Sistema integrado de gestión de monitoreo de riesgos más allá de las ISO¹

Luis Vásquez Zamora², Gloria Vásquez Larriva³ & Luis Vásquez Larriva⁴

¹ Artículo de resultado de investigación. Citar como: Vásquez, L, Vásquez, G y Vásquez, L. (2018). Sistema integrado de gestión de monitoreo de riesgos más allá de las ISO. SIGNOS, 10(2), 25-40. DOI: https://doi.org/10.15332/s2145-1389.2018.0002.01
² Ph. D. en Gestión y Salud Ambiental. Médico. Grupo de investigación en Gestión Integral de Riesgos, Facultad de Ciencias de la Seguridad y Gestión de Riesgos, Universidad Internacional del Ecuador. Correo electrónico: [email protected]
³ M. Sc. en Seguridad y Salud Ocupacional. Ingeniera en Finanzas. Grupo de investigación en Gestión Integral de Riesgos, Facultad de Ciencias de la Seguridad y Gestión de Riesgos, Universidad Internacional del Ecuador. Correo electrónico: [email protected]
⁴Ingeniero en Seguridad y Salud Ocupacional. Grupo de investigación en Gestión Integral de Riesgos, Facultad de Ciencias de la Seguridad y Gestión de Riesgos, Universidad Internacional del Ecuador. Correo electrónico: [email protected]

Recepción: 18 de diciembre de 2017/ Evaluado: 15 de enero de 2018 / Aprobación: 21 de marzo de 2018

RESUMEN

Los sistemas integrados de gestión constituyen una opción cada vez más aceptada en las organizaciones. Los sistemas ISO con la estructura de alto nivel SL que tienen como uno de sus pilares conceptuales la gestión del riesgo y la actividad preventiva, facilitan la integración de los sistemas de calidad, ambiente, seguridad y salud, seguridad física y desastres. Para el desarrollo de la integración es recomendable tener la siguiente secuencia: a) auditoría inicial, b) planificación, c) identificación y evaluación de riesgos y, d) sistema de monitoreo integral de riesgo. En el presente estudio se tuvo como objetivo la integración de los sistemas de gestión con el uso de una herramienta informática, se realizó la implementación del sistema informatizado en tres grandes organizaciones como un proyecto piloto experimental con una duración de 4 meses, con lo cual se disminuyó en un 70 % el personal destinado anteriormente a estos procesos y se mejoró el cumplimiento de las exigencias técnico-legales en un 35 %; lo que permite concluir que al ser una herramienta tecnológica de fácil aplicación, se pudieron integrar todos los sistemas de gestión y posibilitó la optimización de los recursos existentes en las organizaciones.

Palabras clave: sistemas integrados de gestión, calidad, ambiente, seguridad y salud, seguridad física, administración del riesgo.

Emotional integrity. How to be spiritual in a skeptical world

ABSTRACT

Integrated management systems are an increasingly accepted option in organizations, ISO systems with the high-level structure SL that have as one of their conceptual pillars risk management and preventive activity facilitate integrating the Quality, Environment, Safety and Health, Physical Security and Disasters systems; for the development of the integration, it is advisable to have the following sequence: 1. Initial Audit, 2. Planning, 3. Risks Identification and Evaluation, 4. Comprehensive Risk Monitoring System. The objective of this study was to integrate management systems with the use of a computing tool, the computerized system was implemented in three large organizations as an experimental pilot project with a duration of 4 months, with which personnel previously assigned to these processes decreased by 70%, compliance with technical legal requirements improved by 35%; this allows to conclude that being a user-friendly technological tool, it was possible to integrate all the management systems and allowed to optimize existing resources in the organizations.

Key words: integration of management systems based on risk management of: quality, environment, safety and health, physical security; automated system of integral risk monitoring.

