Procura 064 Gestión de Riesgos – Técnicas de
Evaluación – ISO 31010
Preámbulo
ISO 31000 es la designación de una “familia” de normas
que establecen los principios y las directivas para el tratamiento y la gestión
de riesgos, permitiendo que las Organizaciones identifiquen, analicen, evalúen
y traten sus riesgos, y que también ha demostrado ser aplicable a todo tipo de
actividades o rubros de negocio.
En
este artículo sólo me voy a referir a ISO
31010, por ser la especificación que proporciona directivas y recomendaciones
para la selección y aplicación de técnicas de evaluación del riesgo en
otros Sistemas de Gestión, y en diferentes actividades, procesos y proyectos de
la Organización (tal como Procurement) que se reflejarán en términos (entre
otros) de calidad, seguridad, ambientales, culturales, comerciales,
financieros, económicos y sociales.
ISO 31000 Gestión de Riesgos
Esta
especificación internacional busca que la Organización se enfoque en revisar y
comparar sus prácticas de gestión basados en referencias reconocidas, para
establecer un tratamiento racional
de cualquier tipo de riesgo, logrando:
·
Identificar y mitigar los riesgos en toda
la Organización
·
Mejorar la eficiencia operativa de la
Organización o de sus procesos.
·
Generar o mejorar una Ventaja Competitiva.
·
Construir confianza entre las partes
interesadas.
·
Reducir costos a través de una adecuada
gestión de riesgos.
·
Mejorar la rentabilidad y sostenibilidad de
los negocios (identificando los costos de eventualidades que no son analizadas
comúnmente).
·
Optimizar los recursos de la Organización.
·
Proteger los bienes y recursos de la Organización
y su capacidad productiva (desarrollando estrategias de administración de
riesgos y disminución de impactos).
·
Mejorar la planificación y la probabilidad
de alcanzar los objetivos.
·
Mejorar los controles.
·
Crear bases consistentes para la toma de
decisiones y planificación.
·
Promover el desarrollo de una cultura
preventiva y no sólo reactiva a los problemas.
Aunque no es la única manera o forma de gestionar los riesgos, es ISO 31000 la que nos permite abordar de
manera sistémica los riesgos enunciados en (por ejemplo) ISO 9001:2015 o ISO 14001:2015,
para lo cual se apoya en ISO 31001 (Gestion de Riesgos, Principios y Directrices), ISO 31004:2013 (Guía para la Implementación de ISO 31000), ISO Guide 73:2009
(Vocabulario) e ISO 31010:2009
(Selección de Técnicas de Evaluación del Riesgo). Otras referencias específicas
de apoyo (a usar según el rubro y método de evaluación de riesgos) son:
1. IEC 61649 Weibull analysis.
2. IEC 62551 Analysis techniques for dependability - Petri
net technique.
3. ISO/IEC Guide 98-3:2008 Uncertainty of measurement - Part
3: Guide to the expression of uncertainty in measurement (GUM:1995).
4. IEC 61882 Hazard and operability studies (HAZOP studies)
- Application guide.
5. ISO 22000 Food safety management systems - Requirements
for any organization in the food chain.
6. IEC 60812 Técnicas de análisis de la fiabilidad de
sistemas. Procedimiento de análisis de los modos de fallo y de sus efectos
(AMFE).
7. IEC 61025 Análisis por árbol de fallos (AAF).
8.
IEC 60300-3-9 Dependability management - Part 3: Application guide -
Section 9: Risk analysis of technological systems.
9. IEC 61508 (todas las partes) Seguridad funcional de los
sistemas eléctricos, electrónicos y electrónicos programables relacionados con
la seguridad.
10. IEC 61511 Seguridad funcional - Sistemas instrumentados
de seguridad para el sector de la industria de procesos.
11. IEC 61078 Técnicas de análisis de la confiabilidad. Método
del diagrama de bloques de la fiabilidad y métodos booleanos.
