modelo basc para la gestiÓn del riesgo · 2020. 8. 11. · ilustran situaciones que es común...
TRANSCRIPT
MODELO BASC PARA LA
GESTIÓN DEL RIESGO
Diego Castillo Maldonado
Este manual pretende ser una fuente de consulta para que las empresas conozcan una forma de aplicar los requisitos de la
Norma Internacional BASC V5-2017, en lo que corresponde a la gestión de riesgos
pág. 1
INDICE
INTRODUCCIÓN 2
Por qué las operaciones necesitan gestión de riesgos 2
MODELO BASC PARA LA GESTIÓN DE RIESGOS 7
Características de los riesgos 7
LOS PRINCIPIOS DEL ÉXITO EN LA GESTIÓN DE RIESGOS 7
INTRODUCCIÓN AL MODELO 8
LISTAS DE RIESGOS 9
Lista de riesgos principales 9
Lista de riesgos superiores 9
Lista de riesgos eliminados 9
Prácticas recomendadas para todo el proceso 10
Adoptar la gestión de riesgos 10
Agentes principales de riesgos 10
Equipos de respuesta de emergencia 10
Entrenamiento y recursos humanos 10
LOS SIETE PASOS DEL MODELO BASC PARA LA GESTIÓN DE RIESGOS 11
Paso 1: IDENTIFICAR EL RIESGO 11
Origen del riesgo 12
Modo de error 13
Paso 2: ANALIZAR Y EVALUAR EL RIESGO 16
Probabilidad del riesgo 16
Impacto del riesgo 17
Exposición al riesgo 17
Paso 3: ESTABLECER CONTROLES OPERACIONALES 18
Paso 4: RESPUESTA A EVENTOS 19
Plan de Contingencias 20
Paso 5: SEGUIMIENTO 20
Paso 6: REVISIONES 21
Paso 7: COMUNICACIÓN 22
pág. 2
MODELO BASC PARA LA GESTIÓN DEL RIESGO
INTRODUCCIÓN
La Norma Internacional BASC V5-2017, establece que las empresas que busquen obtener
la certificación deben cumplir con ciertos requisitos que evidencien de manera objetiva,
una metodología para gestionar los riesgos relacionados a las operaciones logísticas de
cualquier tipo.
Dice también la Norma, que esta metodología debe considerar al menos 7 aspectos, los
mismos que serán mencionados más adelante.
Los profesionales en todas las áreas que son responsables de procesos críticos para la
misión han visto cambiar su trabajo de tal manera que la gestión de riesgos es cada vez
más importante. El mundo de la empresa se basa más que antes en la obtención de
información, lo que acrecienta el impacto de cualquier error; el entorno de una empresa
tiene más partes móviles de las que tenía, lo que aumenta la probabilidad de que surjan
problemas; cada vez es mayor el número de personas que percibe los problemas y
reacciona ante ellos, lo que crea consecuencias adicionales para el error; y cada vez es
más la infraestructura que queda
fuera del control directo del
responsable del área. Así mismo, la
empresa tiene menos tiempo para
reaccionar y menos posibilidades de
administrar los riesgos mediante la
aplicación de medidas estrictas de
control de los cambios. Juntas, estas
tendencias implican que las empresas
se enfrentan a retos mayores con un
kit de herramientas más pequeño. El modelo de gestión de riesgos permite ampliar el kit
de herramientas.
La administración del riesgo para las operaciones debe estar destinada al personal en
todos sus niveles. Este modelo es aplicable en todas las organizaciones y los ejemplos
ilustran situaciones que es común encontrar en cualquier cadena de suministro, sin
importar su complejidad o tamaño.
En primer lugar, el documento recalca que la gestión de riesgos es cada vez más
importante y difícil. Describe después el modelo de administración del riesgo para
operaciones: un proceso de gestión de riesgos con un enfoque proactivo que integra las
prácticas de gestión de riesgos en todos los procesos y funciones. El documento concluye
con un glosario de términos y ejemplos que muestran cómo se puede aplicar el modelo a
los riesgos de operaciones en el mundo real.
Por qué las operaciones necesitan gestión de riesgos
Un riesgo es la posibilidad de que algo suceda y la gestión de riesgos es, en esencia, el
proceso de identificarlos y decidir lo que se puede hacer al respecto. La gestión de riesgos
es cada vez más importante porque los procesos son cada vez más complejos.
Con el tiempo crecen tanto el número como la gravedad de posibles riesgos:
pág. 3
• Se ejecutan muchos procesos de manera simultánea, entre empresas, por lo que los
fallos en cada proceso tienen más posibilidades de materializarse y de que el impacto
resulte grave.
• El entorno del negocio es cada vez más complejo, por lo que incluso en el caso de que
se mantenga el tamaño de la empresa, crece el número de puntos de error
potenciales.
• La infraestructura es cada vez mayor, por lo que la administración de la posibilidad de
error es más importante por el hecho de que se tiene menos posibilidades de
reaccionar una vez que se materializa el riesgo.
• Cuando se materializa un riesgo, el tiempo que transcurre entre esto y el impacto
sobre la empresa, es menor.
• Gracias al auge de las redes sociales, la rapidez en el acceso a la información es cada
vez más visible, por lo que aumenta el impacto negativo sobre la empresa.
La gestión de riesgos tradicional, es decir la estrategia de un control estricto de los
cambios, es cada vez menos factible y efectiva; en consecuencia, los procesos necesitan
un conjunto más amplio de herramientas de gestión de riesgos.
La sección siguiente proporciona un examen más detallado de las tendencias en la
materialización de riesgos:
Se ejecutan muchos procesos de manera simultánea
Actualmente es mayor el porcentaje de procesos que resultan críticos para la empresa.
Todos los actores de una cadena de suministros
tienen complejos mapas de esos procesos, lo que
aumenta considerablemente la posibilidad de un
fallo.
Compras, ventas, recursos humanos, operaciones,
sistemas, bodegaje, transporte, seguridad, mejora
continua, planeación estratégica, recepción,
despacho, sistemas de gestión, etc., son ejemplos de
los procesos que se llevan a cabo de manera simultánea en el exportador, transportista,
agente de aduana, agente de carga, operador logístico, que forman parte de esa cadena.
Esta complejidad hace que la posibilidad que un riesgo se materialice aumenta.
El entorno es más complejo
Expresado de forma sencilla, el entorno de una empresa incluye hoy más "partes móviles"
que en el pasado. Hay más escritorios, más servidores, más conexiones, más integración
de procesos, más clientes, más proveedores, más empleados, más movimiento de carga
y más servicios completos. En parte, ello se debe a que se ha pasado desde una tarea
centralizada a una de cliente-proveedor. Conforme se produce ese avance, el número de
procedimientos que contiene cada proceso aumenta, incluso aunque el proceso en sí
mismo, no cambie.
