2022
282
09022022
23032022
Centro de Información y Gestión Tecnológica Granma, Cuba
Resumen: La investigación demostró que la gestión de riesgos soportada en web es una solución favorable. Por ello esta investigación aspira a describir las etapas para implementar la gestión de riesgos integrada a un sistema de gestión de calidad con una web, lo que genera mayor agilidad, seguridad y exactitud en la implementación. Para la investigación se analizaron metodologías de implementación de la gestión de riesgos, para implementar en una web la gestión de riesgos del sistema de gestión de la calidad en la Empresa de Suministros Agropecuarios Granma, según la NC-ISO 9001:2015, caracterizado por diez etapas, los datos fueron recogidos a través de análisis de documentos y observaciones. Se acertó en un desarrollo web esencialmente con las variables: Contexto (CO), Evaluación (EV) y Monitoreo (MO). La investigación sobre la implementación de la gestión de riesgos resulta un avance hacia la transformación digital y tiene un impacto esencial en la gestion de calidad.
Palabras clave: Gestión de riesgos, Riesgo, Redactar riesgo.
Abstract: The research showed that web-based risk management is a favorable solution. For this reason, this research aims to describe the stages to implement risk management integrated into a quality management system with a web, which generates greater agility, security and accuracy in the implementation. For the investigation, risk management implementation methodologies were analyzed to implement the risk management of the quality management system in the Granma Agricultural Supply Company on a website, according to NC-ISO 9001: 2015, characterized by ten stages, data were collected through analysis of documents and observations. It was successful in a web development essentially with the variables: Context (CO), Evaluation (EV) and Monitoring (MO). Research on the implementation of risk management is an advance towards digital transformation and has an essential impact on quality management.
Keywords: Risk management, Risk, Draft risk.
Ciencias Técnicas
Gestión y prevención de riesgos con tecnologías de información y comunicaciones
Risks management and prevention with technologies information and communications
Recepción: 09 Febrero 2022
Aprobación: 23 Marzo 2022
Publicación: 29 Abril 2022
El componente gestión y prevención de riesgos de la resolución 60 de 2011 de la Contraloría General de la República de Cuba establece las bases para la identificación y análisis de los riesgos que enfrentan los órganos, organismos, organizaciones y demás entidades para alcanzar sus objetivos. El riesgo es el efecto de la incertidumbre sobre la consecución de los objetivos, (NC.ISO 31000, 2015). Establecer un procedimiento de control interno como proceso integrado a las operaciones, con un enfoque de mejoramiento continuo; extendido a todas las actividades inherentes a la gestión de Empresa de Suministros Agropecuarios Granma, efectuado por la dirección y el resto del personal. Implementado mediante un sistema integrado de normas y procedimientos, que contribuya a prever y limitar los riesgos internos y externos, proporciona una seguridad razonable al logro de los objetivos institucionales y una adecuada rendición de cuentas, (Contraloría General de la República de Cuba, 2011) . Dentro de los propios procesos se deben evaluar los riesgos asociados que afectan el cumplimiento de sus objetivos. Esto es necesario para poder determinar el efecto que podrían tener, de materializarse, en la consecución de objetivos. Se llevarán a cabo técnicas cualitativas y cuantitativas. La evaluación del riesgo primero se centrará en el riesgo inherente y, a continuación de éste, en el riesgo residual, la incorporación del personal a la identificación de riesgos ayuda significativamente a la prevención y por ende al logro de los objetivos planificados del sistema de gestión de la calidad.
Por todo lo anterior se plantea como problema científico: ¿Carencia de un sistema de gestión de riesgos para el sistema de gestión de la calidad en la Empresa de Suministros Agropecuarios Granma, según la norma cubana NC-ISO 9001:2015 que limita el desempeño de la organización? El objetivo general de la investigación es: diseñar y aplicar un procedimiento de gestión de riesgos para un sistema de gestión de la calidad en la Empresa de Suministros Agropecuarios Granma, conforme a la NC-ISO 9001:2015, con la aplicación de una web. El objeto de la investigación se define como la gestión de riesgos, para alcanzar el mismo se define como campo de acción: la gestión de riesgos del sistema de gestión de la calidad en la Empresa de Suministros Agropecuarios Granma, según la NC-ISO 9001:2015 con la aplicación de una web.
