ca 145-200-02 1/53 circular de asesoramiento ca : 145-200
Anuncio
“Decenio de las Personas con Discapacidad en el Perú” "Año del Centenario de Machu Picchu para el Mundo” CIRCULAR DE ASESORAMIENTO CA FECHA REVISIÓN ORIGINADO POR : : : : 145-200- 02 31/01/2011 ORIGINAL CTSO / DGAC TEMA: IMPLANTACIÓN DE LA FASE 2 “GESTIÓN DE RIESGOS” DE LA SEGURIDAD OPERACIONAL DE LAS ORGANIZACIONES DE MANTENIMIENTO APROBADAS (OMA) 1. PROPOSITO Esta Circular de Asesoramiento (CA) proporciona una orientación para desarrollar la Implantación de la Fase 2 “Gestión de Riesgos” de la Seguridad Operacional en las Organizaciones de Mantenimiento Aprobadas (OMA) requerido por la RAP 145.200 o las correspondientes NTC emitidas por la DGAC. 2. REVISIÓN/CANCELACION Esta publicación es la Revisión Original. 3. APLICABILIDAD Esta Circular de Asesoramiento es aplicable a todas las Organizaciones de Mantenimiento Aprobadas que requiera establecer un SMS. 4. REGULACIONES RELACIONADAS (a) 5. RAP 145 - “Organizaciones de Mantenimiento Aprobadas” DEFINICIONES (a) (b) (c) (d) (e) Aceptabilidad del riesgo: se obtiene de someter un nivel de riesgo determinado a la matriz de tolerabilidad para identificar su aceptabilidad de acuerdo a los criterios de la empresa. ALARP (“as low as reasonably practicable”): tan bajo como sea razonable en la práctica. Con el rango ALARP se conseguiría un nivel riesgo que es lo suficientemente bajo que intentar hacerlo más bajo, o que el costo de la evaluación de la mejora obtenida al intentar reducir el nivel riesgo, que en realidad sería más costoso que cualquier costo que pueda provenir del mismo nivel riesgo. Consecuencia: resultado potencial de un peligro. Control o mitigación (de los riesgos de seguridad operacional): Medidas que eliminan el peligro potencial o que reducen (o llevan bajo control de la organización) la probabilidad o severidad del riesgo (de seguridad operacional). Gestión de riesgos: es la evaluación y mitigación de los riesgos de seguridad operacional como consecuencia de los peligros que amenazan las capacidades de una organización, a un nivel tan bajo como sea razonable en la práctica (ALAR). CA 145-200-02 1/53 www.mtc.gob.pe Jirón Zorritos 1203 Lima, Lima 01 Perú (511) 615-7800 (f) (g) (h) (i) (j) (k) (l) (m) (n) Índice (nivel de riesgo) del riesgo de seguridad operacional: Se obtiene de la expresión de la severidad o gravedad (de los riesgos de seguridad operacional) y de la probabilidad (de los riesgos de seguridad operacional), combinados en un matriz (matriz de riesgo). Partes interesadas (“stakeholders”): personas y organizaciones que pueden afectar, ser afectados por, o se perciben a sí mismos afectados por una decisión, actividad o riesgo. Las partes interesadas internas y externas podrían ser: Los altos ejecutivos y los gerentes de las unidades de negocios que pueden verse afectados por las actividades de la organización; El personal, sus familias, sindicato y otros representantes de organizaciones; Unidad de negocio del cliente o la agencia, cuando la entidad está actuando en nombre de un usuario final; La comunidad de usuarios, incluyendo la administración, el personal y clientes de la organización; Legisladores y reguladores; Las personas que pueden verse afectados por la organización o sus actividades; Grupos de intereses especiales, tales como grupos ambientalistas; Contratistas y proveedores; Las organizaciones que brindan servicios de emergencia; Las instituciones financieras y otros proveedores de financiación del sector privado; Los medios de comunicación. Peligro (o amenaza): condición u objeto que potencialmente puede causar lesiones al personal, daños al equipamiento o estructuras, pérdida de material, o reducción de la habilidad de desempeñar una función determinada. En esta CA usaremos peligro para designar indistintamente también a la amenaza como de significado equivalente. Probabilidad (de los riesgos de seguridad operacional): la posibilidad de que pueda ocurrir un suceso o condición insegura. Proceso reactivo: el proceso reactivo responde a un suceso activador muy grave que ya ocurrió tal como un incidente o accidente a efectos de iniciar la captación de datos de seguridad operacional. Basado en la noción de esperar hasta que “algo se rompa para arreglarlo”. Proceso proactivo: el proceso proactivo responde a sucesos activadores menos graves, probablemente con poca o ninguna consecuencia, a efectos de iniciar la captación de datos de seguridad operacional. Basado en la noción que las fallas del sistema pueden minimizarse adoptando las medidas necesarias para mitigar los riesgos. Proceso predictivo: no requieren que tenga lugar un suceso activador para iniciar la captación de datos de seguridad operacional. Los datos operacionales ordinarios se captan constantemente y en tiempo real. Basado en la noción de que la mejor forma de lograr la gestión de la seguridad operacional es tratar de encontrar los problemas y no esperar que estos se presenten Riesgo (de seguridad operacional): es la evaluación de las consecuencias de un peligro, expresado en términos de probabilidad y severidad (o gravedad), tomando como referencia la peor condición o situación previsible. Severidad o gravedad (de los riesgos de seguridad operacional): la posible consecuencia o efectos de un suceso o condición insegura, tomando como referencia la peor situación previsible. CA 145-200-02 2/53 6. ANTECEDENTES La DGAC.- El 31 de Diciembre del 2008 emitió la CA-119-01 “Plan de Implementación de un sistema de gestión de seguridad operacional (SMS)”, estableciéndose en ella que la organización debe establecer un plan de implantación del SMS en cuatro fases: 7. Fase 1: Objetivos y Políticas de Seguridad Operacional (Planificación). Fase 2: Gestión de Riesgos de la Seguridad Operacional (Procesos Reactivos). Fase 3: Gestión de Riesgos de la Seguridad Operacional (Procesos Proactivos y Predictivos). Fase 4: Garantía de la Seguridad Operacional y Promoción de la Seguridad Operacional. PROCEDIMIENTOS 7.1 ASPECTOS PREVIOS 7.1.1 Política y objetivos de seguridad operacional 7.1.2. Establecer la responsabilidad y la obligación de rendir cuentas por las responsabilidades 7.1.3. Garantizar adecuados recursos 7.1.4. Entrenamiento y capacitación 7.2 PELIGROS (O AMENAZAS) A LA SEGURIDAD OPERACIONAL 7.2.1 7.2.2 7.2.3 7.2.4 Identificación de peligros Análisis de los peligros Consecuencias de los peligros Registro de peligros 7.3. RIESGOS DE SEGURIDAD OPERACIONAL 7.3.1 Gestión de riesgos de seguridad operacional 7.3.2 Análisis y evaluación del riesgo: 7.3.2.1 Probabilidad de los riesgos de seguridad operacional. 7.3.2.2 Severidad de los riesgos de seguridad operacional 7.3.2.3. Índice (nivel de riesgo) y aceptabilidad del riesgo de seguridad operacional.Nivel de riesgo: Aceptabilidad del riesgo: 7.3.2.4. Métodos de análisis de riesgos 7.3.3. Control/mitigación de los riesgos de seguridad operacional: 7.3.3.1 7.3.3.2 7.3.3.3 7.3.3.4 7.3.3.5 Identificar las opciones de mitigación del riesgo Evaluar las opciones de mitigación del riesgo Seleccionar las opciones para la mitigación Planes de mitigación de riesgo. Riesgo residual 7.3.4 Seguimiento y revisión. 7.3.4.1 7.3.4.2 7.3.4.3 CA 145-200-02 Cambios en el contexto y en los riesgos Seguimiento y garantía de la gestión del riesgo Medición del desempeño de la gestión de riesgos 3/53 7.3.4.4. Análisis posterior al evento (reactivo) 7.3.5 Registros en la gestión de riesgos 7.3.5.1 7.3.5.2 7.3.5.3 7.3.5.4 Registro de riesgos Registro del cronograma y plan de acción de mitigación de riesgos Documentos de seguimiento y auditoria Base de datos de incidentes 7.3.6 Informe Final (de los riesgos de seguridad operacional). 7.4 GESTIÓN DE RIESGOS DE SEGURIDAD OPERACIONAL DEL EXPLOTADOR AÉREO EN LA FASE 1 DE IMPLANTACIÓN DEL SMS. 8. CONTACTOS PARA MAYOR INFORMACIÓN 9. BIBLIOGRAFÍA APÉNDICE 1: REGISTRO DE PELIGROS APÉNDICE 2: IDENTIFICACIÓN DE PELIGROS USANDO TORMENTA DE IDEAS APÉNDICE 3: ESTRUCTURA SUGERIDA DEL INFORME FINAL APÉNDICE 4: EJEMPLO DE LA SEVERIDAD CON UNA ESCALA DE CONSECUENCIAS DE DIFERENTES TIPOS APÉNDICE 5: EJEMPLO DE REGISTRO DE RIESGO APÉNDICE 6: EJEMPLO DE CRONOGRAMA DEL PLAN DE MITIGACIÓN DEL RIESGO APÉNDICE 7: EJEMPLO DEL FORMATO DE PLAN DE MITIGACIÓN DEL RIESGO APÉNDICE 8: GESTIÓN DEL RIESGO EN LA FASE 1 DEL SMS APÉNDICE 9: PUNTOS DE CONTROL PARA EL CUMPLIMIENTO DE LA FASE 2 DE LA IMPLANTACIÓN DEL SMS CA 145-200-02 4/53 ESTRUCTURA DE PROCESOS DE LA IMPLANTACIÓN DE LA FASE 2 “GESTIÓN DE RIESGOS” DE LA SEGURIDAD OPERACIONAL EN UN TALLER DE MANTENIMIENTO AERONÁUTICO I. ASPECTOS PREVIOS 1. Políticas y objetivos de Seguridad Operacional 2. Responsabilidad y obligación de rendir cuentas 3. Garantizar recursos 4. Entrenamiento y capacitación II. PELIGROS A LA SEGURIDAD OPERACIONAL Análisis de los Peligros Consecuencias de los Peligros Registro del Peligro Seguimiento y Revisión Comunicar y consultar Identificación de Peligros Comunicar y consultar Análisis y evaluación del Riesgo CA 145-200-02 Control y mitigación del Riesgo Registro del Riesgo Seguimiento y Revisión III. GESTIÓN DE RIEGOS DE LA SEGURIDAD OPERACIONAL 5/53 7.1 ASPECTOS PREVIOS 7.1.1 Política y objetivos de seguridad operacional: El comité de seguridad operacional de la OMA, conformado en la fase 1 de implantación del SMS, deberá actualizar las políticas y objetivos de seguridad operacional referentes a la gestión de riesgos (fase 2 de implantación del SMS), enmendando su manual del SMS. Esta CA puede ser utilizada como referencia para definir lo antes indicado. La implantación de la gestión de riesgos y su efectividad requiere de un fuerte y sustancial compromiso de la Alta Dirección de la OMA. La actualización de la política podría incluir: Los vínculos entre la política de gestión de riesgos, los planes estratégicos y otras políticas de la organización; Las responsabilidades para la gestión de riesgos particulares y la obligación de rendir cuentas por esas responsabilidades; La forma en que los intereses en conflicto serán tratados en la gestión de riesgos; Los recursos disponibles para ayudar a los responsables de la gestión del riesgo; Un compromiso para la revisión periódica de la gestión de riesgos del sistema; Una declaración expresa de compromiso del Gerente Responsable sobre la gestión de riesgos. Una vez actualizadas las políticas y objetivos de seguridad operacional, la publicación y comunicación por parte del Gerente Responsable demostrará su compromiso con la gestión de riesgos. 7.1.2. Establecer la responsabilidad y la obligación de rendir cuentas por las responsabilidades: El Gerente Responsable es el responsable en última instancia por la gestión de riesgos en la organización. Todo el personal es responsable de la gestión de riesgos en sus respectivas áreas de control. Esto puede ser facilitado: Especificando los responsables de la gestión de riesgos en particular, para la implantación de estrategias de mitigación y para el mantenimiento de controles de riesgo; Especificando los “dueños de los procesos” para la implantación de la mitigación del riesgo, el mantenimiento de los controles de riesgo y el reporte de la información relevante del riesgo; Estableciendo procesos para la medición del desempeño y la presentación de reportes; y Garantizando adecuados niveles de reconocimiento, recompensa, aprobación y sanción. 7.1.3. Garantizar adecuados recursos: El Gerente Responsable debe identificar los recursos necesarios para la gestión de riesgos y debe desarrollar los medios prácticos para asignar los recursos apropiados. Esto debe incluir: Personal, formación (habilidades), experiencia y competencias; CA 145-200-02 6/53 Procesos y procedimientos documentados; Sistemas de información y base de datos; Dinero (presupuesto) y otros recursos para cada actividad del proceso de gestión de riesgos. 7.1.4. Entrenamiento y capacitación: Verificar en el plan de implantación del SMS el entrenamiento y capacitación para desarrollar las capacidades y habilidades de los gerentes y personal responsable de la seguridad operacional en temas de gestión de riesgos. 7.2 PELIGROS (O AMENAZAS) A LA SEGURIDAD OPERACIONAL.