También se ha incrementado la diversidad de la
infraestructura. Por ejemplo, los empleados en
ventas que solían ocuparse de un reducido
número de clientes en un sitio geográfico
cercano tienen que hacer ahora un seguimiento
de clientes que están al otro lado del mundo; la
pág. 4
utilización de Internet para cerrar una venta es otro cambio.
Otro incremento es las distancias que tiene que recorrer una carga antes de llegar a su
destino final, lo que obviamente incrementa el tiempo de exposición al riesgo que tiene
una mercancía. También ha aumentado el número de empleados. Decenas, cientos y en
algunos casos hasta miles de ellos se han incorporado a las empresas.
Como el entorno es más complejo y diverso, existe una mayor posibilidad que se
materialice un riesgo en la empresa.
Los servicios prestados por terceros
Una gran parte de servicios que utiliza la empresa provienen
de fuera de la compañía. Transporte, personal,
mantenimiento de equipos, seguridad, etc.
Este entorno incrementa la posibilidad de materialización de
un riesgo, y podría ser reducido cuando estos terceros
involucrados, conocen, implementan y cumplen los mismos
requisitos de gestión de riesgos que la empresa contratante. Dicho de otro modo, la
empresa puede reducir el control que tiene sobre quien le provee el servicio, aunque hay
que dejar en claro que no por ello reduce la responsabilidad que tiene ante las
autoridades.
Menos tiempo entre la materialización del riesgo y el impacto que puede causar
Si un riesgo se materializa, hay un intervalo de tiempo durante el
cual se puede intentar corregirlo u ocultarlo antes de que afecte a
la empresa; sin embargo, si esto no es posible, el daño causado a
la imagen de la organización podría llegar a ser irreparable.
El error es más visible
Hace años, los ejecutivos de una empresa podían preguntarse, "si un riesgo se
materializa, pero nadie se da cuenta, ¿es eso una crisis?" Esa pregunta ya no tiene
sentido, porque muchos de los errores, debido al poder de las redes sociales, son
conocidos inmediatamente fuera de la empresa. Hace poco, si la carga llegaba en un
camión sin sello de seguridad a la agencia de carga, los únicos que lo notaban
pertenecían probablemente a la empresa. Actualmente, la lista de personas que lo
sabrían de inmediato podría incluir a varios clientes, una docena de competidores y a
todas las autoridades de control que hacen un seguimiento del cumplimiento de medidas
de seguridad.
La visibilidad es importante porque la
gente no se limita a ver los errores,
sino que además reacciona ante
ellos. Un ejemplo que viene al caso
cuando un riesgo de una empresa se
materializa y llega a conocimiento de
la prensa, recibe mucha publicidad
gratuita –negativa por supuesto-. La
sociedad lo percibe; para satisfacerla,
la compañía involucrada tiene que
salir a proporcionar mucha
pág. 5
información lo que a largo plazo siempre llegará a ser perjudicial. El giro de las empresas
en la actualidad hace que la materialización de un riesgo sea más probable y grave; la
visibilidad fuera de la compañía de los procesos críticos para la misión amplifica la
gravedad del error.
Las técnicas tradicionales son menos útiles
Las tendencias anteriores convierten un error en un gran riesgo para la empresa. Al
mismo tiempo, algunas herramientas tradicionales de gestión de riesgos son aplicables
con menos frecuencia.
El personal administraba tradicionalmente los riesgos en los procesos, mediante
prácticas de administración de cambios. Los cambios en los procesos se denegaban o se
administraban mediante un procedimiento estricto y en un marco temporal prolongado.
Se aseguraba así la estabilidad, aunque reduciendo la flexibilidad organizativa.
Actualmente, el entorno empresarial cambia a mayor velocidad y la empresa se puede
adaptar al cambio a la velocidad a la que lo hagan sus procesos. Hay más probabilidades
de que la dirección de la empresa ordene al involucrado lo que debe hacer, en lugar
pedirlo, por lo que el empleado tiene menos posibilidades de administrar los riesgos
mediante la denegación de las solicitudes de cambio. Un empleado acostumbrado a
reducir los riesgos mediante ciclos de cambio puede verse obligado a realizar los cambios
en menos tiempo.
Implicaciones
Con el tiempo, la complejidad del entorno aumenta la probabilidad de que aparezcan más
riesgos, factores externos e internos aumentan el impacto y el incremento de la visibilidad
amplifica ese impacto. Conforme el número y el impacto de los riesgos producidos crece,
se tiene menos tiempo para reaccionar y se es menos capaz de aplicar los métodos
tradicionales de gestión de riesgos para hacer frente a la posibilidad de error. ¿Qué es lo
que debe hacer el gerente? Se recomienda que:
• La gestión de riesgos se debe integrar en la toma de decisiones, en todos los
procesos.
• La gestión de riesgos se debe tomar
en serio y se le debe dedicar el
esfuerzo que sea necesario.
• La gestión de riesgos se debe
realizar de manera continuada para
garantizar que los procesos hagan
frente a los riesgos que son
relevantes hoy, no a los que lo
fueron en el trimestre anterior.
Por fortuna, la formalización de las prácticas de gestión de riesgos es un objetivo
alcanzable. La gestión de riesgos es una disciplina bien desarrollada que puede integrarse
fácilmente a los procesos de una empresa.
pág. 6
MODELO BASC PARA LA GESTIÓN DE RIESGOS
Ventajas
El modelo BASC para la gestión de riesgos aplica técnicas comprobadas de
administración a los problemas a los que se enfrenta todos los días una empresa. En la
gestión de riesgos hay muchos modelos, marcos de referencia y procesos. Todos tratan
de planear un futuro incierto. Esta propuesta de modelo ofrece más valor que muchos
otros gracias a sus principios clave, a una terminología personalizada, a su proceso en
siete pasos estructurado y repetible, y a la integración en un marco de referencia de
operaciones más amplio. Todos estos elementos se detallan a continuación.
Características de los riesgos
El riesgo tiene algunos aspectos básicos que la mayoría de la gente no entiende o en los
que no piensa, pero que un modelo de gestión de riesgos que quiera tener éxito ha de
reconocer. Algunos aspectos son éstos:
• El riesgo es una parte fundamental de
los procesos. El único entorno sin riesgo
será aquel cuyo futuro no incluya
incertidumbres: el que no se pregunte si
una carga llegará a destino, o si un
contenedor será contaminado con
droga; el que no le importe si el cliente
o el proveedor lava dinero; el que no le
preocupe que información de la
empresa sea utilizada por la
competencia, un entorno así no existe.
