesos y funciones. El documento concluye

con un glosario de términos y ejemplos que muestran cómo se puede aplicar el modelo a

los riesgos de operaciones en el mundo real.

Por qué las operaciones necesitan gestión de riesgos

Un riesgo es la posibilidad de que algo suceda y la gestión de riesgos es, en esencia, el

proceso de identificarlos y decidir lo que se puede hacer al respecto. La gestión de riesgos

es cada vez más importante porque los procesos son cada vez más complejos.

Con el tiempo crecen tanto el número como la gravedad de posibles riesgos:

Page 4: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 3

• Se ejecutan muchos procesos de manera simultánea, entre empresas, por lo que los

fallos en cada proceso tienen más posibilidades de materializarse y de que el impacto

resulte grave.

• El entorno del negocio es cada vez más complejo, por lo que incluso en el caso de que

se mantenga el tamaño de la empresa, crece el número de puntos de error

potenciales.

• La infraestructura es cada vez mayor, por lo que la administración de la posibilidad de

error es más importante por el hecho de que se tiene menos posibilidades de

reaccionar una vez que se materializa el riesgo.

• Cuando se materializa un riesgo, el tiempo que transcurre entre esto y el impacto

sobre la empresa, es menor.

• Gracias al auge de las redes sociales, la rapidez en el acceso a la información es cada

vez más visible, por lo que aumenta el impacto negativo sobre la empresa.

La gestión de riesgos tradicional, es decir la estrategia de un control estricto de los

cambios, es cada vez menos factible y efectiva; en consecuencia, los procesos necesitan

un conjunto más amplio de herramientas de gestión de riesgos.

La sección siguiente proporciona un examen más detallado de las tendencias en la

materialización de riesgos:

Se ejecutan muchos procesos de manera simultánea

Actualmente es mayor el porcentaje de procesos que resultan críticos para la empresa.

Todos los actores de una cadena de suministros

tienen complejos mapas de esos procesos, lo que

aumenta considerablemente la posibilidad de un

fallo.

Compras, ventas, recursos humanos, operaciones,

sistemas, bodegaje, transporte, seguridad, mejora

continua, planeación estratégica, recepción,

despacho, sistemas de gestión, etc., son ejemplos de

los procesos que se llevan a cabo de manera simultánea en el exportador, transportista,

agente de aduana, agente de carga, operador logístico, que forman parte de esa cadena.

Esta complejidad hace que la posibilidad que un riesgo se materialice aumenta.

El entorno es más complejo

Expresado de forma sencilla, el entorno de una empresa incluye hoy más "partes móviles"

que en el pasado. Hay más escritorios, más servidores, más conexiones, más integración

de procesos, más clientes, más proveedores, más empleados, más movimiento de carga

y más servicios completos. En parte, ello se debe a que se ha pasado desde una tarea

centralizada a una de cliente-proveedor. Conforme se produce ese avance, el número de

procedimientos que contiene cada proceso aumenta, incluso aunque el proceso en sí

mismo, no cambie.

También se ha incrementado la diversidad de la

infraestructura. Por ejemplo, los empleados en

ventas que solían ocuparse de un reducido

número de clientes en un sitio geográfico

cercano tienen que hacer ahora un seguimiento

de clientes que están al otro lado del mundo; la

Page 5: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 4

utilización de Internet para cerrar una venta es otro cambio.

Otro incremento es las distancias que tiene que recorrer una carga antes de llegar a su

destino final, lo que obviamente incrementa el tiempo de exposición al riesgo que tiene

una mercancía. También ha aumentado el número de empleados. Decenas, cientos y en

algunos casos hasta miles de ellos se han incorporado a las empresas.

Como el entorno es más complejo y diverso, existe una mayor posibilidad que se

materialice un riesgo en la empresa.

Los servicios prestados por terceros

Una gran parte de servicios que utiliza la empresa provienen

de fuera de la compañía. Transporte, personal,

mantenimiento de equipos, seguridad, etc.

Este entorno incrementa la posibilidad de materialización de

un riesgo, y podría ser reducido cuando estos terceros

involucrados, conocen, implementan y cumplen los mismos

requisitos de gestión de riesgos que la empresa contratante. Dicho de otro modo, la

empresa puede reducir el control que tiene sobre quien le provee el servicio, aunque hay

que dejar en claro que no por ello reduce la responsabilidad que tiene ante las

autoridades.

Menos tiempo entre la materialización del riesgo y el impacto que puede causar

Si un riesgo se materializa, hay un intervalo de tiempo durante el

cual se puede intentar corregirlo u ocultarlo antes de que afecte a

la empresa; sin embargo, si esto no es posible, el daño causado a

la imagen de la organización podría llegar a ser irreparable.

El error es más visible

Hace años, los ejecutivos de una empresa podían preguntarse, "si un riesgo se

materializa, pero nadie se da cuenta, ¿es eso una crisis?" Esa pregunta ya no tiene

sentido, porque muchos de los errores, debido al poder de las redes sociales, son

conocidos inmediatamente fuera de la empresa. Hace poco, si la carga llegaba en un

camión sin sello de seguridad a la agencia de carga, los únicos que lo notaban

pertenecían probablemente a la empresa. Actualmente, la lista de personas que lo

sabrían de inmediato podría incluir a varios clientes, una docena de competidores y a

todas las autoridades de control que hacen un seguimiento del cumplimiento de medidas

de seguridad.

La visibilidad es importante porque la

gente no se limita a ver los errores,

sino que además reacciona ante

ellos. Un ejemplo que viene al caso

cuando un riesgo de una empresa se

materializa y llega a conocimiento de

la prensa, recibe mucha publicidad

gratuita –negativa por supuesto-. La

sociedad lo percibe; para satisfacerla,

la compañía involucrada tiene que

salir a proporcionar mucha

Page 6: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 5

información lo que a largo plazo siempre llegará a ser perjudicial. El giro de las empresas

en la actualidad hace que la materialización de un riesgo sea más probable y grave; la

visibilidad fuera de la compañía de los procesos críticos para la misión amplifica la

gravedad del error.