12. IEC 61165 Application of Markov techniques.
13.
ISO/IEC 15909 (todas las partes) Software and systems engineering -
High-level Petri nets.
ISO 31010 – Selección de Técnicas de
Evaluación del Riesgo
En varios artículos previos en mencionado
frases y expresiones como:
“dependiendo de la complejidad y/o los riesgos de la adquisición …” (Procura 024),
“… debido a su naturaleza delicada, a los riesgos comerciales o de mercado …” (Procura 026), “…, el valor total estimado, el nivel de los riesgos identificados, las certificaciones o entregables requeridos, …” (Procura 037), o “… es que aparecen y se regulan las sanciones y las garantías, para tratar de reducir los riesgos de incumplimientos y los impactos que provocan” (Procura 041), en las que uno de los factores a tener en cuenta para un proceso o actividad es la identificación y evaluación de los riesgos propios de ellos.
“… debido a su naturaleza delicada, a los riesgos comerciales o de mercado …” (Procura 026), “…, el valor total estimado, el nivel de los riesgos identificados, las certificaciones o entregables requeridos, …” (Procura 037), o “… es que aparecen y se regulan las sanciones y las garantías, para tratar de reducir los riesgos de incumplimientos y los impactos que provocan” (Procura 041), en las que uno de los factores a tener en cuenta para un proceso o actividad es la identificación y evaluación de los riesgos propios de ellos.
Los riesgos inherentes a Procurement son
varios, conocidos y recurrentes. Entre otros riesgos que también pueden aplicar, tenemos
riesgos internos y externos, o tratarlos como estratégicos, operativos, financieros, legales, etc.:
a.
Escases de materiales, o volatilidad de
materias prima y/o commodities.
b.
Tipo de cambio.
c. Copamiento de la oferta por la competencia
(de materiales, fletes, carga, etc.).
d.
Huelgas y paros de las fuentes de
suministro.
e.
Huelgas y paros de transportistas.
f.
Huelgas y paros de puertos y/o aeropuertos.
g.
Mejoras tecnológicas no consideradas por la
Organización.
h.
Falta de Procedimientos y manuales
estandarizados para adquisiciones.
i.
Malas (o ausencia de) políticas de
reaprovisionamiento.
j. Personal no calificado para convocar,
evaluar, negociar, reclamar, valorizar, etc.
k.
Requisición de materiales, mal preparada.
l.
Convocatorias deficientes o mal hechas.
m. Mala selección de Proveedores nuevos (que ofrecen, pero
no cumplen los requerimientos de la Organización, o que no tienen la capacidad
para ejecutar lo comprometido, etc.).
n.
Proveedores no desarrollados (calificados)
según los requerimientos de la Organización.
o.
Incumplimiento de los tiempos de entrega.
p.
Sobornos y conflictos de interés del
personal de Procurement.
q.
Impacto de la imagen pública de la
Organización (desconfianza del mercado).
r.
Especificaciones técnicas de la
Organización, mal preparadas.
s.
Falta de indicadores de gestión (KPI)
t.
Cambios legales que impactan costos.
u.
Incumplimientos de calidad.
v.
Incumplimientos de garantías.
w.
Ausencia o malas prácticas de
almacenamiento.
x.
Malas prácticas de aseguramiento de la
calidad del Proveedor.
y.
Deficientes políticas de pagos, garantías
comerciales y seguros.
z.
Almacenes sin recursos suficientes o mal
seleccionados.
Es aquí donde la especificación ISO 31010 nos orienta sobre los métodos aplicables a una variedad de actividades y procesos (como producción, mantenimiento, seguridad, calidad, tesorería,
etcétera, y también Procurement), y la norma chilena NCh-ISO 31010:2013 (disponible en internet) nos da la lista de las principales técnicas
existentes de evaluación de riesgos que cada Organización debería aplicar en
sus operaciones (la norma original no tiene los Anexos A, B, C y D de la versión chilena).
