La industria manufacturera es muy dinámica recientemente, existen situaciones geopolíticas que han marcado diferentes tendencias, que obligan a los representantes de seguridad de cada organización a identificar los riesgos antes de pensar en mitigación.

La guerra de Ucrania-Rusia, el conflicto armado en Israel, la situación en el canal de Suez por parte de terrorismo de ciertos grupos, o los bajos niveles de agua en el canal de Panamá, son situaciones que de riesgo.

Hablar de riesgos no es solo hablar de seguridad, sino de factores que incrementan la necesidad de disponibilidad de partes y productos como semiconductores o chips. El incremento de canales de e-commerce legales e ilegales, el incremento de mercados paralelos o de falsificaciones; en fin, hay que tomar en cuenta todo el ciclo de la cadena de suministro.

Hoy en día la adecuada gestión de riesgos con el “nearshoring” implica un alto volumen de la manufactura de exportación, con riesgos adicionales una vez que se manufacturan los productos y que se ve reflejado en más envíos terrestres y marítimos que cuidar, rutas seguras, exceso de oferta laboral, incremento de potencial falsificación de productos, inventarios altos con incremento de locaciones externas, y sin duda alguna la presencia del crimen organizado en algunas ciudades del país en donde hay alta concentración de sitios de manufactura.

Dentro del proceso de manufactura también es importante identificar los riesgos de partes y productos de alto riesgo en las líneas de producción, lo que comúnmente se conoce como WIP (Work in process); los controles que es preciso implementar para evitar los robos hormiga, el sabotaje a producto o daños a líneas o controles y tableros, la protección de la información confidencial y propiedad intelectual de ciertos productos, el diseño del flujo de materiales de los almacenes a la línea y después la destrucción de los desechos y residuos derivados del proceso industrial (scrap), el deshacerse de los logotipos y dejar que sean otros elementos gráficos los que identifiquen y definan una marca (debranding) de productos obsoletos y la disposición apropiada de los residuos.

El enfoque debe ser holístico totalmente, no solo gestionar los riesgos directos que tienen un impacto en los sitios de manufactura como robos, fraudes, extorsiones, crimen organizado, sino los riesgos adicionales como falta de agua, y de energía renovable, poca oferta de vivienda digna para este fenómeno de contratación nómada en algunas ciudades, incertidumbre jurídica y aboral con reformas a las leyes, respeto a inversiones con el Tratado entre México, Estados Unidos y Canadá (TMEC), etc.

El enfoque principal es partir de la premisa de la globalización que tiene 3 principales características:

Complejidad. Los sistemas actuales no pueden ser infalibles, a lo máximo que podemos aspirar es que los sistemas fallen de forma segura.

Volatilidad. El presente es pasado y el futuro es ahora, los acontecimientos van más rápido que nuestras acciones, y por último la

Incertidumbre. La incertidumbre en los negocios, especialmente durante estos tiempos duros, es una verdad cruel, las cosas no desaparecen solo por ignorarlas, ahí siguen.

En una planta de fabricación, considerando lo anterior, deben enlistarse los eventos disruptivos que son un riesgo y cómo gestionarlos para cada supuesto con planes adecuados de emergencia y respuesta, verificados y evaluados, con simulaciones periódicas.

Estos eventos se dividen en operacionales y no operacionales.

Operacionales. Incendios, huelgas, paros, bloqueos, atetados, fraudes, dalos y fallas de equipos, accidentes, fugas, derrames, epidemias, etc.

No operacionales. Cambios legales, fluctuaciones del mercado, cambios políticos, colapsos financieros, escándalos, rumores, etc.

Con un análisis de riesgo 360°, un documento vivo que se tienen que mantener actualizado cada vez que emerge un riesgo nuevo, o que las condiciones del negocio cambian. La industria manufacturera en México es muy dinámica, siempre emergen situaciones inesperadas como bloqueos en ciertas ciudades, o carreteras, movimientos sociales, rutas nuevas, eventos de secuestro.

Para realizar este ejercicio 360° lo inicial es definir la emergencia, es decir, todo aquello que genera un riesgo de daño inmediato o inminente a la integridad de las personas, el ambiente y/o las instalaciones y los activos.

El primer punto focal en caso de algún evento negativo emergente en una organización deberá estar orientado a identificar el origen de un problema, controlarlo, evitar o limitar los daños o consecuencias que pueda ocasionar y evitar que la operación se vea afectada.

Cada instalación debe de contar con un plan de emergencias adecuado a sus riesgos y que cuente con los recursos suficientes, que le permita enfrentar los eventos que potencialmente puedan ocurrir.