Las técnicas tradicionales son menos útiles

Las tendencias anteriores convierten un error en un gran riesgo para la empresa. Al

mismo tiempo, algunas herramientas tradicionales de gestión de riesgos son aplicables

con menos frecuencia.

El personal administraba tradicionalmente los riesgos en los procesos, mediante

prácticas de administración de cambios. Los cambios en los procesos se denegaban o se

administraban mediante un procedimiento estricto y en un marco temporal prolongado.

Se aseguraba así la estabilidad, aunque reduciendo la flexibilidad organizativa.

Actualmente, el entorno empresarial cambia a mayor velocidad y la empresa se puede

adaptar al cambio a la velocidad a la que lo hagan sus procesos. Hay más probabilidades

de que la dirección de la empresa ordene al involucrado lo que debe hacer, en lugar

pedirlo, por lo que el empleado tiene menos posibilidades de administrar los riesgos

mediante la denegación de las solicitudes de cambio. Un empleado acostumbrado a

reducir los riesgos mediante ciclos de cambio puede verse obligado a realizar los cambios

en menos tiempo.

Implicaciones

Con el tiempo, la complejidad del entorno aumenta la probabilidad de que aparezcan más

riesgos, factores externos e internos aumentan el impacto y el incremento de la visibilidad

amplifica ese impacto. Conforme el número y el impacto de los riesgos producidos crece,

se tiene menos tiempo para reaccionar y se es menos capaz de aplicar los métodos

tradicionales de gestión de riesgos para hacer frente a la posibilidad de error. ¿Qué es lo

que debe hacer el gerente? Se recomienda que:

• La gestión de riesgos se debe integrar en la toma de decisiones, en todos los

procesos.

• La gestión de riesgos se debe tomar

en serio y se le debe dedicar el

esfuerzo que sea necesario.

• La gestión de riesgos se debe

realizar de manera continuada para

garantizar que los procesos hagan

frente a los riesgos que son

relevantes hoy, no a los que lo

fueron en el trimestre anterior.

Por fortuna, la formalización de las prácticas de gestión de riesgos es un objetivo

alcanzable. La gestión de riesgos es una disciplina bien desarrollada que puede integrarse

fácilmente a los procesos de una empresa.

Page 7: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 6

MODELO BASC PARA LA GESTIÓN DE RIESGOS

Ventajas

El modelo BASC para la gestión de riesgos aplica técnicas comprobadas de

administración a los problemas a los que se enfrenta todos los días una empresa. En la

gestión de riesgos hay muchos modelos, marcos de referencia y procesos. Todos tratan

de planear un futuro incierto. Esta propuesta de modelo ofrece más valor que muchos

otros gracias a sus principios clave, a una terminología personalizada, a su proceso en

siete pasos estructurado y repetible, y a la integración en un marco de referencia de

operaciones más amplio. Todos estos elementos se detallan a continuación.

Características de los riesgos

El riesgo tiene algunos aspectos básicos que la mayoría de la gente no entiende o en los

que no piensa, pero que un modelo de gestión de riesgos que quiera tener éxito ha de

reconocer. Algunos aspectos son éstos:

• El riesgo es una parte fundamental de

los procesos. El único entorno sin riesgo

será aquel cuyo futuro no incluya

incertidumbres: el que no se pregunte si

una carga llegará a destino, o si un

contenedor será contaminado con

droga; el que no le importe si el cliente

o el proveedor lava dinero; el que no le

preocupe que información de la

empresa sea utilizada por la

competencia, un entorno así no existe.

• El riesgo no hay que temerlo, sino

administrarlo. Como el riesgo no es malo, no es

algo que haya que evitar. Las empresas tratan

los riesgos reconociendo y minimizando la

incertidumbre, y haciendo frente

proactivamente a cada riesgo identificado. La

gestión de riesgos le permite cambiar la

situación para favorecer un resultado en lugar

de otro.

• El riesgo no es bueno ni malo. Un riesgo es una posibilidad de

pérdida futura y aunque ésta pueda ser considerada como

"mala", por sí mismo el riesgo no lo es. Puede ayudar a

entender que una oportunidad es la posibilidad de una ganancia

futura. No hay riesgo sin oportunidad y no hay oportunidad sin

riesgo.

Page 8: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 7

LOS PRINCIPIOS DEL ÉXITO EN LA GESTIÓN DE RIESGOS

El modelo BASC de gestión de riesgos incluye estos principios:

• Valorar los riesgos continuamente. Significa que el empleado nunca debe dejar de

buscar riesgos nuevos, así como que hay que volver a evaluar periódicamente los

riesgos eliminados. Si algo de esto no se produce, la gestión de riesgos no beneficiará

a la compañía.

• Integrar la gestión de riesgos en todos los procesos. Esto significa que cada proceso

de la empresa tiene su parte de responsabilidad en la gestión de riesgos y que cada

proceso se diseña teniendo en cuenta la gestión de riesgos. En un nivel más concreto,

significa que cada líder de proceso debe:

o Identificar las fuentes potenciales de riesgo.

o Valorar la posibilidad de que el riesgo llegue a producirse.

o Hacer planes para minimizar esa probabilidad.

o Entender el impacto potencial.

o Hacer planes para minimizar ese impacto.

o Identificar los indicadores que muestran la inminencia del riesgo.

o Planear cómo reaccionar si el riesgo se produce.

Por ejemplo, el transportista con

responsabilidad general con

respecto a la función de movilizar

la carga realiza todas las tareas

para identificar y administrar los

riesgos que tienen más

importancia para él. Otros

miembros de su equipo pueden

realizar un subconjunto de esas

tareas; todos ayudarán a

identificar nuevos riesgos, pero quizá sólo haya una o dos personas con la

responsabilidad de calcular las probabilidades o de crear planes para minimizar el

impacto. Este esquema debería ser llevado a cabo por cado uno de los procesos

involucrados en esa cadena logística.

• Tratar positivamente la identificación de riesgos. Para que la gestión de riesgos tenga

éxito, los miembros de la organización deberán identificar los riesgos sin temor a ser

criticados por ello. Identificar un riesgo sólo significa que la empresa tiene menos

probabilidades de enfrentarse a una sorpresa desagradable. El personal no puede

prepararse para un riesgo hasta que éste haya sido identificado.