Integridade emocional. Sobre como ser espiritual em um mundo cético

RESUMO

O sistema integrados de gestão constitui uma opção cada vez mais aceitas nas organizações, os sistemas ISO com a estrutura de alto nível SL que têm como um dos seus pilares conceituais a gestão dos riscos e a atividade preventiva facilitam a integração dos sistemas de Qualidade, Meio Ambiente, Segurança e Saúde, Segurança Física e Desastres; para o desenvolvimento da integração, é aconselhável ter a seguinte sequência: um. Auditoría Inicial, duas. Planificação, três. Identificação e Avaliação de Riscos, quatro. Sistema Integral de Monitoramento de Riscos. O presente estudo teve como objetivo à integração dos sistemas de gestão com o uso de uma ferramenta informática, foi feita a implementação do sistema implentação em três grandes organizações como um projeto piloto experimental com uma duração de quatro meses, o que diminuiu o 70% do pessoal utilizado anteriormente para estes processos, foi melhorado o cumprimento dos requisitos legais técnicos em 35%; Isso nos permite concluir que sendo uma ferramenta tecnológica de fácil aplicação, foi possível integrar todos os sistemas de gestão e aperfeiçoar os recursos existentes nas organizações.

Palavras-chave:integração de sistemas de gestão baseados na gestão de riscos de: qualidade, meio ambiente, segurança e saúde, segurança física; sistema automatizado de monitoramento integral de riscos.

INTRODUCCIÓN

Los sistemas de gestión integrados, entendiéndose estos como un conjunto de actividades y procesos relacionados e interdependientes entre sí, cada vez van tomado más protagonismo en las gestiones contemporáneas de las organizaciones tanto públicas como privadas independientemente de su actividad y complejidad (Abril, Enríquez y Sánchez, 2010).

La Organización ISO ha sido una de las más serias y entusiastas promocionadoras de los sistemas de gestión integrados; en el año 2015 surge la Estructura de Alto Nivel SL que permite estandarizar una estructura única, que entre sus ventajas está precisamente el poder unificar estructural y terminológicamente los tres sistemas más conocidos utilizados, como son: ISO 9001:2015, ISO 14001:2015 y OHSAS 18001, misma que deberá migrar a la ISO 45001:2018, recientemente aprobada (AENOR, 2018).

Consideramos que existen tres grandes intereses que tienen las organizaciones: a) político-legales, b) sociales y, c) económicos; los tres interactúan entre sí y la prioridad de estos depende de los objetivos de las organizaciones.

Después de un análisis de correlación positiva es posible realizar la integración de los sistemas de gestión, planteando que la unificación debería considerar las siguientes directrices: simplificar, automatizar, desconcentrar, abaratar y masificar; con el objetivo de facilitar su difusión y sobre todo su implementación en todo tipo de organización.

Un primer intento a gran escala se pudo realizar en Ecuador entre los años 2013 y 2015, al implementarse por parte del Instituto Ecuatoriano de Seguridad Social (IESS) el Sistema de Auditorías de Riesgos del Trabajo, que se logró realizar de manera automatizada a nivel nacional en todo tipo de organización, llegándose a autoauditar alrededor de 16 750 empresas, dando un índice de eficacia o cumplimiento técnico legal del 27.85 %, un hecho inédito en el que las propias organizaciones de manera voluntaria indicaran un bajo nivel de cumplimiento técnico legal (Instituto Ecuatoriano de Seguridad Social, 2015). En un estudio realizado por un grupo de investigadores de la Universidad Internacional SEK del Ecuador sobre la Primera Encuesta de Condiciones de Seguridad y Salud en el Trabajo, se pudo determinar que, durante la aplicación de este sistema de auditorías de riesgos del trabajo, mejoró la prevención, lo que se reflejó en el reporte de la siniestralidad laboral durante los años en que se implementó y el aumento de esta luego de que se dejó de aplicar la misma (Grupo de Investigación sobre Condiciones de Seguridad y Salud en el Trabajo, 2017). La auditoría sin duda es una herramienta de verificación de suma importancia en los sistemas de gestión, ya que se constituye en el medio más idóneo de verificación de su implementación (Sevilla, 2012; Vásquez, 2016a).

