Procura 064 Gestión de Riesgos 1 – Técnicas de Evaluación ISO 31010

Procura 064  Gestión de Riesgos – Técnicas de Evaluación – ISO 31010

Preámbulo

ISO 31000 es la designación de una “familia” de normas que establecen los principios y las directivas para el tratamiento y la gestión de riesgos, permitiendo que las Organizaciones identifiquen, analicen, evalúen y traten sus riesgos, y que también ha demostrado ser aplicable a todo tipo de actividades o rubros de negocio.

En este artículo sólo me voy a referir a ISO 31010, por ser la especificación que proporciona directivas y recomendaciones para la selección y aplicación de técnicas de evaluación del riesgo en otros Sistemas de Gestión, y en diferentes actividades, procesos y proyectos de la Organización (tal como Procurement) que se reflejarán en términos (entre otros) de calidad, seguridad, ambientales, culturales, comerciales, financieros, económicos y sociales.

ISO 31000 Gestión de Riesgos

Esta especificación internacional busca que la Organización se enfoque en revisar y comparar sus prácticas de gestión basados en referencias reconocidas, para establecer un tratamiento racional de cualquier tipo de riesgo, logrando:

·         Identificar y mitigar los riesgos en toda la Organización

·         Mejorar la eficiencia operativa de la Organización o de sus procesos.

·         Generar o mejorar una Ventaja Competitiva.

·         Construir confianza entre las partes interesadas.

·         Reducir costos a través de una adecuada gestión de riesgos.

·         Mejorar la rentabilidad y sostenibilidad de los negocios (identificando los costos de eventualidades que no son analizadas comúnmente).

·         Optimizar los recursos de la Organización.

·         Proteger los bienes y recursos de la Organización y su capacidad productiva (desarrollando estrategias de administración de riesgos y disminución de impactos).

·         Mejorar la planificación y la probabilidad de alcanzar los objetivos.

·         Mejorar los controles.

·         Crear bases consistentes para la toma de decisiones y planificación.

·         Promover el desarrollo de una cultura preventiva y no sólo reactiva a los problemas.

Aunque no es la única manera o forma de gestionar los riesgos, es ISO 31000 la que nos permite abordar de manera sistémica los riesgos enunciados en (por ejemplo) ISO 9001:2015 o ISO 14001:2015, para lo cual se apoya en ISO 31001 (Gestion de Riesgos, Principios y Directrices), ISO 31004:2013 (Guía para la Implementación de ISO 31000), ISO Guide 73:2009 (Vocabulario) e ISO 31010:2009 (Selección de Técnicas de Evaluación del Riesgo). Otras referencias específicas de apoyo (a usar según el rubro y método de evaluación de riesgos) son:

1.    IEC 61649 Weibull analysis.

2.    IEC 62551 Analysis techniques for dependability - Petri net technique.

3.    ISO/IEC Guide 98-3:2008 Uncertainty of measurement - Part 3: Guide to the expression of uncertainty in measurement (GUM:1995).

4.    IEC 61882 Hazard and operability studies (HAZOP studies) - Application guide.

5.    ISO 22000 Food safety management systems - Requirements for any organization in the food chain.

6.    IEC 60812 Técnicas de análisis de la fiabilidad de sistemas. Procedimiento de análisis de los modos de fallo y de sus efectos (AMFE).

7.    IEC 61025 Análisis por árbol de fallos (AAF).

8.    IEC 60300-3-9 Dependability management - Part 3: Application guide - Section 9: Risk analysis of technological systems.

9.    IEC 61508 (todas las partes) Seguridad funcional de los sistemas eléctricos, electrónicos y electrónicos programables relacionados con la seguridad.

10. IEC 61511 Seguridad funcional - Sistemas instrumentados de seguridad para el sector de la industria de procesos.

11. IEC 61078 Técnicas de análisis de la confiabilidad. Método del diagrama de bloques de la fiabilidad y métodos booleanos.