• Usar una programación basada en riesgos. Mantener un entorno seguro y controlado,

suele significar la realización de cambios de manera secuencial, pero siempre que sea

posible la empresa debe abordar primero los cambios de mayor riesgo. Un ejemplo es

la contratación de nuevo personal. Si la compañía desea verificar los datos de todo el

personal, pero hay empleados nuevos en áreas y posiciones críticas, esos son las

primeros que hay que verificar. Si se comprobaran en último lugar y uno de ellos es un

delincuente, la empresa habría malgastado los recursos invertidos en la verificación

de los demás.

• Establecer un nivel formal aceptable. El éxito en la gestión de riesgos requiere

procesos que la empresa entienda y utilice. Es un acto de equilibrio. Si los procesos

Page 9: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 8

están poco estructurados, la gente los podrá utilizar, pero los resultados no serán

útiles; si son demasiado “obvios”, es probable que la gente no los cumpla.

Estos 5 principios se resumen en el término proactividad. Un equipo que practica la

administración proactiva de los riesgos reconocerá que un riesgo es una parte normal de

las operaciones y en lugar de temerlo, la empresa lo considera como una oportunidad de

defensa para el futuro. Los miembros de la empresa demuestran una mentalidad

proactiva cuando adoptan un proceso visible, mensurable, repetible y continuo mediante

el que evalúan objetivamente los riesgos y las oportunidades de gestionarlos, y actúan

sobre las causas y los desencadenadores de los mismos.

INTRODUCCIÓN AL MODELO

Cuando las empresas utilizan una gestión de riesgos proactiva, valoran los riesgos

continuamente y utilizan los resultados para tomar decisiones. La empresa va buscando

los riesgos y los trata hasta que dejan de ser importantes o hasta que se producen y se

convierten en problemas conocidos.

El diagrama siguiente ilustra los siete pasos del proceso de gestión de riesgos: identificar,

analizar y evaluar, establecer controles operacionales, responder frente a eventos,

seguimiento, revisiones y comunicación. Es importante entender que en cada riesgo hay

que recorrer todos estos pasos al menos una vez, aunque a menudo se recorren

numerosas veces. Además, cada riesgo tiene su propio marco de tiempo, por lo que

múltiples riesgos se pueden encontrar en cada paso y en cada momento.

Más adelante detallaremos estos pasos.

Figura 1 El modelo BASC para la gestión de riesgos

Page 10: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 9

LISTAS DE RIESGOS

La manera más simple de ver el proceso consiste en que los siete pasos den información,

y la obtengan, a las tres listas de riesgo: la lista de riesgos principales, la lista de riesgos

superiores y la lista de riesgos eliminados. La comprensión de las tres listas facilita el

aprendizaje de los siete pasos.

La lista de riesgos principales

En cada paso del proceso, la empresa recopila información referente a un riesgo

particular y la agrega a la lista de riesgos principales. Cada paso subsiguiente se basa en

los anteriores, agregando más elementos de riesgo, o en los elementos actuales como

ayuda a la toma de decisiones. Por ejemplo, el paso de análisis y evaluación agrega

información acerca de la probabilidad y el impacto del riesgo. El proceso es cíclico, por lo

que cada vez que se pase por la fase de análisis y evaluación, se deben revisar los

cálculos de probabilidad y de impacto.

Tenga en cuenta que el tamaño de la lista de riesgos principales es un indicador de la

minuciosidad de la empresa en saber identificarlos.

Lista de riesgos superiores

La gestión de riesgos quita tiempo y esfuerzo a las actividades diarias, por lo que es

importante que la empresa equilibre la sobrecarga de gestión de riesgos con el ahorro

que cabe esperar del proceso. Esto suele significar la identificación de un número de

riesgos que son los que merecen el tiempo y los recursos limitados de la empresa.

Una forma de realizar esto es que la lista de riesgos principales tiene prioridad, pero los

riesgos que ocupan el lugar superior de la lista, los que tienen una importancia que les

hace merecedores de una administración activa, pasan a formar parte de la lista de

riesgos superiores.

Lista de riesgos eliminados

La lista de riesgos principales contiene todos los que la empresa ha identificado, sean o

no lo bastante importantes para aparecer en la lista de riesgos superiores. Algunos de

esos riesgos no desaparecen nunca, como por ejemplo los que se relacionan con

desastres naturales. Otros llegan a un punto en el que no son ya relevantes. Por ejemplo,

la empresa podría reducir a cero la probabilidad de un riesgo porque ya no existe la

fuente del riesgo ya que esta puede desaparecer del entorno.

Siempre que un riesgo llega a ser irrelevante, se

pasa de la lista de riesgos principales a la lista de

riesgos eliminados. Esta lista es una referencia

histórica en la que la empresa puede volver a

basarse en el futuro. Por ejemplo, si la empresa ha

realizado previamente un seguimiento de los

riesgos relacionados con los procesos de resguardo

de la información, pero este proceso se subcontrata

a otra compañía, podrían retirarse algunos de los

riesgos relacionados con el resguardo de

información. Si la función del departamento de

archivos vuelve a ser interna, la empresa podrá

basarse como guía en la lista de riesgos eliminados.

Además, esta lista puede ser consultada como

Page 11: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 10

punto de partida para la identificación de riesgos nuevos. Que un riesgo esté en la lista de

riesgos eliminados, no quiere decir que este no existe, quiere decir que ahora ya es

relevante.

Prácticas recomendadas para todo el proceso

Estas sugerencias se aplican a las siete fases del modelo BASC para la gestión de riesgos.

Adoptar la gestión de riesgos

Si el o los responsables de un proceso no tienen todavía una cultura de gestión de riesgos,

su adopción puede ser un cambio significativo. El mayor obstáculo al cambio será la

complejidad del proceso. Quienes todavía no realizan una gestión de riesgos de una

manera estructurada, no suelen ver la necesidad del cambio; y si el proceso de gestión de

riesgos es demasiado complejo, probablemente será rechazado con la consideración de

una tarea laboriosa e improductiva.

Tenga en cuenta que las prácticas recomendadas para la gestión de riesgos hacen más

seguro un proceso, pero algunas también incrementan su complejidad.