Proponemos un sistema integrado que englobe la seguridad y salud ocupacional, la calidad, el medio ambiente, la seguridad física, y que a su vez contemple la seguridad ciudadana, la seguridad en la información, la seguridad financiera y, por último, la seguridad en el manejo de los desastres. Para la seguridad y salud, calidad y ambiente, nos basaremos en los sistemas ISO 9001:2015 (AENOR, 2015), ISO 14001:2015 (UNE, 2016) e ISO 45001:2018 (AENOR, 2016; AENOR, 2018), para la seguridad ciudadana utilizaremos el modelo Mosler (Foro de Seguridad, 2017), para la seguridad financiera los conceptos de la Comisión de Basilea (Banco de Pagos Internacionales, 2006), para la seguridad en la información los sistemas ISO 27001 (Icontec, 2006) e ISO 20000 (Icontec, 2012), y finalmente, para el manejo de desastres, el modelo del Banco Interamericano de Desarrollo (BID, 2010). Sobre la base de estos conceptos hemos desarrollado las auditorías respectivas y un modelo que registra, analiza y controla información oportuna, necesaria, suficiente, veraz y fiable, al que denominamos sistema de monitoreo integral de riesgos o SMIR. Todo se ha generado con base en una plataforma virtual que permite tener la información en tiempo real, subidos a un hosting⁵ en la nube con lo cual podemos tener toda la información en tiempo real en dispositivos móviles y georreferenciados.

METODOLOGÍA

Antecedentes

Durante los años 2013 y 2014, se desarrolló en Ecuador a nivel nacional un sistema de gestión de autoauditorías informatizadas en tiempo real de manera voluntaria y gratuita, de riesgos del trabajo. Se autoauditaron 16 200 empresas que determinaron un cumplimiento de la normativa técnica legal del 27.48 %, del 80 % mínimo exigido por la normativa nacional (Instituto Ecuatoriano de Seguridad Social, 2015), a pesar que las propias empresas y de manera voluntaria indicaron un bajo nivel de cumplimiento, el mismo que era conocido de manera automática y en tiempo real. Utilizando la misma plataforma, se realizó un análisis de aceptación y confiabilidad de las mismas empresas tomando una muestra aleatoria de 223 de ellas, que expresaron un 93.49 % de aceptación (Vásquez, 2016a; Vásquez, 2016b).

Las auditorías en sus distintas formas de realización (ISO, 2011; Sevilla, 2012), en la aplicación realizada en Ecuador por un organismo estatal en lo que correspondería a una auditoría interna, constituyó un éxito sin precedentes determinado por la herramienta tecnológica usada y la sencillez de la estructura de la auditoría en su fondo y forma (Vásquez, 2016a; Grupo de Investigación sobre Condiciones de Seguridad y Salud en el Trabajo, 2017

Consideramos, bajo los principios de simplificar, automatizar y desconcentrar, la realización de una propuesta de herramienta automatizada que permita integrar los sistemas de seguridad y salud, calidad, ambiente, seguridad física y desastres. Tomamos como referencia estructural a la familia ISO, aplicable para seguridad económica financiera el modelo Risicar propuesto por la profesora Rubí Mejía de la Universidad EAFIT (2013), para violencia social el modelo Mosler (Foro de Seguridad, 2017), para desastres el modelo del Banco Interamericano de Desarrollo (BID, 2010), como conceptos referentes de integración a la ISO 31000 y como proyección de continuidad bajo los lineamientos de la prospectiva estratégica⁶ (Sierra, 2014), y la ISO 22301 (UNE, 2013) de continuidad de negocio. Todo lo anterior se esquematiza en la Figura 1.

DESARROLLO

AUDITORÍAS

Para auditar calidad, ambiente, seguridad y salud, y seguridad en la información, se aplicó la Estructura de Alto Nivel SL de la ISO, estructurando por requisitos que a su vez tienen elementos y subelementos (AENOR, 2015) y ponderándose de acuerdo al número de los subelementos, aplicando una regla de tres y asignado valores porcentuales a cada uno de ellos.

Para la realización de la auditoría de riesgos financieros, riesgos de violencia social y desastres, se estructuró esta con los requisitos que contiene cada uno de sus métodos, con sus respectivos elementos y subelementos y con la misma lógica de ponderación que se aplicó a los sistemas ISO de calidad, ambiente, seguridad y salud y gestión de la información.