12. IEC 61165 Application of Markov techniques.

13. ISO/IEC 15909 (todas las partes) Software and systems engineering - High-level Petri nets.

ISO 31010 – Selección de Técnicas de Evaluación del Riesgo

En varios artículos previos en mencionado frases y expresiones como:

“dependiendo de la complejidad y/o los riesgos de la adquisición …” (Procura 024),
“… debido a su naturaleza delicada, a los riesgos comerciales o de mercado …” (Procura 026),  “…, el valor total estimado, el nivel de los riesgos identificados, las certificaciones o entregables requeridos, …” (Procura 037),  o  “… es que aparecen y se regulan las sanciones y las garantías, para tratar de reducir los riesgos de incumplimientos y los impactos que provocan” (Procura 041), en las que uno de los factores a tener en cuenta para un proceso o actividad es la identificación y evaluación de los riesgos propios de ellos.

Los riesgos inherentes a Procurement son varios, conocidos y recurrentes. Entre otros riesgos que también pueden aplicar, tenemos riesgos internos y externos, o tratarlos como estratégicos, operativos, financieros, legales, etc.:

a.    Escases de materiales, o volatilidad de materias prima y/o commodities.

b.    Tipo de cambio.

c.   Copamiento de la oferta por la competencia (de materiales, fletes, carga, etc.).

d.    Huelgas y paros de las fuentes de suministro.

e.    Huelgas y paros de transportistas.

f.     Huelgas y paros de puertos y/o aeropuertos.

g.    Mejoras tecnológicas no consideradas por la Organización.

h.    Falta de Procedimientos y manuales estandarizados para adquisiciones.

i.      Malas (o ausencia de) políticas de reaprovisionamiento.

j.     Personal no calificado para convocar, evaluar, negociar, reclamar, valorizar, etc.

k.    Requisición de materiales, mal preparada.

l.      Convocatorias deficientes o mal hechas.

m.  Mala selección de Proveedores nuevos (que ofrecen, pero no cumplen los requerimientos de la Organización, o que no tienen la capacidad para ejecutar lo comprometido, etc.).

n.    Proveedores no desarrollados (calificados) según los requerimientos de la Organización.

o.    Incumplimiento de los tiempos de entrega.

p.    Sobornos y conflictos de interés del personal de Procurement.

q.    Impacto de la imagen pública de la Organización (desconfianza del mercado).

r.     Especificaciones técnicas de la Organización, mal preparadas.

s.     Falta de indicadores de gestión (KPI)

t.     Cambios legales que impactan costos.

u.    Incumplimientos de calidad.

v.    Incumplimientos de garantías.

w.   Ausencia o malas prácticas de almacenamiento.

x.    Malas prácticas de aseguramiento de la calidad del Proveedor.

y.    Deficientes políticas de pagos, garantías comerciales y seguros.

z.    Almacenes sin recursos suficientes o mal seleccionados.

Es aquí donde la especificación ISO 31010 nos orienta sobre los métodos aplicables a una variedad de actividades y procesos (como producción, mantenimiento, seguridad, calidad, tesorería, etcétera, y también Procurement), y la norma chilena NCh-ISO 31010:2013 (disponible en internet) nos da la lista de las principales técnicas existentes de evaluación de riesgos que cada Organización debería aplicar en sus operaciones (la norma original no tiene los Anexos A, B, C y D de la versión chilena).

Para llegar a usar la lista, el Anexo A de la norma nos orienta sobre:

1.

Tipos de Técnicas. Qué y cuánta información se puede procesar en la evaluación, como: a.     Identificación del riesgo b.    Análisis de Consecuencias c.     Probabilidad cualitativa, semi-cualitativa o cuantitativa. d.    Eficacia de los controles existentes e.     Estimación del nivel de riesgo. f.     Valoración del riego

2.

Factores que influyen en la selección de la Técnica de Evaluación del Riesgo. a.     Complejidad del problema y de los métodos que se necesitan para analizarlo. b.    Naturaleza y grado de incertidumbre de la evaluación del riesgo. c.     Amplitud de los recursos requeridos (tiempos, nivel de conocimientos técnicos, necesidad de datos y/o costos). d.    Facilidad para proporcionar resultados cuantitativos.

El Anexo A termina presentando la “aplicabilidad” (en función al proceso de evaluación del riesgo) y los “atributos” (a tener en cuenta para la selección del método o herramienta para la evaluación de riesgos).