La aplicación ha sido desarrollada en software libre. Se utilizan métodos de la investigación científica teóricos y empíricos, de los cuales se emplearon como métodos teóricos: análisis y síntesis: en la revisión bibliográfica para determinar los aspectos relacionados con la gestión de riesgo para el sistema de gestión de la calidad, y para la redacción de conclusiones realizadas; histórico-lógico: para la determinación del marco teórico y práctico de la investigación; inductivo – deductivo: para analizar las metodologías y procedimientos sobre la gestión de riesgo en la implementación de sistema de gestión de la calidad y llegar a conclusiones. Y como métodos empíricos la observación científica: permite realizar mediciones y comprobaciones del estado actual de los riesgos en la organización objeto de estudio; análisis de documentos: el análisis de documentos se realiza para diseñar el objeto de investigación científica; estudio bibliométrico: posibilita el análisis de diferentes procedimientos o propuestas de gestión de riesgo y determinar las tendencias de autores y variables utilizadas; y métodos estadísticos como el análisis de centralidad y análisis distancias por variables. Para el procesamiento de los datos se utilizaron los softwares Excel 97-2003; IBM SPSS Statistics, versión 23 y UCINET 6 para Windows, versión 6.
Para la investigación se conformaron redes de autores y variables, y se utilizaron estudios y publicaciones académicas y científicas publicadas. Las búsquedas se concentraron en el término gestión de riesgos, a partir de las etapas utilizadas por los autores. Para el procesamiento de datos recopilados se empleó primeramente el software Microsoft Excel, versión 97-2003, permite organizar e introducir la información a analizar. Luego se utilizó el software IBM SPSS Statistics versión 23 mediante el cual fue posible trabajar con las matrices de datos, además de obtener los dendogramas correspondientes. Además, se empleó el programa UCINET 6 para Windows, con el objetivo de obtener redes sociales y establecer una red de análisis segun a los autores implicados, con el fin de definir elementos y similitudes comunes en el manejo de las etapas para la gestión de riesgos. Los pasos analizados para la gestión de riesgos se tomaron a partir de lo planteado por el Ministerio de Tecnologías de la Información y las Comunicaciones (MINTIC, 2016), Chávez López (2018), Meléndez (2015), Rodríguez López et al. (2013), Instituto Nacional de Ciberseguridad (2016), Oficina Federal de Protección Civil (2014) y (Lizarzaburu Bolaños y Casares San José-Martí, 2016). Para el análisis de estas etapas se identificaron las palabras claves, estableciéndose nueve variables para la comparación: Contexto (CO), Identificación (ID), Análisis (AN), Evaluación (EV), Tratamiento (TR), Monitoreo (MO), Revisión (RE), Control (CT) y Comunicación (CM). Luego se elaboró una matriz de relación binaria que consideró la presencia o no de estas variables en dichas etapas, en caso de que el atributo en cuestión estuviera presente en la etapa objeto de análisis se consideró asignarle el valor 1, de lo contrario el valor 0, permite mostrar el nivel de presencia de las variables en las etapas de gestión de riesgos.
Una vez introducidos los datos en el software Microsoft Excel, versión 97-2003, se empleó el software IBM SPSS Statistics, versión 23, mediante el cual se convirtió la matriz de modo 2 a modo 1.
Desde la matriz obtenida, se procesaron los datos en el software UCINET 6 para Windows, para generar la red en el NetDraw. El gráfico de la red obtenida, la red de relación entre autores se observó que existe interconexión entre los autores, aunque PNUD Chile 2012 se encuentra más distante, y que existe similitud entre ellos donde las etapas de gestión de riesgos coinciden hacia variables comunes. El valor de densidad obtenido en la red fue de 0.3937, por lo que existe una alta conectividad. El análisis de densidad muestró la centralidad obtenida en la red, y permitió determinar que los autores con mayor número de relaciones con otros autores son Instituto Nacional de Seguridad 2016, Oficina Federal de Protección Civil 2014 y MINTIC 2016; las variables abordadas por estos autores son las más representativas en el estudio realizado. Los principales resultados de los análisis realizados ponen de manifiesto que los autores más influyentes de la red son: Instituto Nacional de Seguridad 2016, Oficina Federal de Protección Civil 2014 y MINTIC 2016, los cuales enfocan sus etapas de getión de riesgos principalmente hacia las variables relacionadas: Identificación (ID), Análisis (AN), Evaluación (EV) y Tratamiento (TR).
