Introducción
A diferencia de otros standards de sistemas de gestión basados en riesgo, tales como ISO 22301 Sistemas de Gestión de la Continuidad del Negocio o ISO 55001 Sistemas de Gestión de Activos, ISO 31000 no es un standard de requisitos, es decir, no establece un sistema de gestión que cumplir, incluso no utiliza el imperativo “debe”, sino utiliza el condicional “debería” en su redacción, por tanto sus planteamiento obedecen a establecimientos conceptuales de lo que un sistema de gestión de riesgos debe tener para poder operar como tal, sin proporcionar guías respecto al como, lo que hace un análisis de la naturaleza requerido algo complicado, por cuanto plantear un paralelo sin obligaciones no es aplicable.
Por lo mismo, el presente informe muestra un análisis específico partiendo desde las definiciones y su enfoque, para luego pasar a los principios de la gestión de riesgo, la creación y construcción del marco de referencia y luego finalmente el proceso propiamente tal de gestión de riesgos, que fue el marco donde se desarrollan los sistemas de gestión que son sujetos de comparación en este informe.
El resultado, de carácter cualitativo y relacionado a los capítulos de ISO 31000, es presentado a continuación.
Capítulo 6 – Proceso de la Gestión del Riesgo:
6.1.- Generalidades: Como su nombre lo dice, presenta el enfoque a revisar en los siguientes puntos.
6.2.- Comunicación y consulta: Como anteriormente se mencionó, los pilotajes permitirán someter el modelo y su metodología de implementación a la consulta directa, lo que arrojará información en la medida en que los pilotos anualmente se expandan a nuevas centrales con distintos contextos.
6.3- Alcance, contexto y criterios:
6.3.1.- Generalidades: Como su nombre lo dice, presenta el enfoque a revisar en los siguientes puntos.
6.3.2.- Definición del alcance: El alcance del modelo generado aplica a unidades respecto al riesgo de parada, incluyendo el contexto normal de operación (que incorpora situaciones que deben ser entendidas como “normales”, tales como la pandemia o el estallido social). No incorpora los riesgos estratégicos, puesto que se enfoca en la parada como consecuencia de la gestión en las propias unidades y la gerencia de operaciones.
6.3.3.- Contextos externo e interno: Como ya se indicó, el contexto ha sido identificado y el sistema ha sido desarrollado en conformidad a ello, así mismo se ha planteado un proceso anual de revisión que permita adaptar (de ser necesario) el modelo ante cambios en el contexto externo o interno, como resultado de una actividad recurrente de evaluación del entorno de la compañía.
6.3.4.- Definición de los criterios del riesgo: Para efectos de la evaluación de los resultados y para fortalecer la integración del modelo a las operaciones de la compañía, los criterios de evaluación y por tanto tolerancias y apetitos al riesgo, son extraídos de la matriz de riesgo corporativa de la compañía, con base en los impactos financieros, estableciendo tablas de paralelos, principalmente para efectos de la probabilidad, cuando ha resultado necesario.
6.4.- Evaluación del riesgo:
6.4.1.- Generalidades: Como su nombre lo dice, presenta el enfoque a revisar en los siguientes puntos.
6.4.2.- Identificación del riesgo: El modelo ha establecido que la identificación del riesgo base de análisis, se presenta en la configuración de escenarios de parada no programada, con planteamientos asociados a los principales elementos que desembocan en una situación como la planteada, partiendo por los activos involucrados y el cumplimiento de sus rutinas de mantenimiento, su vida útil y por tanto obsolescencia técnica y finalmente el componente de ocurrencia para impulsar el resultado; estos elementos componen el acuerdo compañía para el cálculo de la probabilidad de falla del activo en base a su gestión, denominado riesgo sistémico. Así mismo, se ha hecho cargo del otro componente de riesgo, adicional al activo, entendido como el error humano en decisiones y acciones en el mantenimiento y operación de los activos de generación, de tal forma de determinar probabilidades de falla en base a vulnerabilidades del control sobre potenciales errores humanos voluntarios o involuntarios. Con estos elementos el modelo proporciona importante información para la siguiente etapa.