Para llegar a usar la lista, el Anexo A de la norma nos orienta sobre:
1.
|
Tipos de Técnicas.
Qué y cuánta información se puede procesar en la evaluación, como:
a.
Identificación del riesgo
b. Análisis
de Consecuencias
c.
Probabilidad cualitativa, semi-cualitativa o cuantitativa.
d. Eficacia
de los controles existentes
e.
Estimación del nivel de riesgo.
f.
Valoración del riego
|
2.
|
Factores que influyen en la selección de la Técnica de Evaluación del
Riesgo.
a.
Complejidad del problema y de los métodos que se necesitan para
analizarlo.
b. Naturaleza
y grado de incertidumbre de la evaluación del riesgo.
c.
Amplitud de los recursos requeridos (tiempos, nivel de conocimientos
técnicos, necesidad de datos y/o costos).
d.
Facilidad para proporcionar resultados cuantitativos.
|
El Anexo A
termina presentando la “aplicabilidad”
(en función al proceso de evaluación del riesgo) y los “atributos” (a tener en cuenta para la selección del método o
herramienta para la evaluación de riesgos).
El Anexo B presenta (sólo de manera
informativa) todas las técnicas de evaluación de riesgos aplicables a todas las
operaciones que una Organización podría realizar, y para cada una establece:
B.n.1
|
Presentación
|
B.n.2
|
Utilización
|
B.n.3
|
Elementos
de Entrada
|
B.n.4
|
Proceso
|
B.n.5
|
Resultados
|
B.n.6
|
Fortalezas
y limitaciones
|
B.n.7
|
Documentos
de Referencia
|
Un resumen de este Anexo B es:
B.1 Tormenta de ideas
Se puede utilizar conjuntamente con otros métodos de evaluación del
riesgo, o se puede utilizar como una técnica
independiente.
La tormenta de ideas obliga a poner
un énfasis especial sobre la imaginación.
|
B.2 Entrevistas estructuradas o semiestructuradas
Las entrevistas estructuradas y semiestructuradas son útiles cuando es
difícil reunir a las personas para una
sesión de tormenta de ideas o cuando un debate fluido en grupo no es
apropiado para la situación o para las personas implicadas.
|
B.3 Técnica Delphi
La técnica Delphi se puede aplicar en cualquier etapa del proceso de
gestión del riesgo o en cualquier fase del ciclo de vida de un sistema, dondequiera se necesite el consenso de las opiniones de los expertos.
|
B.4 Listas de verificación
Las listas de verificación se pueden utilizar para identificar
peligros y riesgos o para valorar la eficacia de los controles. Se pueden
utilizar en cualquier etapa del ciclo
de vida de un producto, proceso o sistema. También se pueden utilizar
como parte de otras técnicas de
evaluación del riesgo.
|
B.5 Análisis preliminar de peligros (PHA)
Es el análisis que más se utiliza normalmente al comienzo del desarrollo de un proyecto, cuando se dispone de
poca información sobre los detalles del diseño o sobre los procedimientos de
funcionamiento.
|
B.6 HAZOP (Análisis de riesgos y de operatividad)
Este se desarrolló inicialmente para analizar sistemas de procesos químicos, pero después se ha ampliado a
otros tipos de sistemas y operaciones complejas. En éstos se incluyen sistemas y procedimientos mecánicos y
electrónicos, y sistemas de software,
e incluso cambios organizacionales,
y diseño y revisión de los contratos
legales.
|
B.7 Análisis de peligros y de puntos críticos de control (HACCP)
Este se desarrolló para asegurar la calidad de los alimentos para los programas espaciales de la
NASA. Ahora lo utilizan las organizaciones que funcionan dentro de la cadena
alimenticia para controlar los riesgos
debido a los contaminantes físicos, químicos o biológicos de los alimentos.
