Sistema de monitoreo de gestión integrado de riesgos más allá de las ISO

Por: Luis Vásquez Zamora / Médico Cirujano, Universidad Estatal de Cuenca / Doctorado en Ciencias de la Gestión Salud y Ambiente, Universidad de Huelva – Universitat Pompeu Fabra, España / Especialista en Medicina del Trabajo (no sale de dónde) / Máster en Seguridad e Higiene Industrial, Universidad Médica, La Habana, Cuba. / Experto Superior en Prevención de Riesgos y Especialista en Ergonomía, Psicosociología Aplicada, Seguridad e Higiene Industrial, Universidad de Huelva, España / Diplomado en Clínica Ocupacional, Instat, La Habana, Cuba / Diplomado en Estudios Avanzados Suficiencia Investigativa, Universidad de Huelva, España / Instructor y Auditor Sart / Director Fundador de la Maestría Internacional en Seguridad, Salud y Ambiente, Universidad San Francisco de Quito, Ecuador – Universidad de Huelva, España / Director de posgrados de Seguridad y Salud, Universidad Internacional del Ecuador / Miembro de varias sociedades científicas de seguridad y salud / Reconocimientos nacionales e internacionales por actividades académicas y científicas en el campo de la seguridad y salud.

Co-autora Msc. Ing. Gloria Vásquez Larriva

Los sistemas de gestión integrado constituyen una opción cada vez más aceptada en las organizaciones, los sistemas ISO con la estructura alto nivel SL que tiene como uno de sus pilares conceptuales la gestión del riesgo y la actividad preventiva facilita la integración de los sistemas de calidad, ambiente, seguridad y salud, seguridad física y desastres. Para el desarrollo de la integración es recomendable tener la siguiente secuencia:

  1. Auditoría inicial
  2. Planificación
  3. Identificación y evaluación de riesgos
  4. Sistema de monitoreo integral de riesgos

La integración de los sistemas debe tener una estrategia eficaz de monitoreo en la cual se reflejen los procesos que cada organización considere más relevante, estos a su vez, deben tener un sistema de indicadores debidamente parametrizados que den alertas tempranas para que se puedan tomar acciones oportunas y efectivas para la corrección de errores que se vayan presentado, la información debe ser suficiente, necesaria, oportuna, fiable y disponible en dispositivos móviles independientemente de la localización, actividad y complejidad de la organización, es decir, se debe gestionar observando tres recomendaciones: simplificar, automatizar y desconcentrar.

Introducción

Los sistemas de gestión integrados entendiéndose estos como un conjunto de procesos actividades relacionados e interdependientes entre sí, cada vez van tomado más protagonismo en las gestiones contemporáneas de las organizaciones tanto públicas como privadas independientemente de su actividad y complejidad. (Abril C, Enríquez A, Sánchez J,, 2010).

ISO ha sido una de las más serias y entusiastas promotoras de los sistemas de gestión integrados, en el año 2015 surge la estructura de alto nivel SL que permite estandarizar una estructura única, que entre una de sus ventajas, está  precisamente el poder unificar estructural y terminológicamente para poder integrar inicialmente los tres sistemas más conocidos utilizados como son ISO 9001:2015, ISO 14001:2015, OHSAS 18001 misma que deberá migrar a la ISO 45001:2018, recientemente aprobada (AENOR, 2018).

Consideramos que existen tres grandes intereses que tienen las organizaciones: 1. Políticos-Legales, 2. Sociales, 3. Económicos. Los tres interactúan y, la prioridad de los mismos depende de los objetivos de las organizaciones.

Después de un análisis de correlación positiva es posible realizar la integración de los sistemas de gestión, planteando que la unificación debería considerar las siguientes directrices: simplificar, automatizar, desconcentrar, abaratar y masificar con el objetivo de facilitar su difusión y, sobre todo, su implementación en todo tipo de organización.