- Es importante entender el peligro teniendo en cuenta que es muy fácil confundirlo con su consecuencia. Por ejemplo, una incursión en pista (consecuencia) se puede confundir con el señalamiento deficiente del aeródromo (peligro). En este ejemplo si consideráramos como peligro a la consecuencia, se perdería la posibilidad de detectar más consecuencias del peligro real (señalamiento deficiente en el aeródromo), tales como: rodaje de aeronaves hacia calles erróneas, colisiones entre aeronaves, colisiones entre vehículos terrestres, etc. Los peligros pueden agruparse en: Peligros naturales: condiciones meteorológicas violentas (tormentas, tornados, rayos, viento cortante, etc.), condiciones meteorológicas adversas (muy baja temperatura, lluvia fuerte, baja visibilidad, etc.), sucesos geofísicos (terremotos, volcanes, tsunamis, etc.), condiciones geográficas (terreno adverso, grandes extensiones de agua, etc.), sucesos ambientales (incendios, fauna silvestre, plagas, etc.) y sucesos de salud pública (epidemias). Peligros técnicos: fuentes energéticas (electricidad, combustible, presión hidráulica, presión neumática, etc.), funciones críticas (fallas de soporte físico, fallas del soporte lógico, advertencias, etc.). Peligros económicos: entorno sociopolítico (crecimiento, recesión, costo de materiales y equipo). Las actividades de gestión para controlar los riesgos de seguridad operacional tratarán principalmente los peligros técnicos y naturales. 7.2.1 Identificación de peligros: Los peligros pueden identificarse después de la ocurrencia de sucesos reales (reactivos), tales como accidentes, incidentes, eventos, errores, etc., o mediante procesos proactivos-predictivos identificando peligros antes que se produzcan los sucesos o eventos (Fase 3 de implantación el SMS). En la fase 2 del SMS sólo considera los procesos reactivos de la identificación de peligros; sin embargo, las OMA´s pueden ir entrenándose usando eventualmente los procesos proactivos/predictivos. La identificación y reporte de peligros es responsabilidad de todo el personal de la OMA, pero la obligación de rendir cuentas por esta responsabilidad es del personal dedicado a la seguridad operacional. El personal dedicado a la seguridad operacional debería incluir a todo el personal técnico debidamente entrenado y capacitado para la identificación y reporte de peligros. Fuentes de identificación de peligros: Las fuentes para la identificación de peligros pueden ser internas o externas a la organización. CA 145-200-02 7/53 Ejemplos de fuentes internas de identificación de peligros: Investigación y seguimiento de incidentes (proceso reactivo); Supervisión del mantenimiento (proceso reactivo); Auditorias de seguridad operacional (proceso reactivo); Análisis de tendencias (proceso reactivo); Encuestas de seguridad operacional (proceso proactivo); Sistema de reportes voluntarios (proceso reactivo cuando son eventos que ya ocurrieron, y proactivo cuando son potenciales); Ejemplos de fuentes externas de identificación de peligros: Informes de la Comisión de Accidentes (proceso reactivo); Sistema de reportes obligatorio de la DGAC (proceso reactivo); Sistema de reportes voluntarios de la DGAC (proceso reactivo cuando son eventos que ya ocurrieron, y proactivo cuando son potenciales); Programa de vigilancia de la DGAC (proceso reactivo); y Sistema de intercambio de información (proceso reactivo/proactivo). En esta fase 2 de implantación del SMS sólo son obligatorias las fuentes que involucren procesos reactivos y cualquier otra fuente (reactiva) previamente implantada (por ejemplo en el PREVAC). Un proceso formal de identificación de peligros debe estar apropiadamente descrito en el manual del SMS. Para cada peligro identificado, a través de un proceso reactivo, debe hacerse un análisis de peligros y documentar dichos peligros (ver el Apéndice 1, registro de peligros) para luego realizar la evaluación de riesgos respectivo con respecto a las consecuencias de dichos peligros. Cada evento (reactivo) es la oportunidad de aprender lecciones valiosas de seguridad operacional. Las lecciones sólo serán entendidas, si el evento (reactivo) se analiza de manera que todos los empleados, incluida la Alta Dirección, comprenden no sólo cómo sucedió, sino también por qué sucedió. Se trata de mirar más allá del evento e investigar los factores que contribuyeron a la ocurrencia del mismo, la organización y los Factores Humanos dentro de la organización que tuvieron un papel en el evento. Para estos efectos existe una herramienta sumamente valiosa y útil que recomendamos usar para identificar la causa raíz de un evento, nos referimos a HFACS (“Human Factors Analysis and Classifications System”). Para cada incidente (evento) o accidente el utilizar esta herramienta nos servirá para identificar las causas (principio causa–efecto) tales como: los actos inseguros (errores y transgresiones), las precondiciones a los actos inseguros, la supervisión insegura y las influencias de la organización en estos eventos. Para más información sobre HFACS referirse al párrafo 8 de esta CA. Ver el Apéndice 10 un formato para ejercitar el análisis de causas HFACS. 7.2.2 Análisis de los peligros: El análisis de peligros tiene tres etapas y se describen a continuación: Etapa 1: Identificar el peligro genérico, conocido como peligro de nivel superior, proporciona el enfoque y la perspectiva en temas de seguridad operacional, y ayuda a simplificar el seguimiento y la clasificación de CA 145-200-02 8/53 muchos peligros individuales que emergen del peligro genérico. Un ejemplo de peligro genérico es “construcción en un aeropuerto”. Etapa 2: Descomponer el peligro genérico en peligros específicos, cada peligro específico tendrá distintos y únicos factores causales lo que lo hace diferente y único. Ejemplos de peligros específicos, con respecto al ejemplo del peligro genérico anterior (construcción en un aeropuerto), son “equipos de construcción”, “señalización deficiente en la construcción”, “calles de rodaje cerradas”, etc. Etapa 3: Relacionar los peligros específicos con las consecuencias potenciales específicas (eventos o resultados específicos). Ejemplos de consecuencias específicas, con respecto al ejemplo de peligro genérico anterior, serían “choque de aeronaves con equipos de construcción”, “ingreso de aeronaves en calle de rodaje equivocada”, etc. En esta fase 2 de implantación del SMS, el análisis de los peligros debería estar orientado a los procesos reactivos, es decir los peligros estarían constituidos por hechos ya ocurridos (errores, eventos, sucesos, incidentes, accidentes, etc.). 7.2.3 Consecuencias de los peligros Las consecuencias del peligro identificado se determinan mediante el análisis de lo que podría suceder si el peligro se concreta en un incidente o accidente. Algunas consecuencias pueden ser obvias, con la existencia de un único resultado posible como resultado de un peligro en particular. Sin embargo, otros peligros pueden dar lugar a una serie de consecuencias de diferente severidad. Una vez que los peligros han sido identificados deben ser ingresados en el registro de peligros (ver Apéndice 1) con todas sus consecuencias potenciales. 7.2.4 Registro de peligros: Toda la documentación generada durante la identificación y análisis de peligros deberá ser parte de la biblioteca de seguridad operacional de la OMA. El proceso de identificación de peligros debe tener las siguientes actividades: La identificación del peligro de una fuente interna o externa por un método reactivo; Analizar los peligros, evaluar sus consecuencias y priorizar los riesgos; Todo lo anterior debe documentarse en la biblioteca de seguridad operacional. En el Apéndice 1 “Registro de Peligros”, se adjunta un ejemplo de cómo pueden ser registrados los peligros en el proceso de identificación de los mismos. También servirá para registrar algunos aspectos de la gestión de riesgos. Así mismo se adjunta un formato que sirve para ejercitar la identificación de peligros. 7.3. RIESGOS DE SEGURIDAD OPERACIONAL.- Tiene como objetivo la asignación equilibrada de los recursos teniendo en cuenta que esta asignación de recursos se realizará basada en los datos generados durante este proceso y luego de medir la consecuencia de un peligro identificado. CA 145-200-02 9/53 Los riesgos de seguridad operacional, a diferencia de los peligros y sus consecuencias, no son fáciles de comprender, por ser los riesgos una convención artificial creada por los seres humanos, mientras que los peligros son tangibles y visibles en un entorno físico o natural. 7.3.1 Gestión de riesgos de seguridad operacional. Es común tratar de mitigar todas las consecuencias de un peligro ya identificado, lo cual sería aceptable en una organización que considere la seguridad operacional como su primera prioridad. Sin embargo, para la salud y futuro de toda organización comercial debe existir un equilibrio entre la seguridad operacional y las finanzas de la organización. En estos términos es imprescindible evaluar la gravedad de las consecuencias de un peligro así como la probabilidad de su ocurrencia. De acuerdo a lo anterior la evaluación y mitigación del riesgo de una consecuencia debe ser realizada a un nivel tan bajo como sea razonable en la práctica (ALARP). Para determinar lo que es “razonable en la práctica”, debe considerarse la viabilidad técnica de continuar reduciendo el riesgo así como el costo, esto debe incluir un análisis de costo-beneficio (ver el párrafo 7.3.3.3). La gestión del riesgo involucra: Análisis y evaluación del riesgo; Control/Mitigación del riesgo; y Seguimiento y revisión. 7.3.2 Análisis y evaluación del riesgo: 7.3.2.1 Probabilidad de los riesgos de seguridad operacional. Para evaluar la probabilidad de que pueda ocurrir un evento o condición insegura, la OMA debe referirse inicialmente a los datos históricos de su biblioteca de seguridad operacional, esto es fundamental para tomar decisiones informadas. En la tabla 2 se define una probabilidad en términos genéricos del riesgo de seguridad operacional, presentada solamente con fines didácticos, esta tabla tiene una escala de cinco puntos. Para que esta tabla de probabilidad pueda ser usada por una OMA, primero deberá desarrollar exhaustiva y detalladamente el significado de cada definición cualitativa, de tal manera de estandarizar las definiciones de acuerdo con la realidad de la OMA, y que todo el que intente realizar un análisis de riesgo pueda llegar, en la medida de lo posible, a conclusiones similares. Esto es posible realizarlo, reuniendo a un grupo del personal técnico de la organización de diferentes áreas (de preferencia personal experimentado), expertos y las partes interesadas (“stakeholders”), y realizando una “tormenta de ideas” (usar la metodología del Apéndice 2), para desarrollar en detalle cada definición cualitativa. Todas las diferentes interpretaciones de las definiciones cualitativas que se mencionen durante la actividad de “tormenta de ideas”, sin excepción, deberán al final de esta actividad ser discutidas y aceptadas por consenso. La convocatoria y ejecución CA 145-200-02 10/53 de esta actividad es responsabilidad del Encargado de Seguridad Operacional de la OMA. Se debe tener presente que la probabilidad de ocurrencia de un evento es directamente proporcional a la exposición (frecuencia o número de veces) que tenga dicho evento y esto es importante que defina la OMA de acuerdo a la magnitud de su operación. La estimación de la probabilidad de la consecuencia de un peligro se realiza evaluando la posibilidad de ocurrencia de cada consecuencia e ingresando los resultados en el “registro de peligros” (ver Apéndice 1, registro de peligros). La estimación de la probabilidad de ocurrencia de incidentes relacionados con errores humanos generalmente implica un mayor grado de apreciación subjetiva (y se debe tener en cuenta que aún cuando se evalúe el “hardware”, siempre existe la posibilidad de fallas debido a errores humanos, tales como: procedimientos de mantenimiento incorrecto). Al principio de la operación del SMS puede que no haya mucha información sobre la cual basar una estimación o evaluación. Sin embargo, el uso de las discusiones de grupo estructurado con aquellos participantes que tienen una amplia experiencia en sus respectivos campos, y la adopción de un esquema de clasificación de probabilidad estándar (tabla 2 debidamente desarrollada por la OMA), debe asegurar que el resultado será un juicio sustentado. Probabilidad del riesgo de seguridad operacional Tabla 2 Más tarde durante la operación del SMS, por ejemplo después que el procedimiento de evaluación de riesgos se haya ejecutado más de CA 145-200-02 11/53 una vez, las evidencias comenzarán a acumularse y esto se puede utilizar para mejorar la credibilidad de la evaluación del riesgo. Esta evidencia se necesitará más adelante durante la determinación del nivel del riesgo y la aceptabilidad del riesgo de seguridad operacional. Una vez que la evaluación de la probabilidad se ha llevado a cabo para todos los peligros identificados, los resultados (ver tabla 2, probabilidad del riesgo) incluyendo el sustento de la clasificación elegida, deben ser ingresados en el “registro de peligros” (ver Apéndice 1). 7.3.2.2 Severidad de los riesgos de seguridad operacional.