También se ha extendido su utilización en la fabricación de productos farmacéuticos y de productos sanitarios.
|
B.8 Evaluación de los riesgos ambientales
Este proceso se utiliza para evaluar los riesgos en plantas, animales
y personas, como consecuencia de la exposición
a peligros tales como químicos, microorganismos u otras especies.
Los aspectos de la metodología, tales como el análisis de los caminos
que exploran las diferentes rutas por las que un modelo de referencia se
puede exponer a un origen de riesgo, se pueden adaptar y utilizar a través de
una gama muy amplia de áreas de riesgo diferentes, fuera del contexto de la
salud humana y del entorno ambiental, y es útil para identificar los tratamientos a seguir para reducir el riesgo.
|
B.9 Técnica estructurada "¿y si...?" (SWIFT)
Aunque la técnica SWIFT se
diseñó inicialmente para ser aplicada al estudio de peligros en plantas químicas y petroquímicas, ahora su aplicación
se ha extendido ampliamente a sistemas, artículos de plantas, procedimientos, y organizaciones en
general. En particular, se utiliza para examinar las consecuencias de los cambios y los riesgos así alterados o creados.
|
B.10 Análisis de escenario
Se puede utilizar para ayudar en la toma de decisiones de política y en la planificación de estrategias futuras, así como para considerar
las actividades existentes. Puede jugar un papel importante en los tres
componentes de la evaluación del riesgo. Para la identificación y el
análisis, se pueden utilizar conjuntos
de escenarios que reflejen (por ejemplo) el mejor caso, el peor
caso y el caso previsto con
objeto de identificar lo que puede
suceder bajo circunstancias particulares y analizar las posibles consecuencias y sus probabilidades en
cada escenario.
|
B.11 Análisis de impacto en el negocio (BIA)
El análisis BIA se utiliza para determinar la criticidad y los marcos de
tiempo de recuperación de los
procesos y de los recursos asociados (personas, equipo, tecnología de la
información), a fin de asegurar la consecución continuada de los objetivos.
Adicionalmente, el análisis BIA ayuda a determinar
las interdependencias y las interrelaciones
entre procesos, las partes internas y externas, y cualquier conexión de
la cadena de suministro.
|
B.12 Análisis de la causa raíz (RCA)
El análisis RCA se aplica en varios contextos con las siguientes
amplias áreas de utilización:
a. el RCA basado en la seguridad
se utiliza en las investigaciones de accidentes y en las áreas de salud y
seguridad ocupacional;
b. el análisis de falla se utiliza en sistemas tecnológicos relacionados con la fiabilidad y el
mantenimiento;
c. el RCA basado en la producción
se aplica en el campo del control de la calidad dentro de la fabricación
industrial;
d. el RCA basado en el proceso
está enfocado a procesos del negocio;
e.
e. el RCA basado en el sistema
se ha desarrollado como una combinación de las áreas anteriores para tratar
sistemas complejos con aplicación en la gestión de cambios, la gestión del
riesgo y el análisis de sistemas.
|
B.13 Análisis de modos y efectos de fallas (FMEA) y Análisis de modos
y efectos de fallas y de la criticidad (FMECA)
Existen varias aplicaciones del análisis FMEA: FMEA de diseño (o de producto) que se utiliza para componentes y
productos, FMEA de sistema que se
utiliza para sistemas, FMEA de proceso
que se utiliza para procesos de fabricación y de montaje, FMEA de servicios y FMEA de software.
El análisis FMEA/FMECA se puede utilizar para:
a.
ayudar en la selección de alternativas de diseño con una alta confiabilidad;
b. asegurar que se han considerado todos los modos de falla de sistemas y
procesos, y sus efectos sobre el éxito operacional;
c. identificar los modos de
errores humanos y sus efectos;
d. disponer de una base para planificar
los ensayos y el mantenimiento de sistemas físicos;
e. mejorar el diseño de los procedimientos y procesos;
f.
proporcionar información cualitativa o
cuantitativa de técnicas de análisis tales como el análisis de árbol de
fallas.
|
B.14 Análisis del árbol de fallas (FTA)
Un árbol de fallas se puede utilizar cualitativamente para identificar
las causas potenciales y los
caminos por los que se produce una falla (el evento superior), o cuantitativamente para calcular la probabilidad del evento superior,
proporcionando conocimiento de las probabilidades
de los eventos causales.