En el análisis de etapas (variables) se toma como base los datos introducidos en la tabla 1 en el software Microsoft Excel, versión 97-2003, se empleó el software IBM SPSS Statistics, versión 23, mediante el cual fue posible convertir la matriz de modo 2 a modo 1.
A partir de la matriz obtenida, se procesaron los datos en el programa UCINET 6 para Windows, lo que posibilita a su vez generar la red en el NetDraw. El gráfico de la red obtenida para las variables mostró que la red de relación entre variables permite observar que todas están conectadas, algunas abordadas por más de un autor. El valor de densidad entre variables obtenido en la red fue de 0.4119, por lo que existe una baja conectividad. La centralidad obtenida en la red, permitió determinar que los pasos que están presentes a la vez en un mayor número de autores son: Contexto (CO), Evaluación (EV) y Monitoreo (MO). Los análisis realizados ponen de manifiesto que los pasos que más aparecen en un mayor número de autores son: Contexto (CO), Evaluación (EV) y Monitoreo (MO) (Figura 1).
Procedimiento diseñado para la gestión de riesgos integrado al sistema de gestión de la calidad, el cual cuenta con las siguientes etapas:
1. Aspectos generales
Con todo lo anterior para desarrollar un adecuado control interno es necesario que la organización disponga de su ejercicio estratégico para determinar los elementos del entorno externo e interno de la misma y sus tendencias.
2. Gestión y prevención de riesgos
Se basa en la identificación y análisis de los riesgos fundamentales en la consecución de objetivos. Una vez clasificados los riesgos en internos y externos, por procesos, actividades y operaciones, y evaluadas las principales vulnerabilidades, se determinan los objetivos de control y se conforma el plan de prevención de riesgos para definir el modo en que habrán de gestionarse. Para que la gestión del riesgo sea eficaz, las organizaciones deberían cumplir en todos sus niveles los principios de gestión de riesgos. Pensamiento basado en riesgos, identificar todos los riesgos posibles por procesos, el dueño del proceso involucra a los trabajadores de sus procesos para que den criterios e identifiquen los significativos, por una técnica determinada, cualitativamente y cuantitativamente, para eso hay que tener información, datos, historia, cuantas veces ha ocurrido en años. El análisis se lleva a la Dirección de la organización por cada proceso y se tratan los significativos. Se inscriben los riesgos a la gestión de la calidad en el plan de prevención, y se incluyen los riesgos para aprovechar la oportunidad. Se determinan los Indicadores que miden los riesgos.
3. Organización para la identificación de riesgos y oportunidades
Se debe trabajar con un grupo de personas que tengan entre ellos una comprensión de la naturaleza de los cambios importantes (por ejemplo, los posibles avances de Ia tecnología) y con imaginación para pensar en el futuro. También es útil disponer de acceso a documentación y a datos sobre cambios que ya se hayan producido, principales riesgos, peligros y vulnerabilidades para diagnosticar e identificar objetivos de control dentro de cada proceso.
4. Identificación de los riesgos
Para la identificación se tendrá en cuenta la participación de los trabajadores, es necesario conocer el criterio que tienen sobre los riesgos a los cuales están expuestos, se realiza mediante el reconocimiento de las condiciones que se pueden considerar causas potenciales de daños, así como su análisis a partir de los elementos externos e internos que impidan el cumplimiento de los objetivos. Se tendrán en cuenta cuestiones también históricas.
5. Determinación de los objetivos globales y operativos
5.1 La determinación de los objetivos globales de la entidad y las estrategias claves que se han establecido
Para que una entidad tenga un control eficaz, debe tener unos objetivos establecidos. Los objetivos globales de la entidad incluyen aseveraciones generales acerca de sus metas y están apoyados por los planes estratégicos correspondientes.