El plan de emergencias es la acción operacional tendiente para controlar y o eliminar el evento que es fuente de una amenaza inmediata, limitando lesiones, daños y pérdidas directas a los activos. Este plan debe incluir actividades inmediatas tal como combate de incendios, control de fugas o derrames, rescate de personas, control de ataques o intrusiones, evacuaciones de instalaciones, y resguardos de bienes entre otros.

Adicional a esta reacción de eventos emergentes con un buen plan, es que las organizaciones cuenten con la estructura organizacional de respuesta a estos riesgos emergentes, que garanticen una respuesta confiable, oportuna y eficaz.

Esta respuesta debe ser a dos niveles y cada una de ellas involucra diferentes niveles dentro de la organización:

Respuesta Local (Instalación y proceso). De carácter táctico, ejecutada por la estructura operacional y orientada a controlar el riesgo emergente, limitar sus consecuencias y garantizar el funcionamiento de los procesos. Este nivel de respuesta determina los recursos requeridos, y los moviliza e implementa la respuesta en sitio, coordinando el uso de los recursos, soportando y manteniendo los procesos, el control y la recuperación.

Respuesta central (Corporativa). De carácter estratégico, ejecutada por la estructura directiva y orientada a limitar los impactos del riesgo emergente y garantizar la continuidad del negocio. Este nivel de respuesta conoce y evalúa impactos potenciales, define las estrategias corporativas de respuesta, maneja las acciones públicas claves de comunicación y asegura los recursos financieros de implementación.

Generalmente, hay varios tipos de riesgos laborales; aquellos que son muy evidentes, los que son identificables, pero requieren evaluación, los ocultos que aparecen cuando se hace las revisiones y los autoinfligidos o los inducidos. Estos riesgos generalmente tienen un impacto reputacional, social o inclusive financiero.

Una de las principales medidas de control recomendada son los mecanismos de auditoría que garantizan la confiabilidad y continuidad, y permite hacer los ajustes necesarios cuando sean requeridos. En las auditorias se tiene oportunidad de verificar y evaluar a las organizaciones y las personas que las dirigen para detectar riesgos laborales. Otras acciones recomendables son:

Inspecciones físicas a las áreas, exámenes socioeconómicos, encuesta para escuchar la voz de los empleados, verificación de registros, monitoreo activo del ambiente laboral, concientización de prevención en casos de violencia en el lugar de trabajo y acoso sexual o laboral, implementación y uso de una línea de reporte 0800 que permita elevar preocupaciones de forma anónima, asegurar que no existe la cultura de represalias, (retaliation) y que los procesos de seguridad no sean invasivos.

Muchas organizaciones han desarrollado el departamento de Resiliencia organizacional para gestionar los riesgos laborales. En México la NOM035 y la NOM 037 han venido a regular también este tema.

Este concepto de resiliencia ha evolucionado en su alcance y aplicación a lo largo del tiempo. Sin embargo, su evolución conserva elementos comunes en todos los campos de aplicación.

Ingeniería (ciencia de los materiales), que en términos simples es la capacidad de memoria de un material para recuperarse de una deformación, producto de un esfuerzo extremo.

Psicología, que es un proceso dinámico que tiene como resultado la adaptación positiva, en un contexto de gran adversidad.

Organización, que hace referencia a la habilidad que tienen las empresas para sobreponerse a circunstancias desfavorables, las cuales han generado cambios en su desarrollo habitual.

Las áreas anteriormente mencionadas, calculan los impactos de los riesgos laborales en las organizacionales de acuerdo con la vulnerabilidad y consecuencias de las amenazas, y sus probabilidades de ejecución.

Los riesgos ambientales en la industria manufacturera generalmente están ligados al cumplimiento de la ley, emisiones a la atmósfera, tratamientos de aguas residuales, áreas verdes, zonas de fumadores, emisiones de ruido, manejo y disposiciones de residuos y basura, riesgos sanitarios de comedor, baños, manejo de fauna, etc.

Las principales consideraciones consisten en conocer la ley aplicable para cada tema y conocer los límites permisibles para cada riesgo asociado, así como las consecuencias de incumplimiento; así de claro. Es altamente recomendable que las regulaciones internas de las empresas siempre vayan más allá de lo que la ley obliga.

Ello permite a las organizaciones fomentar el uso de energías renovables, disminuciones en la huella de carbono, políticas de instalaciones libres de humo, adecuar las instalaciones para aprovechar jardines, espacios libres, implementación de comités verdes, etc.