- Un vez definido el riesgo de seguridad operacional en términos de la probabilidad de su ocurrencia, debe definirse su severidad. En la tabla 3 se presenta una severidad en términos genéricos del riesgo de seguridad operacional presentada solamente con fines didácticos, esta tabla también tiene una escala de cinco puntos. Para que esta tabla de severidad pueda ser usada por una OMA, se deberá desarrollar también exhaustiva y detalladamente el significado de cada definición cualitativa, de tal manera de estandarizar las definiciones de acuerdo con la realidad de la OMA, y que todo el que intente realizar un análisis de riesgo pueda llegar, en la medida de lo posible, a conclusiones similares. Esto es posible realizarlo, reuniendo a un grupo del personal técnico de la organización de diferentes áreas (de preferencia personal experimentado), expertos y las partes interesadas (“stakeholders”), y realizando una “tormenta de ideas” (usar la metodología del Apéndice 2), para explicar cada definición cualitativa. Todas las diferentes interpretaciones de las definiciones cualitativas que se mencionen durante la actividad de “tormenta de ideas”, sin excepción, deberán al final de la actividad ser discutidas y aceptadas por consenso. Para la elaboración de esta tabla es importante la participación del personal de finanzas de la OMA (que ayudaría a definir desde el punto de vista económico lo que es severo y lo que no lo es, para la organización) y la participación de la Alta Dirección (para definir la importancia respecto de la severidad de la imagen o prestigio, medio ambiente, aspectos políticos, etc.). La convocatoria y ejecución de esta actividad es responsabilidad del Encargado de Seguridad Operacional. CA 145-200-02 12/53 Severidad del riesgo de seguridad operacional Tabla 3 La estimación de la severidad de la consecuencia de un peligro se realiza evaluando la severidad de cada consecuencia e ingresando los resultados en el “registro de peligros” (ver el Apéndice 1). Si bien la evaluación de la severidad de las consecuencias de un peligro identificado siempre implica algún grado de juicio subjetivo, deben asegurarse de que el resultado deba ser una conclusión sustentada, con el uso de debates de grupos estructurados, guiados por un esquema de clasificación de severidad estándar (tabla 3 debidamente desarrollada por la OMA), y con los participantes que tienen una amplia experiencia en sus respectivos campos. Una vez que la evaluación de la severidad haya sido completada para todos los peligros identificados y sus consecuencias, los resultados (ver tabla 3, severidad del riesgo) incluyendo el sustento de la clasificación de la severidad elegida deben ser ingresados en el “registro de peligros” (ver el Apéndice 1). La tabla 3 de severidad del riesgo, en este caso, sólo está referida a la seguridad operacional; sin embargo, las consecuencias de un peligro identificado puede tener más de un enfoque o tipo, tales como, financieros, imagen, prestigio, medio ambiente, medios de comunicación, legal, etc. (ver un ejemplo de esto en el Apéndice 4, severidad con consecuencias de diferentes tipos). 7.3.2.3. Índice (nivel de riesgo) y aceptabilidad del riesgo de seguridad operacional.Nivel de riesgo: Una vez evaluados los riesgos de las consecuencias de los peligros identificados, en términos de la probabilidad y severidad de su ocurrencia, se determina el nivel de riesgo de dichas consecuencias. CA 145-200-02 13/53 El establecimiento del nivel de riesgo se realiza determinando el riesgo de la consecuencia de un peligro identificado en términos de probabilidad y severidad a través de una matriz de riesgo como se indica en la tabla 4 (matriz de riesgo), esto define el nivel de riesgo. Cada consecuencia de un peligro identificado debe ser cotejada contra la matriz de riesgo (tabla 4), colocando dicha consecuencia en la correcta celda que se alinee con su probabilidad y severidad. Aceptabilidad del riesgo: La aceptabilidad de un nivel de riesgo depende tanto de la probabilidad de que ocurra como de la severidad de sus consecuencias. La determinación de la aceptabilidad de un nivel de riesgo se realiza exportando el nivel de riesgo identificado en la matriz de riesgo (tabla 4) a una matriz de tolerabilidad que describa los criterios de aceptabilidad, ver la tabla 5 (matriz de tolerabilidad). El nivel de riesgo identificado debe corresponder con una de las tres regiones (ver la tabla 5, matriz de tolerabilidad) con los criterios indicados a continuación, también se sugiere en cada definición quien de la organización (administración) debería atender el riesgo presentado: Aceptable (región aceptable - verde): la consecuencia del peligro es tan poco probable o no lo suficientemente severo como para ser de preocupación. El nivel riesgo es tolerable. Sin embargo, se debe considerar la posibilidad de reducir aún más el nivel de riesgo al rango ALARP con el fin de minimizar la posibilidad de un accidente o incidente. Puede ser atendido manejándose procedimientos rutinarios de la administración, es poco probable que se necesite recursos. Revisión (región tolerable – amarillo): la severidad y/o la probabilidad de la consecuencia de un peligro es de preocupación, se deben buscar las medidas para mitigar el nivel de riesgo a un rango ALARP. Si el nivel de riesgo sigue estando en la región tolerable (amarillo) después que se ha reducido dicho riesgo a un rango ALARP, entonces este nivel de riesgo puede ser aceptado a condición de que dicho riesgo se comprende y tiene la aprobación de la persona responsable en última instancia por la seguridad operacional dentro de la . Debe atenderse y manejarse haciendo un seguimiento específico o por procedimientos de respuesta preestablecida (de reacción), identificando los encargados responsables de esta tarea. ón Inaceptable (región no tolerable – rojo): la probabilidad y/o severidad de la consecuencia de un peligro es intolerable. Es necesaria una mitigación mayor o rediseño del sistema para reducir la probabilidad o severidad de las consecuencias asociadas con el peligro. Se necesita la atención y gestión de la Alta Dirección, identificando los encargados responsables de los planes de acción y de manejar esta situación. CA 145-200-02 14/53 Índice (nivel) del riesgo de seguridad operacional Tabla 4 Diferentes peligros pueden dar lugar a la misma consecuencia (accidente/incidente). Cuando este es el caso, no es suficiente evaluar la tolerabilidad del nivel de riesgo de cada peligro en forma independiente, ya que esto puede inducir a error. Por ejemplo, puede haber cincuenta peligros que llevan a la misma consecuencia indeseable, donde cada peligro tiene una muy baja probabilidad de ocurrir, por ejemplo "extremadamente improbable" en la Tabla 4 (matriz de riesgo). Cuando considere la tolerabilidad del nivel de riesgo de cada peligro y consecuencia individualmente, puede ocurrir que cada uno corresponda con la región aceptable (verde) de la matriz de tolerabilidad. Sin embargo, cuando los cincuenta peligros se consideran en conjunto habrá un incremento de la probabilidad de que ocurra la consecuencia, que puede mover la consecuencia desde la región aceptable (verde) hacia la región tolerable (amarilla) o no tolerable (roja). Por lo tanto, es importante identificar los peligros que contribuyen a la misma consecuencia y juntar las probabilidades para obtener una probabilidad general de la consecuencia que ocurra. Esta probabilidad general de dicha consecuencia sería la que se utilizaría para ubicar dónde se encuentra la consecuencia en la Tabla 4 (matriz de riesgo). Como en esta CA se está usando estimaciones de probabilidad cualitativa, la suma de las probabilidades no es tan sencilla porque no CA 145-200-02 15/53 hay números para sumar. En este caso el explotador puede definir sus propios criterios a utilizar o usar los siguientes criterios simples 1 : Más de 50 peligros que tienen la misma consecuencia y está ubicado en la categoría “extremadamente improbable” es necesario mover la probabilidad general de dicha consecuencia a la categoría “improbable”. Más de 50 peligros que tienen la misma consecuencia y está ubicado en la categoría “improbable” es necesario mover la probabilidad general de dicha consecuencia a la categoría “remoto”. Más de 50 peligros que tienen la misma consecuencia y está ubicado en la categoría “remoto” es necesario mover la probabilidad general de dicha consecuencia a la categoría “ocasional”. Más de 50 peligros que tienen la misma consecuencia y está ubicado en la categoría “ocasional” es necesario mover la probabilidad general de dicha consecuencia a la categoría “frecuente”. Matriz de Tolerabilidad del riesgo Tabla 5 En caso de que varios peligros, contribuyan a la misma consecuencia y es necesario una mitigación debido a la ubicación en la matriz de tolerabilidad, la matriz de tolerabilidad puede ser utilizada para dar prioridad a los peligros “más importantes” para tratar de mitigarlos primero. Esto se logra colocando los riesgos de todos los peligros 1 CAP 760 “Guidance on the Conduct of Hazard Identification, Risk Assessment and the Production of Safety Cases”, Civil Aviation Authority of United Kingdom CA 145-200-02 16/53 individuales en la matriz de tolerabilidad para ver cuales se encuentran dentro o cerca de las regiones intolerables. Estos peligros serían los de mayor riesgo y deben ser mitigados primero, cuando sea posible. Esto puede permitir que el riesgo general por los peligros antes mencionados se sitúe en una categoría aceptable más rápidamente haciendo frente primero a la mayoría de los peligros significativos, en vez de tratar con los peligros menos significativos y de menor impacto. El rango ALAR no significa automáticamente que el riesgo involucrado es aceptable, se requerirá una decisión sustentada. Una vez que la evaluación de la aceptabilidad del riesgo haya sido completada para todos los peligros identificados y sus consecuencias, los resultados deben ser ingresados en el “registro de peligros” (ver el Apéndice 1). Es particularmente importante que todos los casos donde el riesgo corresponde a la “región tolerable" (revisión, amarilla), pero ha sido tratado como ALARP y , estén bien documentados y que sea claro el sustento de la decisión. 7.3.2.4. Métodos de análisis de riesgos Los métodos cualitativos para generar información de análisis de riesgos incluyen: Evaluación usando grupos multidisciplinarios, ver los párrafo 7.3.2.1 (“probabilidad de riesgos”, tercer párrafo), 7.3.2.2 (“severidad de riesgos”, tercer párrafo) y Apéndice 8 “gestión de riesgos en la fase 1 del SMS”; Considerando la opinión de especialistas y expertos; y La utilización de entrevistas estructuradas y cuestionarios, las preguntas claves en el análisis de riesgos podrían incluir: CA 145-200-02 ¿Qué sistemas actuales pueden prevenir, detectar o bajar la severidad o probabilidad de los riesgos o eventos no deseados?; ¿Qué sistemas actuales pueden mejorar la severidad o la probabilidad?; ¿Cuál es la severidad o el rango de severidad si ocurre el evento no deseado?; ¿Cuál es la probabilidad o rango de probabilidades que ocurra el evento no deseado?; ¿Qué factores pueden aumentar o disminuir la probabilidad o la severidad?; ¿Qué factores adicionales deben ser considerados y planeados?; ¿Cuáles son las limitaciones de los análisis y los supuestos hechos?; ¿Qué tan seguro es su juicio o investigación especialmente en relación con el riesgo de una severidad elevada (grande) y con el riesgo de una probabilidad baja?; ¿Los métodos de análisis están respaldados por la lógica?. 17/53 7.3.3. Control/mitigación de los riesgos de seguridad operacional: Se puede usar el término control o mitigación indistintamente. Existen tres estrategias genéricas de mitigación de los riesgos: Evitar: se cancela la operación o actividad porque los riesgos de mantener la operación exceden los beneficios. Reducir: se reduce la frecuencia de la operación o actividad, o se adoptan medidas para reducir la severidad de las consecuencias de los peligros identificados. Separar la exposición: se adoptan medidas para aislar los efectos de las consecuencias de los peligros identificados o crear redundancia para protegerse de los mismos. A continuación se listan otras estrategias más específicas de mitigación de los riesgos: Revisión del diseño del sistema; Modificación de los procedimientos; Cambios en la manera como se organiza el personal; Entrenamiento del personal para enfrentar el peligro; Desarrollo de medidas y planes de emergencia y contingencia; Finalmente, el cese de las actividades. Se deben mitigar todos aquellos riesgos identificados como inaceptables (región no tolerable – rojo), incluyendo los que requieren revisión (región tolerable – amarillo), aplicando el principio del rango ALARP. 