Un primer intento a gran escala se pudo realizar en Ecuador entre 2013 a 2015, al implementar por parte del Instituto Ecuatoriano de Seguridad Social (IESS) al implementar en el país el Sistema de Auditorías de Riesgos del Trabajo que se pudo realizar de manera automatizada a nivel nacional en todo tipo de organización llegándose a auto auditar alrededor de 16.750 empresas, dando un índice de eficacia o cumplimiento técnico legal de 27.85%, hecho inédito que las propias organizaciones de manera voluntaria indiquen un bajo nivel de cumplimiento técnico legal (Instituto Ecuatoriano de Sguridad Social, 2015).

En un estudio realizado por un grupo de investigadores de la Universidad SEK de Ecuador (Primera Encuesta de Condiciones de Seguridad y Salud en el Trabajo) se pudo determinar que durante la aplicación de este sistema de auditorías de riesgos del trabajo, mejoró la prevención misma que se reflejó en el reporte de la siniestralidad laboral durante los años en que se implementó y el deterioro de los mismos, luego de que se dejó de aplicar la misma (Grupo de Investigación sobre Condiciones de Seguridad y Salud en el Trabajo, 2017). La Auditoría sin duda, es una herramienta de verificación de suma importancia en los sistemas de gestión, ya que se constituye en el medio más idóneo de verificación de su implementación. (Sevilla J, 2012) (Vásquez L, Sistemas de Gestión de Seguridad y Salud en el Trabajo: Auditorias de Verificación, 2016).

Proponemos un sistema integrado que englobe la seguridad y salud ocupacional, la calidad, el medio ambiente, la seguridad física que a su vez contemple la seguridad ciudadana, seguridad en la información, seguridad financiera y, por último, la seguridad en el manejo de los desastres para la seguridad y salud, calidad y ambiente nos basaremos en los sistemas ISO 9001(2015) (AENOR, 2015), 14001(2015) (UNE, 2016) y 45001 (2018) (AENOR, 2016) (AENOR, 2018). Para la seguridad ciudadana utilizaremos el modelo Mosler (Foro de Seguridad, 2017). Para la seguridad financiera, los conceptos de la Comisión de Basilea (Banco de Pagos Internacionales, 2006). Para la seguridad en la Información, el Sistema ISO 27001 e ISO 20000 (ICONTEC, 2006) (ICONTEC, 2006) y, finalmente, para el manejo de Desastres el Modelo del Banco Interamericano de Desarrollo BID (BID, 2010).

Sobre la base de estos conceptos hemos desarrollado las auditorías respectivas y un modelo que registra, analiza y controla información oportuna, necesaria, suficiente, veraz y fiable que lo denominamos “Sistema de Monitoreo Integral de Riesgos o SMIR”. Todo se ha generado en base a una plataforma virtual que permite tener la información en tiempo real, subida a un hosting en la nube, con lo cual podemos tener toda la información en tiempo real en dispositivos móviles y georreferenciados.

Antecedentes

Durante 2013 y 2014, se desarrolló en Ecuador a nivel nacional un sistema de gestión de auto auditorías informatizadas en tiempo real, de manera voluntaria y gratuita de riesgos del trabajo. Se auto auditaron 16.200 empresas, que determinaron un cumplimiento de la normativa técnica legal del 27,48% del 80% mínimo exigido por la normativa nacional exigida (Instituto Ecuatoriano de Sguridad Social, 2015), a pesar de que las propias empresas y, de manera voluntaria, indicaron un bajo nivel de cumplimiento, el mismo que era conocido de manera automática y en tiempo real. Se realizó utilizando la misma plataforma, un análisis de aceptación y confiabilidad de las mismas empresas, tomando una muestra aleatoria de 223 empresas, las cuales expresaron un 93,49% de aceptación.  (Vásquez L, Sistemas de Gestión de Seguridad y Salud en el Trabajo: Auditorias de Verificación, 2016) (Vásquez L, Sistemas de Gestión de Seguridad y Salud:Auditorias de Verificación, 2016).