Los riesgos ambientales generalmente afectan las premisas críticas de las organizaciones, es decir, su permanencia, responsabilidad social y rentabilidad, ya que la mayoría de las veces el factor de origen puede ser natural, es decir, derivado de la acción de la naturaleza y otros pueden tener su fuente de origen en la parte tecnológica, es decir de situaciones accidentales asociadas a las actividades desarrolladas por el hombre, estos eventos pueden ser incendios, explosiones, fugas de alguna sustancia, accidentes, intoxicaciones, ruptura de equipos, radiaciones, etc.

El desafió más grande es poder contagiar la organización en una nueva cultura de gestión de riesgos de seguridad empresarial (ERSM. Enterprise risk security management) que influya en el manejo de riesgo y toma de decisiones a nivel de la alta dirección (C-Suite). Dependiendo de la madurez de cada organización, el desafió será menor.

En este programa de ERSM el riesgo se ve como una oportunidad, y se trata de incorporar el manejo de los riesgos en la misma manera como se hace en los negocios, con el propósito de facilitar el cumplimiento de los objetivos estratégicos de la empresa. Con esta metodología, los controles para la gestión de riesgos se establecen en función de cuanto queremos limitar los impactos y cuanto riesgo queremos aceptar.

Una manera de hacer más fácil estos desafíos de implementación del programa de gestión, es la revisión periódica de carácter detallado y sus resultados. Estos se deben reflejar en la planeación y desarrollo del negocio en todas sus etapas.

Entre más esten permeados los principios que comúnmente rigen un programa ESRM, más fácil será su implementación, estos principios básicos son:

• La gestión de riesgos como una herramienta para el desarrollo estratégico.
• Los objetivos son el principal punto de las decisiones.
• La estrategia por encima de la parte táctica.
• El liderazgo reemplaza la especialización.
• La responsabilidad debe de ser ejercida desde el top management.

Un papel prioritario. Hoy en día existen muchas soluciones en App´s de control, de trazabilidad, de registro que hace las labores libres de consumo de papel, (paperless), más rápidas y confiables, adicional a soluciones tecnológicas que son herramientas de vigilancia o detección, que ayudan a disminuir los recursos y gastos e incrementan la eficacia.

Para implementar la tecnología en la gestión de riesgos, es preciso que todos aquellos procesos que se pretendan automatizar; reportes, análisis, checklist, etc. estén en el idioma que rige en el país de implementación, ya que, por ley, debe ser así. Caso contrario, cuando se pretenda usar para seguros, cobertura, etc., tendría que pagarse peritos traductores que, muchas veces, no son aceptados.

Es importante, asimismo, que el servidor en donde se encuentre toda la información capturada en la gestión de riesgos, posea la seguridad, privacidad y antivirus que proteja la información apropiadamente.

La política de riesgos de cada organización, debe incluir los pasos que se hayan automatizado como parte de esta implementación tecnológica. Principalmente, porque en la política de riesgos es donde se armonizan los esfuerzos de la organización, y se establece el marco de acción en la gestión.

Otro punto para considerar al usar tecnología en la gestión de riesgos es la integralidad. El primer paso o esfuerzo orientado a la integración de la seguridad de una empresa, se desarrolla mediante la unión de todos los programas de seguridad; al automatizar un proceso, este no debe desconectarse del paso previo o paso siguiente.

La gestión integral de riesgos es la manera como en una organización se manejan todos los riesgos, independientemente de su naturaleza u origen, bajo una misma orientación, utilizando la misma estructura.

Lo más común a digitalizar o transformar en procesos tecnológicos es el registro de informes, es decir, cómo documentar los resultados de la gestión de riesgos e informar a todos los niveles de una organización para facilitar la toma de decisiones y la mejora continua.

La colaboración con otros departamentos es esencial en la gestión de riesgos. Es necesario contar con una estructura para dar respuesta a eventos que puedan afectar el negocio y se requiera que toda la organización haga las cosas correctas y oportunamente. Cualquier falta, equivocación o falta de colaboración entre departamentos se vera reflejada directamente en los resultados negativos de la gestión de riesgos integral.

Cada integrante de la organización tiene roles que cumplir para la resolución éxitos de los riesgos, ya sean propios por su función o asignados de manera especial como un rol horizontal, siempre se deben establecer de manera clara funciones, responsabilidades, atribuciones y limitaciones, así como los mecanismos de coordinación o colaboración.

Cada organización debe diseñar una estructura tipo multinivel que facilite de manera oportuna, eficaz, simultánea, y coordinada las acciones de forma confiable y en diferentes niveles de la organización.