Agentes principales de riesgos

Una práctica creciente consiste en designar agentes principales de riesgos y tener un

equipo de gestión de riesgos dentro de la organización que sea independiente de la

empresa, (si es posible). En estos casos deberá ser muy clara la separación entre las

responsabilidades de la organización y las de este equipo.

A primera vista, la creación de este equipo independiente parece contradecir el principio

clave de integrar la gestión de riesgos con todos los procesos. La distinción se basa en

que todo el mundo juega un papel en la gestión de riesgos. Si es así, tener un papel

específico, como un Agente, centrado a tiempo completo en la gestión de riesgos puede

ser muy útil, pues actuará como especialista y

mentor, además de coordinar actividades de

gestión de riesgos que en otro caso podrían

resultar ineficientes o incluso contradictorias.

Equipos de respuesta de emergencia

Dependiendo de su tamaño y dando

cumplimiento a regulaciones locales, las

empresas podrían tener equipos de respuesta

de emergencia que reaccionan frente a riesgos

materializados. Son entrenados para que respondan siguiendo planes de contingencia

establecidos. Estos equipos necesitan ser incluidos en todas las fases de gestión de

riesgos, pero especialmente en la planeación de contingencias.

Entrenamiento y recursos humanos

La gestión de riesgos depende mucho del personal. Debería comenzar el mismo día en

que es contratado un empleado. Idealmente, las habilidades para la administración de

riesgo deberían ser un factor a tener en cuenta al contratar personal. Dar acceso a todos

al entrenamiento en gestión de riesgos. Además, garantizar que todos reciban un

entrenamiento adecuado en su trabajo. Cuanto mejor entienda la gente un trabajo, más

eficazmente identificará y hará frente a sus riesgos.

Page 12: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 11

LOS SIETE PASOS DEL MODELO BASC PARA LA GESTIÓN DE RIESGOS

Paso 1: IDENTIFICAR EL RIESGO

Figura 2

La identificación del riesgo es el primer paso del proceso de gestión de riesgos proactiva.

Proporciona las oportunidades, pistas e información que permiten al equipo plantear los

riesgos mayores antes de que afecten adversamente a las operaciones y, por tanto, a la

empresa.

En este paso, la empresa identifica los componentes del planteamiento del riesgo:

o Condición

o Consecuencias para las operaciones

o Consecuencias para la empresa

o Origen del riesgo

o Modo del error

Condición y consecuencias

Una manera intuitiva de analizar el futuro se basa en las frases del tipo "si ... entonces…":

La condición es la parte del "si", mientras las consecuencias son expresadas con el

"entonces". Por ejemplo, " Si uso sellos de seguridad que no cumplan con la norma ISO

17712, entonces contaminan el contenedor con droga".

Tenga en cuenta que entre la condición y las consecuencias puede haber una relación de

muchos a muchos. Una sola condición puede causar numerosas consecuencias, tal como

muestra la tabla siguiente:

Condición Consecuencias

Si uso sellos de seguridad que no cumplan

con la norma ISO 17712...

…entonces contaminan el contenedor con

droga.

…entonces pierdo clientes.

…entonces iré a la cárcel.

Page 13: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 12

O bien, numerosas condiciones pueden causar la misma consecuencia, tal como se ve

abajo.

Condiciones Consecuencia

Si uso sellos de seguridad que no cumplan

con la norma ISO 17712…

…entonces contaminan el contenedor con

droga.

Si la inspección del contenedor la hace una

persona sin competencias

Si el conductor se detiene en sitios no

autorizados ...

Es importante separar la consecuencia en dos partes durante la identificación del riesgo:

la consecuencia para las operaciones y la consecuencia para la empresa. Siguiendo con

el ejemplo anterior, las consecuencias para las operaciones incluyen la pérdida del

cliente; las consecuencias para la empresa podrían incluir el daño a la reputación de la

compañía. Distinguir entre éstas es decisivo para una fase posterior del proceso, cuando

la empresa clasifica los riesgos para garantizar que los más importantes reciban la

atención que merecen, porque un riesgo puede tener muchas consecuencias para las

operaciones, pero pocas para la empresa, o viceversa.

Origen del riesgo

Hay cuatro orígenes principales del riesgo:

• Las personas. Todo el mundo comete errores, por lo que incluso aunque la tecnología

y los procesos de la empresa no tengan errores, los errores humanos pueden ser un

riesgo para la empresa.

• El proceso. Los procesos con errores o mal documentados pueden ser un riesgo para

la empresa incluso aunque se

sigan a la perfección.

• La tecnología. El personal puede

seguir perfectamente un proceso

muy bien diseñado, pero producir

errores para la empresa por

problemas de hardware, software,

etcétera.

• Externos. Algunos factores quedan

fuera del control, pero pueden los

procesos y provocar fallos en la

empresa. Entran en esta categoría los sucesos naturales, como terremotos e

inundaciones, así como problemas generados externamente por el ser humano, como

perturbaciones civiles, ataques de virus informáticos, conspiraciones externas y

cambios en las regulaciones gubernamentales.

Se trata de categorías amplias que, además, se superponen. Por ejemplo, si un empleado

recién contratado es entrenado en empaque de mercadería terminada y semanas más

tarde comete un error que provoca el fallo del proceso, ¿la fuente del riesgo es la

Page 14: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 13

"persona" o el "proceso"? Si la compañía confía en una empresa de tecnología para el

rastreo satelital del contenedor y este servicio falla, ¿el error es "tecnológico" o "externo"?

Hay muchas maneras de decidir la categoría a la que corresponde un riesgo, pero es más

importante definir una y mantenerla en lugar de perder tiempo buscando la forma

"perfecta". Una opción consiste en preguntar si el responsable del proceso tiene algún

control sobre la causa del riesgo. Si no es así, el origen es externo. En cuanto a los otros

tres orígenes, ¿se habría producido el problema si hubiera sido diferente la persona, el

proceso o la tecnología? Así se definiría el fallo del operador como "personal" si el

empleado no prestó atención durante el entrenamiento u olvidó la lección, o de "proceso"

si el entrenamiento fue incompleto o estuvo mal diseñado.