Las auditorías en sus distintas formas de realización (ISO, 2011) (Sevilla J, 2012) en la aplicación realizada en Ecuador por un organismo estatal que corresponderían a una auditoría interna, constituyó un éxito sin precedentes determinado por la herramienta tecnológica usada y la sencillez de la estructura de la auditoría en su fondo y forma (Vásquez L, Sistemas de Gestión de Seguridad y Salud en el Trabajo: Auditorias de Verificación, 2016) (Grupo de Investigación sobre Condiciones de Seguridad y Salud en el Trabajo, 2017).

Consideramos bajo los principios de: simplificar, automatizar y desconcentrar, realizar una propuesta de herramienta automatizada que permita integrar los sistemas de: seguridad y salud, calidad, ambiente, seguridad física y desastres, y tomamos como referencia estructural a la familia ISO aplicable para seguridad económica financiera el modelo RISICAR propuesto por la Profesora Rubí Mejía de la Universidad EAFIT (Mejía R, Identificación de Riesgos, 2013) (Mejía R, Identificación de Riesgos, 2013), para Violencia Social el Modelo Mosler (Foro de Seguridad, 2017), para desastres el Modelo del Banco Interamericano de Desarrollo BID (BID, 2010), como conceptos referentes de integración a ISO 31000 y como proyección de continuidad bajos los lineamientos de la prospectiva estratégica (disciplina que estudia el futuro para comprenderlo e influir en él) (Sierra J, 2014) y la ISO 22301 (UNE, 2013) de continuidad de negocio que lo podríamos esquematizar en el siguiente cuadro.

Fuente: autor

Sobre la base de la experiencia anterior, del desarrollo del sistema de auto auditorías, se estableció una ponderación sobre el número de elementos y subelementos aplicando una regla de tres, lo que permitió tener valores objetivos sobre el cumplimiento de los estándares aplicados, los mismos que podrían dar los siguientes valores de cumplimiento sea aplicable el 100% del valor asignado, cumplimiento parcial cuando se cumplía el 50% o más del estándar exigido y se le asignaba una valor del 50%, no cumplimiento se asignaba un valor del 0% y, finalmente, cuando el estándar no era aplicable se le daba un valor similar al de cumplimiento, es decir, del 100%. Semánticamente, se usaba la terminología ISO “No Conformidad Mayor”, “No Conformidad menor”, “Oportunidad de Mejora” y “Observaciones” (AENOR, 2015).

Auditorias

Para auditar calidad, ambiente, seguridad y salud, y seguridad en la Información se aplicó la estructura de alto nivel SL de ISO, estructurando por requisitos que a su vez tienen elementos y subelementos (AENOR, 2015) y ponderándose de acuerdo con el número de los subelementos, aplicando una regla de tres y asignado valores porcentuales a cada uno de ellos.

Aplicando la misma lógica se confeccionó una matriz de auditoría para riesgos financieros con su propia escala de cumplimiento, la misma que también está parametrizada desde: bajo, medio, hasta alto, misma que guarda correspondencia con una calificación obtenida. (Banco de Pagos Internacionales, 2006).

El método Mosler, utilizado para auditar riesgo de violencia social, se estructuró como el método anterior, utilizando los criterios de este método y ponderando los valores predeterminados. De acuerdo con este método, los propone obteniéndose una calificación correspondiente a: riesgo muy bajo, bajo, normal, elevado y muy elevado (Foro de Seguridad, 2017).

Para calcular el riesgo de desastres se realizó la auditoría con la aplicación de los mismos conceptos anteriores, utilizando el método del BID (BID, 2010) que calcula cuatro índices con sus respetivos elementos y subelementos: 1. Índice de déficit por desastres, 2. Índice de desastres locales, 3. Índice de vulnerabilidad prevalente, Índice de gestión de riesgos. Cada uno nos indicará si existe una adecuada o inadecuada gestión de riegos de desastres, de acuerdo con los valores estimados que se desprenden de la auditoría efectuada (BID, 2010).

