¿Como gestionamos el riesgo residual?

La valoración del riesgo es importante para apoyar a la toma de decisiones y determinar cuándo requiera una acción de control adicional como:

• Evaluar los objetivos de seguridad, para definir el riesgo aceptable (Matriz -RAM, calibrada) frente a los costos de mitigación. Pues si este fuera tan alto como asumir, el costo del riesgo materializado.
• Mejorar las opciones para tratar los riesgos, aumentando los controles.
• Mantener los controles existentes, sí han demostrado ser suficientes para reducir el nivel de riesgo considerado aceptable.
• Identificar si la integridad de los controles críticos se ha reducido.

Las decisiones y los resultados de la valoración de riesgo residual debe ser documentado y comunicarse a los niveles apropiados de la organización.

Existe normas como las ISO 31000:2018-Gestión del riesgo, la cual solo da la directrices del que hacer para la gestión: el cómo lo deja a los criterios definidos por la empresa.

A la fecha no existe norma internacional que especifique los valores para jerarquizar los controles y calcular el riesgo residual.

Para identificar el riesgo es conveniente usar una técnica de identificación de riesgos para responder las siguientes preguntas:

¿Qué puede suceder? Es identificar la magnitud de la consecuencia o afectación si este ocurriera.

¿Como puede ocurrir? Es identificar las causas.

¿Cuándo puede suceder? Es identificar la probabilidad de ocurrencia.

 La valoración de riesgo residual es muy sencilla, basta con estimar la probabilidad de ocurrencia y las consecuencias, dado que no es una ciencia exacta. Es importante recordar los siguientes criterios:

Riesgo inherente (RI)- Es el riesgo presente en cualquier escenario donde no se ha hecho intentos de mitigación y no se han aplicado controles u otras medidas para reducir el riesgo desde niveles iniciales a niveles aceptables por la organización.

Riesgo Residual(RR) - es el riesgo restante después de haber realizado esfuerzos para reducir el riesgo inherente.

Consecuencias : se basa en el daño de lo que podrá o podría ocurrir.

Probabilidad : se basa en la efectividad y suficiencia de las medidas de control y la información de casos ocurridos anteriormente en condiciones similares.

Sugerencia de los criterios de probabilidad para Jerarquizar los controles de riesgos.
Valor-Control
5-Ninguno
4-Bajo : Confiabilidad con modos comunes de debilidad
3-Medio:Confiables
2-Alto : No es asunto de confiabilidad
1-Destacado: Extremandamente confiable

Susceptibilidad (%)
Ocurrencia (50%) ver *Atributo
Líneas de defensa (10%).
Integridad mecánica(10%) Equipos, SIS, ESD.
Administración de cambios (10%).
Disponibilidad procedimientos (10%)
Experiencia, comportamiento de operadores, mecánicos, supervisores y contratistas (10%)

*Atributo

Valor
5 Probable : Ocurre varias veces en la instalación.
4 Poco Probable- sucede varias veces al año.
3 Muy Improbable-ha ocurrido en el negocio.
2 Improbable- ha ocurrido en la industria similar
1 Extremadamente improbable - Nunca ha ocurrido

Severidad
5 Fatalidad (es).
4 Pérdida de contención con impacto en la comunidad o planta.
3 Accidentes con días perdidos, tratamientos médicos o trabajo restringido y derrames menores.
2 Accidentes con primeros auxilios, pérdida de producción por más de una hora operación.
1 Accidente registrable.

Ejemplo: RI= 5 ( Explosión nuclear con fatalidades), Ocurrencia=2 (Chernóbil), Líneas Defensa= 4 (paro de bombas de agua de enfriamiento al reactor sin estar frío), Integridad mecánica reactor=1 (cero fugas de radioactividad), Procedimientos =1(documentados y entendidos), Experiencia=1 ( operadores alto nivel escolaridad y experiencia).

Riesgo Residual (RR)=Riesgo Inherente(RI)- Impacto de los controles de riesgo.
RR=5- 2(0.5)+ 4(0.10)+1(0.10)+1(0.10)+1(.10)=5-1.7= 3.3 (Riesgo residual=Severo).

Conclusión,

La toma de decisiones sobre el nivel de riesgo residual corresponde a la alta dirección, ya que ella es la responsable de la conducción de la organización, de su viabilidad y de la toma de decisiones estratégicas como el nivel de riesgos a los que quedará expuesta. Para ello tendrá que:

1. Identificar los KPI's de seguridad y su cumplimiento.
2. Determinar si la jerarquización de los controles de riesgo son suficientes.
3. Reconcer los riesgos existentes.
4. Definir el apetito de riesgo y reflejarlo en la matriz RAM
5. Identificar las opciones disponibles para los costos de mitigación de los riesgos residuales inaceptables.