• El riesgo no hay que temerlo, sino
administrarlo. Como el riesgo no es malo, no es
algo que haya que evitar. Las empresas tratan
los riesgos reconociendo y minimizando la
incertidumbre, y haciendo frente
proactivamente a cada riesgo identificado. La
gestión de riesgos le permite cambiar la
situación para favorecer un resultado en lugar
de otro.
• El riesgo no es bueno ni malo. Un riesgo es una posibilidad de
pérdida futura y aunque ésta pueda ser considerada como
"mala", por sí mismo el riesgo no lo es. Puede ayudar a
entender que una oportunidad es la posibilidad de una ganancia
futura. No hay riesgo sin oportunidad y no hay oportunidad sin
riesgo.
pág. 7
LOS PRINCIPIOS DEL ÉXITO EN LA GESTIÓN DE RIESGOS
El modelo BASC de gestión de riesgos incluye estos principios:
• Valorar los riesgos continuamente. Significa que el empleado nunca debe dejar de
buscar riesgos nuevos, así como que hay que volver a evaluar periódicamente los
riesgos eliminados. Si algo de esto no se produce, la gestión de riesgos no beneficiará
a la compañía.
• Integrar la gestión de riesgos en todos los procesos. Esto significa que cada proceso
de la empresa tiene su parte de responsabilidad en la gestión de riesgos y que cada
proceso se diseña teniendo en cuenta la gestión de riesgos. En un nivel más concreto,
significa que cada líder de proceso debe:
o Identificar las fuentes potenciales de riesgo.
o Valorar la posibilidad de que el riesgo llegue a producirse.
o Hacer planes para minimizar esa probabilidad.
o Entender el impacto potencial.
o Hacer planes para minimizar ese impacto.
o Identificar los indicadores que muestran la inminencia del riesgo.
o Planear cómo reaccionar si el riesgo se produce.
Por ejemplo, el transportista con
responsabilidad general con
respecto a la función de movilizar
la carga realiza todas las tareas
para identificar y administrar los
riesgos que tienen más
importancia para él. Otros
miembros de su equipo pueden
realizar un subconjunto de esas
tareas; todos ayudarán a
identificar nuevos riesgos, pero quizá sólo haya una o dos personas con la
responsabilidad de calcular las probabilidades o de crear planes para minimizar el
impacto. Este esquema debería ser llevado a cabo por cado uno de los procesos
involucrados en esa cadena logística.
• Tratar positivamente la identificación de riesgos. Para que la gestión de riesgos tenga
éxito, los miembros de la organización deberán identificar los riesgos sin temor a ser
criticados por ello. Identificar un riesgo sólo significa que la empresa tiene menos
probabilidades de enfrentarse a una sorpresa desagradable. El personal no puede
prepararse para un riesgo hasta que éste haya sido identificado.
• Usar una programación basada en riesgos. Mantener un entorno seguro y controlado,
suele significar la realización de cambios de manera secuencial, pero siempre que sea
posible la empresa debe abordar primero los cambios de mayor riesgo. Un ejemplo es
la contratación de nuevo personal. Si la compañía desea verificar los datos de todo el
personal, pero hay empleados nuevos en áreas y posiciones críticas, esos son las
primeros que hay que verificar. Si se comprobaran en último lugar y uno de ellos es un
delincuente, la empresa habría malgastado los recursos invertidos en la verificación
de los demás.
• Establecer un nivel formal aceptable. El éxito en la gestión de riesgos requiere
procesos que la empresa entienda y utilice. Es un acto de equilibrio. Si los procesos
pág. 8
están poco estructurados, la gente los podrá utilizar, pero los resultados no serán
útiles; si son demasiado “obvios”, es probable que la gente no los cumpla.
Estos 5 principios se resumen en el término proactividad. Un equipo que practica la
administración proactiva de los riesgos reconocerá que un riesgo es una parte normal de
las operaciones y en lugar de temerlo, la empresa lo considera como una oportunidad de
defensa para el futuro. Los miembros de la empresa demuestran una mentalidad
proactiva cuando adoptan un proceso visible, mensurable, repetible y continuo mediante
el que evalúan objetivamente los riesgos y las oportunidades de gestionarlos, y actúan
sobre las causas y los desencadenadores de los mismos.
INTRODUCCIÓN AL MODELO
Cuando las empresas utilizan una gestión de riesgos proactiva, valoran los riesgos
continuamente y utilizan los resultados para tomar decisiones. La empresa va buscando
los riesgos y los trata hasta que dejan de ser importantes o hasta que se producen y se
convierten en problemas conocidos.
El diagrama siguiente ilustra los siete pasos del proceso de gestión de riesgos: identificar,
analizar y evaluar, establecer controles operacionales, responder frente a eventos,
seguimiento, revisiones y comunicación. Es importante entender que en cada riesgo hay
que recorrer todos estos pasos al menos una vez, aunque a menudo se recorren
numerosas veces. Además, cada riesgo tiene su propio marco de tiempo, por lo que
múltiples riesgos se pueden encontrar en cada paso y en cada momento.
Más adelante detallaremos estos pasos.
Figura 1 El modelo BASC para la gestión de riesgos
pág. 9
LISTAS DE RIESGOS
La manera más simple de ver el proceso consiste en que los siete pasos den información,
y la obtengan, a las tres listas de riesgo: la lista de riesgos principales, la lista de riesgos
superiores y la lista de riesgos eliminados. La comprensión de las tres listas facilita el
aprendizaje de los siete pasos.
La lista de riesgos principales
En cada paso del proceso, la empresa recopila información referente a un riesgo
particular y la agrega a la lista de riesgos principales. Cada paso subsiguiente se basa en
los anteriores, agregando más elementos de riesgo, o en los elementos actuales como
ayuda a la toma de decisiones. Por ejemplo, el paso de análisis y evaluación agrega
información acerca de la probabilidad y el impacto del riesgo. El proceso es cíclico, por lo
que cada vez que se pase por la fase de análisis y evaluación, se deben revisar los
cálculos de probabilidad y de impacto.
Tenga en cuenta que el tamaño de la lista de riesgos principales es un indicador de la
minuciosidad de la empresa en saber identificarlos.
Lista de riesgos superiores
La gestión de riesgos quita tiempo y esfuerzo a las actividades diarias, por lo que es
importante que la empresa equilibre la sobrecarga de gestión de riesgos con el ahorro
que cabe esperar del proceso. Esto suele significar la identificación de un número de
riesgos que son los que merecen el tiempo y los recursos limitados de la empresa.