Planificación

Después de concluidas las auditorías y como segundo gran elemento, se genera de manera automática el informe que indica: cumple, no conformidad mayor, no conformidad menor, no aplica, oportunidad de mejora y observación de cada uno de los requisitos, elementos y subelementos auditados, esta información pasa a un formato excel que permite hacer modificaciones o inclusiones y se estandarizan para todos los sistemas de reporte de auditoría antes indicados y contiene los siguientes elementos:


Identificación y evaluación de riesgo

El tercer paso importante en la gestión integral de riesgos consiste en realizar la identificación, medición, evaluación, control de riesgos y evaluación de la gestión realizada que permita determinar en el tiempo si las medidas tomadas dieron los resultados esperados, es decir se gestiona la incertidumbre de cumplir o no los objetivos trazados (AENOR, 2016) (AENOR, 2015) (UNE, 2016) (Sierra J, 2014).

Cada sistema puede o no tener un método específico de identificación de riesgos con mayor o menor especificidad (Mejía R, Identificación de Riesgos, 2013), nosotros consideramos que se debe usar el método con el que el profesional tenga mayor “expertise”. Consideramos que para seguridad y salud en el trabajo, el método Guía Técnica Colombiana 45: Identificación de Peligros Evaluación de Riesgos Laborales (ICONTEC, 2010) por ser un método ampliamente usado y conocido que permite valorar las medidas preventivas y correctivas que se tomen.

Para el sistema de calidad es una buena opción el método AMFE: Análisis de Modo de Fallas y Efectos, igualmente, por su versatilidad y amplio uso que ha tenido para este propósito (Instituto Nacional de Seguridad e Higiene en el Trabajo, 1996).

Para el sistema de gestión ambiental es útil emplear la Matriz de Leopold a pesar de que tiene muchos años desde su publicación, sigue teniendo plena vigencia (Woodside G, 2001).

Para el sistema de gestión de la información nos podemos basar en la norma ISO 27001 (ICONTEC, 2006) y en una lista de puntos básicos de revisión que lo plantea Jesús Costas en su libro Seguridad Informática (Costas J, 2011) y que comprende tres ejes a ser protegidos: hardware, software y datos; basados en 5 principios: 1. Confidencialidad, 2.Integridad, 3.Disponibilidad, 4.Autenticación, 5.no repudio. Que pueden estar amenazados por personas, amenazas lógicas y amenazas físicas. (Costas J, 2011).

Finalmente para el sistema de gestión de violencia social el método Mosler constituye el más usado y está en plena vigencia y aplicación por los profesionales especialistas en el área (Foro de Seguridad, 2017).

Sistema de Monitoreo Integral de Riesgos “SMIR”

Este sistema constituiría el tercer puntal para la integración del sistema de gestión de riesgos, recoge información: oportuna, suficiente, necesaria, pertinente, veraz sobre los sistemas de gestión de riesgos (Mejía R,  dminsitración de Riesgos un Enfoque Empresarial, 2006) (Vásquez L, Sistemas de Gestión de Seguridad y Salud en el Trabajo: Auditorias de Verificación, 2016) (Ruiz C,Declós j, Ronda E, García A, Benavides F, 2014) (Sanabria, 2015) (Sevilla J, 2012).

El tener la información necesaria y de manera oportuna, independientemente de la localización geográfica y de la hora del día del usuario de destino, se vuelve más necesario en función que las fronteras geográficas como las conocíamos han desaparecido con la globalización de la información (Costas J, 2011) (Fontalvo T, 2006).

El sistema de monitoreo concentra información de acuerdo con las necesidades de la organización, está diseñada para importar información de cualquiera de los sistemas que la conforman los cinco ejes conceptuales de la misma. Consideramos que la primera información que se debe tener es el resultado de las auditorias, luego el resultado de los aspectos claves de la planificación y después, los resultados de la evaluación de riesgos. Se podrá ir ingresando mayor información traducida en indicadores de gestión de acuerdo con las necesidades. Estos indicadores deben estar debidamente parametrizados con la finalidad de que en función de los rangos que establezcamos, nos den alertas tempranas, las mismas que deben ser establecidas con códigos de colores y con gráficas resumidas que nos permitan tener una información resumida y precisa.