¿Por qué preocuparse por la fuente del riesgo? Porque afectará a la forma en que la

empresa administrará el riesgo en los pasos posteriores del proceso. Por ejemplo, la

empresa tratará de manera diferente la posibilidad de que los entrenados no presten

atención y la de que los materiales de entrenamiento sean de mala calidad.

Modo del error

Las operaciones pueden crear un fallo en la empresa de cuatro maneras diferentes:

o Costo. Los procesos pueden funcionar adecuadamente, pero con un costo demasiado

alto, produciendo una amortización de la inversión demasiado baja.

o Agilidad. Los procesos pueden funcionar adecuadamente, pero carecer de la

capacidad de cambiar con rapidez suficiente para atender a las necesidades de la

empresa. Los problemas de capacidad

son el caso más evidente. Por

ejemplo, un exportador puede tener

una docena de nuevos clientes, pero

olvidó que los empacadores estaban

ya al máximo de capacidad y no se

podrá contratar a más.

o Rendimiento. Los procesos pueden no

dar satisfacción a las expectativas de

los usuarios bien porque éstas eran

erróneas o porque el rendimiento de

los procesos es incorrecto.

o Seguridad. Los procesos pueden fallar por no proporcionar protección suficiente a los

recursos o por tener una seguridad tan estricta que los usuarios legítimos no tienen

acceso a estos.

Prácticas recomendadas

Estas prácticas recomendadas serán beneficiosas durante el paso de identificación del

riesgo:

Identificación continua

Cuando una empresa adopta gestión de riesgos, el primer paso suele ser una sesión de

torbellino de ideas para identificarlos. Pero la identificación no termina en esa reunión. La

identificación se produce con la misma frecuencia con la que los cambios pueden

impactar en los procesos: es decir, se produce todos los días.

Page 15: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 14

Discusiones

Las discusiones acerca de la identificación son muy importantes y una clave de su éxito

está en que se encuentren representados todos los puntos de vista relevantes, lo que

incluye a quienes tienen interés en la empresa, así como delegados de los trabajadores.

Es una manera eficaz de que se expongan las suposiciones y los diferentes puntos de

vista.

El objetivo de la discusión acerca de la identificación es mejorar la gestión de riesgos de

la empresa. Hay que medir el progreso en relación con el objetivo por la sustancia de la

discusión, no por el número de palabras en el planteamiento de riesgos que surja ni por

los minutos que se tarda en producir cada planteamiento de riesgos. A veces las

discusiones más valiosas son las que ocupan más tiempo, pero producen un

planteamiento con pocas palabras. Esto suele suceder cuando la empresa empieza a

utilizar el modelo BASC para la gestión del riesgo.

Pensar en el riesgo es una habilidad que tarda en desarrollarse y es mucho más fácil

lograrlo en discusiones de empresa que a solas en el despacho del jefe.

Matriz del modo de origen

Establecer todas las condiciones posibles es un trabajo casi infinito, por no mencionar

que el gran volumen dificulta al equipo centrarse en una cosa cada vez, sobre todo

durante una sesión de torbellino de ideas. Una solución efectiva, y que produce beneficios

en las fases posteriores del proceso, consiste en subdividir todas las condiciones posibles

en una tabla, con una fila por cada uno de los cuatro orígenes de riesgo y una columna

por cada uno de los cuatro modos de fallo:

Así la empresa podrá centrarse en una celda de la tabla cada vez. Por ejemplo, los

empleados de la empresa se pueden preguntar: "¿Cómo pueden las personas de

inventarios cometer errores que nos hagan realizar el trabajo correcto con un costo

demasiado elevado?" O pueden preguntarse: "¿Cómo puede nuestra tecnología no

cumplir las expectativas de rendimiento del cliente? O más específicamente, "¿cómo los

problemas de transporte pueden bloquear el sistema de entrada de pedidos del grupo de

ventas?"

El planteamiento del riesgo

Antes de que un equipo pueda gestionar un riesgo, lo debe expresar con claridad, lo que

en la práctica puede representar un desafío mucho mayor de lo que parecía al principio:

• La expresión verbal de un riesgo suele requerir volver a pensar en lo que se daba por

supuesto acerca de una situación y volver a evaluar los elementos que son más

importantes.

Page 16: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 15

• Escribir los riesgos es decisivo; sin embargo, por diversas razones, los riesgos en los

que ha pensado una persona suelen quedar atrapados en su propia mente. La

empresa no puede administrar un riesgo que no haya sido identificado.

El planteamiento del riesgo debería incluir todas las partes que aparecen en el diagrama

del ejemplo siguiente. Tenga en cuenta que la condición y las dos consecuencias reflejan

respectivamente el origen del riesgo y el modo de error.

Figura 3 El planteamiento del riesgo

Formulario de planteamiento del riesgo

Una forma útil de presentar la información reunida durante este paso es el formulario de

planteamiento del riesgo, que puede agregar información que será de utilidad más tarde,

durante la fase de seguimiento del riesgo. Además de las cinco partes del planteamiento

del riesgo (condición, origen del riesgo, modo de fallo, consecuencia para las operaciones,

consecuencia para la empresa), el formulario del planteamiento debe incluir lo siguiente

conforme lo establece el 6.1 literal a) de la NIBASC:

• Identificar en qué proceso(s) se presenta(n).

• Tener en cuenta los riesgos de los procesos de la empresa y de la cadena de

suministro, con base en el análisis del contexto (ver 4.1), las partes interesadas (ver

4.2), el alcance (ver 4.3) y los compromisos establecidos en la política de gestión en

control y seguridad (ver 5.2).

Page 17: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 16

Gráficos de factor de riesgo

Un gráfico de factor de riesgo ayuda a la empresa a determinar rápidamente la exposición

a la que se enfrenta en las categorías generales de riesgo. Una línea de ese gráfico podría

tener este aspecto:

Riesgo Pistas de alta

exposición

Pistas de exposición

media

Pistas de baja

exposición

Si la

empresa de

seguridad

falla, sus

errores

podrían

perjudicar a

nuestra

organización.

Nadie está

formalmente

encargado de

supervisar a los

guardias. Sólo un

guardia ha sido

entrenado en el

sistema de gestión

en control y

seguridad. Este

guardia es asignado

solamente dos veces

por semana.