Una forma de realizar esto es que la lista de riesgos principales tiene prioridad, pero los
riesgos que ocupan el lugar superior de la lista, los que tienen una importancia que les
hace merecedores de una administración activa, pasan a formar parte de la lista de
riesgos superiores.
Lista de riesgos eliminados
La lista de riesgos principales contiene todos los que la empresa ha identificado, sean o
no lo bastante importantes para aparecer en la lista de riesgos superiores. Algunos de
esos riesgos no desaparecen nunca, como por ejemplo los que se relacionan con
desastres naturales. Otros llegan a un punto en el que no son ya relevantes. Por ejemplo,
la empresa podría reducir a cero la probabilidad de un riesgo porque ya no existe la
fuente del riesgo ya que esta puede desaparecer del entorno.
Siempre que un riesgo llega a ser irrelevante, se
pasa de la lista de riesgos principales a la lista de
riesgos eliminados. Esta lista es una referencia
histórica en la que la empresa puede volver a
basarse en el futuro. Por ejemplo, si la empresa ha
realizado previamente un seguimiento de los
riesgos relacionados con los procesos de resguardo
de la información, pero este proceso se subcontrata
a otra compañía, podrían retirarse algunos de los
riesgos relacionados con el resguardo de
información. Si la función del departamento de
archivos vuelve a ser interna, la empresa podrá
basarse como guía en la lista de riesgos eliminados.
Además, esta lista puede ser consultada como
pág. 10
punto de partida para la identificación de riesgos nuevos. Que un riesgo esté en la lista de
riesgos eliminados, no quiere decir que este no existe, quiere decir que ahora ya es
relevante.
Prácticas recomendadas para todo el proceso
Estas sugerencias se aplican a las siete fases del modelo BASC para la gestión de riesgos.
Adoptar la gestión de riesgos
Si el o los responsables de un proceso no tienen todavía una cultura de gestión de riesgos,
su adopción puede ser un cambio significativo. El mayor obstáculo al cambio será la
complejidad del proceso. Quienes todavía no realizan una gestión de riesgos de una
manera estructurada, no suelen ver la necesidad del cambio; y si el proceso de gestión de
riesgos es demasiado complejo, probablemente será rechazado con la consideración de
una tarea laboriosa e improductiva.
Tenga en cuenta que las prácticas recomendadas para la gestión de riesgos hacen más
seguro un proceso, pero algunas también incrementan su complejidad.
Agentes principales de riesgos
Una práctica creciente consiste en designar agentes principales de riesgos y tener un
equipo de gestión de riesgos dentro de la organización que sea independiente de la
empresa, (si es posible). En estos casos deberá ser muy clara la separación entre las
responsabilidades de la organización y las de este equipo.
A primera vista, la creación de este equipo independiente parece contradecir el principio
clave de integrar la gestión de riesgos con todos los procesos. La distinción se basa en
que todo el mundo juega un papel en la gestión de riesgos. Si es así, tener un papel
específico, como un Agente, centrado a tiempo completo en la gestión de riesgos puede
ser muy útil, pues actuará como especialista y
mentor, además de coordinar actividades de
gestión de riesgos que en otro caso podrían
resultar ineficientes o incluso contradictorias.
Equipos de respuesta de emergencia
Dependiendo de su tamaño y dando
cumplimiento a regulaciones locales, las
empresas podrían tener equipos de respuesta
de emergencia que reaccionan frente a riesgos
materializados. Son entrenados para que respondan siguiendo planes de contingencia
establecidos. Estos equipos necesitan ser incluidos en todas las fases de gestión de
riesgos, pero especialmente en la planeación de contingencias.
Entrenamiento y recursos humanos
La gestión de riesgos depende mucho del personal. Debería comenzar el mismo día en
que es contratado un empleado. Idealmente, las habilidades para la administración de
riesgo deberían ser un factor a tener en cuenta al contratar personal. Dar acceso a todos
al entrenamiento en gestión de riesgos. Además, garantizar que todos reciban un
entrenamiento adecuado en su trabajo. Cuanto mejor entienda la gente un trabajo, más
eficazmente identificará y hará frente a sus riesgos.
pág. 11
LOS SIETE PASOS DEL MODELO BASC PARA LA GESTIÓN DE RIESGOS
Paso 1: IDENTIFICAR EL RIESGO
Figura 2
La identificación del riesgo es el primer paso del proceso de gestión de riesgos proactiva.
Proporciona las oportunidades, pistas e información que permiten al equipo plantear los
riesgos mayores antes de que afecten adversamente a las operaciones y, por tanto, a la
empresa.
En este paso, la empresa identifica los componentes del planteamiento del riesgo:
o Condición
o Consecuencias para las operaciones
o Consecuencias para la empresa
o Origen del riesgo
o Modo del error
Condición y consecuencias
Una manera intuitiva de analizar el futuro se basa en las frases del tipo "si ... entonces…":
La condición es la parte del "si", mientras las consecuencias son expresadas con el
"entonces". Por ejemplo, " Si uso sellos de seguridad que no cumplan con la norma ISO
17712, entonces contaminan el contenedor con droga".
Tenga en cuenta que entre la condición y las consecuencias puede haber una relación de
muchos a muchos. Una sola condición puede causar numerosas consecuencias, tal como
muestra la tabla siguiente:
Condición Consecuencias
Si uso sellos de seguridad que no cumplan
con la norma ISO 17712...
…entonces contaminan el contenedor con
droga.
…entonces pierdo clientes.
…entonces iré a la cárcel.
pág. 12
O bien, numerosas condiciones pueden causar la misma consecuencia, tal como se ve
abajo.
Condiciones Consecuencia
Si uso sellos de seguridad que no cumplan
con la norma ISO 17712…
…entonces contaminan el contenedor con
droga.
Si la inspección del contenedor la hace una
persona sin competencias
Si el conductor se detiene en sitios no
autorizados ...
Es importante separar la consecuencia en dos partes durante la identificación del riesgo:
la consecuencia para las operaciones y la consecuencia para la empresa. Siguiendo con
el ejemplo anterior, las consecuencias para las operaciones incluyen la pérdida del
cliente; las consecuencias para la empresa podrían incluir el daño a la reputación de la
compañía. Distinguir entre éstas es decisivo para una fase posterior del proceso, cuando
la empresa clasifica los riesgos para garantizar que los más importantes reciban la
atención que merecen, porque un riesgo puede tener muchas consecuencias para las
operaciones, pero pocas para la empresa, o viceversa.