Se puede utilizar en la etapa de diseño de un sistema para identificar
las causas potenciales de la falla y, por tanto, para seleccionar entre
opciones de diseño diferentes.
|
B.15 Análisis del árbol de eventos (ETA)
El análisis ETA se puede utilizar para modelar, calcular y clasificar
(desde un punto de vista del riesgo) los diferentes escenarios de accidente que siguen al evento iniciador.
El análisis ETA se puede utilizar en cualquier etapa del ciclo de vida de un producto o proceso. Se
puede utilizar cualitativamente para ayudar en la tormenta de ideas de
escenarios potenciales y secuencias de eventos que siguen a un evento
iniciador y para ver cómo los resultados son afectados por los diversos
tratamientos, barreras o controles previstos para mitigar resultados no
deseados.
El análisis cuantitativo tiende a considerar
por sí mismo la aceptabilidad de los controles. Se utiliza con frecuencia
para modelar fallas en los que hay
múltiples protecciones.
|
B.16 Análisis de causa-consecuencia
El análisis de causa-consecuencia se desarrolló inicialmente como una herramienta de fiabilidad para sistemas
críticos de seguridad. Como análisis de árbol de fallas, se utiliza para
representar la lógica de la falla
que conduce a un evento crítico, pero aumenta la funcionalidad de un árbol de
fallas al permitir que se analicen las fallas secuenciales en el tiempo.
Este método también permite que las
demoras de tiempo se incorporen al análisis de las consecuencias, lo que
no es posible con los árboles de eventos.
|
B.17 Análisis de causa y efecto
Este proporciona una presentación
gráfica estructurada de una lista de causas de un efecto específico. El
efecto puede ser positivo (un objetivo) o negativo (un problema) dependiendo
del contexto.
La elaboración de un diagrama de causa y efecto se puede llevar a cabo
cuando existe la necesidad de:
a. identificar las causas raíz posibles, las razones básicas, de un
efecto, problema o condición específicos;
b. clasificar y relacionar algunas de las interacciones entre los
factores que afectan a un proceso particular;
c. analizar los problemas existentes para que se aplique la acción
correctiva.
d. Los beneficios de la elaboración de un diagrama de causa y efecto
incluyen:
e. que la atención de los miembros de la revisión se concentre sobre un
problema específico;
f. ayudar a determinar las causas raíz de un problema utilizando un
enfoque estructurado;
g. alentar la participación del equipo de expertos y utilizar el
conocimiento de este grupo sobre el producto o proceso;
h. utilizar un formato ordenado y fácil de leer para las relaciones del
diagrama de causa y efecto;
i. indicar las posibles causas de variación en un proceso;
j.
identificar las áreas donde se deben
recopilar datos para estudios adicionales.
|
B.18 Análisis de capas de protección (LOPA)
El LOPA se puede utilizar
en forma cualitativa simplemente para revisar las capas de protección entre
un peligro o evento causal y una consecuencia. Normalmente se aplicaría un
enfoque semicuantitativo para añadir
más rigor al proceso de filtrado, por ejemplo, a continuación de un HAZOP o
PHA.
El LOPA proporciona una
base para la especificación de capas de protección independientes (IPLs) y
niveles de integridad y seguridad (niveles SIL) para sistemas instrumentados,
como se describen en la serie de
normas IEC 61508 o en la norma IEC
61511, y para la determinación de los requisitos del nivel de integridad
y seguridad (SIL) para sistemas instrumentados de seguridad.
|
B.19 Análisis del árbol de decisiones
Un árbol de decisiones se utiliza para gestionar los riesgos del proyecto y en otras circunstancias para
ayudar a seleccionar la mejor línea de conducta cuando existe incertidumbre.