Acrónimo

RAM  Risk Assessment Management.

ESD   Emergency shoutdown device.

SIS     Safety instrumented system.

KPI's  Key Performance Indicators.

KPI's DE SEGURIDAD Y RIESGOS

Hoy en día las empresas realizan revisiones periódicas de los indicadores de seguridad y riesgos con la participación de empleados y contratistas, predominado una actitud positiva en la cultura en seguridad.

Muchos nos preguntamos:

¿Cuál es la visión de la organización?¿Cuál es la estrategia para lograr esa visión ?

¿Qué métricas indicarán que está alcanzando el éxito de la visión y estrategia?

¿Cuántos indicadores debemos tener?

¿Cuál es el punto de referencia de ese indicador?

¿Cómo podrían engañar las métricas y cómo se protegerá contra esto?

Las reuniones se caracterizan por revisar los indicadores de desempeño en el nivel estratégico, táctico y operativo que fueron definidos con la metodología SMART (Specific, Measurable, Achievable, Relevant, Time-Bound).

Su importancia de las reuniones de seguridad radica en:

·     Emitir una alerta temprana por si la integridad de sus controles críticos se ha reducido.

·     Emitir alerta temprana al aumentar la probabilidad de un accidente grave y tener las bases para su intervención.

·     Mostrar al cuerpo de gobierno de liderazgo que los sistemas son monitoreados y seguros.

·     Comparar la instalación con otras unidades de negocio o industrias del mismo sector.

Sin embargo, es importante tener buenos indicadores balanceados y ligados al valor de la organización, existen dos tipos: 

Indicadores de control – que conducen a guiar las mejoras al sistema y por lo general no hacen la diferencia y siempre están bajo control.

Indicadores de efectividad de los controles – por lo general no coinciden con las expectativas de rendimiento.

Como definimos los indicadores de efectividad?; con las "Las guías publicadas para KPI’s de seguridad de proceso" de la tabla siguiente,

Primero tendremos que identificar el nivel de riesgo mayor más creíble que sería la fatalidad-Tier 1. El incidente puede ocurrir por la falla de un servicio o las protecciones de emergencia- no operaron correctamente- o un permiso de trabajo estuvo involucrado.

Si bajamos el nivel de severidad sería por ejemplo un derrame mayor- pérdida de contención- sin redundancia- Tier 2.

Un falla  del sistema de alivio por confiabilidad- control crítico -Tier 3.

Y la falta de la administración del cambio para la condición presente-Tier 4.

Las organizaciones  para implementarlos deben conformar un cuerpo de gobierno para cada unidad de negocio, desde la alta dirección hasta el supervisor de primera línea para revisar periódicamente los KPI's, por ejemplo:

 Alta dirección y Auditorias

Tendencia de incidentes - Trimestral - KPI efectividad.

Acciones de auditorias- Trimestral - KPI control. 

Equipo de liderazgo del negocio.

Incidentes- mensual- KPI efectividad.
KPI's agregados para cada negocio - mensual- KPI control.

Cuerpo de gobierno de riesgos de la unidad operativa

KPI's del sistema por cada departamento responsable-mensual-Efectividad & control.

Cuerpo de gobierno de riesgos departamental

KPI's del sistema-semanal- Efectividad & Control.

Operaciones
KPI's clave de control de riesgos que soportan la operación-diario/semanal-Ej: Alarmas,Permisos de trabajo, Inspecciones ESD y SIS.-Control.

Cuando se cumple la agenda de la reunión con acuerdos y compromisos se hace evidente los siguiente:

1.Mayor sensibilidad de vulnerabilidad a tener un accidente mayor de seguridad de procesos.

2.Sí, los KPI’s de efectividad realmente revelan el evento percusor de acuerdo a los datos utilizados.

3.Sí, Los KPI’s desarrollados están ligados a los controles críticos de los escenarios mayores de riesgos de proceso.

4.Tendremos evidencia de las acciones dictadas por la administración para perseguir de manera rutinaria los KPI’s precursores y de control de riesgos.

DAR CLICK:  👉   TABLERO

Conclusión 

Los indicadores de seguridad solo agregan valor si se utilizan para impulsar mejoras o hacer cosas que marquen la diferencia.

Estar atento a las actividades débiles de monitoreo e informes con apoyo de los cuerpos de gobierno, las prácticas de auditoría, investigación de incidentes, ecétera, para evaluar la eficacia de las actividades de supervisión y liderazgo.

Los indicadores de control y eficacia sean desarrollados para cada control de riesgo clave para un escenario mayor de proceso no deseado.

Acrónimo,

KPI's  Key performance indicators

ESD   Emergency shoutdown device

SIS     Safety instrumented system

Tier     Nivel de fiabilidad