5.2 Establecimiento de los objetivos operativos (específicos) de cada proceso y de subprocesos altamente importantes
Se establecen objetivos para las actividades esenciales en los flujos de productos y servicios, para las actividades de apoyo que están comprometidos en la consecución de los mismos.
6. Descripcion de los riesgos
Para tener un eficaz análisis de los riesgos, de conjunto con los trabajadores se realizarán entrevistas, discusiones en grupos, brainstorming (tormenta de ideas). Según la práctica internacional la identificación del riesgo es a través de la elaboración de un inventario de los riesgos ordenada y sistemáticamente, (Figura 2).
Se define en primera instancia los riesgos, posteriormente se presenta una descripción de cada uno de estos y finalmente se definen las posibles consecuencias o manifestaciones de este como:
Cómo redactar un riesgo
Ejemplos incorrectos de la redacción de un riesgo.
Corrupción en el otorgamiento de licencias: NO ES RIESGO, sino una dimensión y una causa subyacente de riesgo.
No cumplir con los objetivos del programa: NO ES RIESGO, sino una consecuencia de la posible materialización de un riesgo.
Inadecuada aplicación de la normativa por desconocimiento o interpretación indebida: NO ES RIESGO, sino un factor de riesgo.
Ejemplo 1 – caso de la vida diaria
Objetivo: Llegar al trabajo a las 7:30 am
Riesgos: (¿Qué no quiero que pase, que pueda impactar el objetivo del proyecto?)
Levantarme tarde
Vías con mucho tránsito vehicular
No disponibilidad de taxis
Carro sin gasolina
Causas: (Condición, supuesto, restricción o requerimiento que origina ese evento o riesgo)
No puse la alarma / me acosté tarde
Pocas vías alternas
Hora pico
No hay disponibilidad de dinero en efectivo.
Redacción sugerida: Riesgo / Causa / Impacto
Levantarme tarde, debido a que no puse la alarma la noche anterior, lo que hace que llegue tarde al trabajo.
Vías con mucho tránsito vehicular, debido a las pocas vías alternas, lo que impacta en la hora de llegada al trabajo.
No disponibilidad de taxis, debido a que es hora pico en la ciudad, lo que impacta en la hora de llegada al trabajo
Carro sin gasolina, ya que no tengo dinero en efectivo, lo que impacta en la hora de llegada al trabajo.
Medida a Aplicar: (Que hacer, Como hacerlo, Para que hacerlo y Cuando hay que hacerlo) – Enfocado a la causa del riesgo.
Programar en el celular la alarma para todos los días en la noche de hoy, descargar una aplicación para tal fin, para que suene a las 6:30 a.m.
Medio de verificación: descargar la aplicación y la programación de la alarma en la noche.
Identificar las vías menos congestionadas, al usar la aplicación WAZE una vez me levante en la mañana, para evitar el alto tráfico vehicular en las vías principales.
Medio de verificación: el uso de WAZE en la mañana.
Levantarme más temprano, para evitar el alto tráfico vehicular, programar la alarma 1 hora antes de lo normal esta noche.
Medio de verificación: programación de la alarma 1 hora antes de lo normal en la noche.
Hacer un ahorro para gasolina mensual, y guardarlo en una alcancía para que en caso de que no tenga dinero pueda tomarlo del ahorro.
Medio de verificación: guardar el ahorro mensual en la alcancía.
7. Evaluación de los riesgos
La evaluación del riesgo tiene como objetivo tomar las acciones correctivas según un orden de prioridad, y consiste en determinar el riesgo en función de la probabilidad de que este se convierta en la causa de un daño y de las posibles consecuencias si el daño se materializa. Así como el nivel de exposición del cumplimiento del objetivo al estar presente ese riesgo.(Contraloría General de la República de Cuba, 2011).
Probabilidad: Escala de medida cualitativa o cuantitativa que deben establecer las categorías a utilizar y la descripción de cada una de ellas, con el fin de que cada persona que aplique la escala mida a través de los parámetros siguientes:
Seguro: (100 %) Probabilidad muy alta de que se materialice; Muy Probable: (75 %) Muy probable de que se materialice; Posible: (50 %) Probable de que se materialice; Raro: (25 %) Poco probable que se materialice la amenaza; Poco Probable: (0 %) Improbable de que se materialice.