La presentación gráfica también puede ayudar a comunicar razones para tomar las decisiones.
|
B.20 Análisis de la fiabilidad humana (HRA)
La HRA se puede utilizar cualitativa o cuantitativamente. De manera
cualitativa se utiliza para identificar el potencial de errores humanos y sus causas, de forma que se pueda
reducir la probabilidad de error. La HRA cuantitativa se utiliza para
proporcionar datos sobre fallas
humanas en el FTA o en otras técnicas.
|
B.21 Análisis bow tie
El análisis bow tie se
utiliza para presentar un riesgo mostrando una gama de causas y consecuencias posibles. Se utiliza cuando la situación no justifica la complejidad
de un análisis de árbol de fallas completo o cuando se trata más de
asegurar que existe una barrera o control para cada camino de falla. Este
análisis es útil cuando existen caminos independientes y claros que trata la
falla.
|
B.22 Mantenimiento centrado en la fiabilidad (RCM)
Todas las tareas se basan en la
seguridad de las personas y del medioambiente, y en el interés
operacional y económico. Por ejemplo, un proceso de producción necesitará ser
viable económicamente, y puede ser sensible a consideraciones ambientales
estrictas, mientras que un artículo de un equipo de defensa debería ser útil
operacionalmente, pero puede tener unos criterios de seguridad, económicos y
ambientales menos rigurosos. El RCM se utiliza para asegurar que se realiza un mantenimiento aplicable y efectivo, y
que generalmente se aplica durante la fase de diseño y de desarrollo y
después se implanta durante las fases de funcionamiento y mantenimiento.
|
B.23 Análisis de fugas (SA) y análisis del circuito de fugas (SCA)
El análisis del circuito de fuga (SCA) fue desarrollado por la NASA en
los últimos años de la década de 1960 para verificar la integridad y la funcionalidad de sus diseños. Ha
servido como una herramienta útil para descubrir
caminos no intencionados en circuitos eléctricos, y para ayudar a
imaginar soluciones para aislar cada función.
El análisis de fugas incluye e incluso supera la cobertura del
análisis del circuito de fuga. Puede localizar
problemas de hardware y de software utilizando cualquier tecnología. Las
herramientas de análisis de fugas pueden integrar diversos análisis tales
como los de árboles de falla, análisis de modos y efectos de fallas (FMEA),
estimaciones de fiabilidad, etc., en un único análisis que ahorre tiempo y
costos del proyecto.
|
B.24 Análisis Markov
La técnica del análisis Markov se puede aplicar sobre diversas estructuras del sistema, con o sin
reparación, incluyendo:
a. componentes independientes instalados en paralelo;
b. componentes independientes instalados en serie;
c. sistema de carga compartida;
d. sistema en espera, incluyendo el caso en que se pueda producir una
falla de conmutación;
e. sistemas degradados.
La técnica del análisis Markov también se puede aplicar para calcular la disponibilidad,
incluyendo el tener en cuenta los componentes de repuesto para reparaciones.
|
B.25 Simulación de Monte Carlo
La simulación de Monte Carlo proporciona un medio para evaluar el efecto de la incertidumbre
en una amplia gama de situaciones de los sistemas. Normalmente, se utiliza
para evaluar la gama de posibles resultados y la frecuencia relativa de
valores en esta gama de medidas cuantitativas de un sistema, tales como
costos, duración, capacidad de tratamiento, demanda y medidas similares. La
simulación de Monte Carlo se puede utilizar para dos fines diferentes:
a. propagación de la incertidumbre
sobre modelos analíticos convencionales;
b.
cálculo de probabilidades cuando no se puedan emplear técnicas analíticas.