Aplicando la misma lógica, se confeccionó una matriz de auditoría para riesgos financieros con su propia escala de cumplimiento, la que también está parametrizada desde bajo, medio, y hasta alto, misma que guarda correspondencia con una calificación obtenida (Banco de Pagos Internacionales, 2006).

El método Mosler utilizado para auditar riesgo de violencia social, se estructuró, como el método anterior, utilizando los criterios de este método y ponderando los valores predeterminados de acuerdo a como este método los propone, obteniéndose una calificación correspondiente a: riesgo muy bajo, bajo, normal, elevado y muy elevado (Foro de Seguridad, 2017).

Para calcular el riesgo de desastres se realizó la auditoría con la aplicación de los mismos conceptos anteriores utilizando el método del BID (2010), que calcula cuatro índices con sus respetivos elementos y subelementos: 1) índice de déficit por desastres, 2) índice de desastres locales, 3) índice de vulnerabilidad prevalente y, 4) índice de gestión de riesgos; cada uno nos indicará si existe una adecuada o inadecuada gestión de riegos de desastres, de acuerdo a los valores estimados que se desprenden de la auditoría efectuada (BID, 2010).

PLANIFICACIÓN

Después de concluidas las auditorías y como segundo gran elemento, se genera de manera automática el informe que indica: cumple, no conformidad mayor, no conformidad menor, no aplica, oportunidad de mejora y observación de cada uno de los requisitos, elementos y subelementos auditados. Esta información pasa a un formato Excel que permite hacer modificaciones o inclusiones que se estandarizan para todos los sistemas de reporte de auditoría antes indicados y contiene los siguientes elementos:

IDENTIFICACIÓN Y EVALUACIÓN DE RIESGO

El tercer paso importante en la gestión integral de riesgos consiste en realizar la identificación, medición, control de riesgos y evaluación de la gestión realizada, que permita determinar en el tiempo si las medidas tomadas dieron los resultados esperados, es decir, se gestiona la incertidumbre de cumplir o no los objetivos trazados (AENOR, 2015; AENOR, 2016; UNE, 2016; Sierra, 2014).

Cada sistema puede o no tener un método específico de identificación de riesgos con mayor o menor especificidad (Mejía, 2013), sugerimos que se debe usar el método con el que el profesional tenga mayor experticia. Consideramos también que para seguridad y salud en el trabajo, el método recomendado es la Guía técnica Colombiana 45: Identificación de peligros, evaluación y valoración de riesgos y sus controles en seguridad y salud en el trabajo (Icontec, 2010), por ser un método ampliamente usado y conocido que permite valorar las medidas preventivas y correctivas que se tomen.

Para el sistema de calidad es una buena opción el método AMFE (análisis modal de fallas y efectos), por su versatilidad y amplio uso que ha tenido para este propósito (Instituto Nacional de Seguridad e Higiene en el Trabajo, 1996).

Para el sistema de gestión ambiental es útil emplear la matriz de Leopold que, a pesar de tener muchos años desde su publicación, sigue teniendo plena vigencia (Woodside, 2001).

Para el sistema de gestión de la información nos podemos basar en la norma ISO 27001 (Icontec, 2006) y en una lista de puntos básicos de revisión como lo plantea Jesús Costas en su libro Seguridad informática (2011), y que comprende tres ejes a ser protegidos: hardware, software y datos, basados en 5 principios: 1) confidencialidad, 2) integridad, 3) disponibilidad, 4) autenticación y, 5) no repudio; que pueden estar amenazados por personas, amenazas lógicas y amenazas físicas.

Finalmente, para el sistema de gestión de violencia social, el método Mosler constituye el más utilizado y está en plena vigencia y aplicación por los profesionales especialistas en el área (Foro de Seguridad, 2017).

SISTEMA DE MONITOREO INTEGRAL DE RIESGOS (SMIR)

El tener la información necesaria y de manera oportuna independientemente de la localización geografía y de la hora del día del usuario de destino, se vuelve más necesario en razón de que las fronteras geográficas como las conocíamos han desaparecido con la globalización de la información (Costas, 2011; Fontalvo, 2006).