El Anexo B presenta (sólo de manera informativa) todas las técnicas de evaluación de riesgos aplicables a todas las operaciones que una Organización podría realizar, y para cada una establece:

B.n.1	Presentación
B.n.2	Utilización
B.n.3	Elementos de Entrada
B.n.4	Proceso
B.n.5	Resultados
B.n.6	Fortalezas y limitaciones
B.n.7	Documentos de Referencia

Un resumen de este Anexo B es:

B.1 Tormenta de ideas Se puede utilizar conjuntamente con otros métodos de evaluación del riesgo, o se puede utilizar como una técnica independiente. La tormenta de ideas obliga a poner un énfasis especial sobre la imaginación.

B.2 Entrevistas estructuradas o semiestructuradas Las entrevistas estructuradas y semiestructuradas son útiles cuando es difícil reunir a las personas para una sesión de tormenta de ideas o cuando un debate fluido en grupo no es apropiado para la situación o para las personas implicadas.

B.3 Técnica Delphi La técnica Delphi se puede aplicar en cualquier etapa del proceso de gestión del riesgo o en cualquier fase del ciclo de vida de un sistema, dondequiera se necesite el consenso de las opiniones de los expertos.

B.4 Listas de verificación Las listas de verificación se pueden utilizar para identificar peligros y riesgos o para valorar la eficacia de los controles. Se pueden utilizar en cualquier etapa del ciclo de vida de un producto, proceso o sistema. También se pueden utilizar como parte de otras técnicas de evaluación del riesgo.

B.5 Análisis preliminar de peligros (PHA) Es el análisis que más se utiliza normalmente al comienzo del desarrollo de un proyecto, cuando se dispone de poca información sobre los detalles del diseño o sobre los procedimientos de funcionamiento.

B.6 HAZOP (Análisis de riesgos y de operatividad) Este se desarrolló inicialmente para analizar sistemas de procesos químicos, pero después se ha ampliado a otros tipos de sistemas y operaciones complejas. En éstos se incluyen sistemas y procedimientos mecánicos y electrónicos, y sistemas de software, e incluso cambios organizacionales, y diseño y revisión de los contratos legales.

B.7 Análisis de peligros y de puntos críticos de control (HACCP) Este se desarrolló para asegurar la calidad de los alimentos para los programas espaciales de la NASA. Ahora lo utilizan las organizaciones que funcionan dentro de la cadena alimenticia para controlar los riesgos debido a los contaminantes físicos, químicos o biológicos de los alimentos. También se ha extendido su utilización en la fabricación de productos farmacéuticos y de productos sanitarios.

B.8 Evaluación de los riesgos ambientales Este proceso se utiliza para evaluar los riesgos en plantas, animales y personas, como consecuencia de la exposición a peligros tales como químicos, microorganismos u otras especies. Los aspectos de la metodología, tales como el análisis de los caminos que exploran las diferentes rutas por las que un modelo de referencia se puede exponer a un origen de riesgo, se pueden adaptar y utilizar a través de una gama muy amplia de áreas de riesgo diferentes, fuera del contexto de la salud humana y del entorno ambiental, y es útil para identificar los tratamientos a seguir para reducir el riesgo.

B.9 Técnica estructurada "¿y si...?" (SWIFT) Aunque la técnica SWIFT se diseñó inicialmente para ser aplicada al estudio de peligros en plantas químicas y petroquímicas, ahora su aplicación se ha extendido ampliamente a sistemas, artículos de plantas, procedimientos, y organizaciones en general. En particular, se utiliza para examinar las consecuencias de los cambios y los riesgos así alterados o creados.

B.10 Análisis de escenario Se puede utilizar para ayudar en la toma de decisiones de política y en la planificación de estrategias futuras, así como para considerar las actividades existentes. Puede jugar un papel importante en los tres componentes de la evaluación del riesgo. Para la identificación y el análisis, se pueden utilizar conjuntos de escenarios que reflejen (por ejemplo) el mejor caso, el peor caso y el caso previsto con objeto de identificar lo que puede suceder bajo circunstancias particulares y analizar las posibles consecuencias y sus probabilidades en cada escenario.