Como ejemplo de lo indicado, la figura 4 muestra cómo SMIR indica con colores el nivel de cumplimiento, el mismo que hemos establecido de la siguiente manera: código verde, cumplimiento del 80% o más. Código naranja, cumplimiento del 50% al 79%. Y código rojo, cumplimiento menor al 49%. Esta representación gráfica nos alertará de manera oportuna y sencilla del nivel de cumplimiento, los cuales se pueden tener en los dispositivos móviles de uso tan generalizado en la actualidad.

A su vez, en la misma pantalla podemos desplegar información más detallada sobre el sistema que nos interese conocer de manera rápida, pero con mayor precisión y establecer un reporte de resultados que periódicamente lo podemos tener permitiéndonos realizar un análisis comparativo de los mismos.

El sistema ha sido programado sobre un sistema operativo Linux Centos 5.5x, Windows X7,8 et phpM y Admin Database Manager Versión 4.4.x; PHP information Versión 5.3¸Apache Web Serrver Versión 3.2 X; PhP Acript Lenguaje Versión 5.5X ,MySQL Database Versión 5.5 de 32 bits o 64 bits, memoria Ram 4GB, Espacio disco duro 120GB Mínimo a 1 TB, navegador Web Google Chrome, Mozilla Firefox, con las siguientes características:

  1. El Sistema está desarrollado en código abierto, PHP, Ajax, JavaScript, JS, JQuery
  2. Framework PhpGridEnterprise (consultas),
  3. HPChartEnterprise, PHP Report Maker, RGraph (reportamiento gráfico).
  4. Multiplataforma
  5. Multiusuario
  6. Orientado al cliente
  7. Control más efectivo de las actividades

Resultados

◥ El desarrollo e implementación del sistema de gestión integral nos ha permito simplificar, automatizar y desconcentrar la gestión integral de riesgos.

◥ Su fácil manejo ha posibilitado la participación e involucramiento de los usuarios asignados a distinto nivel de la organización y con accesos a diferentes niveles de información.

◥ Ha permitido tener una información real, oportuna, suficiente, necesaria de acuerdo con los niveles que la organización amerite y con la posibilidad de tomar decisiones efectivas que contribuyan a mejorar la organización.

◥ Ha permitido visibilizar la integración de los sistemas haciéndole accesible a los grupos de interés de la organización.

◥ Su bajo costo de implementación le ha vuelto atractiva a la organización, ha disminuido la burocracia en un 70%.

◥ Con la aplicación de este sistema en tres grandes organizaciones de Ecuador de más de 500 trabajadores como proyectos pilotos, hemos tendido un ahorro en personal dedicado a esta actividad del 70%, nos ha tomado en promedio cuatro meses el desarrollo e implementación y hemos mejorado el nivel de cumplimiento técnico legal de todos los sistemas en este mismo periodo en un 35%.

Conclusiones

◥ La integración de los sistemas constituye una buena opción para implementar eficaz y estratégicamente los sistemas de gestión.

◥ La nueva estructura de alto nivel SL ayuda a la integración de los sistemas de gestión y permite constituir una matriz común a todos ellos.

◥ La inclusión de los otros sistemas como seguridad física y desastres, es plenamente compatible con los sistemas de gestión ISO porque se basan en la prevención de los riesgos y son eminentemente preventivos.

◥ La automatización de los sistemas de gestión contribuye a la implementación por su sencillez adaptabilidad, flexibilidad y participación del personal involucrado a todos los niveles de la organización.

◥ La automatización proporciona información en tiempo real y con disponibilidad permanente, independientemente de la locación y características de la empresa.

◥ La integración es eficiente en costos y optimiza los recursos existentes en las organizaciones.

Referencias bibliográficas

◥ Abril C, Enríquez A, Sánchez J,. (2010). Guía para la Integración de Sistemas de Gestión. Madrid: FC Editorial.

◥ AENOR. (2015). Norma Internacional Traducción Oficial ISO 9001. Ginebra, Suiza.

◥ AENOR. (2016). ISO/DIS 45001. Madrid, España.