Origen del riesgo
Hay cuatro orígenes principales del riesgo:
• Las personas. Todo el mundo comete errores, por lo que incluso aunque la tecnología
y los procesos de la empresa no tengan errores, los errores humanos pueden ser un
riesgo para la empresa.
• El proceso. Los procesos con errores o mal documentados pueden ser un riesgo para
la empresa incluso aunque se
sigan a la perfección.
• La tecnología. El personal puede
seguir perfectamente un proceso
muy bien diseñado, pero producir
errores para la empresa por
problemas de hardware, software,
etcétera.
• Externos. Algunos factores quedan
fuera del control, pero pueden los
procesos y provocar fallos en la
empresa. Entran en esta categoría los sucesos naturales, como terremotos e
inundaciones, así como problemas generados externamente por el ser humano, como
perturbaciones civiles, ataques de virus informáticos, conspiraciones externas y
cambios en las regulaciones gubernamentales.
Se trata de categorías amplias que, además, se superponen. Por ejemplo, si un empleado
recién contratado es entrenado en empaque de mercadería terminada y semanas más
tarde comete un error que provoca el fallo del proceso, ¿la fuente del riesgo es la
pág. 13
"persona" o el "proceso"? Si la compañía confía en una empresa de tecnología para el
rastreo satelital del contenedor y este servicio falla, ¿el error es "tecnológico" o "externo"?
Hay muchas maneras de decidir la categoría a la que corresponde un riesgo, pero es más
importante definir una y mantenerla en lugar de perder tiempo buscando la forma
"perfecta". Una opción consiste en preguntar si el responsable del proceso tiene algún
control sobre la causa del riesgo. Si no es así, el origen es externo. En cuanto a los otros
tres orígenes, ¿se habría producido el problema si hubiera sido diferente la persona, el
proceso o la tecnología? Así se definiría el fallo del operador como "personal" si el
empleado no prestó atención durante el entrenamiento u olvidó la lección, o de "proceso"
si el entrenamiento fue incompleto o estuvo mal diseñado.
¿Por qué preocuparse por la fuente del riesgo? Porque afectará a la forma en que la
empresa administrará el riesgo en los pasos posteriores del proceso. Por ejemplo, la
empresa tratará de manera diferente la posibilidad de que los entrenados no presten
atención y la de que los materiales de entrenamiento sean de mala calidad.
Modo del error
Las operaciones pueden crear un fallo en la empresa de cuatro maneras diferentes:
o Costo. Los procesos pueden funcionar adecuadamente, pero con un costo demasiado
alto, produciendo una amortización de la inversión demasiado baja.
o Agilidad. Los procesos pueden funcionar adecuadamente, pero carecer de la
capacidad de cambiar con rapidez suficiente para atender a las necesidades de la
empresa. Los problemas de capacidad
son el caso más evidente. Por
ejemplo, un exportador puede tener
una docena de nuevos clientes, pero
olvidó que los empacadores estaban
ya al máximo de capacidad y no se
podrá contratar a más.
o Rendimiento. Los procesos pueden no
dar satisfacción a las expectativas de
los usuarios bien porque éstas eran
erróneas o porque el rendimiento de
los procesos es incorrecto.
o Seguridad. Los procesos pueden fallar por no proporcionar protección suficiente a los
recursos o por tener una seguridad tan estricta que los usuarios legítimos no tienen
acceso a estos.
Prácticas recomendadas
Estas prácticas recomendadas serán beneficiosas durante el paso de identificación del
riesgo:
Identificación continua
Cuando una empresa adopta gestión de riesgos, el primer paso suele ser una sesión de
torbellino de ideas para identificarlos. Pero la identificación no termina en esa reunión. La
identificación se produce con la misma frecuencia con la que los cambios pueden
impactar en los procesos: es decir, se produce todos los días.
pág. 14
Discusiones
Las discusiones acerca de la identificación son muy importantes y una clave de su éxito
está en que se encuentren representados todos los puntos de vista relevantes, lo que
incluye a quienes tienen interés en la empresa, así como delegados de los trabajadores.
Es una manera eficaz de que se expongan las suposiciones y los diferentes puntos de
vista.
El objetivo de la discusión acerca de la identificación es mejorar la gestión de riesgos de
la empresa. Hay que medir el progreso en relación con el objetivo por la sustancia de la
discusión, no por el número de palabras en el planteamiento de riesgos que surja ni por
los minutos que se tarda en producir cada planteamiento de riesgos. A veces las
discusiones más valiosas son las que ocupan más tiempo, pero producen un
planteamiento con pocas palabras. Esto suele suceder cuando la empresa empieza a
utilizar el modelo BASC para la gestión del riesgo.
Pensar en el riesgo es una habilidad que tarda en desarrollarse y es mucho más fácil
lograrlo en discusiones de empresa que a solas en el despacho del jefe.
Matriz del modo de origen
Establecer todas las condiciones posibles es un trabajo casi infinito, por no mencionar
que el gran volumen dificulta al equipo centrarse en una cosa cada vez, sobre todo
durante una sesión de torbellino de ideas. Una solución efectiva, y que produce beneficios
en las fases posteriores del proceso, consiste en subdividir todas las condiciones posibles
en una tabla, con una fila por cada uno de los cuatro orígenes de riesgo y una columna
por cada uno de los cuatro modos de fallo:
Así la empresa podrá centrarse en una celda de la tabla cada vez. Por ejemplo, los
empleados de la empresa se pueden preguntar: "¿Cómo pueden las personas de
inventarios cometer errores que nos hagan realizar el trabajo correcto con un costo
demasiado elevado?" O pueden preguntarse: "¿Cómo puede nuestra tecnología no
cumplir las expectativas de rendimiento del cliente? O más específicamente, "¿cómo los
problemas de transporte pueden bloquear el sistema de entrada de pedidos del grupo de
ventas?"
El planteamiento del riesgo
Antes de que un equipo pueda gestionar un riesgo, lo debe expresar con claridad, lo que
en la práctica puede representar un desafío mucho mayor de lo que parecía al principio:
• La expresión verbal de un riesgo suele requerir volver a pensar en lo que se daba por
supuesto acerca de una situación y volver a evaluar los elementos que son más
importantes.
pág. 15
• Escribir los riesgos es decisivo; sin embargo, por diversas razones, los riesgos en los
que ha pensado una persona suelen quedar atrapados en su propia mente. La
empresa no puede administrar un riesgo que no haya sido identificado.
El planteamiento del riesgo debería incluir todas las partes que aparecen en el diagrama
del ejemplo siguiente. Tenga en cuenta que la condición y las dos consecuencias reflejan
respectivamente el origen del riesgo y el modo de error.