B.11 Análisis de impacto en el negocio (BIA) El análisis BIA se utiliza para determinar la criticidad y los marcos de tiempo de recuperación de los procesos y de los recursos asociados (personas, equipo, tecnología de la información), a fin de asegurar la consecución continuada de los objetivos. Adicionalmente, el análisis BIA ayuda a determinar las interdependencias y las interrelaciones entre procesos, las partes internas y externas, y cualquier conexión de la cadena de suministro.

B.12 Análisis de la causa raíz (RCA) El análisis RCA se aplica en varios contextos con las siguientes amplias áreas de utilización: a.     el RCA basado en la seguridad se utiliza en las investigaciones de accidentes y en las áreas de salud y seguridad ocupacional; b.     el análisis de falla se utiliza en sistemas tecnológicos relacionados con la fiabilidad y el mantenimiento; c.     el RCA basado en la producción se aplica en el campo del control de la calidad dentro de la fabricación industrial; d.     el RCA basado en el proceso está enfocado a procesos del negocio; e.     e. el RCA basado en el sistema se ha desarrollado como una combinación de las áreas anteriores para tratar sistemas complejos con aplicación en la gestión de cambios, la gestión del riesgo y el análisis de sistemas.

B.13 Análisis de modos y efectos de fallas (FMEA) y Análisis de modos y efectos de fallas y de la criticidad (FMECA) Existen varias aplicaciones del análisis FMEA: FMEA de diseño (o de producto) que se utiliza para componentes y productos, FMEA de sistema que se utiliza para sistemas, FMEA de proceso que se utiliza para procesos de fabricación y de montaje, FMEA de servicios y FMEA de software. El análisis FMEA/FMECA se puede utilizar para: a.     ayudar en la selección de alternativas de diseño con una alta confiabilidad; b.     asegurar que se han considerado todos los modos de falla de sistemas y procesos, y sus efectos sobre el éxito operacional; c.     identificar los modos de errores humanos y sus efectos; d.     disponer de una base para planificar los ensayos y el mantenimiento de sistemas físicos; e.     mejorar el diseño de los procedimientos y procesos; f.     proporcionar información cualitativa o cuantitativa de técnicas de análisis tales como el análisis de árbol de fallas.

B.14 Análisis del árbol de fallas (FTA) Un árbol de fallas se puede utilizar cualitativamente para identificar las causas potenciales y los caminos por los que se produce una falla (el evento superior), o cuantitativamente para calcular la probabilidad del evento superior, proporcionando conocimiento de las probabilidades de los eventos causales. Se puede utilizar en la etapa de diseño de un sistema para identificar las causas potenciales de la falla y, por tanto, para seleccionar entre opciones de diseño diferentes.

B.15 Análisis del árbol de eventos (ETA) El análisis ETA se puede utilizar para modelar, calcular y clasificar (desde un punto de vista del riesgo) los diferentes escenarios de accidente que siguen al evento iniciador. El análisis ETA se puede utilizar en cualquier etapa del ciclo de vida de un producto o proceso. Se puede utilizar cualitativamente para ayudar en la tormenta de ideas de escenarios potenciales y secuencias de eventos que siguen a un evento iniciador y para ver cómo los resultados son afectados por los diversos tratamientos, barreras o controles previstos para mitigar resultados no deseados. El análisis cuantitativo tiende a considerar por sí mismo la aceptabilidad de los controles. Se utiliza con frecuencia para modelar fallas en los que hay múltiples protecciones.

B.16 Análisis de causa-consecuencia El análisis de causa-consecuencia se desarrolló inicialmente como una herramienta de fiabilidad para sistemas críticos de seguridad. Como análisis de árbol de fallas, se utiliza para representar la lógica de la falla que conduce a un evento crítico, pero aumenta la funcionalidad de un árbol de fallas al permitir que se analicen las fallas secuenciales en el tiempo. Este método también permite que las demoras de tiempo se incorporen al análisis de las consecuencias, lo que no es posible con los árboles de eventos.