7.3.3.1 Identificar las opciones de mitigación del riesgo Entender la causa: El diseño de mitigación de riesgos debe basarse en una exhaustiva comprensión de cómo surgen los riesgos. No debe limitarse a las causas inmediatas sino buscando las causas raíz. Las causas raíz pueden incluir aspectos de la cultura organizacional, tales como procesos y práctica arraigadas o paradigmas que tienen que cambiar para poder enfrentar con éxito la ocurrencia del riesgo. Para eventos de origen externo sólo es posible reducir la vulnerabilidad de la organización. Para eventos internos se evalúa la posibilidad de reducir la probabilidad, la severidad o ambos. Plan de contingencia: El plan de contingencia debe ser presupuestado, probado (simulacros) y mantenido al día, el objetivo es atenuar la calidad del servicio, la reputación de la empresa, la satisfacción de los clientes y de las partes interesadas luego de ocurrido el evento no deseado. Compartir los riesgos: Involucra a otra organización que soporta o comparte algo o todo el riesgo, las formas más comunes son subcontrato, seguro, “outsourcing”, etc. Contratar: Son acuerdos entre partes para realizar ciertas funciones por un pago. La intensión es compartir o transferir riesgos. CA 145-200-02 18/53 Seguros: Cuyos costos dependerán del riesgo de lo que se asegura, pudiendo disminuirse las primas en función a los controles implantados por la organización que disminuyen el riesgo. 7.3.3.2 Evaluar las opciones de mitigación del riesgo Para el diseño general de la mitigación de riesgos se recomienda utilizar un proceso de 5 pasos como se indica a continuación. Si bien esto tiene como objetivo principal el desarrollo de nuevas defensas, también es muy útil para la garantía y evaluación de las defensas existentes, tales como: control de autoevaluación. Paso 1 Revisión de los controles y las causas, antes de iniciar cualquier medida de mitigación se debe revisar el análisis de riesgo realizado, según lo descrito anteriormente, asegurándose que el riesgo está completamente entendido. Puede hacerse un análisis del faltante para ver y evaluar qué tan bien se han diseñado las defensas existentes de los riesgos y los factores que lo influencian. Este análisis del faltante conducirá a tomar las medidas de mitigación adicional que sean necesarias en los planes de mitigación de riesgos de la OMA. Paso 2 Objetivos de la mitigación, la intensión de la mitigación es reducir el riesgo a un rango ALARP, donde se consideren los costos indirectos (intangibles). El análisis costo-beneficio también puede ser utilizado para decidir entre las opciones de mitigación, esto se detallará en el párrafo 7.3.3.3 posterior. Un plan de mitigación de riesgos se puede hacer en base a los objetivos de mitigación, los objetivos de mitigación pueden establecer: • Los riesgos que deben ser tratados; • Las causas, fuentes o eventos que la mitigación debe elegir como meta; • Qué medidas de mitigación se deben hacer, cuando, cómo y dónde; • El nivel de desempeño requerido a la mitigación en términos de eficacia, confiabilidad y disponibilidad. Paso 3 Diseño detallado de medidas de mitigación, este diseño debe ser práctico y fácil de mantener. Cuando los riesgos no dependen de la organización y son controlados por factores externos sólo es posible utilizar planes de contingencia. La clave para diseñar un control práctico consiste en hacer participar en los procesos a aquellos que estarán involucrados en la actividad en cuestión (dueño del proceso) y que se afectarán por las medidas de mitigación. Siempre que sea posible, las medidas de mitigación deben ser diseñadas para ser incorporadas en los procesos normales, actividades y sistemas de la organización. Ellos no deben impedir el flujo lógico y natural de los procesos y deben ser fáciles de entender. Paso 4 Revisión del diseño, incluso la más simple de las mitigaciones deben estar sujetas a algún grado de revisión del diseño. Esto debería incluir que: • CA 145-200-02 Se satisfacen los objetivos de la mitigación; 19/53 • El diseño sea adecuado para el propósito, es decir, que de modo realista sea capaz de alcanzar niveles de eficacia, confiabilidad y disponibilidad en concordancia con la importancia de la actividad relacionada de la organización; Tiene en cuenta condiciones operacionales realistas y razonablemente anticipadas; Es susceptible de ser verificado y controlado fácilmente, o se auto controla; Las mitigaciones van a durar y resistir, además pueden ser de fácil mantenimiento; y Las mitigaciones de riesgos propuestas no introducen nuevos riesgos, o si lo hacen el nivel de riesgo introducido es inferior. • • • • Paso 5 Comunicación e implantación, ninguna mitigación va a funcionar con eficacia a menos que aquellos que estarán involucrados con la actividad en cuestión (dueño del proceso) y aquellos que se verían afectados por las medidas de mitigación entiendan lo que se va a lograr con el plan y el diseño. Un plan de comunicación debe ser parte integral del proceso del diseño de mitigación. El control por auto evaluación y otros procesos que aseguren la participación también proporcionan un medio eficaz de comunicación a través de la participación. 7.3.3.3 Seleccionar las opciones para la mitigación Como se indicó en 7.3.2.3 “nivel de riesgo y aceptabilidad del riesgo”, con respecto a la tolerabilidad, cuando una consecuencia no satisface el criterio de aceptabilidad establecido, siempre se debe intentar reducir el riesgo a un nivel aceptable, o si esto no es posible hacer, utilizar las medidas apropiadas de mitigación para conseguir un rango ALARP. Se recomienda aplicar el principio ALARP a todos los riesgos identificados, aun cuando los riesgos se encuentren en la “región aceptable” (verde) de la matriz de tolerabilidad. Esto, con el fin de apoyar el objetivo de mejora continua de la seguridad operacional, siempre que sea posible. Las medidas de mitigación del riesgo pueden realizarse a través de la reducción de la probabilidad de ocurrencia, o la reducción de la severidad de las consecuencias, o ambas cosas. Para lograr el nivel deseado de reducción del riesgo se puede requerir la implantación de más de una medida de mitigación. Las medidas de mitigación que son necesarias para que el sistema cumpla los criterios de seguridad operacional, se basan principalmente en la introducción de defensas de seguridad operacional o el reforzamiento de las existentes, y debe ser documentado claramente. Las defensas pueden ser tecnología, instrucción y reglamentos. Cada opción propuesta de mitigación de riesgos puede ser evaluada desde los siguientes puntos de vista: Eficacia: reduciendo o eliminando los riesgos. La eficacia de la mitigación puede ser: • CA 145-200-02 Mitigaciones de ingeniería: elimina los riesgos; 20/53 • Mitigaciones de control: acepta los riesgos pero ajusta el sistema para mitigar dichos riesgos reduciéndolos a un nivel manejable; • Mitigaciones de personal: cuando se acepta que las mitigaciones de ingeniería y control no son efectivas de modo que el personal tiene que aprender a enfrentar los riesgos. Cuando se evalúan opciones de mitigación de riesgos, se debe tener presente que no todas ofrecen el mismo potencial de reducción de riesgos. Se debe evaluar la eficacia de cada opción antes de adoptar una decisión. La eficacia de cualquier medida de mitigación de riesgos debe ser evaluado, primero examinando cuidadosamente si la implantación de las medidas de mitigación puede introducir nuevos riesgos o si las medidas de mitigación cambian las bases sobre las que otras evaluaciones fueron hechas. Después de haber decidido que una sola medida de mitigación puede ser adecuada, a menudo será necesario repetir todo el paso 7.3.2 “Análisis y evaluación de riesgos”, con el fin de evaluar la aceptabilidad del riesgo con esta medida de mitigación propuesta implantada. Si la medida de mitigación propuesta afectara a otras partes del sistema - o, tal vez, incluso la idoneidad del sistema para lograr su función, podría ser necesario repetir desde el paso 7.2 “Peligros o amenazas a la seguridad operacional”, o incluso ir la descripción del sistema. Desgraciadamente no es posible dar más orientación específica sobre cuándo podría ser necesario volver a evaluar el sistema en su conjunto, porque esta decisión sólo puede ser realizada por aquellos que comprenden bien su sistema. Costo-beneficio: para determinar la conveniencia (económica) o no de una mitigación. El análisis de costo-beneficio consiste en comparar las estimaciones de costos y beneficios. Esto requiere que, cuando sea posible, ambas sean expresadas en un valor monetario. Sin embargo, a menudo no será posible cuantificar todos los costos y todos los beneficios, y a veces los mayores beneficios no serán cuantificables. Este es el caso con los costos indirectos y sus beneficios; por ejemplo evitando el daño a la reputación que ocasiona un incidente grave y que no es fácil de cuantificar, sin embargo puede ser de mayor beneficio real para la organización que evitar los daños materiales, tales como: los costos de compensación y la pérdida de ingresos. Cuando un análisis de costo-beneficio implica tanto los costos y beneficios fácilmente cuantificables (costos directos), así como de aquellos no fácilmente cuantificables (costos indirectos), ambos los costos directos como los indirectos deben ser presentados en la toma de decisiones. El proceso que debe seguirse es: • Listar todos los tipos de costo y beneficio; • Agrupar todos los costos en categorías “directos” e “indirectos”; • Calcular una medida cuantitativa de los costos y beneficios “directos”, usando técnicas de análisis financieros; • Evaluar los costos y beneficios “indirectos” usando alguna equivalencia tal como la indicada en el Apéndice 4 “severidad de consecuencias de diferentes tipos”; CA 145-200-02 21/53 • Presentar en conjunto el análisis tanto los costos y beneficios “directos” así como de los “indirectos”. Si hubiera una clara oposición o preferencia hacia alguno de los costos o beneficios, entonces esto debe quedar claro en la presentación que se realice al que toma la decisión. Práctica: es factible, apropiada, legal, alineada a la política, etc. Desafío: la mitigación resiste el análisis crítico de todos los interesados. Aceptación de cada interesado: resistencia de las partes interesadas (“stakeholders”). Cumplimiento obligatorio: que puedan hacerse cumplir las nuevas reglas. Duración: definir el tiempo de su aplicación. Riesgos residuales: una vez implantada la mitigación, cuales son los riesgos con respecto a las consecuencias del peligro original (ver párrafo 7.3.3.5 más adelante). Nuevos problemas: qué nuevos problemas o riesgos puede generar la mitigación. 7.3.3.4 Planes de mitigación de riesgo. Una vez que las opciones de mitigación para cada riesgo individual han sido elegidas, deben ser insertados en los planes de acción (planes de mitigación del riesgo o estrategias). Estas acciones para diferentes riesgos requieren ser combinados o comparados de tal manera de identificar y resolver los conflictos y eliminar las redundancias o duplicidad. El propósito de los planes de mitigación del riesgo es documentar cómo las opciones de mitigación elegidos se llevarán a cabo. Estos planes serán parte del Informe Final indicado en 7.3.5. La información proporcionada en los planes de mitigación debería incluir: Personas que son responsables de aprobar el plan, y que rendirán cuentas por esa responsabilidad, y los responsables de la ejecución y supervisión del plan; Cronogramas que incluyan calendario y horario; Beneficio que se espera obtener; Recursos necesarios (presupuestos); Medidas de desempeño, las limitaciones y la revisión del proceso que será puesto en ejecución; Acciones propuestas; Mecanismos de evaluación y seguimiento de la efectividad de la mitigación; Un proceso para hacer seguimiento del plan de mitigación en base a los puntos de control definidos en la implantación de la mitigación; y CA 145-200-02 22/53 Documentar cómo en la práctica las opciones de mitigación seleccionadas serán implantadas. Los planes de mitigación deberían ser discutidos con las partes interesadas (“stakeholders”) pertinentes. 7.3.3.5 Riesgo residual Riesgo residual es el riesgo que queda luego que las opciones de mitigación han sido identificadas y los planes de mitigación se han aplicado. Es importante que las partes interesadas (“stakeholders”) y los responsables de tomar las decisiones sean consientes de la naturaleza y alcance del riesgo residual. El riesgo residual debe por lo tanto ser documentado y sometido a seguimiento y revisión. 