Ya hablé aquí sobre el proceso de gestión de riesgos en ISO 31000: 2009, y comenté un poco sobre cada uno de los ítems de este requisito. Hoy quiero destacar un tema sobre el que veo pocas discusiones, pero que, en mi opinión, está directamente vinculado al compromiso en el proceso de gestión de riesgos. Requisito 6.2 – Comunicación y consulta.
Obviamente, en los primeros impactos de la crisis del Corona Virus, se trabajó para identificar riesgos y medidas de contención inmediatas.
Sin embargo, ISO 31000: 2018 trae un proceso estructurado que nos ayuda a dirigir las actividades que tratan con los riesgos en la empresa. Este proceso puede fortalecer a la organización, haciéndola más protagonista para salir de la crisis.
El proceso de gestión de riesgos
Justo en el requisito 6.1, lo primero que nos llama la atención es la figura que ilustra el proceso de gestión de riesgos:
Y de inmediato, no vemos mucha diferencia con la figura anterior que representaba el proceso en la versión 2009. Tenemos el “Establecer contexto”, que ahora es “Alcance, contexto y criterio” y la inclusión del ítem: “Registrar e informar”.
Nos gusta hablar del proceso: identificación, análisis, evaluación, tratamiento de riesgos , en definitiva. Estudiamos mucho estos temas, trabajamos en ellos y, al final, nos quejamos de que el trabajo no se difunde en la organización. Eso es porque la gente no está comprometida.
Puede ser que esta falta de compromiso se deba a no trabajar muy bien con el requisito 6.2 – Comunicación y consulta.
Objeto de la comunicación y la consulta
La primera frase del requisito ya determina su propósito, así que no lo inventaré. La norma dice:
El propósito de la comunicación y la consulta es ayudar a las partes interesadas relevantes a comprender el riesgo, la base sobre la cual se toman las decisiones y las razones por las que se requieren acciones específicas.
La cuestión es bastante sencilla. No tiene sentido hacer este trabajo si las partes interesadas no comprenden o no interactúan. La gestión de riesgos nos permite tomar acciones preventivas. Por lo tanto, estas decisiones deben prepararnos para las amenazas y oportunidades que están por venir.
Es una forma estructurada de mirar el pasado y el presente, organizando información que permite una toma de decisiones más adecuada para el futuro. De esta forma, posibilitamos la consecución de nuestros objetivos y resultados esperados.
Para hacer esto, necesitamos partes interesadas y ellas también nos necesitan a nosotros. Por tanto, este requisito es fundamental para el éxito del proceso, es decir, la consecución del resultado.
Diferencia entre comunicación y consulta
Por mucho que se junten, en este ítem tenemos una clara distinción entre comunicación y consulta. Por lo tanto, mientras que la comunicación aborda la conciencia y la claridad de lo que es el riesgo, la consulta significa el acceso a la información para tomar decisiones. Los dos, de alguna manera, involucran calidad de información y por lo tanto tienen una relación muy cercana.
Vea lo que dice la norma:
La comunicación busca promover la conciencia y la comprensión del riesgo, mientras que la consulta implica obtener comentarios e información para ayudar en la toma de decisiones.
Aquí, debemos preocuparnos por la cultura que se está construyendo, pensando en los riesgos y también por la forma en que manejamos la información de riesgos. Se trata de la descripción del riesgo, análisis, incidencias, acciones de tratamiento, efectividad de estas acciones, en definitiva, todo el proceso.
Si miramos la figura del proceso de riesgo, podemos ver que este es un eje que recorre todo el proceso. Por lo tanto, no es algo que deba suceder solo en la identificación de riesgos o en las acciones de tratamiento, ¡sino en todas las fases!
¿Significa que todo el mundo necesita saber todo sobre todos los riesgos? No necesariamente. Este es un requisito que está dirigido a las partes interesadas. Quien sea afectado, sí, debería saberlo.
Cuidado con el intercambio de información sobre riesgos
Hablamos de la importancia de que la información sea fluida y accesible, pero eso no significa que cualquier información deba circular. Vea lo que dice ISO 31000: 2018:
La estrecha coordinación entre ambos debe facilitar el intercambio de información fáctica, oportuna, relevante, precisa y comprensible, teniendo en cuenta la confidencialidad e integridad de la información, así como los derechos de privacidad de las personas.
Comenzó a ponerse difícil, ¿Verdad?
¡El primer punto es que este intercambio de información debe ser coordinado! ¿Qué significa eso?
Coordinar, según el diccionario, significa organizar metódicamente, estructurar, ordenar, armonizar . Cálmate, no es nada nuevo. Solo quiero señalar que este es un PROCESO. Entonces, tenemos que tener los lugares correctos para colocar la información. Debe quedar claro para el personal qué lugares son apropiados donde debe estar la información y cómo se debe acceder a esa información, incluidas las partes interesadas internas y externas.