En mi caso tenemos un consejo de soporte de áreas (Support Areas Council), en donde las áreas funcionales o administrativas colaboramos intensamente para ayudar a que la organización logre sus objetivos de negocio, Legal, Finanzas, Salud, Seguridad y Ambiente (Environmental, Health & Safety EHS), Recursos Humanos (HR), Instalaciones (Facilites), Seguridad (Security), interactúan para cada tema a fin de asegurar que, los intereses de cada uno, son incluidos en cada proyecto que se presenta a la Alta Dirección.

Para que la colaboración con otros departamentos sea exitosa en la gestión de riesgos integral es importante:

• Tener una estructura clara de gestión de riesgos.
• Definir roles y actividades.
• Lista e información de contactos clave.
• Documentos de referencia actualizados y disponibles.
• Formatos de trabajo previamente definidos.

Sin duda lo que más ha impactado son las reformas laborales que han cambiado las reglas de juego, la contratación basada en Registro de Prestadores de Servicios Especializados u Obras Especializadas (REPSE), libre asociación sindical, días de vacaciones, días de descanso, máximo de horas de trabajo, la NOM037 para trabajo remoto, la NOM 035, etc.

México, en específico, cada día tiene que alinearse más a todas las regulaciones del TMEC pero al mismo tiempo estar abierto a toda aquella regulación de Asiay la Unión Europea.

La gestión de riesgos cada día es más globalizada y debe mantenerse actualizada por todos los cambios regulatorios, a nivel mundial, que puedan tener un impacto si no se gestionan apropiadamente.

Muchas compañías cuentan con un departamento que se le conoce como Trade Compliance, que no solo gestiona la parte de cadena de suministro sino también el cumplimiento legal de todos los requisitos de fabricación, importación, exportación, activos, disposición legal de residuos, obsoletos, y en gran medida cómo hacen sinergia o se contraponen estas regulaciones internacionales con las locales.

Una característica de cambios regulatorios es su temporalidad. Los equipos involucrados en gestionar los riesgos de estos cambios, deben mantenerse alerta de fechas o tiempos de vigencia de cada cambio legal o regulatorio, para garantizar una respuesta adecuada dentro de los tiempos máximos; la respuesta adecuada a desarrollarse para cualquier cambio regulatorio, debe darse dentro del tiempo y debe poder proporcionarse en cualquier momento en que se pueda presentar los cambios

Trabajar en un comité de crisis multidisciplinario que desarrolle un Plan de Gestión de Crisis o Emergencia, (Crisis/Emergency Management Plan. CEMPS), que genere una cultura de resiliencia en donde la misión sea evitar y mitigar interrupciones de negocio, a través de una planeación robusta sin llegar a un Plan de Continuidad de Negocio (Business Continuity Plan. BCP), responder y minimizar impactos negativos a la operación por cualquier crisis o emergencia, y lo más importante, continuar con la operación manteniendo a los empleados seguros en cualquier operación.

Dentro de las estrategias para mejorar la capacidad de respuesta, es importante que las organizaciones tengan bien definido su plan de respuesta. Este debe incluir:

• Preparación.
• Financiamiento
• Evaluación.
• Implementación.
• Seguimiento

Estos puntos son criterios básicos de decisión para la implementación de medidas técnico-operativas orientadas a actuar sobre cualquier elemento afectado por un riesgo o una crisis.

Como resultado, es posible anticipar una crisis, fortalecer la capacidad de respuesta, incrementar la resiliencia en el sistema y la mejora continua. Dentro de la gestión de la crisis existen diferentes alternativas para que las organizaciones pueden afrontar los riesgos.

• Evitar la crisis.
• Contener su desarrollo con actividades proactivas o reactivas.
• Disminuir los impactos con un monitoreo permanente.
• Recuperar el ciclo de negocio.
• Rescate de activos estratégicos.
• Aprender de la crisis.

Hay que recordar que los eventos inesperados no precisamente tienen que ser una crisis; pueden alcanzar el nivel de emergencia solamente y, en este caso para no ser tan redundante, lo principal es la implementación periódica y continua de simulacros para los diferentes escenarios que la matriz de riesgo determine.

Entre más practique el comité de respuesta de emergencia o crisis los pasos a seguir en caso de que se presente un evento inesperado, más alto es el porcentaje de éxito en su tratamiento; los miembros del comité estarán más familiarizados con su rol y actividades, la lista de contactos internos y externos se mantendrá actualizada, y podrán realizar los cambios necesarios en cada ejercicio que realicen.