7.3.4 Seguimiento y revisión. El seguimiento y la revisión debe ser una parte planificada del proceso de gestión de riesgos. Las responsabilidades de supervisión y revisión deben estar claramente definidas en el Manual del SMS. Los procesos de seguimiento y revisión de la organización debe abarcar todos los aspectos del proceso de gestión de riesgos a efectos de: Analizar y aprender las lecciones de los eventos, cambios y tendencias; Detectar cambios en el contexto externo e interno que incluye cambios en el propio riesgo que puede requerir una revisión de las mitigaciones de riesgo y las prioridades (ver 7.3.4.1 a continuación); Garantizar que el control de riesgos y las medidas de mitigación son eficaces tanto en el diseño como en la operación; y Identificar los riesgos emergentes. 7.3.4.1 Cambios en el contexto y en los riesgos Cuando se planean cambios en la organización o se detectan cambios externos, puede haber cambios en: El contexto de la organización (por ejemplo los objetivos, el entorno interno o externo, o los criterios de los riesgos); Los riesgos y los niveles de riesgo; La eficacia de la mitigación de riesgos. El cambio puede ser repentino (agudo) o gradual y persistente (crónico). Ambos pueden tener graves consecuencias por lo que los riesgos deben ser identificados y evaluados, y debe diseñarse un nuevo plan de mitigación. Esto puede implicar tanto una alteración al cambio propuesto o su cancelación. Los cambios no deben ser aplicados o impuestos sin tener en cuenta los riesgos. 7.3.4.2 Seguimiento y garantía de la gestión del riesgo CA 145-200-02 23/53 Alcance y Frecuencia Chequeo regular y seguimiento continuo Revisión por los Gerentes de Línea Auditoria por terceros Día a día, incorporado en el lugar y los métodos de trabajo Control por autoevaluaciones, depende de la característica del riesgo y del alcance de control del gerente Auditorias internas y externas, por muestreo y verificación orientados al cumplimiento de políticas y estándares Figura 1: Rango de las actividades de garantía de la gestión del riesgo a) Seguimiento continuo: una vez definidas las mitigaciones de riesgo se debe establecer un régimen apropiado de seguimiento para garantizar que son efectivas. El registro de un riesgo normalmente tendrá archivado las mitigaciones y controles implantados que pueden ser consultados durante el seguimiento. Las prioridades deben tener en cuenta lo indicado en 7.3.4.1 (cambios en el contexto y en los riesgos). Se debe tener el registro de riesgos actualizado para que se evalúe y se mitigue apropiadamente los nuevos riesgos. Es sumamente útil documentar los resultados del seguimiento, salvo que no haya novedades, en ese caso sólo es suficiente con declarar que se hizo el seguimiento. b) Revisión por los gerentes de línea: periódicamente los gerentes de línea deberán revisar sus procesos y actividades para asegurarse que no se generen nuevos riesgos y que las estrategias de mitigación establecidas sean aún efectivas y apropiadas. Puede hacerse una revisión por muestreo a lo largo de toda su gerencia o revisiones intensivas y cortas en áreas especificas. Los problemas detectados deben evaluarse si son indicativos de una debilidad del sistema de gestión de riesgos, si así fuera una revisión más completa se puede iniciar. Los gerentes de línea deben asegurarse que luego de un periodo de tiempo establecido se hayan revisado todas las áreas de su responsabilidad. CA 145-200-02 24/53 c) Auditoria por terceros: ya sea de fuentes internas o externas, las auditorias por terceros son independientes y tienen un punto de vista diferente. No tendrían por qué dar previo aviso o consentimiento; sin embargo, son generalmente planeadas y avisadas con anticipación como una señal de transparencia de un sistema de garantía de la seguridad operacional. Las auditorías internas o externas pueden concentrarse en el cumplimiento de los estándares, requerimientos normativos y de procedimientos. Muchas veces se pueden basar en el riesgo, concentrándose en qué tan eficaces y apropiadas son las medidas de mitigación. Las auditorías son inevitablemente selectivas en su alcance por lo que las prioridades de la auditoria tendrán en cuenta aquellas prioridades listadas en el párrafo 7.3.4.1 (cambios en el contexto y en los riesgos). Si las auditorías se convierten o pasan a ser el principal medio de garantía entonces a menudo la garantía será débil. Los hallazgos de las auditorías generalmente indicarán problemas sistémicos. Por lo que las acciones deben enfocarse en soluciones sistémicas y no sólo a los síntomas. Los resultados del monitoreo y la revisión deben ser registrados (Informe Final) y reportados internamente o externamente según sea el caso, y también se debe utilizar como información para la revisión del sistema de gestión de riesgos. 7.3.4.3 Medición del desempeño de la gestión de riesgos Una medida cualitativa del nivel de desempeño de una actividad son los indicadores de desempeño. Los indicadores de desempeño pueden controlar resultados (ejemplo: pérdidas o ganancias específicas) o procesos (ejemplo: rendimiento constante de los procedimientos de mitigación de riesgos). En un entorno dinámico es recomendable usar indicadores de procesos. Los indicadores de desempeño deben concentrarse en: Los riesgos más elevados; Las mitigaciones más críticas u otros procesos; Las mitigaciones o procesos con el mayor potencial de mejora en la eficiencia. Al escoger los indicadores de desempeño es importante verificar que: Sean capaces de medir; Sean eficientes en términos del uso del tiempo, esfuerzo y recurso; El proceso de medición y vigilancia estimula o facilita el comportamiento deseable y no motiva los comportamientos indeseables (tales como: fabricación de datos); Las personas involucradas entienden el proceso y los beneficios esperados y tienen la oportunidad de aportar al proceso; CA 145-200-02 25/53 Los resultados son capturados y reportados de forma tal que facilitará el aprendizaje y la mejora. Algunos ejemplos de indicadores de desempeño son: Disminución en el costo total del riesgo; Progreso hacia un objetivo específico de la organización; La medida en que se aplican las recomendaciones para la mitigación del riesgo. Aspectos relativos a los indicadores de desempeño: La medición efectiva del desempeño requiere de recursos. Estos deben ser identificados y asignados como parte del desarrollo de los indicadores de desempeño; Algunas actividades de la gestión de riesgos son difíciles de medir. Esto no los hace menos importante, pero se puede utilizar indicadores sustitutos. Por ejemplo: los recursos que realmente se destinan a la gestión de riesgos, puede ser una medida (sustituta) con el que se valore el compromiso con la gestión de riesgos; Cualquier variación entre la medida de los datos de los indicadores de desempeño y cualquier sospecha instintiva, es importante y debe ser investigada (Ejemplo: si a pesar de numerosas evaluaciones de riesgos que indican un bajo riesgo residual, la gerencia sigue preocupada); Mientras que el deterioro súbito de los indicadores suelen atraer la atención, el deterioro progresivo puede ser igual de problemático, y las tendencias en los indicadores de desempeño deben ser observados y analizados. 7.3.4.4. Análisis posterior al evento (reactivo) Los errores, eventos, incidentes y accidentes proporcionan la ocasión de supervisar y revisar los riesgos y las mitigaciones implantadas, y para comprender mejor cómo funciona el proceso de gestión de riesgos y cómo puede ser mejorado. La intensión debe ser la adopción de un proceso sistemático de revisión de las causas de los eventos, fallas y casi fallas para aprender lecciones útiles a la organización. Cuando analizamos eventos y fallas las siguientes preguntas se deben contestar: ¿Hemos previamente identificado y analizado los riesgos involucrados?; ¿Hemos identificado las causas reales en la identificación del peligro que llevó al riesgo?; ¿Hemos calificado y evaluado correctamente los riesgos y sus controles?; ¿Los controles funcionan según lo previsto?; ¿Fueron los planes de mitigación eficaces?, si no, ¿donde podrían hacerse mejoras?; ¿Fueron efectivos nuestros procesos de supervisión y revisión?; ¿En general, cómo se puede mejorar nuestro proceso de gestión de riesgos?; ¿Quién necesita saber acerca de estas lecciones aprehendidas y cómo se deben difundir para garantizar que el aprendizaje es más eficaz?; CA 145-200-02 26/53 ¿Qué necesitamos hacer para que las fallas no se repitan?. 7.3.5 Registros en la gestión de riesgos 7.3.5.1 Registro de riesgos Para cada riesgo identificado debe registrarse lo siguiente: Una descripción del riesgo, sus causas y sus impactos; Una evaluación de la severidad de un evento en caso que ocurra y la probabilidad de que ocurra el evento, teniendo en cuenta los controles; Un resumen de los controles existentes y si son adecuados; Una valoración de la severidad y la probabilidad de un evento; El nivel de riesgo; y Prioridad del riesgo (con énfasis según el párrafo 7.3.4.1 cambios en el contexto y en los riesgos). Un ejemplo de registro de riesgos se presenta en el Apéndice 5. También se adjunta un formato para ejercitar la gestión de riesgos. 7.3.5.2 Registro del cronograma y plan de mitigación de riesgos El cronograma y plan de acción de mitigación de riesgos documenta las nuevas acciones y controles que serán adoptados. El cronograma generalmente contiene: El riesgo en orden de prioridad (con énfasis según el párrafo 7.3.4.1 cambios en el contexto y en los riesgos); Posibles opciones de mitigación y la opción preferida; Resultados del análisis de costo-beneficio; El responsable de implantar la opción; Calendario de implantación; Detalles del mecanismo de supervisión del riesgo y la mitigación. Un ejemplo de registro de cronograma del plan de mitigación de riesgos se presenta en el Apéndice 6. El plan de mitigación generalmente contiene: Resumen de la acción recomendada e impacto; Acciones propuestas en el plan de acción; Los recursos que van a ser utilizados y la asignación presupuestaria; Quien tiene la responsabilidad de implantar el plan; Tiempo, duración y/o calendario de implantación del plan; Detalles del mecanismo de supervisión del riesgo y la mitigación. Un ejemplo de registro de plan de mitigación de riesgos se presenta en el Apéndice 7. 7.3.5.3 Documentos de seguimiento y auditoria Los registros de seguimiento y auditoria deben documentar: Detalles del mecanismo y frecuencia de revisión de los riesgos y del proceso completo de gestión de riesgos; CA 145-200-02 27/53 Los resultados de las auditorías y otros procedimientos de vigilancia; Detalles de cómo se ha seguido y aplicado las anteriores recomendaciones de revisión. 7.3.5.4 Base de datos de incidentes Los incidentes también proporcionan una indicación del éxito de los esfuerzos en gestión de riesgos. Es muy útil desarrollar una base de datos de incidentes, con las cuales se puede luego detectar patrones o análisis de causales, que pueden servir para el diseño o la evaluación de las medidas de control de riesgos. Además de poder ser consultado por los responsables de la toma de decisiones relacionadas con el riesgo, es útil si la base de datos puede identificar automáticamente los conjuntos de datos de interés y comunicarlas automáticamente a las personas competentes con responsabilidad en gestión de riesgos (por ejemplo: frecuencia de ocurrencia de determinados tipos de incidentes que exceden los criterios establecidos). 7.3.6 Informe Final (de los riesgos de seguridad operacional). Se deben identificar todas las defensas a implantar; se deben desarrollar los sustentos; y documentar los resultados de una manera lógica y completa. Los sustentos deben documentarse apropiadamente. En algunos casos puede ser necesario hacer suposiciones para definir la aceptabilidad de un riesgo, donde no hay evidencia de apoyo. Cuando este sea el caso, entonces el déficit de las pruebas debe estar claramente documentado, de manera que cualquier riesgo residual debido a la incertidumbre puede ser considerado y aceptado, o se ha trabajado sobre nuevas medidas para reducir el riesgo. El informe final es un documento clave para demostrar que un sistema es seguro, este documento es auditado por la DGAC. Una estructura sugerida del informe final se presenta en el Apéndice 3 de esta CA. En este informe debe incluirse todos los registros y documentos que sustenten la gestión de riesgos, tales como los indicados en el párrafo 7.2.4 “Registro de peligros” y 7.3.5 “Registros en la gestión de riesgos” (“Registro de riesgos”, “Registro de cronograma de mitigación de riesgos” y “Registro de plan de acción de mitigación de riesgos”). 