Figura 3 El planteamiento del riesgo
Formulario de planteamiento del riesgo
Una forma útil de presentar la información reunida durante este paso es el formulario de
planteamiento del riesgo, que puede agregar información que será de utilidad más tarde,
durante la fase de seguimiento del riesgo. Además de las cinco partes del planteamiento
del riesgo (condición, origen del riesgo, modo de fallo, consecuencia para las operaciones,
consecuencia para la empresa), el formulario del planteamiento debe incluir lo siguiente
conforme lo establece el 6.1 literal a) de la NIBASC:
• Identificar en qué proceso(s) se presenta(n).
• Tener en cuenta los riesgos de los procesos de la empresa y de la cadena de
suministro, con base en el análisis del contexto (ver 4.1), las partes interesadas (ver
4.2), el alcance (ver 4.3) y los compromisos establecidos en la política de gestión en
control y seguridad (ver 5.2).
pág. 16
Gráficos de factor de riesgo
Un gráfico de factor de riesgo ayuda a la empresa a determinar rápidamente la exposición
a la que se enfrenta en las categorías generales de riesgo. Una línea de ese gráfico podría
tener este aspecto:
Riesgo Pistas de alta
exposición
Pistas de exposición
media
Pistas de baja
exposición
Si la
empresa de
seguridad
falla, sus
errores
podrían
perjudicar a
nuestra
organización.
Nadie está
formalmente
encargado de
supervisar a los
guardias. Sólo un
guardia ha sido
entrenado en el
sistema de gestión
en control y
seguridad. Este
guardia es asignado
solamente dos veces
por semana.
Los dueños de la
compañía de seguridad
no consideran prioritario
el tener una certificación
de un sistema de gestión
en seguridad. La
empresa de seguridad
ha enviado personal a
las charlas del SGCS,
pero han sido empleados
sin poder de decisión
dentro de la empresa.
Se han realizado
pruebas a los guardias
para verificar su
conocimiento sobre
seguridad. Nos han
informado que la
capacitación que
reciben se da
únicamente cuando
ingresan a la
empresa. Sólo nuestro
jefe de seguridad les
proporciona
entrenamiento.
Paso 2: ANALIZAR Y EVALUAR EL RIESGO
Figura 4
El análisis y evaluación del riesgo se basa en la información generada en la fase de
identificación, que se convierte ahora en información para la toma de decisiones. En este
paso la empresa agrega tres elementos más a las entradas de riesgo de la lista de riesgos
principales: la probabilidad, el impacto y la exposición al riesgo (6.1 b de la NIBASC).
Estos elementos permiten al equipo categorizar los riesgos, lo que a su vez le permite
dedicar más energía a la administración de los riesgos con más alta exposición.
Probabilidad del riesgo
Es la probabilidad de que una condición se produzca realmente. La probabilidad del riesgo
debe ser superior a cero, pues si no el riesgo no plantea una amenaza a la empresa.
Asimismo, la probabilidad debe ser inferior al 100% o el riesgo será una certeza.
La probabilidad se puede entender
también como la posibilidad de las
consecuencias, porque si la condición
se produce se supone que la
probabilidad de la consecuencia será
pág. 17
del 100%. La probabilidad es un número (valor) que varía entre 0 y 1. Cuando el evento es
imposible se dice que su probabilidad es 0, si el evento es cierto y puede ocurrir su
probabilidad es 1. Tomando en cuenta que los riesgos que BASC gestiona son puros, el
valor de la probabilidad siempre será superior a 0. Como regla general, la escala para la
probabilidad debe estar elaborada en una progresión aritmética.
Impacto del riesgo
El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una
pérdida, causados por la consecuencia.
La solución más efectiva es una consecuencia numérica.
Decidir la manera de estimar las pérdidas no es un asunto
trivial. La mejor solución es una escala numérica: cuanto
mayor sea el número, mayor el impacto. Como regla
general, la escala para el impacto no podrá tener valores
superiores a 1 y debe estar elaborada en una progresión
geométrica.
Exposición al riesgo
La exposición es el resultado de multiplicar la probabilidad
por el impacto. A veces, un riesgo de alta probabilidad tiene un bajo impacto; otras veces,
un riesgo de alto impacto tiene una baja probabilidad. Los riesgos que tienen un alto nivel
de probabilidad y de impacto son los que más necesidad tienen de gestión, pues son los
que producen los valores de exposición más elevados.
Prácticas recomendadas
Estas prácticas recomendadas serán beneficiosas durante el paso de análisis y
evaluación del riesgo.
Asentar las diferencias de opinión
Es poco probable que un equipo se ponga unánimemente de acuerdo en la clasificación
de un riesgo, porque los miembros del equipo con diferentes experiencias o puntos de
vista clasificarán de modo distinto la probabilidad y el impacto. Fácilmente, las
discusiones se pueden volver emocionales, o al menos políticas, por lo que para mantener
la objetividad en la discusión y limitar las discusiones hay que decidir cómo resolver esas
diferencias antes de iniciar este paso. Entre las opciones se incluye la votación por
mayoría, la elección del cálculo de peores consecuencias, o aceptar la opinión del dueño
del proceso en donde se ha identificado el riesgo.
Qué pasa cuando hay más de un riesgo con el mismo valor de exposición
Suele ser útil entonces analizar y evaluar otros aspectos, por ejemplo, en qué riesgo
alguien podría salir físicamente lastimado o en qué riesgo las pérdidas económicas son
mayores que en otro.
Realizar un análisis del impacto sobre la empresa
Realice un análisis del impacto sobre la empresa, por ejemplo, utilizando un cuestionario
que rellenarán los usuarios para estimar la importancia y el impacto de las interrupciones
del servicio. Esto ayuda a que los usuarios (clientes) entiendan el valor con el que se
percibe el servicio, lo que puede ser un valor a considerar durante la clasificación de los
riesgos.
pág. 18
Registrar la clasificación del impacto
A algunas empresas les resulta útil categorizar la naturaleza del impacto, como gasto de
capital, legal, trabajo, imagen corporativa, operacional, etc.
Paso 3: ESTABLECER CONTROLES OPERACIONALES
Figura 5
El paso de controles operacionales convierte el paso de análisis y evaluación en
decisiones y acciones. Significa desarrollar acciones para los riesgos individuales, dando
prioridad a las acciones relacionadas con cada riesgo y creando un plan integrado de la
gestión de riesgos.
Las tareas clave de este paso incluyen la definición de dos elementos más de riesgo:
mitigaciones, desencadenadores.