|
B.26 Estadísticas y redes Bayesianas
En los últimos años ha aumentado y se ha extendido el empleo de la
teoría y de las redes Bayesianas, en parte debido a su interés intuitivo y
también a causa de la disponibilidad de programas de software para
tratamiento informático. Las redes Bayesianas se utilizan en una amplia gama
de temas: diagnóstico médico,
modelación de imágenes, genética, reconocimiento de la voz, estudios económicos, exploración
espacial y en los motores de búsqueda de gran potencia en la red utilizados
actualmente.
|
B.27 Curvas FN
Las curvas FN son una manera de representar
los resultados de un análisis de riesgo. Muchos eventos tienen una alta
probabilidad de dar un resultado de consecuencias limitadas, y una baja
probabilidad de dar un resultado de consecuencias elevadas.
Las curvas FN se pueden utilizar para comparar riesgos, por ejemplo, para comparar riesgos previsibles
contra criterios definidos como una curva FN, o para comparar riesgos previsibles con datos procedentes de incidentes
históricos, o con criterios de decisión (también expresados como una
curva F/N).
Las curvas FN se pueden aplicar a diseños de sistemas o de procesos, o
para la gestión de sistemas existentes.
|
B.28 Indices de riesgo
Los índices se pueden utilizar para clasificar riesgos diferentes
asociados a una actividad cuando el sistema se entiende bien. Los índices de
riesgo permiten la integración de una
gama de factores que tienen un impacto sobre el nivel de riesgo en una
única puntuación numérica del nivel de riesgo.
Los índices se utilizan para muchos tipos diferentes de riesgo,
normalmente como un medio de definir el alcance de la clasificación del
riesgo de acuerdo con el nivel de riesgo.
|
B.29 Matriz de consecuencia/probabilidad
La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orígenes de
riesgo o tratamientos del riesgo sobre la base del nivel de riesgo. También
se puede utilizar para seleccionar los
riesgos que no es necesario considerar en ese momento. El tipo de matriz
de riesgo también se utiliza con mucha frecuencia para determinar si un riesgo dado es ampliamente aceptable o
no aceptable (ver 5.4), en función de la zona donde se localice sobre la
matriz.
|
B.30 Análisis de costo/beneficio (CBA)
El análisis de costo/beneficio se puede utilizar para decidir entre opciones que implican riesgo. Por ejemplo:
a. como entrada en una decisión acerca de si un riesgo se debería tratar;
b. para diferenciar entre, y decidir, la mejor manera de tratar el
riesgo;
c.
decidir entre diferentes formas de acción.
|
B.31 Análisis de decisión multi-criterios (MCDA)
El MCDA se puede utilizar para:
a. comparar múltiples opciones como un primer paso de análisis para
determinar opciones preferentes y potenciales y opciones inapropiadas;
b. comparar opciones cuando existen múltiples criterios, y que algunas
veces son contradictorios;
c.
alcanzar un consenso sobre una decisión
cuando diferentes partes interesadas tienen objetivos o valores
contradictorios.
|
Observaciones y Comentarios
1.
|
Es importante tener presente que ISO
31000 no:
a.
Está prevista para fines
de certificación, ni para usos reglamentarios o contractuales (es decir que
la Organización puede implementar esta norma, pero no certificarla).
b.
No proporciona criterios
específicos para identificar la necesidad de aplicar el análisis del riesgo,
ni especifica el método de análisis del riesgo que se requiere para una
aplicación particular.
c.
Hace referencia a todas
las técnicas disponibles y/o conocidas, por lo que la omisión de alguna
técnica no significa que dicha técnica no sea válida.
d. Trata la seguridad de una manera específica
|
2.
|
ISO 31010 sólo muestra las
sugerencias de técnicas de evaluación de riesgos, pero no las desarrolla a profundidad.
La selección y la aplicación debe
ser desarrollada y ejecutada para cada proceso y área de la Organización,
dependiendo de su tamaño, rubro o función.