6.4.3.- Análisis del riesgo: El análisis de riesgo, vale decir la determinación de niveles de riesgo en base a probabilidad y consecuencia, son el resultado del llenado de planillas modelo luego de la identificación de riesgos y la individualización de los activos críticos con estrategias de mantenimiento, aplicando criterios cualitativos objetivizados en el caso del error humano y algoritmos de cálculo en el caso del riesgo sistémico. Estos niveles de probabilidad y consecuencia resultantes son llevados a la matriz de riesgo corporativa, de manera de establecer los niveles de riesgo y poder pasar a la etapa de valoración.
6.4.4 Valoración del riesgo: En esta etapa, los niveles de riesgo son comparados con los criterios establecidos en la matriz de riesgos organizacional, donde mediante colores se establece el nivel de riesgo de cada activo y del error humano y se valora su relevancia en base al cruce de estos dos componentes. Los colores resultantes permiten clasificar las centrales y la generación como un todo, así como equipos y sus operaciones, de tal forma de proporcionar una estructura jerarquizada de estas instalaciones y tomar decisiones respecto a donde serán destinados los recursos disponibles para controles, lo que se denomina normalmente “tratamiento del riesgo”.
6.5.- Tratamiento del riesgo:
6.5.1.- Generalidades: Como su nombre lo dice, presenta el enfoque a revisar en los siguientes puntos.
6.5.2.- Selección de las opciones para el tratamiento del riesgo: Dado el elevado nivel técnico que implica la decisión de intervención en una instalación con el fin de reducir el nivel de riesgo de ella, es que se ha diseñado en proceso de desarrollo de controles, que incluye la propuesta de iniciativas de gestión de riesgo por las propias centrales, su aprobación por parte de las gerencias de tecnologías y su análisis posterior por parte de la Gerencia específica, en particular a través de su grupo de especialistas. Estas metodologías incorporan acciones para modificar la probabilidad, modificar la consecuencia, evitar el riesgo, eliminar la fuente (aunque resulta en la práctica muy difícil de desarrollar) e incluso compartir el riesgo con proveedores; en el caso que los recursos financieros o las capacidades técnicas no lo permitan, incluye la retención del riesgo en base a decisiones informadas. Es relevante plantear que estas metodologías pueden seleccionarse individualmente o como una mezcla de ellas para alcanzar o aproximarse al nivel de riesgo objetivo, según los criterios de aceptación y tolerancia establecidos.
6.5.3.- Preparación e implementación de los planes de tratamiento del riesgo: La asesoría proporcionada por los Especialistas, en conjunto con los expertos proporcionados por las unidades, luego de seleccionadas la o las metodologías genéricas de intervención antes expuestas, más el detalle de las respuestas técnicas para los riesgos identificados, son sometidas a procesos de planificación y programación, en coordinación las restantes gerencias de la compañía (Contratos o Mantenimiento, por ejemplo), de manera de asegurar que los planes de tratamiento son factibles y viables tanto de ser implementados como de alcanzar los objetivos de niveles de riesgo esperados residuales luego de su implementación; el proceso que continua luego, de presupuestación, establecerá cuales de estos planes serán implementados y alimentará la base para la etapa siguiente de seguimiento y revisión.
6.6.- Seguimiento y revisión: Cada el proceso será ejecutado nuevamente, incorporando o extrayendo los activos afectados, nuevos activos o aquellos derogados, así como los escenarios de error humano efectivamente erradicados, además de aquellos escenarios nuevos presentados por potenciales cambios en el entorno y contexto de las centrales y se desarrollará el proceso de evaluación de niveles de riesgo para una nueva presupuestación. Es relevante comprender que estas actividades proporcionarán importante información asociada a la eficacia de implementación de los planes, y en el caso de ocurrencias o aplicaciones de ejercicios, asociada a la eficacia de los controles implementados. Cobra importancia, por tanto, asegurar que los nuevos escenarios de evaluación para la presupuestación correspondan a aquellos residuales planificados el periodo anterior, al menos desde el punto de vista de los avancen en la implementación de los planes y las eficacias constatadas mediante ocurrencia o ejercicios.
6.7.- Registro e informe: El modelo ha sido diseñado para proporcionar información almacenable y gestionable, basada en los registros de SAP para los activos y en el historial de identificación de riesgos para el error humano. Una adecuada gestión de los registros para asegurar su disponibilidad en investigaciones de incidentes y análisis futuros se encuentra implementada como parte de las responsabilidades del área de Gestión de Activos.