Mitigaciones
Las mitigaciones son los pasos que la empresa puede dar antes de que se produzca la
condición y cada uno de los tres efectos sobre el riesgo:
• Reducir. La reducción del riesgo minimiza la probabilidad del riesgo, su impacto o
ambas cosas. Por ejemplo, la redundancia suele reducir el impacto del fallo. Cuando
falla un componente no hay impacto porque el componente redundante sigue
funcionando. Llevar un seguimiento de la duración esperada de un componente y
sustituirlo antes de que se espere que falle reduce la probabilidad del fallo.
Idealmente, un
método de
reducción reduce a
cero la probabilidad
o el impacto,
aunque esto no es
siempre posible.
• Evitar. Evitar el
riesgo previene que
la empresa
emprenda acciones
que incrementen
demasiado la
exposición para
justificar el
beneficio. Un ejemplo sería una ampliación de la bodega de producto terminado que
pág. 19
incluya varios puntos de acceso a esta. En la mayoría de los casos, el beneficio no
justifica la exposición.
• Transferir. Mientras que la estrategia de evitar elimina un riesgo, la estrategia de
transferencia suele dejar el riesgo intacto, pero cambia la responsabilidad a otra
empresa. Por ejemplo, una compañía con un sitio de comercio electrónico podría
subcontratar a otra empresa la comprobación del crédito. Los riesgos siguen
existiendo, pero pasan a ser responsabilidad de la empresa subcontratada. Sin
embargo, si la empresa subcontratada es más capaz de encargarse de la
comprobación del crédito, la transferencia de los riesgos sirve también para reducirlos.
Es de importancia esencial asignar un propietario a todo plan de mitigación, así como es
útil definir los hitos del plan para hacer un seguimiento de su progreso y medirlo para
saber si está produciendo el efecto deseado.
Desencadenadores
Los desencadenadores indican a la empresa que una condición va a producirse, o se ha
producido, por lo que ha llegado el momento de poner en marcha el plan de contingencia.
En la definición de los elementos de riesgo puede resultar difícil distinguir entre
consecuencias y desencadenadores. En una situación ideal, el desencadenador se
produce antes que la consecuencia. Es útil pensar en ellos como indicadores luminosos
que se encienden cuando todavía hay tiempo de evitar el peligro. Por ejemplo, si la
condición es que el proveedor de sellos de seguridad no podrá hacer una nueva entrega,
el desencadenador podría ser que el stock existente llegue al 95%.
En algunos casos, los desencadenadores pueden estar controlados por datos. Utilizando el
ejemplo anterior, se puede poner un desencadenador en la fecha más reciente en la que
el stock podría mantenerse hasta tener un nuevo proveedor.
Prácticas recomendadas
Esta práctica recomendada será beneficiosa durante el paso de establecer controles
operacionales:
Establecer prioridades
Mitigar el riesgo se podría componer de varias acciones y la secuencia podría afectar al
éxito de la mitigación al reducir, evitar o transferir el riesgo, por lo que es importante dar
prioridad a lo que se establezca en el plan de mitigación.
Paso 4: RESPUESTA A EVENTOS
Figura 6
pág. 20
En este paso es necesario documentar las actividades para responder en caso de que se
materialice un riesgo.
Una vez se ha definido cuáles son los riesgos que serán gestionados de manera
inmediata, se debe realizar simulacros y establecer criterios que permitan determinar la
eficacia de las acciones establecidas.
En caso de que se materialice un riesgo, se debe solicitar una acción correctiva para
asegurar que se analizan las causas y de ser necesario que se gestione para evitar su
recurrencia.
Plan de Contingencias
En caso de que se materialice un riesgo, la empresa debe estar preparada para tomar las
acciones pertinentes; así mismo, una contingencia también podría darse cuando la
condición se produce o el desencadenador llega a darse. El plan de contingencia
documenta el conjunto de acciones que
utilizará la empresa al reaccionar ante
una condición particular.
En esencia, un plan de contingencias es
una descripción de cómo apartarse del
funcionamiento normal cuando se
produce una condición. Especialmente en
el caso de que las consecuencias
interrumpan numerosos servicios, puede
ser útil reiniciar primero determinados
procesos. Decida de antemano el orden en que lo hará.
Prácticas recomendadas
Se debe considerar en la planificación y ejecución de los simulacros, que estos no se
conviertan en un riesgo o puedan tener consecuencias negativas para la empresa.
El resultado de estas acciones debe retroalimentar la gestión de los riesgos relacionados
con el evento.
Los desencadenadores son una alerta muy importante en le gestión de riesgos. Nos
anticipan que la posibilidad de materialización de un riesgo, puede haber aumentado.
Paso 5: SEGUIMIENTO
Figura 7
Durante el paso de seguimiento, la empresa recopila información acerca del modo en que
cambian los riesgos; esta información sirve de base para las decisiones y acciones que se
tomarán en el paso siguiente (control).
pág. 21
Conforme lo establece el 6.1 literal 3), la empresa debe establecer y monitorear
indicadores que evidencien el seguimiento a la eficacia de la gestión de riesgos.
Estos indicadores pueden estar relacionados a simulacros, capacitación, auditorías, etc.
Este paso supervisa tres cambios principales:
• Desencadenar valores. Si un desencadenador llega a producirse, habrá que ejecutar el
plan de contingencias.
• Si el contexto, condición, consecuencias, probabilidad e impacto del riesgo. Si
cualquier de estos factores cambia (o se descubre que no es exacto), deberá ser
evaluado de nuevo.
• El progreso de un plan de mitigación. Si el plan va retrasado con respecto a lo
programado o no produce el efecto deseado, deberá ser evaluado nuevamente.
Prácticas recomendadas
Estas prácticas recomendadas serán beneficiosas durante el paso de seguimiento del
riesgo:
Informar del estado del riesgo
En los análisis de las operaciones, la empresa debería mostrar los
riesgos altos y el estado de las acciones de la gestión de riesgos.
Si los análisis de las operaciones se han programado con
regularidad (mensualmente o en hitos importantes), sirve de
ayuda mostrar la clasificación anterior de los riesgos, así como el
número de veces que un riesgo estuvo en la lista de "riesgos
superiores".
Revisar rutinariamente
Convertir en tarea regular el análisis de riesgos. Eso significa que se convierte en un
elemento de agenda permanente para cualquier reunión. El análisis puede ser muy eficaz
sin consumir demasiado tiempo. Esto es clave en la administración continuada de los
riesgos.