El sistema de monitoreo concentra información de acuerdo a las necesidades de la organización, está diseñado para importar información de cualesquiera de los sistemas que lo conforman (los cinco ejes conceptuales del mismo); consideramos que la primera información que se debe tener es el resultado de las auditorías, luego el resultado de los aspectos clave de la planificación, y a continuación el resultados de la evaluación de riesgos. Se podrá ir ingresando mayor información traducida en indicadores de gestión de acuerdo a las necesidades; estos indicadores deben estar debidamente parametrizados con la finalidad de que, en función de los rangos que establezcamos, nos den alertas tempranas que deben ser establecidas con códigos de colores y con gráficas resumidas que nos permitan tener una información resumida y precisa. Como ejemplo de lo indicado, tenemos una ilustración del SMIR de las auditorías ISO, que nos indica con colores el nivel de cumplimiento, el mismo que hemos establecido de la siguiente manera: código verde cumplimiento del 80 % o más, código naranja cumplimiento del 50 % al 79 % y, código rojo cumplimiento menor al 49 %. Esta representación gráfica nos alertará de manera oportuna y sencilla del nivel de cumplimiento, mismo que se puede tener en los dispositivos móviles de uso tan generalizado en la actualidad. A continuación ilustramos lo indicado.

A su vez, en la misma pantalla podemos desplegar información más detallada sobre el sistema que nos interese conocer de manera rápida pero con mayor precisión y establecer un reporte de resultados que periódicamente podemos tenerlo, permitiéndonos lo anterior realizar un análisis comparativo de los mismos.

El sistema ha sido programado sobre un sistema operativo Linux Centos 5.5x, Windows X7.8 et phpM y Admin Database Manager versión 4.4.x, PHP information versión 5.3¸ Apache Web Server versión 3.2 X, PhP Acript Lenguaje versión 5.5X, MySQL Database versión 5.5 de 32 bits o 64 bits, memoria Ram 4 GB, espacio disco duro 120 GB mínimo a ١ TB, navegador Web Google Chrome, Mozilla Firefox, con las siguientes características:

- El sistema está desarrollado en código abierto, PHP, Ajax, JavaScript, JS, JQuery.
- Framework PhpGridEnterprise (consultas).
- HPChartEnterprise, PHP Report Maker, RGraph (reportamiento gráfico).
- Multiplataforma.
- Multiusuario.
- Orientado al cliente.
- Control más efectivo de las actividades.

RESULTADOS

El desarrollo e implementación del sistema de gestión integral nos ha permito simplificar, automatizar y desconcentrar la gestión integral de riesgos.
Su fácil manejo ha posibilitado la participación e involucramiento de los usuarios asignados a distinto nivel de la organización y con accesos a diferentes niveles de información.
Ha permitido tener una información real, oportuna, suficiente y necesaria, de acuerdo a los niveles que la organización amerite y con la posibilidad de tomar decisiones efectivas que contribuyan a mejorarla.
Ha permitido visibilizar la integración de los sistemas haciéndola accesible a los grupos de interés de la organización.
Su bajo costo de implementación la ha vuelto atractiva a la organización, disminuyendo la burocracia en un 70 %.
Con la aplicación de este sistema en tres grandes organizaciones del Ecuador de más de 500 trabajadores como proyectos piloto, hemos tenido un ahorro en personal dedicado a esta actividad del 70 %, nos ha tomado en promedio 4 meses el desarrollo e implementación y hemos mejorado el nivel de cumplimiento técnico legal de todos los sistemas en este mismo período en un 35 %.

CONCLUSIONES

La integración de los sistemas constituye una buena opción para implementar eficaz y estratégicamente los sistemas de gestión.
La nueva Estructura de Alto Nivel SL ayuda a la integración de los sistemas de gestión y permite constituir una matriz común a todos ellos.
La inclusión de los otros sistemas como seguridad física y desastres, es plenamente compatible con los sistemas de gestión ISO porque se basan en la prevención de los riesgos y son eminentemente preventivos.
La automatización de los sistemas de gestión contribuye a la implementación por su sencillez, adaptabilidad, flexibilidad y participación del personal involucrado a todos los niveles de la organización.
La automatización proporciona información en tiempo real y con disponibilidad permanente, independientemente de la locación y las características de la empresa.