7.4 GESTIÓN DE RIESGOS DE SEGURIDAD OPERACIONAL DEL EXPLOTADOR AÉREO EN LA FASE 1 DE IMPLANTACIÓN DEL SMS. El Gerente Responsable debe disponer que se realice todo el proceso descrito en esta CA aplicando la gestión de riesgos de seguridad operacional a la fase 1 de implantación del SMS. Esta actividad será de mucha utilidad a la OMA porque le servirá para detectar los peligros actuales presentes en su organización, evaluar sus consecuencias en términos de probabilidad y severidad y gestionar los riesgos que actualmente amenazan a su organización. CA 145-200-02 28/53 Además será un ejercicio apropiado que lo prepare para la siguiente fase 3 de implantación del SMS “Gestión de Riesgos” de la Seguridad Operacional (Procesos Proactivos - Predictivos). Ver en el Apéndice 8 el desarrollo de este tema. 8. CONTACTOS PARA MAYOR INFORMACION Para cualquier consulta técnica adicional referida a esta CA, dirigirse a la Coordinación Técnica de Seguridad Operacional, Dirección General de Aeronáutica Civil Teléfono: 511-6157800 Anexo 1195 Correo electrónico: [email protected] 9. BIBLIOGRAFÍA a) The Human Factors Analysis and Classification System–HFACS DOT/FAA/AM-00/7 U.S. Department of Transportation Federal Aviation Administration Scott A. Shappell FAA Civil Aeromedical Institute Oklahoma City, OK 73125 Douglas A. Wiegmann University of Illinois at Urbana-Champaign Institute of Aviation Savoy, IL 61874 February 2000 Final Report b) Australian and New Zealand Standard on Risk Management AS/NZS 4360:2004 c) Handbook Risk Management Guidelines Companion to AS/NZS 4360:2004 Originated as HB 142—1999 and HB 143:1999. Jointly revised and redesignated as HB 436:2004. Reissued incorporating Amendment No. 1 (December 2005). d) CAP 760 Guidance on the Conduct of Hazard Identification, Risk Assessment and the Production of Safety Cases For Aerodrome Operators and Air Traffic Service Providers Published by TSO (The Stationery Office) on behalf of the UK Civil Aviation Authority First edition 13 January 2006 e) Draft International Standard ISO/DIS 31000 Risk Management – Principles and Guidelines on Implementation International Organization for Standardization, 2008 f) Safety Management Manual (SMM) CA 145-200-02 29/53 Doc. 9859 AN/474 Approved by the Secretary General and published under his authority Second Edition — 2009 International Civil Aviation Organization Order Number: 9859 ISBN 978-92-9231-295-4 CA 145-200-02 30/53 APÉNDICE 1 REGISTRO DE PELIGROS A todos los peligros identificados debería asignársele un “número de peligro”, para efectos de control, e ingresarlo en el “registro de peligros”. El “registro de peligros” debe eventualmente contener una descripción de cada peligro, sus consecuencias, la evaluación de probabilidad y severidad, y cualquier medida de mitigación requerida, siendo esto último parte de la gestión de riesgos que veremos más adelante. Ingresos adicionales se necesitará que sean hechos cuando haya más de una consecuencia razonable de interés. NOTA: No siempre es la consecuencia más grave la que es de más alto riesgo. Esto puede ser porque la consecuencia más grave podría ser muy poco probable que ocurra, mientras que una menos severa con consecuencias no deseadas podría ser más probable de que ocurra. Debe recordarse que el riesgo es una combinación de probabilidad y severidad. Los peligros ingresados en el “registro de peligros” deben ser utilizados para proveer información para la posterior evaluación de riesgos. El registro de peligros es una manera estructurada de registrar los peligros identificados en un sistema y para registrar las acciones que se planean o se han llevado a cabo para hacer frente a los peligros registrados. El registro de peligros debería ser usado desde la descripción del sistema y mantenerse actualizado como un documento vivo durante la implantación y ejecución del SMS. Al principio de la utilización del registro de peligros, la información registrada para cada peligro puede ser limitada. Conforme la implantación avanza y cuando más evaluaciones y mitigaciones de riesgo de seguridad operacional se realicen, más detalle será adicionado al registro. Cuando por ejemplo se realicen cambios operacionales, el registro de peligros puede ser revisado para visualizar la situación de los peligros asociados a dicho cambio y asegurar que todos los peligros han sido mitigados o aceptados por la organización y llegan a ser un riesgo aceptable. El registro de peligros puede ser usado para registrar los resultados del proceso de identificación de peligros, cuando se utiliza por ejemplo la metodología de “tormenta de ideas”. Contenido del registro de peligros El registro de peligros normalmente se presenta como una serie de formatos, donde cada uno, debidamente llenado, representa un peligro o una de varias consecuencias de un peligro. El llenado de los casilleros del formato se explica a continuación: Organización o área: Consignar la organización o el área de la organización al que el peligro identificado es aplicable. ID del registro de peligro: Usar este casillero con un único número que registre el peligro. CA 145-200-02 31/53 ID del peligro: Copiar en este casillero cualquier número de identificación de peligro asignado durante el proceso de identificación de peligros. Identificado por: Nombrar la persona o grupo que identificó el peligro. Fecha de creación: Ingresar la fecha en que por primera vez este formato de registro de peligros fue usado. Acción de la última actualización: Consignar los últimos casilleros de este formato que fueron actualizados. Fecha de la última actualización: Ingresar la fecha e la última vez que este formato fue actualizado. Descripción del peligro: Describir el peligro. Esto puede tomar la forma de cómo el peligro fue registrado durante el proceso de identificación de peligros. Categoría del peligro: Usar este casillero para ingresar las categorías en la clasificación de los peligros, ejemplo: técnico, operacional, entrenamiento, procedimiento, etc. Consecuencia del peligro: Ingresar la consecuencia que el peligro podría producir. NOTA: un solo peligro puede generar más de una consecuencia. Usar varias hojas cuando otras consecuencias importantes se requieren registrar. Esta probabilidad de peligro: Ingresar la probabilidad de la consecuencia del peligro. Ingresar la descripción cualitativa de la probabilidad. Severidad: Ingresar la severidad. Nivel de riesgo: ingresar el nivel de riesgo o índice de riesgo para la probabilidad y severidad específica. Probabilidad de peligro acumulado: Donde se haya identificado que más de un peligro genera la misma consecuencia, ingresar la suma de las probabilidades de los peligros identificados y que contribuyen a la misma consecuencia con el propósito de identificar la probabilidad general (total) de que ocurra la consecuencia. Mitigación/acción propuesta: Ingresar la acción o mitigación que se ha ideado para hacer frente a este peligro. Propuesto por: Nombre de la persona o equipo que propuso la acción o mitigación. Responsable: Nombre de la persona, equipo u organización que llevará a cabo la acción o mitigación. Fecha prevista: Ingresar la fecha en que la propuesta de acción o mitigación será implantada. Mitigación/acción tomada: Consignar las medidas realmente realizadas (estas pueden ser como se propusieron anteriormente). Fecha de la acción: Ingresar la fecha en que las medidas fueron tomadas. CA 145-200-02 32/53 Situación de la acción: Consignar si la acción está en curso, parcialmente completada o completa. Situación de este registro de peligro: Anotar si este registro de peligro está esperando alguna entrada más, está a la espera de cierre, etc. Fecha de cierre: Ingresar la fecha cuando se haya acordado que ninguna otra acción se adoptará con respecto a este registro de peligro. Continuación de la hoja?: Ingresar “Si” cuando haya más información relevante a este registro de peligro contenido en una hoja adicional de papel. CA 145-200-02 33/53 Formato de Registro de Peligros Organización o área ID del peligro ID del registro de peligro Identificado por Fecha de creación Acción de la última actualización Fecha de la última actualización Descripción del peligro Categoría del peligro Consecuencia del peligro Esta probabilidad de peligro Severidad Nivel de riesgo Probabilidad de peligro acumulado Mitigación/acción propuesta Propuesto por Responsable Fecha prevista Mitigación/acción tomada Fecha de la acción Situación de este registro de peligro Situación de la acción Fecha de cierre Continuación de la hoja? (Si/No) CA 145-200-02 34/53 Formato para Ejercicios de Identificación de Peligros (o Amenazas) Usar este formato para que ejercite la identificación de peligros que podría poner en riesgo un proceso específico. Para cada peligro identificado describa el posible daño y el impacto en su proceso y su organización. Identificación del Peligro CAUSA Descripción de su posible daño y su impacto en el Proceso EFECTO - CONSECUENCIA 1. 2. 3. 4. CA 145-200-02 35/53 APÉNDICE 2 IDENTIFICACIÓN DE PELIGROS USANDO “TORMENTA DE IDEAS” INTRODUCCIÓN Esta guía de tormenta de ideas se ha derivado de la orientación de la metodología de evaluación de seguridad operacional de Eurocontrol sobre identificación de peligros. La Tabla A proporciona una visión general de todo el proceso de tormenta de ideas, desde la planificación inicial y preparación hasta la evaluación de los resultados. El resto de este Apéndice describe cada punto planteado en la tabla. PLANIFICACIÓN INICIAL La identificación de peligros mediante tormenta de ideas puede llevarse a cabo en las diferentes fases de implantación del SMS. Al concluir la fase 1, la tormenta de ideas puede llevarse a cabo siempre que la descripción del sistema haya sido hecha. Esto es necesario para que el grupo de tormenta de ideas pueda tener una visión general del sistema y un algo de material para trabajar. A medida que la implantación del SMS avanza y se tiene acceso a más detalles, se puede repetir el ejercicio de tormenta de ideas. Algunos expertos cuya participación en las sesiones de tormentas de ideas es valiosa, puede ser necesario convocarlos con la debida anticipación para no entrar en conflicto con sus otras responsabilidades. Pudiendo incluir: Pilotos; Tripulantes de cabina; Mecánicos; Personal de seguridad, etc. Plan Alinear las actividades de evaluación de riesgos (incluida la identificación de peligros) con los planes de trabajo. Involucrar al personal relacionado con los temas a tratar Preparación Organizar a los participantes, los cuales pueden ser: Especialistas operacionales (pilotos, mecánicos, etc.). (sería ideal que no haya participado antes en una sistemática identificación de peligros). Moderador. Secretario. Expertos operacionales o en el sistema (Gerentes de producción, ingenieros aeronáuticos, Gerentes de línea, etc.). Analista de seguridad operacional. CA 145-200-02 36/53 Preparación de cómo realizar la tormenta de ideas. Preparación en los peligros y categorizaciones usando: Alcance de tormenta de ideas preliminares; Literatura, registro de registros y bases de datos de incidentes y accidentes. Hacer presentaciones de : Que es un peligro, cómo hacer la tormenta de ideas y sus reglas; Antecedentes generales del sistema y la operación. Hacer un cronograma la sesión de tormentas de ideas. Arreglo de los detalles de la reunión: Sala de reunión libre de distracciones; Papelógrafo y pizarra; Computadora portátil y proyector multimedia; Cofee break. Tormenta ideas de Hacer la introducción utilizando presentaciones preparadas. Tormenta de ideas: Evaluación Tener cuidado que se respeten las reglas básicas: Tantos peligros como sea posible; Sin críticas, sin retirar a nadie, sin análisis; Tomar notas breves sobre los peligros en el papelógrafo; Dirigir la reunión a través de los peligros y las categorías del peligro (ver Apéndice 1) preparados; Hacer breaks cortos para evitar significativamente la productividad. que se reduzca Cerrar la sesión. Distribuir las actas de la reunión con los registros de peligros solicitando las correcciones que sean necesarias. Evaluar la eficacia de la tormenta de ideas: Se cubrieron todas las categorías del peligro (ver Apéndice 1); Hay alguna categoría de peligro que se sospecha que falta?. Decidir cuando otra tormenta de ideas es necesario. TORMENTA DE IDEAS PRELIMINAR (ALCANCE) El objetivo de la actividad preliminar de tormenta de ideas es establecer un conjunto de categorías del peligro (ver Apéndice 1) y temas que posteriormente se pueden utilizar para guiar todas las actividades de la tormenta de ideas. Normalmente, el moderador mismo del grupo de tormenta de ideas es el que puede llevar a cabo el anteproyecto de la tormenta de CA 145-200-02 37/53 ideas o con la ayuda de otros, por ejemplo un Analista de Seguridad Operacional. Esta actividad debe realizarse antes que se realice la tormenta de ideas completa. La entrada para la tormenta de ideas preliminar puede ser los datos históricos de peligro en sistemas similares