Analizar los desencadenadores
Si la empresa tiene desencadenadores muy visibles que son automáticos y se supervisan
constantemente, puede ser fácil centrarse en ellos y omitir los que no se pueden
automatizar. Olvidarse de analizar los desencadenadores durante una reunión de la
empresa significa que, si uno de ellos ha llegado a producirse, no será percibido hasta la
reunión siguiente, lo que retrasará la ejecución del plan de contingencias y complicará, a
menudo, las consecuencias.
Analizar las tendencias
Busque tendencias en los datos relativos a los riesgos. Por ejemplo, si la probabilidad de
un determinado riesgo ha aumentado un X% cada semana durante el último mes, aunque
la probabilidad siga siendo baja la tendencia puede justificar que ese riesgo ocupe una
posición más alta en la lista de riesgos superiores.
pág. 22
Paso 6: REVISIONES
Figura 8
Dice la NIBASC en el 6.1 f), que la empresa debe revisar los riesgos periódicamente, al
menos una vez al año, o cuando se identifique cambios en el contexto, el alcance o los
procesos del SGCS BASC.
Ahora, a fin de establecer parámetros que puedan guiar a los indicadores, será necesario
que este paso supervise los cambios anteriores al menos en tres marcos de tiempo
principales:
• Constante. Muchos riesgos en los procesos se pueden supervisar de manera
constante, o al menos muchas veces cada día. Por ejemplo, un circuito cerrado de
televisión puede supervisar automáticamente durante toda la jornada, el trabajo que
se desarrolla en la sala de empaque.
• Periódico. La empresa define períodos de tiempo para el monitoreo de un riesgo. Por
ejemplo, si es un riesgo de seguridad física, entonces cada 15 días se revisarán los
cerramientos.
• Específico. Quiere decir que los riesgos son revisados cuando se da una circunstancia
en particular. Por ejemplo, si es un riesgo relacionado a la selección y contratación de
un nuevo empleado, será en estas circunstancias en que lo monitoreará.
Paso 7: COMUNICACIÓN
Figura 9
El paso anterior (revisiones) recopila información acerca de un riesgo y cuando cambia
algo el paso de comunicación ejecuta una reacción planeada a ese cambio:
• Si se ha cumplido un valor de desencadenador, ejecute entonces el plan de
contingencia.
• Si un riesgo se ha vuelto irrelevante, retírelo entonces.
• Si la condición o la consecuencia ha cambiado, rehaga entonces el paso de
identificación para evaluar de nuevo el elemento.
pág. 23
• Si ha cambiado la probabilidad o el impacto, vaya al paso de análisis y evaluación
para actualizarlo.
• Si ya no está en marcha el plan de mitigación, vaya entonces al paso de controles
operacionales.
Al principio este paso puede no parecer necesario, no resultando clara la distinción con el
paso de seguimiento. En la práctica, la necesidad de actuar suele ser detectada por una
herramienta o por personas que carecen de la responsabilidad, autoridad o experiencia
que les permite reaccionar. Este paso garantiza que sean las personas apropiadas las que
reaccionen en el momento oportuno.
Por ejemplo:
• Se ha detectado falta de capacitación del personal en un área técnica. Se ha definido
un desencadenador según el cual, si el empleado no responde correctamente al 80%
de un cuestionario, el resultado de la evaluación le avisa al responsable de
capacitación para ejecutar un plan de contingencia que asigne más horas. La
detección forma parte del paso de revisiones, el aviso al jefe de capacitación es la
transición entre los pasos de revisiones y de comunicación, mientras que la acción del
jefe de capacitación es el paso de comunicación propiamente dicho.
• El responsable de un proceso puede no tener la experiencia necesaria en el
mantenimiento de un cuarto frío, por lo que esa falta de experiencia crea riesgos.
Supongamos que se ha contratado con otra compañía el mantenimiento, en cuyo caso
algunos de esos riesgos pueden no ser ya relevantes. La percepción de que algunos
riesgos pueden ser ahora irrelevantes forma parte del paso de revisiones. El paso de
comunicación inicia la nueva evaluación y, si el riesgo se considera ya irrelevante, el
paso de comunicación lo retira.
• Supongamos que alguien que investiga problemas de seguridad descubre que el
impacto de un riesgo conocido puede ser mucho menor que lo que se había calculado.
Comprender la necesidad de volver a evaluar el riesgo pertenece al paso de revisiones.
En el paso de comunicación se asigna a alguien la nueva evaluación de la probabilidad
y la comunicación del riesgo pasa a análisis y evaluación, donde la probabilidad puede
ser revisada.
• Supongamos que se diseñó un plan de mitigación para reducir un 20% en tres meses
la probabilidad de un determinado riesgo. La revisión periódica del plan de mitigación
revela que en los dos primeros meses la probabilidad sólo se ha reducido un 5%, por
lo que se le indica al propietario del riesgo que investigue ese déficit. El análisis
periódico forma parte del paso de revisiones. El paso de comunicación consiste en
notificar al propietario que el plan de mitigación ha de ser evaluado nuevamente.
Prácticas recomendadas
El paso de control tiene una gran dependencia de la efectividad de las comunicaciones,
tanto para recibir la notificación de que partes de los riesgos y los planes han cambiado,
como para garantizar que la acción la realicen las personas adecuadas en el momento
oportuno. El paso de control será efectivo como lo sea la comunicación.
La administración del riesgo varía de una organización a otra, incluso con el transcurrir
del tiempo no se puede hablar de un conjunto de reglas o procedimientos únicos que nos
garanticen la seguridad de todas las personas y bienes, en todos los sitios y en todo
momento.
En la actualidad se debe revisar e implementar procedimientos de seguridad confiables,
para minimizar la probabilidad de que ocurra un evento no deseado.
pág. 24
Cuando una compañía de seguridad adquiere un contrato de prestación de servicios de
vigilancia física, el cliente pretende que dicha compañía asuma ¡toda! la responsabilidad
del riesgo y no toda la administración del mismo, que en ocasiones no logra una
satisfacción plena, ya que desconocemos el porcentaje de participación que éste va tener
en dicha administración con sus labores administrativas y operativas que son
encomendadas a los guardias y peor aun, no lo asesoramos para mostrarle el porcentaje
de responsabilidad que recae sobre él en caso de un siniestro, debido a la ocupación del
guardia en esas otras actividades. Esto sólo lo hacemos saber cuando el siniestro ocurre,
deteriorando así lo que pudo haber sido una buena relación comercial, desde la
perspectiva de la previsión y la prevención.
Para minimizar el efecto anterior se debe incluir todo el personal de la empresa en el
proceso de seguridad encaminándolos hacia una cultura, ganando agilidad y confiabilidad
en los controles y como es obvio, tiempo en seguridad.