REFERENCIAS

Abril, C., Enríquez, A., y Sánchez, J. (2010). Guía para la integración de sistemas de gestión. Madrid, España: FC Editorial.

AENOR. (2015). Norma internacional. Traducción oficial ISO 9001. Ginebra, Suiza.

AENOR. (2016). ISO/DIS 45001. Madrid, España.

AENOR. (2018). Nueva norma ISO 45001. Madrid, España.

Banco de Pagos Internacionales. (2006). Principios básicos para una supervisión bancaria eficaz. Basilea, Suiza.

BID. (2010). Indicadores de riesgo de desastres y de gestión de riesgos. Banco Interamericano de Desarrollo. Quito, Ecuador: BID.

Costas, J. (2011). Seguridad informática. Bogotá D. C., Colombia: Ediciones de la U.

Fontalvo, T. (2006). La gestión avanzada de la calidad. Bogotá, D. C., Colombia: ASD2000.

Foro de Seguridad. (2017). Análisis y cálculo de riesgos: el método Mosler. Buenos Aires, Argentina.

Grupo de Investigación sobre Condiciones de Seguridad y Salud en el Trabajo. (2017). I Encuesta sobre Condiciones de Seguridad y Salud en el Trabajo. Quito, Ecuador: UISEK.

Icontec. (2006). Norma Técnica NTC-ISO/IEC 27001. Bogotá D. C., Colombia: Icontec.

Icontec. (2010). Guía para la identificación de los peligros y la valoración de los riesgos en seguridad y salud ocupacional. Bogotá D. C., Colombia: Icontec.

Icontec. (2012). NTC-ISO/IEC 20000-1. Bogotá D. C., Colombia. Icontec.

Instituto Ecuatoriano de Seguridad Social (IESS)Instituto Ecuatoriano de Seguridad Social (IESS). (2015). Rendición de cuentas 2014. Quito, Ecuador: IESS.

Instituto Nacional de Seguridad e Higiene en el Trabajo. (1996). NTP 679: análisis modal de fallos y efectos. AMFE. Madrid, España.

ISO. (2011). Norma internacional ISO 19011. Ginebra, Suiza: ISO.

Mejía, R. (2006). Administración de riesgos. Un enfoque empresarial. Medellín, Colombia: Editorial EAFIT.

Mejía, R. (2013). Identificación de riesgos. Medellín, Colombia: Editorial EAFIT.

Ruiz, C., Declós, J., Ronda, E., García, A., y Benavides, F. (2014). Salud laboral. Madrid, España: Elsevier Masson.

Sanabria, J. M. (2015). La responsabilidad empresarial en la seguridad y salud en el trabajo. Lima, Perú: Lex & Iuris.

Sevilla, J. (2012). Auditoría de los sistemas integrados de gestión. Madrid, España: FC Editorial.

Sierra, J. (2014). Prospectiva estratégica. Madrid, España.

UNE. (2013). UNE-ISO 22301. Madrid, España: UNE.

UNE. (2016). UNE-EN ISO 14004. Madrid, España: UNE.

Vásquez, L. (2016a). Sistemas de gestión de seguridad y salud en el trabajo: auditorías de verificación. Bogotá D. C., Colombia: UIDE-CCS.

Vásquez, L. (2016b). Sistemas de gestión de seguridad y salud: auditorías de verificación. Protección & Seguridad.

Woodside, G. (2001). Auditoría de sistemas de gestión medioambiental. Madrid, España: McGraw Hill.

⁵ El hosting es un servicio al que se puede asociar un dominio. Si se tiene un dominio, lo más probable es que se requiera para tener una página web, o para tener cuentas de correo bajo el propio dominio. El hosting es exactamente eso, son esos servicios que se van a necesitar si se quiere tener una web y un correo electrónico (https://blog.doominio.com/hosting-definicion-significado/)..