Sólo algunas son de aplicación para Procurement (dos o tres para Compras
y Contratos, una para T&L, una para Supervisión de la Calidad del
Proveedor y dos para Almacenes).
|
3.
|
Existen varios softwares
que están disponibles en el mercado para evaluar los riesgos de las
adquisiciones de bienes, servicios y obras, siendo “Risk” (un programa desarrollado en MS Excel) una simulación de Monte Carlo, que más
comentarios favorables ha desarrollado entre los usuarios, pero no es el
único.
Involucran muchas variables que muchas veces no son cuantificadas de
manera precisa, pero que de alguna manera proporcionan referencias numéricas
que son ingresadas al modelo matemático de iteración y permite tomar
decisiones.
Cual
fuese el modelo, software o técnica que se use (y tal cómo establece ISO
31000), las técnicas de evaluación de riesgos son referencias razonables que reducen la posibilidad de que se produzca un riesgo, pero nunca van a lograr que desaparezca.
|
4.
|
Otra fuente que resalta la gestión de riesgos es PMI. El capítulo 11 de la “Guía del PMBOK” refleja el énfasis que
esta organización da al manejo de riesgos,
probabilidades e impactos.
Para las adquisiciones, el PMBOK expresamente establece que “los documentos de las adquisiciones se vuelven una entrada clave para
el proceso de Identificar los Riesgos. La complejidad y el nivel de detalle
de los documentos de las adquisiciones deben ser coherentes con el valor de
la adquisición planificada y con los riesgos asociados a la misma”.
Expresado
de otra forma, PMI valora mucho la certeza y precisión de los documentos que
son enviados con las convocatorias a
los Proveedores (como alcance establecido en la requisición,
especificaciones técnicas de la Organización, planos y diagramas, data
sheets, etc., ver Procura 032 – Especificaciones de Procura, y Procura 037 – RFQs y RFPs).
|
5.
|
El punto principal de la gestión de riesgos es reconocer qué eventos
debemos controlar, mitigar o reducir, para dar valor a las actividades y
procesos que podrían impactar a la Organización.
|
Referencias y Recomendaciones
Invito a compartir anécdotas y opiniones a los amigos y
colegas de Procura, como Luis Osorio,
Carlos Poves, Nicolás De la Cruz, Tito León y Jorge Sandoval de DRP,
Julio Vilca de Milpo, Rodrigo Opazo, Leopoldo Denegri, Paul Queens
D., Mario Benitez, Bárbara Flores y Ruth Camavilca de Bechtel, Eduardo Velásquez de Wood, Miguel Aguirre de Vale, Jorge Oyague de Lumina, Raphael Ruiz de CESEL, Percy Cristobal de El Brocal, Manuel Zelada de Grupo Romero, Javier Rojas de Pluspetrol y Crisman Chirinos de Enersur GDF, Jorge Martinez y Roberto Deza de Antamina, Alberto
Velarde y Xenia Rodríguez de Cerro
Verde, Julio Cisneros de Chinalco, Marisa Paz y Michel Acuy de
Ausenco, Patrick Tweddle, Martín Carhuattocto, César Castillo,
Elisa Caballero, Diana Monteza , Alberto Timoteo R. y Eduardo Arenas de Fluor, Roberto Quispe F. de SNC Lavalin, así
como a Fernando Linares, Alfonso Pasapera, Roy Arrollo, Victor Alvarado y Enrique Sáenz de ESAN.
Un saludo a todos!!!
Ing. Juan Valdivia Jáuregui
No hay comentarios.:
Publicar un comentario
Hola!!!
Este blog es para compartir experiencias y consultas sobre Procura (Compras, Contratos, Almacenes, Activación, Administración de Materiales, QA/QC de Proveedores, TyL) y los temas relacionados ...
La comprobación que pide Blogger es solo para tratar de evitar spams ...
Esperamos tu participaciòn!!!