◥ AENOR. (2018). Nueva Norma ISO 45001. Madrid, España.

◥ Azcuénaga L. (2010). Guía para la Implementación de un Sistema de Prevención de Riesgos Laborales. Madrid: FC Editorial.

◥ Banco de Pagos Internacionales. (2006). Principios Básicos para una Supervisión Bancaria Eficaz. Basilea, Suiza.

◥ BID. (2010). Indicadores de Riesgo de Desastres y de Gestión de Riesgos. Quito: BID.

◥ Canelos R. (2010). Formulación y Evaluación de un Plan de Negocios. Quito: UIDE.

◥ Costas J. (2011). Seguridad Informática. Bogotá: Ediciones de la U.

◥ Duncan G, Eslava A, Giraldo J, otros,. (2015). Territorio, Crimen Comunidad. Medellín: EAFIT.

◥ Fontalvo T. (2006). La Gestión Avanzada de la Calidad. Bogotá: ASD2000.

◥ Foro de Seguridad. (2017). Analisis y Cálculo de Riesgos: El Método Mosler. Buenos Aires, Argentina.

◥ Gómez E, Mora A, Uribe R,. (2015). Análisis de Riesgo en Proyectos . Medellín: Lys Comunicación Práctica.

◥ Grupo de Investigación sobre Condiciones de Seguridad y Salud en el Trabajo. (2017). I Encuesta sobre Condiciones de Seguridad y Salud en el Trabajo. Quito: U SEK.

◥ ICONTEC. (2006). Norma Técnica NTC-ISO/IEC 27001. Bogotá, Colombia.

◥ ICONTEC. (2010). Guía para la Identificación de los Peligros y la Valoración de los Riesgos en Seguridad y Salud Ocupacional. Bogotá, Colombia.

◥ INCONTEC. (2012). NTC-ISO/IEC 20000-1. Bogotá, Colombia.

◥ Instituto Ecuatoriano de Sguridad Social. (2015). Rendición de Cuentas 2014. Quito: IESS.

◥ Instituto Nacional de Seguridad e Higiene en el Trabajo. (1996). NTP 679: Análisis Modal de Fallos y Efectos. AMFE. Madrid, España.

◥ ISO. (2011). NORMA INTERNACIONAL ISO 19011. Ginebra, Suiza.

◥ La Rotta L. (2005). Diccionario de Seguridad Metis. Bogotá: SICUREX.

◥ Mejía R. (2006). Administración de Riesgos un Enfoque Empresarial. Medellin: EAFIT.

◥ Mejía R. (2013). Identificación de Riesgos. Medellín: EAFIT.

◥ Orgnización Mundial de la Salud. (1995). Salud Ocupacional Para Todos Estrategia Mundial. Ginebra: OMS.

◥ Ruiz C,Declós j, Ronda E, García A, Benavides F. (2014). Salud Laboral. Madrid: Elsevier Masson.

◥ Sanabria. (2015). La Responsabilidad Empresarial en la Seguridad y Salud en el Trabajajo. Lima: Lex & Iuris.

◥ Sevilla J. (2012). Auditoría de los Sistemas Integrados de Gestión. Madird: FC Editorial.

◥ Sierra J. (2014). Prospectiva Estrategica. Madrid, España.

◥ UNE. (2013). UNE-ISO-22301. Madrid, España.

◥ UNE. (2015). UNE-ISO/TR 31004 IN. Madrid, España.

◥ UNE. (2016). UNE-EN ISO 14004. Madrid, España.

◥ Vásquez L. (2016). Sistemas de Gestión de Seguridad y Salud en el Trabajo: Auditorías de Verificación. Bogotá: UIDE-CCS.

◥ Vásquez L. (2016). Sistemas de Gestión de Seguridad y Salud: Auditorías de Verificación. Protección& Seguridad.

◥ Woodside G, A. (2001). Auditoría de Sistemas de Gestión Medioambiental. Madrid: Mc Graw Hill.

 
 
 

Compartir

Facebook
X
LinkedIn