B.17 Análisis de causa y efecto Este proporciona una presentación gráfica estructurada de una lista de causas de un efecto específico. El efecto puede ser positivo (un objetivo) o negativo (un problema) dependiendo del contexto. La elaboración de un diagrama de causa y efecto se puede llevar a cabo cuando existe la necesidad de: a.     identificar las causas raíz posibles, las razones básicas, de un efecto, problema o condición específicos; b.     clasificar y relacionar algunas de las interacciones entre los factores que afectan a un proceso particular; c.     analizar los problemas existentes para que se aplique la acción correctiva. d.     Los beneficios de la elaboración de un diagrama de causa y efecto incluyen: e.     que la atención de los miembros de la revisión se concentre sobre un problema específico; f.      ayudar a determinar las causas raíz de un problema utilizando un enfoque estructurado; g.     alentar la participación del equipo de expertos y utilizar el conocimiento de este grupo sobre el producto o proceso; h.     utilizar un formato ordenado y fácil de leer para las relaciones del diagrama de causa y efecto; i.      indicar las posibles causas de variación en un proceso; j.      identificar las áreas donde se deben recopilar datos para estudios adicionales.

B.18 Análisis de capas de protección (LOPA) El LOPA se puede utilizar en forma cualitativa simplemente para revisar las capas de protección entre un peligro o evento causal y una consecuencia. Normalmente se aplicaría un enfoque semicuantitativo para añadir más rigor al proceso de filtrado, por ejemplo, a continuación de un HAZOP o PHA. El LOPA proporciona una base para la especificación de capas de protección independientes (IPLs) y niveles de integridad y seguridad (niveles SIL) para sistemas instrumentados, como se describen en la serie de normas IEC 61508 o en la norma IEC 61511, y para la determinación de los requisitos del nivel de integridad y seguridad (SIL) para sistemas instrumentados de seguridad.

B.19 Análisis del árbol de decisiones Un árbol de decisiones se utiliza para gestionar los riesgos del proyecto y en otras circunstancias para ayudar a seleccionar la mejor línea de conducta cuando existe incertidumbre. La presentación gráfica también puede ayudar a comunicar razones para tomar las decisiones.

B.20 Análisis de la fiabilidad humana (HRA) La HRA se puede utilizar cualitativa o cuantitativamente. De manera cualitativa se utiliza para identificar el potencial de errores humanos y sus causas, de forma que se pueda reducir la probabilidad de error. La HRA cuantitativa se utiliza para proporcionar datos sobre fallas humanas en el FTA o en otras técnicas.

B.21 Análisis bow tie El análisis bow tie se utiliza para presentar un riesgo mostrando una gama de causas y consecuencias posibles. Se utiliza cuando la situación no justifica la complejidad de un análisis de árbol de fallas completo o cuando se trata más de asegurar que existe una barrera o control para cada camino de falla. Este análisis es útil cuando existen caminos independientes y claros que trata la falla.

B.22 Mantenimiento centrado en la fiabilidad (RCM) Todas las tareas se basan en la seguridad de las personas y del medioambiente, y en el interés operacional y económico. Por ejemplo, un proceso de producción necesitará ser viable económicamente, y puede ser sensible a consideraciones ambientales estrictas, mientras que un artículo de un equipo de defensa debería ser útil operacionalmente, pero puede tener unos criterios de seguridad, económicos y ambientales menos rigurosos. El RCM se utiliza para asegurar que se realiza un mantenimiento aplicable y efectivo, y que generalmente se aplica durante la fase de diseño y de desarrollo y después se implanta durante las fases de funcionamiento y mantenimiento.

B.23 Análisis de fugas (SA) y análisis del circuito de fugas (SCA) El análisis del circuito de fuga (SCA) fue desarrollado por la NASA en los últimos años de la década de 1960 para verificar la integridad y la funcionalidad de sus diseños. Ha servido como una herramienta útil para descubrir caminos no intencionados en circuitos eléctricos, y para ayudar a imaginar soluciones para aislar cada función. El análisis de fugas incluye e incluso supera la cobertura del análisis del circuito de fuga. Puede localizar problemas de hardware y de software utilizando cualquier tecnología. Las herramientas de análisis de fugas pueden integrar diversos análisis tales como los de árboles de falla, análisis de modos y efectos de fallas (FMEA), estimaciones de fiabilidad, etc., en un único análisis que ahorre tiempo y costos del proyecto.