Y estoy destacando este punto porque, quizás hasta ahora, por la crisis y todo, ustedes han realizado este intercambio de información “de cualquier forma”. Sin embargo, para que funcione correctamente, deberá organizar esta información de una manera más estructurada. Si necesita ayuda, ForLogic Risks puede ser una solución.
Otro tema que quiero resaltar son las características del intercambio de información. Debería ser:
Hecho: basado en hechos y evidencias, no en creencias.
Oportuna: en el momento adecuado, apropiado. No se supone que sea precoz y mucho menos lento para entregar o recibir información.
Relevante: no es solo una información, ¡tiene que ser relevante! Cumple con el propósito previsto.
Exacta: no pueden llenarse de ambigüedad o prejuicios, deben ser exactos.
Comprensible: que pueda comprenderse por aquellos que usarán la información.
Es común que, en un principio, llegue información que no tiene todas estas precauciones, pero recuerda, este es el trabajo: orientar, coordinar, mejorar el proceso y la conciencia de las personas involucradas día a día.
El último punto: tener en cuenta la confidencialidad, integridad y privacidad de las personas.
¡Podría resumirlo en seguridad de la información! Davidson lo explica en el post Control de documentos: los tres pilares de la seguridad de la información. Por mucho que se refiera a la gestión de documentos, el concepto es válido para cualquier tipo de información.
Objetivos del ítem 6.2
Para finalizar el ítem, la norma describe 4 objetivos que tiene Comunicación y Consulta:
– Reunir diferentes áreas de experiencia para cada etapa del proceso de gestión de riesgos.
– Asegurar que los diferentes puntos de vista se tengan debidamente en cuenta al definir los criterios de riesgo y al evaluar los riesgos.
– Proporcionar información suficiente para facilitar la supervisión de riesgos y la toma de decisiones.
– Crear un sentido de inclusión y propiedad entre los afectados por el riesgo
Me gustan especialmente estos objetivos porque están muy vinculados al compromiso. Y honestamente, creo que es el más desafiante porque funciona con el comportamiento humano.
El primero y el segundo, sobre multidisciplinariedad y diversidad de opiniones, se trata de poner en el equipo a personas con las que quizás nunca hayas hablado. De esta forma, es probable que estas personas tengan puntos de vista completamente diferentes al tuyo. Esto debería desencadenar en nosotros la curiosidad, el “modo de aprendizaje” que pregunta: “¿Qué está viendo él que yo no?”.
Esto es muy vergonzoso, porque en una reunión, ¡generalmente nos preocupamos por explicar nuestro punto de vista! Esperamos mostrar lo que estamos viendo y lo relevante que es para el debate.
Por el momento, el camino está al revés, pero es todo un ejercicio para que la conversación sea productiva. Así, también nos aseguramos de que el grupo tome una mejor decisión que cada persona individualmente, si tuviera que decidir por sí solo.
“Busca primero entender, después ser entendido.” (Stephen Covey)
Obviamente, la preocupación por la información recorre todo el requisito, pero el último objetivo habla de un sentido de inclusión y propiedad. Podría resumir esta frase, en una palabra: compromiso.
Lo que debemos preguntarnos es ¿Cómo puede la gente sentirse parte de ese trabajo?
Quizás, al llegar aquí, pienses “ Dios mío, es mucho trabajo, ¿Cómo voy a hacer esto? ”. Sí, incluso puede aceptar el desafío de llevar a cabo este trabajo en su organización, y lo encuentro memorable. Sin embargo, no puede y no podrá hacerlo solo. Al menos no realmente, para generar los resultados que ayuden a su empresa.
Justo en el requisito 6.1 de ISO 31000, la norma dice que el proceso de gestión de riesgos es parte de la gestión y la toma de decisiones. De esta forma, no se puede tratar como algo separado en la organización.
La gestión de riesgos no es un proceso de calidad, es parte de la gestión y proporciona información para la toma de decisiones. De hecho, los procesos de calidad ni siquiera existen, pero este es un tema de controversia en otro post, jejeje.
Sí creo que usted, lector del Blog de Calidad, puede ser protagonista en su organización y trabajar mejor en los temas de Comunicación y Consulta en su organización.
Estoy seguro de que esto contribuirá a la calidad de la cultura en su empresa, pero no es un trabajo para el superhombre o la mujer maravilla. ¡Es el trabajo de un granjero! Por eso, es necesario cultivar, cada día, mejorando a cada paso, viviendo la excelencia.
Este posicionamiento ayuda a su empresa no solo a atravesar esta crisis, sino a estar más preparada para cualquier momento adverso que pueda ocurrir.
Vayamos juntos, funcionará.
Pingback: Los 7 principios para la aplicación del Sistema APPCC - Blog de la Calidad