Los dueños de la

compañía de seguridad

no consideran prioritario

el tener una certificación

de un sistema de gestión

en seguridad. La

empresa de seguridad

ha enviado personal a

las charlas del SGCS,

pero han sido empleados

sin poder de decisión

dentro de la empresa.

Se han realizado

pruebas a los guardias

para verificar su

conocimiento sobre

seguridad. Nos han

informado que la

capacitación que

reciben se da

únicamente cuando

ingresan a la

empresa. Sólo nuestro

jefe de seguridad les

proporciona

entrenamiento.

Paso 2: ANALIZAR Y EVALUAR EL RIESGO

Figura 4

El análisis y evaluación del riesgo se basa en la información generada en la fase de

identificación, que se convierte ahora en información para la toma de decisiones. En este

paso la empresa agrega tres elementos más a las entradas de riesgo de la lista de riesgos

principales: la probabilidad, el impacto y la exposición al riesgo (6.1 b de la NIBASC).

Estos elementos permiten al equipo categorizar los riesgos, lo que a su vez le permite

dedicar más energía a la administración de los riesgos con más alta exposición.

Probabilidad del riesgo

Es la probabilidad de que una condición se produzca realmente. La probabilidad del riesgo

debe ser superior a cero, pues si no el riesgo no plantea una amenaza a la empresa.

Asimismo, la probabilidad debe ser inferior al 100% o el riesgo será una certeza.

La probabilidad se puede entender

también como la posibilidad de las

consecuencias, porque si la condición

se produce se supone que la

probabilidad de la consecuencia será

Page 18: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 17

del 100%. La probabilidad es un número (valor) que varía entre 0 y 1. Cuando el evento es

imposible se dice que su probabilidad es 0, si el evento es cierto y puede ocurrir su

probabilidad es 1. Tomando en cuenta que los riesgos que BASC gestiona son puros, el

valor de la probabilidad siempre será superior a 0. Como regla general, la escala para la

probabilidad debe estar elaborada en una progresión aritmética.

Impacto del riesgo

El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una

pérdida, causados por la consecuencia.

La solución más efectiva es una consecuencia numérica.

Decidir la manera de estimar las pérdidas no es un asunto

trivial. La mejor solución es una escala numérica: cuanto

mayor sea el número, mayor el impacto. Como regla

general, la escala para el impacto no podrá tener valores

superiores a 1 y debe estar elaborada en una progresión

geométrica.

Exposición al riesgo

La exposición es el resultado de multiplicar la probabilidad

por el impacto. A veces, un riesgo de alta probabilidad tiene un bajo impacto; otras veces,

un riesgo de alto impacto tiene una baja probabilidad. Los riesgos que tienen un alto nivel

de probabilidad y de impacto son los que más necesidad tienen de gestión, pues son los

que producen los valores de exposición más elevados.

Prácticas recomendadas

Estas prácticas recomendadas serán beneficiosas durante el paso de análisis y

evaluación del riesgo.

Asentar las diferencias de opinión

Es poco probable que un equipo se ponga unánimemente de acuerdo en la clasificación

de un riesgo, porque los miembros del equipo con diferentes experiencias o puntos de

vista clasificarán de modo distinto la probabilidad y el impacto. Fácilmente, las

discusiones se pueden volver emocionales, o al menos políticas, por lo que para mantener

la objetividad en la discusión y limitar las discusiones hay que decidir cómo resolver esas

diferencias antes de iniciar este paso. Entre las opciones se incluye la votación por

mayoría, la elección del cálculo de peores consecuencias, o aceptar la opinión del dueño

del proceso en donde se ha identificado el riesgo.

Qué pasa cuando hay más de un riesgo con el mismo valor de exposición

Suele ser útil entonces analizar y evaluar otros aspectos, por ejemplo, en qué riesgo

alguien podría salir físicamente lastimado o en qué riesgo las pérdidas económicas son

mayores que en otro.

Realizar un análisis del impacto sobre la empresa

Realice un análisis del impacto sobre la empresa, por ejemplo, utilizando un cuestionario

que rellenarán los usuarios para estimar la importancia y el impacto de las interrupciones

del servicio. Esto ayuda a que los usuarios (clientes) entiendan el valor con el que se

percibe el servicio, lo que puede ser un valor a considerar durante la clasificación de los

riesgos.

Page 19: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 18

Registrar la clasificación del impacto

A algunas empresas les resulta útil categorizar la naturaleza del impacto, como gasto de

capital, legal, trabajo, imagen corporativa, operacional, etc.

Paso 3: ESTABLECER CONTROLES OPERACIONALES

Figura 5

El paso de controles operacionales convierte el paso de análisis y evaluación en

decisiones y acciones. Significa desarrollar acciones para los riesgos individuales, dando

prioridad a las acciones relacionadas con cada riesgo y creando un plan integrado de la

gestión de riesgos.

Las tareas clave de este paso incluyen la definición de dos elementos más de riesgo:

mitigaciones, desencadenadores.

Mitigaciones

Las mitigaciones son los pasos que la empresa puede dar antes de que se produzca la

condición y cada uno de los tres efectos sobre el riesgo:

• Reducir. La reducción del riesgo minimiza la probabilidad del riesgo, su impacto o

ambas cosas. Por ejemplo, la redundancia suele reducir el impacto del fallo. Cuando

falla un componente no hay impacto porque el componente redundante sigue

funcionando. Llevar un seguimiento de la duración esperada de un componente y

sustituirlo antes de que se espere que falle reduce la probabilidad del fallo.

Idealmente, un

método de

reducción reduce a

cero la probabilidad

o el impacto,

aunque esto no es

siempre posible.

• Evitar. Evitar el

riesgo previene que

la empresa

emprenda acciones

que incrementen

demasiado la

exposición para

justificar el

beneficio. Un ejemplo sería una ampliación de la bodega de producto terminado que

Page 20: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 19

incluya varios puntos de acceso a esta. En la mayoría de los casos, el beneficio no

justifica la exposición.