B.24 Análisis Markov La técnica del análisis Markov se puede aplicar sobre diversas estructuras del sistema, con o sin reparación, incluyendo: a.     componentes independientes instalados en paralelo; b.     componentes independientes instalados en serie; c.     sistema de carga compartida; d.     sistema en espera, incluyendo el caso en que se pueda producir una falla de conmutación; e.     sistemas degradados. La técnica del análisis Markov también se puede aplicar para calcular la disponibilidad, incluyendo el tener en cuenta los componentes de repuesto para reparaciones.

B.25 Simulación de Monte Carlo La simulación de Monte Carlo proporciona un medio para evaluar el efecto de la incertidumbre en una amplia gama de situaciones de los sistemas. Normalmente, se utiliza para evaluar la gama de posibles resultados y la frecuencia relativa de valores en esta gama de medidas cuantitativas de un sistema, tales como costos, duración, capacidad de tratamiento, demanda y medidas similares. La simulación de Monte Carlo se puede utilizar para dos fines diferentes: a.     propagación de la incertidumbre sobre modelos analíticos convencionales; b.     cálculo de probabilidades cuando no se puedan emplear técnicas analíticas.

B.26 Estadísticas y redes Bayesianas En los últimos años ha aumentado y se ha extendido el empleo de la teoría y de las redes Bayesianas, en parte debido a su interés intuitivo y también a causa de la disponibilidad de programas de software para tratamiento informático. Las redes Bayesianas se utilizan en una amplia gama de temas: diagnóstico médico, modelación de imágenes, genética, reconocimiento de la voz, estudios económicos, exploración espacial y en los motores de búsqueda de gran potencia en la red utilizados actualmente.

B.27 Curvas FN Las curvas FN son una manera de representar los resultados de un análisis de riesgo. Muchos eventos tienen una alta probabilidad de dar un resultado de consecuencias limitadas, y una baja probabilidad de dar un resultado de consecuencias elevadas. Las curvas FN se pueden utilizar para comparar riesgos, por ejemplo, para comparar riesgos previsibles contra criterios definidos como una curva FN, o para comparar riesgos previsibles con datos procedentes de incidentes históricos, o con criterios de decisión (también expresados como una curva F/N). Las curvas FN se pueden aplicar a diseños de sistemas o de procesos, o para la gestión de sistemas existentes.

B.28 Indices de riesgo Los índices se pueden utilizar para clasificar riesgos diferentes asociados a una actividad cuando el sistema se entiende bien. Los índices de riesgo permiten la integración de una gama de factores que tienen un impacto sobre el nivel de riesgo en una única puntuación numérica del nivel de riesgo. Los índices se utilizan para muchos tipos diferentes de riesgo, normalmente como un medio de definir el alcance de la clasificación del riesgo de acuerdo con el nivel de riesgo.

B.29 Matriz de consecuencia/probabilidad La matriz de consecuencia/probabilidad se utiliza para jerarquizar riesgos, orígenes de riesgo o tratamientos del riesgo sobre la base del nivel de riesgo. También se puede utilizar para seleccionar los riesgos que no es necesario considerar en ese momento. El tipo de matriz de riesgo también se utiliza con mucha frecuencia para determinar si un riesgo dado es ampliamente aceptable o no aceptable (ver 5.4), en función de la zona donde se localice sobre la matriz.

B.30 Análisis de costo/beneficio (CBA) El análisis de costo/beneficio se puede utilizar para decidir entre opciones que implican riesgo. Por ejemplo: a.     como entrada en una decisión acerca de si un riesgo se debería tratar; b.     para diferenciar entre, y decidir, la mejor manera de tratar el riesgo; c.     decidir entre diferentes formas de acción.

B.31 Análisis de decisión multi-criterios (MCDA) El MCDA se puede utilizar para: a.     comparar múltiples opciones como un primer paso de análisis para determinar opciones preferentes y potenciales y opciones inapropiadas; b.     comparar opciones cuando existen múltiples criterios, y que algunas veces son contradictorios; c.     alcanzar un consenso sobre una decisión cuando diferentes partes interesadas tienen objetivos o valores contradictorios.