por ejemplo bases de datos de incidente / accidente, información sobre los sistemas o registros de peligros. El entregable de la tormenta de ideas preliminar debe ser una lista de categorías de peligros y otras cuestiones, tales como: Aspectos operacionales; Aspectos técnicos; Procedimientos; Posibles condiciones críticas: despegues, aterrizajes, carga y descarga, mantenimiento; Aspectos de entrenamiento, etc. Dado que la actividad preliminar de la tormenta de ideas es un ejercicio de una o dos personas, y el propósito es que no se produzca algo en detalle, el desarrollo de este ejercicio se puede dejar a discreción de los involucrados. La guía que sigue a continuación de tormenta de ideas completo, no necesariamente es aplicable a la tormenta de ideas preliminar. PREPARACIÓN PARA LA TORMENTA DE IDEAS COMPLETA Participantes El número de participantes a una sesión de tormenta de ideas debe limitarse a un máximo de 6 personas. Más que esto la reunión se vuelve improductiva y se deberían tomar medidas especiales para recuperar algo de la eficiencia: Dividir todo el grupo en grupos de trabajo más pequeños; Los participantes deben tomar notas individuales, seguido de una discusión de grupo de las notas de cada persona. Participantes con roles administrativos Todos los participantes deberán tomar parte en las actividades de generación de ideas en la tormenta de ideas, sin embargo algunos de los participantes también tienen una función administrativa: Moderador: Controla el flujo y el tiempo en la reunión, establece las normas de conducta y presenta el material y las categorías del peligro (ver Apéndice 1) a considerar. El principal objetivo del moderador es garantizar que la actividad de tormenta de ideas es productiva; Analista de seguridad operacional: Debe estar familiarizado con los peligros, sus causas y efectos, y ayudar al grupo con la terminología de seguridad operacional y la estructuración del registro de peligros; Secretario: Alguien deberá tomar nota del detalle de los peligros; esto podría estar en una computadora portátil conectado a un proyector para que los participantes puedan corregir cualquier malentendido (no obstante la corrección de notas debe tener una prioridad menor que la generación de ideas); Experto operacional/sistema: Este debe ser alguien familiarizado con el sistema o funcionamiento de la organización de manera que puedan responder a cualquier pregunta aclarando a los participantes sobre cualquier duda sobre el sistema. Generalmente son los gerentes operacionales, ingenieros, etc. Por lo general ellos hacen una presentación del resumen del sistema al comienzo de la sesión. CA 145-200-02 38/53 NOTA: el moderador puede ser también el analista de seguridad operacional. El secretario puede ser el analista de seguridad operacional (cuando éste no es también el moderador) lo que permite que la definición de peligros de seguridad operacional sea utilizando la terminología correcta. Participantes creativos Los participantes antes mencionados tienen una función administrativa a jugar en el proceso de tormenta de ideas. Sin embargo, la función principal de los demás participantes es la de creativamente identificar los peligros en el sistema. La clave está en la designación del personal operativo: Piloto: en la medida de lo posible que no hayan participado anteriormente en una tormenta de ideas, pero que esté familiarizado con los tipos de aeronaves y operaciones que realiza el explotador aéreo; Tripulante de cabina: en la medida de lo posible que no hayan participado anteriormente en una tormenta de ideas, pero que esté familiarizado con los tipos de aeronaves y operaciones que realiza el explotador aéreo; Mecánico: en la medida de lo posible que no hayan participado anteriormente en una tormenta de ideas, pero que esté familiarizado con los tipos de aeronaves que opera el explotador aéreo; Personal de seguridad: en la medida de lo posible que no hayan participado anteriormente en una tormenta de ideas; Otro personal operativo: en la medida de lo posible que no hayan participado anteriormente en una tormenta de ideas. PREPARACIÓN PARA UNA SESIÓN DE TORMENTA DE IDEAS Sesión logística Las sesiones de tormenta de ideas pueden ser tediosas para los participantes, por lo tanto debe tenerse en cuenta lo siguiente al organizar la logística de una sesión: El salón de reuniones debe estar protegido de distracciones, tales como llamadas telefónicas. La preparación de un cronograma de las reuniones que divida el tiempo asignado en descansos flexibles con refrescos, por ejemplo: cada media hora dar diez minutos de descanso. NOTA: Los participantes normalmente son más proactivos en sesiones por la mañana que por la tarde. La fácil disponibilidad de refrescos. Presentación tormenta de ideas Algunos participantes a una sesión de tormenta de ideas pueden no estar familiarizados con el proceso o lo que se espera de ello. Por lo tanto, es importante explicar esto, la mejor manera sería en forma de una breve presentación que cubra: La definición de peligro; Cómo será administrada la tormenta de ideas, por ejemplo las reglas: No se permiten contradicciones o retiro del personal; Cómo los participantes deben informar al grupo de sus ideas de peligro, por ejemplo abierta y libre para toda discusión; generando notas “ -its” pegado CA 145-200-02 39/53 un o pizarra; solicitar la atención del moderador esperando con las manos en alto. El moderador normalmente explicaría las reglas en unos diez minutos. Presentación del sistema o funcionamiento de la organización Los participantes en una tormenta de ideas necesitan información para realizar el trabajo, por lo tanto una visión general del sistema debe ser presentado: La presentación no debe de ser de más de media hora. No debe ser muy detallado pero debería cubrir: El objetivo del sistema; Concepto de la operación, por ejemplo: inter fases de la operación, características de la operación (regular, no regular, internacional, nacional, etc.); Funciones (rol) de las personas (pilotos, mecánicos, seguridad etc.); Políticas y procedimientos; Sistemas técnicos. Pueden ser utilizados fotos o diagramas. NOTA: Las fotos y diagramas por ejemplo, el “layout” del hangar debe convertirse en carteles y debe estar pegado alrededor de la habitación donde la actividad de tormenta de ideas se llevará a cabo para promover su examen constante y una fácil referencia. Los expertos de la operación/sistema (Gerentes) son los que llevarían a cabo esta presentación. CONDUCCIÓN DE LA REUNIÓN DE TORMENTA DE IDEAS Después que se ha realizado la presentación introductoria de la tormenta de ideas y del sistema o descripción operacional (ver más arriba), el moderador tomaría el control de dirigir al grupo para revisar las categorías del peligro (ver Apéndice 1) y los problemas previamente identificados en la etapa preliminar de tormenta de ideas. Todos los participantes explorarían cada una de las categorías del peligro (ver Apéndice 1) y problemas planteados teniendo la libertad de aumentar cualquier tema de seguridad operacional que se les ocurra. Debe tomarse nota rápidamente de los peligros planteados en un papelógrafo para ser discutido y ampliado aún más (aunque no se requiere de un análisis en detalle en esta etapa). El analista de seguridad operacional ayudaría a formular los peligros identificados con la redacción apropiada y el secretario se aseguraría de que estos estén correctamente registrados. Si se utiliza una computadora portátil y un proyector, el secretario se puede asegurar que la correcta comprensión del peligro planteado por el participante se ha registrado. Esto continúa, de acuerdo con el cronograma previsto, hasta que todas las categorías del peligro (ver Apéndice 1) y los temas identificados a partir de la tormenta de ideas preliminar se hayan agotado. Sin embargo, si durante la actividad de tormenta de ideas, cuestiones y categorías del peligro (ver Apéndice 1) generales han sido identificados además de los determinados durante los trabajos preliminares, estos deben ser explorados hasta que se agote el tema. DESPUÉS DE LA SESIÓN DE TORMENTA DE IDEAS CA 145-200-02 40/53 Las actas o notas de la sesión de tormenta de ideas, que debe ser dividido en las categorías del peligro (ver Apéndice 1) discutidos en la reunión, deben ser proporcionadas a los participantes dentro de unos días para que chequeen los errores. Los resultados del proceso de identificación del peligro deben ser revisados y evaluarse que tan exitoso ha sido el proceso. Si, por ejemplo, parece que una categoría del peligro (ver Apéndice 1) en particular no ha alcanzado el número esperado de los peligros, entonces debe considerarse la posibilidad de organizar más sesiones de tormenta de ideas (durante el proceso de implantación del SMS, ya que puede que luego de varios intentos de identificación de peligros se pueda tener la oportunidad de enfocar sobre un tema concreto en una fase posterior de implantación del SMS). Los peligros identificados en la sesión de tormenta de ideas deben ser ingresados en el registro de peligros, que es donde serán mantenidos (ver Apéndice 1). NOTA: El grupo de tormenta de ideas puede ser el mismo equipo que realizará la evaluación de riesgos, por lo que el grupo puede asignar la información de severidad y probabilidad inicial a las consecuencias del peligro inmediatamente después del proceso tormenta de ideas para ayudar a la posterior evaluación. CA 145-200-02 41/53 APÉNDICE 3 ESTRUCTURA SUGERIDA DEL INFORME FINAL Parte o Sección Descripción Página de título Incluir: el nombre de la organización, el sistema evaluado; fase de implantación del SMS, situación, la fecha; autor ( ). Un cuadro de firma "Autorizado por” puede ser incluido cuando el sistema Calidad lo requiere para la organización. Control de páginas Resumen ejecutivo Definiciones, acrónimos y abreviaturas Página del índice Alcance Descripción funcional Descripción del sistema Operación del sistema Diseño del sistema Un cuadro que muestra el historial de las diferentes versiones del documento, incluida una breve descripción de lo que ha cambiado entre las versiones. Una breve descripción del Informe Final que incluye: una breve introducción al sistema, donde se incluyan las defensas usadas, las principales actividades pendientes, los riesgos residuales y las conclusiones Incluir una lista de definiciones, tales como aquellas necesarias para especificar la probabilidad y severidad. También incluir una lista que explique las siglas y abreviaturas utilizadas en el Informe Final. Contiene capítulos o secciones, tablas, diagramas, figuras, apéndices, y número de la página de estos. Incluir: La función global del sistema, por qué es necesario, cuando se ajusta a otros sistemas y los límites que este Informe Final incluye. Incluir una descripción de las funciones del sistema, incluir los requerimientos operacionales; usar diagramas y figuras; mostrar que este sistema se ajusta a otros, incluyendo las interfaces con otros sistemas. Describir los componentes del sistema, las interfaces entre ellas; usar diagramas y figuras; describir las diferentes configuraciones permitida del sistema. (enfocado en procesos) Describir cómo el sistema funciona; incluir la descripción de la operación; describir el flujo de información o datos; entradas y salidas (por ejemplo, los aspectos de interfaz persona-máquina [L-H]); que procesos se están llevando a cabo o que decisiones se están tomando. Describir cómo el sistema fue diseñado; quién lo diseñó; todas las normas de diseño utilizados. (cuando sea aplicable) Supuestos Incluir todos los sistemas o los insumos de que depende este sistema para una operación segura. Sea breve cuando esto ya se ha descrito en las anteriores secciones de este documento. (cuando sea aplicable) Incluir cualquier supuesto sobre las interfaces u otros sistemas con los que este sistema interactúa y cualquier otro supuesto; incluir la justificación de los supuestos cuando sea posible. Nota: Estos supuestos es probable que se hayan realizado durante el proceso de identificación de peligros y evaluación de riesgos. Defensas Indicar las defensas establecidas para el sistema, que incluya instrucción, tecnología y normas, y su eficacia. Correlacionar las defensas Dependencias de diseño CA 145-200-02 42/53 Limitaciones y deficiencias Seguimiento y garantía del sistema Conclusión Referencias (fuentes de la información usada) Apéndices CA 145-200-02 implantadas o propuestas con los sustentos del Informe Final. Incluir los planes de mitigación. Identificar todas las deficiencias detectadas en el sistema. Registrar alguna defensa que no haya cumplido con su objetivo. Reiterar cualquier supuesto para el sistema por el que no existe, o es insuficiente la validación o la justificación. Identificar aquellas defensas que requieren seguimiento para garantizar que cumplen su objetivo de mitigación. Registrar los resultados del seguimiento continuo, la revisión por los gerentes de línea y las auditorías por terceros. Llegar a una conclusión sobre el Informe Final. Indique si su organización cree que el sistema es seguro y que puede seguir en servicio o qué trabajo adicional es necesario para que el sistema sea seguro. Establezca las limitaciones y deficiencias con las que su organización está dispuesta a vivir y las que son inaceptables, incluyendo las acciones para corregir la situación. Incluir las siguientes referencias, como sea aplicable: Estándares; Documentación de sustento de la identificación de peligros y análisis de riesgos (Formatos: ver Apéndices 1, 5, 6 y 7 de esta CA); Fuentes de la evidencia. Los Apéndices deben utilizarse para almacenar textos, diagramas, tablas, etc., porque si estuviera contenida en el cuerpo principal del Informe Final, puede distraer del flujo principal del documento. Por lo general, los Apéndices deben contener: Las partes del manual que contengan la descripción del sistema (ejemplo: MGM, MGO, MSMS, etc.); Compactar los datos de evidencia (haciendo referencia a los documentos más grandes en lugar de reproducir los mismos); Las matrices de cumplimiento estándar. 