• Transferir. Mientras que la estrategia de evitar elimina un riesgo, la estrategia de

transferencia suele dejar el riesgo intacto, pero cambia la responsabilidad a otra

empresa. Por ejemplo, una compañía con un sitio de comercio electrónico podría

subcontratar a otra empresa la comprobación del crédito. Los riesgos siguen

existiendo, pero pasan a ser responsabilidad de la empresa subcontratada. Sin

embargo, si la empresa subcontratada es más capaz de encargarse de la

comprobación del crédito, la transferencia de los riesgos sirve también para reducirlos.

Es de importancia esencial asignar un propietario a todo plan de mitigación, así como es

útil definir los hitos del plan para hacer un seguimiento de su progreso y medirlo para

saber si está produciendo el efecto deseado.

Desencadenadores

Los desencadenadores indican a la empresa que una condición va a producirse, o se ha

producido, por lo que ha llegado el momento de poner en marcha el plan de contingencia.

En la definición de los elementos de riesgo puede resultar difícil distinguir entre

consecuencias y desencadenadores. En una situación ideal, el desencadenador se

produce antes que la consecuencia. Es útil pensar en ellos como indicadores luminosos

que se encienden cuando todavía hay tiempo de evitar el peligro. Por ejemplo, si la

condición es que el proveedor de sellos de seguridad no podrá hacer una nueva entrega,

el desencadenador podría ser que el stock existente llegue al 95%.

En algunos casos, los desencadenadores pueden estar controlados por datos. Utilizando el

ejemplo anterior, se puede poner un desencadenador en la fecha más reciente en la que

el stock podría mantenerse hasta tener un nuevo proveedor.

Prácticas recomendadas

Esta práctica recomendada será beneficiosa durante el paso de establecer controles

operacionales:

Establecer prioridades

Mitigar el riesgo se podría componer de varias acciones y la secuencia podría afectar al

éxito de la mitigación al reducir, evitar o transferir el riesgo, por lo que es importante dar

prioridad a lo que se establezca en el plan de mitigación.

Paso 4: RESPUESTA A EVENTOS

Figura 6

Page 21: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 20

En este paso es necesario documentar las actividades para responder en caso de que se

materialice un riesgo.

Una vez se ha definido cuáles son los riesgos que serán gestionados de manera

inmediata, se debe realizar simulacros y establecer criterios que permitan determinar la

eficacia de las acciones establecidas.

En caso de que se materialice un riesgo, se debe solicitar una acción correctiva para

asegurar que se analizan las causas y de ser necesario que se gestione para evitar su

recurrencia.

Plan de Contingencias

En caso de que se materialice un riesgo, la empresa debe estar preparada para tomar las

acciones pertinentes; así mismo, una contingencia también podría darse cuando la

condición se produce o el desencadenador llega a darse. El plan de contingencia

documenta el conjunto de acciones que

utilizará la empresa al reaccionar ante

una condición particular.

En esencia, un plan de contingencias es

una descripción de cómo apartarse del

funcionamiento normal cuando se

produce una condición. Especialmente en

el caso de que las consecuencias

interrumpan numerosos servicios, puede

ser útil reiniciar primero determinados

procesos. Decida de antemano el orden en que lo hará.

Prácticas recomendadas

Se debe considerar en la planificación y ejecución de los simulacros, que estos no se

conviertan en un riesgo o puedan tener consecuencias negativas para la empresa.

El resultado de estas acciones debe retroalimentar la gestión de los riesgos relacionados

con el evento.

Los desencadenadores son una alerta muy importante en le gestión de riesgos. Nos

anticipan que la posibilidad de materialización de un riesgo, puede haber aumentado.

Paso 5: SEGUIMIENTO

Figura 7

Durante el paso de seguimiento, la empresa recopila información acerca del modo en que

cambian los riesgos; esta información sirve de base para las decisiones y acciones que se

tomarán en el paso siguiente (control).

Page 22: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 21

Conforme lo establece el 6.1 literal 3), la empresa debe establecer y monitorear

indicadores que evidencien el seguimiento a la eficacia de la gestión de riesgos.

Estos indicadores pueden estar relacionados a simulacros, capacitación, auditorías, etc.

Este paso supervisa tres cambios principales:

• Desencadenar valores. Si un desencadenador llega a producirse, habrá que ejecutar el

plan de contingencias.

• Si el contexto, condición, consecuencias, probabilidad e impacto del riesgo. Si

cualquier de estos factores cambia (o se descubre que no es exacto), deberá ser

evaluado de nuevo.

• El progreso de un plan de mitigación. Si el plan va retrasado con respecto a lo

programado o no produce el efecto deseado, deberá ser evaluado nuevamente.

Prácticas recomendadas

Estas prácticas recomendadas serán beneficiosas durante el paso de seguimiento del

riesgo:

Informar del estado del riesgo

En los análisis de las operaciones, la empresa debería mostrar los

riesgos altos y el estado de las acciones de la gestión de riesgos.

Si los análisis de las operaciones se han programado con

regularidad (mensualmente o en hitos importantes), sirve de

ayuda mostrar la clasificación anterior de los riesgos, así como el

número de veces que un riesgo estuvo en la lista de "riesgos

superiores".

Revisar rutinariamente

Convertir en tarea regular el análisis de riesgos. Eso significa que se convierte en un

elemento de agenda permanente para cualquier reunión. El análisis puede ser muy eficaz

sin consumir demasiado tiempo. Esto es clave en la administración continuada de los

riesgos.

Analizar los desencadenadores

Si la empresa tiene desencadenadores muy visibles que son automáticos y se supervisan

constantemente, puede ser fácil centrarse en ellos y omitir los que no se pueden

automatizar. Olvidarse de analizar los desencadenadores durante una reunión de la

empresa significa que, si uno de ellos ha llegado a producirse, no será percibido hasta la

reunión siguiente, lo que retrasará la ejecución del plan de contingencias y complicará, a

menudo, las consecuencias.

Analizar las tendencias

Busque tendencias en los datos relativos a los riesgos. Por ejemplo, si la probabilidad de

un determinado riesgo ha aumentado un X% cada semana durante el último mes, aunque

la probabilidad siga siendo baja la tendencia puede justificar que ese riesgo ocupe una

posición más alta en la lista de riesgos superiores.