Observaciones y Comentarios

1.	Es importante tener presente que ISO 31000 no: a.    Está prevista para fines de certificación, ni para usos reglamentarios o contractuales (es decir que la Organización puede implementar esta norma, pero no certificarla). b.    No proporciona criterios específicos para identificar la necesidad de aplicar el análisis del riesgo, ni especifica el método de análisis del riesgo que se requiere para una aplicación particular. c.     Hace referencia a todas las técnicas disponibles y/o conocidas, por lo que la omisión de alguna técnica no significa que dicha técnica no sea válida. d.    Trata la seguridad de una manera específica
2.	ISO 31010 sólo muestra las sugerencias de técnicas de evaluación de riesgos, pero no las desarrolla a profundidad. La selección y la aplicación debe ser desarrollada y ejecutada para cada proceso y área de la Organización, dependiendo de su tamaño, rubro o función. Sólo algunas son de aplicación para Procurement (dos o tres para Compras y Contratos, una para T&L, una para Supervisión de la Calidad del Proveedor y dos para Almacenes).
3.	Existen varios softwares que están disponibles en el mercado para evaluar los riesgos de las adquisiciones de bienes, servicios y obras, siendo “Risk” (un programa desarrollado en MS Excel) una simulación de Monte Carlo, que más comentarios favorables ha desarrollado entre los usuarios, pero no es el único. Involucran muchas variables que muchas veces no son cuantificadas de manera precisa, pero que de alguna manera proporcionan referencias numéricas que son ingresadas al modelo matemático de iteración y permite tomar decisiones. Cual fuese el modelo, software o técnica que se use (y tal cómo establece ISO 31000), las técnicas de evaluación de riesgos son referencias razonables que reducen la posibilidad de que se produzca un riesgo, pero nunca van a lograr que desaparezca.
4.	Otra fuente que resalta la gestión de riesgos es PMI. El capítulo 11 de la “Guía del PMBOK” refleja el énfasis que esta organización da al manejo de riesgos, probabilidades e impactos. Para las adquisiciones, el PMBOK expresamente establece que “los documentos de las adquisiciones se vuelven una entrada clave para el proceso de Identificar los Riesgos. La complejidad y el nivel de detalle de los documentos de las adquisiciones deben ser coherentes con el valor de la adquisición planificada y con los riesgos asociados a la misma”. Expresado de otra forma, PMI valora mucho la certeza y precisión de los documentos que son enviados con las convocatorias a los Proveedores (como alcance establecido en la requisición, especificaciones técnicas de la Organización, planos y diagramas, data sheets, etc., ver Procura 032 – Especificaciones de Procura, y Procura 037 – RFQs y RFPs).
5.	El punto principal de la gestión de riesgos es reconocer qué eventos debemos controlar, mitigar o reducir, para dar valor a las actividades y procesos que podrían impactar a la Organización.

Referencias y Recomendaciones

Invito a compartir anécdotas y opiniones a los amigos y colegas de Procura, como Luis Osorio, Carlos Poves, Nicolás De la Cruz, Tito León y Jorge Sandoval de DRP, Julio Vilca de Milpo, Rodrigo Opazo, Leopoldo Denegri, Paul Queens D., Mario Benitez, Bárbara Flores y Ruth Camavilca de Bechtel, Eduardo Velásquez de Wood, Miguel Aguirre de Vale, Jorge Oyague de Lumina, Raphael Ruiz de CESEL, Percy Cristobal de El Brocal, Manuel Zelada de Grupo Romero, Javier Rojas de Pluspetrol y Crisman Chirinos de Enersur GDF, Jorge Martinez y Roberto Deza de Antamina, Alberto Velarde y Xenia Rodríguez de Cerro Verde, Julio Cisneros de Chinalco, Marisa Paz y Michel Acuy de Ausenco, Patrick Tweddle, Martín Carhuattocto, César Castillo, Elisa Caballero, Diana Monteza , Alberto Timoteo R. y Eduardo Arenas de Fluor, Roberto Quispe F. de SNC Lavalin, así como a Fernando Linares, Alfonso Pasapera, Roy Arrollo, Victor Alvarado y Enrique Sáenz de ESAN.

Un saludo a todos!!!

Ing. Juan Valdivia Jáuregui

FUNIBER (Online)