Impacto: Ese mismo diseño puede aplicarse para la escala de medida cualitativa o cuantitativa:
Catastrófico: (100 %) la amenaza produce un daño catastrófico; Mayores: (75 %) la amenaza produce un daño mayor; Moderado: (50 %) la amenaza produce un daño moderado; Menores: (25 %) la amenaza produce un daño menor; Despreciable: (0 %) la amenaza no produce prácticamente ningún daño.
Se elabora una matriz de probabilidad contra los impactos para identificar cuan grandes son las consecuencias adversas y cuan probable es que ocurran estas consecuencias adversas.
8. Medidas a adoptar
En función de los objetivos de control determinados de acuerdo con los riesgos identificados por los trabajadores de cada área o actividad del proceso y las medidas o acciones de control necesarias, se elabora el PE-09.R4 Plan de prevención de riesgos. Los planes elaborados son entregados y evaluados por el órgano colegiado de dirección que es el Comité de Prevención y Control que de forma general evalúa las causas y condiciones que generan las indisciplinas, ilegalidades, delitos y corrupción; propone medidas disciplinarias ante estos hechos, y asigna recursos para la toma de decisiones, siempre que proceda.
9. Seguimiento y revision
El seguimiento y la revisión se han planificado en el proceso de tratamiento del riesgo y se hace de forma periódica y con la finalidad de: asegurar que los controles son eficaces y eficientes tanto en su diseño como en su operación; obtener la información adicional para mejorar la apreciación del riesgo; analizar y sacar conclusiones de los sucesos, cambios, tendencias, éxitos y fallos; detectar los cambios en el contexto interno y externo, incluidos los cambios en los criterios de riesgo y en el propio riesgo, que puedan requerir la revisión de los tratamientos de riesgo y de las prioridades; e identificar los potenciales riesgos emergentes. Los resultados del seguimiento de los riesgos se registran en el informe de la comisión de prevención y control, y cada proceso actualiza el estado de cumplimiento de las medidas a aplicar de su inventario, dar otro tratamiento a el riesgo residual, con el cual debe convivir y dar tratamiento para su reducción, mitigación, eliminación de la fuente o compartir el riesgo con otra parte interesada. La gestión de riesgos se ejecuta cíclicamente. Se evalúa si se ha producido algún cambio que conlleve a la aparición de nuevos riesgos y si procede, se actualiza el inventario de riesgos. Los procesos actualizan sus riesgos una vez según esta metodología y la dirección general actualiza sus riesgos externos durante el seguimiento y revisión de la planeación estratégica.
10. Plan de prevencion de riesgos
En función de los objetivos de control determinados de acuerdo con los riesgos identificados por los trabajadores de cada área o actividad del proceso y las medidas o acciones de control necesarias, se elabora el PE-09.R4 Plan de prevención de riesgos. Además haber planificado el indicador nivel de seguridad razonable (NSR) se determina su grado para determinar la seguridad total y corregir su estado hasta lograrla (Figura 3).
El análisis de la bibliografía permitió analizar las diferentes metodologías y procedimientos para la gestión de riesgos, donde las variables que están presentes en un mayor número de autores son: Contexto (CO), Evaluación (EV) y Monitoreo (MO). Por medio de estas se diseñó y aplicó un procedimiento para la gestión de riesgos en la Empresa de Suministros Agropecuarios Granma, según los requisitos de la norma NC-ISO 9001:2015, el cual propone el desarrollo de diez pasos. El procedimiento ha gestionado a traves de la web 94 riesgos de todo tipo en el sistema de gestión de calidad, con 50 % riesgos abiertos y 44 % tratados, para un nivel de seguridad razonable (NSR) con 15 riesgos severos, 6 moderados y ninguno insignificante, este nivel conlleva a continuar la gestión de los riesgos inherentes hasta reducir el (NSR) a cero severos, una cuarta parte de moderados y dos terceras partes de insignificantes.