Page 23: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 22

Paso 6: REVISIONES

Figura 8

Dice la NIBASC en el 6.1 f), que la empresa debe revisar los riesgos periódicamente, al

menos una vez al año, o cuando se identifique cambios en el contexto, el alcance o los

procesos del SGCS BASC.

Ahora, a fin de establecer parámetros que puedan guiar a los indicadores, será necesario

que este paso supervise los cambios anteriores al menos en tres marcos de tiempo

principales:

• Constante. Muchos riesgos en los procesos se pueden supervisar de manera

constante, o al menos muchas veces cada día. Por ejemplo, un circuito cerrado de

televisión puede supervisar automáticamente durante toda la jornada, el trabajo que

se desarrolla en la sala de empaque.

• Periódico. La empresa define períodos de tiempo para el monitoreo de un riesgo. Por

ejemplo, si es un riesgo de seguridad física, entonces cada 15 días se revisarán los

cerramientos.

• Específico. Quiere decir que los riesgos son revisados cuando se da una circunstancia

en particular. Por ejemplo, si es un riesgo relacionado a la selección y contratación de

un nuevo empleado, será en estas circunstancias en que lo monitoreará.

Paso 7: COMUNICACIÓN

Figura 9

El paso anterior (revisiones) recopila información acerca de un riesgo y cuando cambia

algo el paso de comunicación ejecuta una reacción planeada a ese cambio:

• Si se ha cumplido un valor de desencadenador, ejecute entonces el plan de

contingencia.

• Si un riesgo se ha vuelto irrelevante, retírelo entonces.

• Si la condición o la consecuencia ha cambiado, rehaga entonces el paso de

identificación para evaluar de nuevo el elemento.

Page 24: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 23

• Si ha cambiado la probabilidad o el impacto, vaya al paso de análisis y evaluación

para actualizarlo.

• Si ya no está en marcha el plan de mitigación, vaya entonces al paso de controles

operacionales.

Al principio este paso puede no parecer necesario, no resultando clara la distinción con el

paso de seguimiento. En la práctica, la necesidad de actuar suele ser detectada por una

herramienta o por personas que carecen de la responsabilidad, autoridad o experiencia

que les permite reaccionar. Este paso garantiza que sean las personas apropiadas las que

reaccionen en el momento oportuno.

Por ejemplo:

• Se ha detectado falta de capacitación del personal en un área técnica. Se ha definido

un desencadenador según el cual, si el empleado no responde correctamente al 80%

de un cuestionario, el resultado de la evaluación le avisa al responsable de

capacitación para ejecutar un plan de contingencia que asigne más horas. La

detección forma parte del paso de revisiones, el aviso al jefe de capacitación es la

transición entre los pasos de revisiones y de comunicación, mientras que la acción del

jefe de capacitación es el paso de comunicación propiamente dicho.

• El responsable de un proceso puede no tener la experiencia necesaria en el

mantenimiento de un cuarto frío, por lo que esa falta de experiencia crea riesgos.

Supongamos que se ha contratado con otra compañía el mantenimiento, en cuyo caso

algunos de esos riesgos pueden no ser ya relevantes. La percepción de que algunos

riesgos pueden ser ahora irrelevantes forma parte del paso de revisiones. El paso de

comunicación inicia la nueva evaluación y, si el riesgo se considera ya irrelevante, el

paso de comunicación lo retira.

• Supongamos que alguien que investiga problemas de seguridad descubre que el

impacto de un riesgo conocido puede ser mucho menor que lo que se había calculado.

Comprender la necesidad de volver a evaluar el riesgo pertenece al paso de revisiones.

En el paso de comunicación se asigna a alguien la nueva evaluación de la probabilidad

y la comunicación del riesgo pasa a análisis y evaluación, donde la probabilidad puede

ser revisada.

• Supongamos que se diseñó un plan de mitigación para reducir un 20% en tres meses

la probabilidad de un determinado riesgo. La revisión periódica del plan de mitigación

revela que en los dos primeros meses la probabilidad sólo se ha reducido un 5%, por

lo que se le indica al propietario del riesgo que investigue ese déficit. El análisis

periódico forma parte del paso de revisiones. El paso de comunicación consiste en

notificar al propietario que el plan de mitigación ha de ser evaluado nuevamente.

Prácticas recomendadas

El paso de control tiene una gran dependencia de la efectividad de las comunicaciones,

tanto para recibir la notificación de que partes de los riesgos y los planes han cambiado,

como para garantizar que la acción la realicen las personas adecuadas en el momento

oportuno. El paso de control será efectivo como lo sea la comunicación.

La administración del riesgo varía de una organización a otra, incluso con el transcurrir

del tiempo no se puede hablar de un conjunto de reglas o procedimientos únicos que nos

garanticen la seguridad de todas las personas y bienes, en todos los sitios y en todo

momento.

En la actualidad se debe revisar e implementar procedimientos de seguridad confiables,

para minimizar la probabilidad de que ocurra un evento no deseado.

Page 25: Modelo BASC PARA LA GESTIÓN DEL RIESGO · 2020. 8. 11. · ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin importar su complejidad o tamaño

pág. 24

Cuando una compañía de seguridad adquiere un contrato de prestación de servicios de

vigilancia física, el cliente pretende que dicha compañía asuma ¡toda! la responsabilidad

del riesgo y no toda la administración del mismo, que en ocasiones no logra una

satisfacción plena, ya que desconocemos el porcentaje de participación que éste va tener

en dicha administración con sus labores administrativas y operativas que son

encomendadas a los guardias y peor aun, no lo asesoramos para mostrarle el porcentaje

de responsabilidad que recae sobre él en caso de un siniestro, debido a la ocupación del

guardia en esas otras actividades. Esto sólo lo hacemos saber cuando el siniestro ocurre,

deteriorando así lo que pudo haber sido una buena relación comercial, desde la

perspectiva de la previsión y la prevención.

Para minimizar el efecto anterior se debe incluir todo el personal de la empresa en el

proceso de seguridad encaminándolos hacia una cultura, ganando agilidad y confiabilidad

en los controles y como es obvio, tiempo en seguridad.