43/53 APÉNDICE 4 EJEMPLO DE LA SEVERIDAD CON UNA ESCALA DE CONSECUENCIAS DE DIFERENTES TIPOS Nivel de severi dad Tipos de consecuencias Reducción de la ganancia Salud y seguridad Entorno natural Patrimonio social y cultural USA dólares $ Muy grave, a largo plazo del medio ambiente con deterioro de las funciones de los ecosistemas V 10-100 Millones Múltiples fatalidades, o daños irreversibles y significativos a más de 50 personas IV 1-10 Millones Una muerte y/o severa discapacidad irreversible (más del 30%) a una o más personas III 100,000-1 MIllón Discapacidad irreversible moderada o discapacidad (menos del 30%) a una o más personas Efectos graves a medio plazo del medio ambiente II 10,000-100,000 Discapacidad reversible que requiere hospitalización efectos moderados a corto plazo pero que no afectan las funciones del ecosistema En curso cuestiones sociales. Daño permanente a elementos culturales de importancia I Menor 10,000 No requiere ningún tratamiento médico efectos menores sobre la biología del medio ambiente Impactos sociales menores a mediano plazo en poblaciones locales. Mayormente reparable. CA 145-200-02 de Comunidad/ gobierno/rep utación/medi os de comunicació n legal Significativos procesos y multas. Muy graves litigios En curso graves problemas sobre cuestiones sociales. Significativos daños a las estructuras o elementos de importancia cultural. Protestas públicas graves (con cobertura internacional) Mayor incumplimient o de la regulación. Principales litigios. Significativos medios de comunicación adverso, con atención de de organizacione s no gubernament ales. Grave violación de la regulación con investigación y enjuiciamiento . La atención de medios de comunicación y/o mayor preocupación por locales de la comunidad. Las críticas por las organizacione s no gubernament ales incumplimient os legales menores, no cumplimiento e infracciones quejas menores 44/53 APÉNDICE 5 EJEMPLO DE REGISTRO DE RIESGO Función/Actividad: Fecha de revisión del riesgo: Referencia El Riesgo: Que puede suceder y como puede suceder CA 145-200-02 Cumplido por: Revisado por: Las consecuencias de que un evento ocurra Severidad Probabilidad Adecuación de los controles existentes Fecha: Fecha: Valoración de la Severidad 45/53 Valoración de la Probabilidad Nivel del riego Prioridad del riesgo FORMATO PARA EJERCITAR LA GESTIÓN DE RIESGOS Practicar el proceso completo de Gestión de Riesgo usando la información de esta Circular de Asesoramiento. Donde SdC: Severidad de la Consecuencia, Pr: Probabilidad, R: Riesgo, NR: Nivel de Riesgo, RR: Riesgo Residual. Utilizar la matriz de riesgo desarrollada por su organización. PROCESO: N.° PELIGRO 1 RIESGO SdC Pr R NR Pr RR 2 3 PROCESO: N.° DEFENSAS 1 SITUACIÓN DEL RIESGO LUEGO DE LA MITIGACIÓN 2 3 CA 145-200-02 46/53 SdC APÉNDICE 6 EJEMPLO DE CRONOGRAMA DEL PLAN DE MITIGACIÓN DEL RIESGO Función/Actividad: Fecha de revisión del riesgo: Riesgo (en orden de prioridad del registro de riesgo CA 145-200-02 Posibles Opciones de Mitigación Cumplido por: Revisado por: Opciones Preferidas Resultado del Análisis de Costo Beneficio A: aceptado R: rechazado Persona Responsable de la Implantación de la Opción Fecha: Fecha: Calendario para Implementación 47/53 Como será el Seguimiento a este Riesgo y su Mitigación APÉNDICE 7 EJEMPLO DEL FORMATO DE PLAN DE MITIGACIÓN DEL RIESGO Función/Actividad: Riesgo: Resumen: Respuesta Recomendada e Impacto Referencia: Plan de Acción: 1. Acciones Propuestas 2. Recursos Requeridos 3. Responsabilidad 4. Tiempo 5. Reportes y Seguimiento Necesario Recopilado por: CA 145-200-02 Fecha: Revisado por: Fecha: 48/53 APÉNDICE 8 GESTIÓN DEL RIESGO EN LA FASE 1 DEL SMS Identificación de peligros y sus consecuencias en la fase 1 de implantación del SMS. En base a la descripción del sistema realizada en la fase 1 de implantación del SMS, la organización debe identificar los peligros que amenazan a su sistema. El proceso de identificación de peligros solo debe abarcar aquellos peligros que están dentro del alcance de la descripción de su sistema. Los límites del sistema, definido en la descripción del sistema en la fase 1 de implantación del SMS, debe ser lo suficientemente amplio para abarcar los posibles impactos que el sistema podría tener. En particular, es importante que la descripción del sistema incluya las inter fases con cualquier sistema mayor del cual el sistema del explotador aéreo sea parte. Se debe identificar los peligros e ingresarlos en el registro de peligros (ver Apéndice 1), identificar las consecuencias de cada peligro y luego actualizar el registro de peligros. La identificación de peligros debe considerar todas las posibles fuentes de falla del sistema. Dependiendo del tamaño del sistema en consideración este podría incluir: El equipo (“hardware” y “software”); El entorno operacional; Los operadores humanos (pilotos, despachadores, mecánicos, etc.); La interfaz hombre-máquina; Los procedimientos operacionales; Los procedimientos de mantenimiento; Servicios externos (electricidad, líneas telefónicas, etc.); Servicios contratados. También debe considerarse las operaciones cuando los equipos están fuera de línea por mantenimiento. Métodos de identificación de peligros para la fase 1 de implantación del SMS Se puede realizar la identificación de peligros mediante los siguientes dos métodos genéricos: Histórico: Haciendo uso y análisis de los registros de peligros y de reportes de accidentes, incidentes, eventos, errores, etc. (esto puede ser tomado de otros programas de seguridad operacional como PREVAC). “Tormenta de ideas”: Planificando y organizando sesiones destinadas a fomentar la participación de un equipo con diferente experiencia y conocimiento para explorar los peligros potenciales del sistema del explotador de una manera creativa. El Apéndice 2 proporciona orientación para un proceso de “tormenta de ideas”. Para una eficaz identificación de peligros es importante que participe el personal apropiado, los expertos de la organización y las partes interesadas (“stakeholders”). Las personas que podrían participar por parte de la organización son: Pilotos; Tripulantes de cabina; Mecánicos, CA 145-200-02 49/53 Ingenieros; Despachadores; etc. Para mayor eficiencia, el personal que participa en el proceso de identificación de peligros indicado anteriormente, puede añadir la evaluación de la severidad y probabilidad en las mismas sesiones del proceso de identificación de peligros. Un eficaz SMS debe garantizar que todo su personal esté motivado a buscar y reportar cuestiones de seguridad operacional y peligros potenciales como parte de su día a día. Los peligros relevantes identificados de esta manera deben ser ingresados en el “registro de peligros” (ver Apéndice 1). Esta actividad debió ser desarrollada inicialmente en la fase 1 de implantación del SMS. Gestión de riesgos para la fase 1 de implantación el SMS Las consecuencias de los peligros deben ser determinados como se explicó en el párrafo 7.2.3 “Consecuencias de los peligros”. Para la estimación de la probabilidad de las consecuencias de los peligros identificados, el mismo grupo que realizó la identificación de peligros puede evaluar la probabilidad de las consecuencias. Usar los procedimientos indicados en el párrafo 7.3.2.1 “Probabilidad de los riesgos de seguridad operacional”. Una vez que la evaluación de la probabilidad haya sido completada para todos los peligros identificados y sus consecuencias, los resultados incluyendo el sustento de la clasificación de la probabilidad elegida deben ser ingresados en el “registro de peligros” (ver el Apéndice 1). Antes de iniciar la estimación de la severidad de las consecuencias de los peligros identificados, las consecuencias de cada peligro identificado deben ser ingresadas en el “registro de peligros”. El mismo grupo que realizó la identificación de peligros puede evaluar la severidad de las consecuencias. Usar los procedimientos indicados en el párrafo 7.3.2.2 “Severidad de los riesgos de seguridad operacional”. La evaluación del riesgo se realiza decidiendo si el riesgo es aceptable o no, e ingresando los resultados en el “registro de peligros” (ver el Apéndice 1), también se pueden usar los formatos sugeridos en los párrafo 7.3.5 “Registros en la gestión de riesgos” (“Registro de riesgos”, “Registro de cronograma de mitigación de riesgos” y “Registro de plan de acción de mitigación de riesgos”). Para la evaluación del riesgo usar los procedimientos indicados en el párrafo 7.3.2.3 “Índice (nivel de riesgo) y tolerabilidad del riesgo de seguridad operacional” y 7.3.2.4 “Métodos de análisis de riesgos”. La mitigación de riesgos consiste en la introducción de defensas a las consecuencias de los peligros identificados e ingresando estos en el “registro de peligros” (ver el Apéndice 1). Los criterios de mitigación se encuentran en el párrafo 7.3.3 “Control/Mitigación de riesgos”. CA 145-200-02 50/53 APÉNDICE 9 PUNTOS DE CONTROL PARA EL CUMPLIMIENTO DE LA FASE 2 DE LA IMPLANTACIÓN DEL SMS 1. ASPECTOS PREVIOS 1.1 1.2. 1.3. 1.4. Política y objetivos de seguridad operacional Establecer la responsabilidad y la obligación de rendir cuentas por las responsabilidades Garantizar adecuados recursos Entrenamiento y capacitación Acción: Debe ser presentado a la DGAC antes del 30/04/2011 2. PELIGROS (O AMENAZAS) A LA SEGURIDAD OPERACIONAL 2.1 2.2 2.3 2.4 Identificación de peligros Análisis de los peligros Consecuencias de los peligros Registro de peligros Acción: Debe ser presentado a la DGAC antes del 31/05/2011 3. RIESGOS DE SEGURIDAD OPERACIONAL 3.1 3.2 Gestión de riesgos de seguridad operacional Análisis y evaluación del riesgo: 3.2.1 3.2.2 3.2.3. 3.2.4. Probabilidad de los riesgos de seguridad operacional. Severidad de los riesgos de seguridad operacional Índice (nivel de riesgo) y aceptabilidad del riesgo de seguridad operacional.Nivel de riesgo: Aceptabilidad del riesgo: Métodos de análisis de riesgos Acción: Debe ser presentado a la DGAC antes del 31/07/2011 3. RIESGOS DE SEGURIDAD OPERACIONAL 3.3. Control/mitigación de los riesgos de seguridad operacional: 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 Identificar las opciones de mitigación del riesgo Evaluar las opciones de mitigación del riesgo Seleccionar las opciones para la mitigación Planes de mitigación de riesgo. Riesgo residual Acción: Debe ser presentado a la DGAC antes del 31/08/2011 CA 145-200-02 51/53 3. RIESGOS DE SEGURIDAD OPERACIONAL 3.4 Seguimiento y revisión. 3.4.1 3.4.2 3.4.3 3.4.4. 3.5 Registros en la gestión de riesgos 3.5.1 3.5.2 3.5.3 3.5.4 3.6 Cambios en el contexto y en los riesgos Seguimiento y garantía de la gestión del riesgo Medición del desempeño de la gestión de riesgos Análisis posterior al evento (reactivo) Registro de riesgos Registro del cronograma y plan de acción de mitigación de riesgos Documentos de seguimiento y auditoria Base de datos de incidentes Informe Final (de los riesgos de seguridad operacional). Acción: Debe ser presentado a la DGAC antes del 30/09/2011 4. GESTIÓN DE RIESGOS DE SEGURIDAD OPERACIONAL DEL EXPLOTADOR AÉREO EN LA FASE 1 DE IMPLANTACIÓN DEL SMS. Acción: Debe ser presentado a la DGAC antes del 30/11/2011 CA 145-200-02 52/53 APÉNDICE 10 FORMATO PARA EJERCITAR EL ANÁLISIS DE CAUSAS HFACS Defina un evento inseguro y sus causas usando el modelo HFACS EVENTO INSEGURO: ACTOS INSEGUROS CA 145-200-02 PRECONDICIONES SUPERVISIÓN 53/53 ASPECTOS ORGANIZACIONALES
