jueves, 21 de abril de 2016

3 pasos para gestionar los riesgos según ISO 9001:2015?

Para ser conforme con los requisitos de la Norma ISO 9001:2015, la organización necesita planificar e implementar acciones para abordar los riesgos y oportunidades. Lo dice literalmente la Norma en el punto 0.3.3 Pensamiento basado en riesgos.

Antes de explicar un método fácil y sencillo, no olvidemos que la Norma no especifica una metodología para hacerlo, ni que no existe la metodología universal perfecta, sin embargo no hay que buscarla perfecta, solo que responda adecuadamente a este requerimiento. La que se adapte al tamaño de la organización, a las actividades que desarrolla, al contexto en el que lo hace, y a los requisitos de las partes interesadas.

Sobre este tópico está llegando muchísima información, ya que es uno de los cambios más sobresalientes que trae la nueva versión. Al respecto advertimos que se están publicitando algunas metodologías de evaluación de riesgos que son refritos de otras evaluaciones de riesgos (HAZOP, 27001, etc) y que parecen muy complejas para lo que realmente está exigiendo ISO 9001:2015. 

Por eso en IDEA Consultores & Asesores hemos publicado esta opción para demostrar que no hacen falta metodologías complejas, con cálculos avanzados. Eso sí, si lo que se explicará a continuación no encaja, se puede cambiar por otra, que se ajuste. En estos temas no existen las verdades absolutas.

Es importante no dejar de lado algo muy importante, y es que eliminar por completo el riesgo de una organización no es posible, y que hay que ser coherente. De lo que se trata es de encontrar el equilibrio entre los esfuerzos invertidos en la gestión de un riesgo y el riesgo residual que queda, en algunos casos no merecerá la pena una inversión económica muy grande para acabar con un riesgo muy poco significativo.

Creemos que cualquier herramienta que se utilice para aplicar el enfoque a riesgos de la Norma ISO 9001:2015 debe incluir 3 fases:
1. Identificar los riesgos
Iniciemos por definir qué es el riesgo. La Norma ISO 9000:2015 Fundamentos y vocabulario lo define como: Efecto de la incertidumbre, y añade una serie de notas explicativas que son necesarias para entender el concepto tal y como lo pretende la nueva versión de la Norma.

Bueno, si no aclaran del todo, ampliamos con la definición que incorpora ISO 31000, Riesgo: Efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos; y también que los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).

Para empezar a enumerar los riesgos de la organización, hay que saber dónde se ubica ésta, es decir, el 'contexto de la organización', los requisitos de las partes interesadas y el alcance del sistema de gestión de la calidad. Para comprender los riesgos se requiere conocer el negocio y cómo encaja en el ambiente de alrededor, como se vio en el post "El análisis PEST, una herramienta para analizar el contexto en ISO 9001:2015".

Con esa información se enumeran los riesgos específicos para los aspectos, niveles o las actividades que desarrolla la organización. Se analizan los elementos y se definen los puntos críticos (positivos y negativos de los mismos). Se pueden usar técnicas como las 5W, la tormenta de ideas o los mapas mentales, aunque si la actividad es sencilla, bastará con analizarla a fondo, de forma sistemática.

Esto se verá mucho más claro con un ejemplo sencillo. Control de la documentación: se analiza el proceso, y de entre las actividades críticas se destacan como negativo pérdida de la información por no tener copia de seguridad y uso de documentos obsoletos. Pero también puede haber positivos, como puede ser la oportunidad de digitalizar la documentación.

2. Evaluar el riesgo
Evaluar el riesgo no es más que cuantificarlo, en función de la probabilidad de que ocurra y las consecuencias que acarrearía que ocurriese. Así que ahora se analizan las consecuencias de las posibles desviaciones en esos puntos / actividades críticas.

Aquí es donde entran las metodologías de cálculo, desde las sencillas tablas en las que se valora como alto, medio o bajo, con su justificación (ejemplo una hoja de cálculo con semáforo); hasta los elaborados métodos de cálculo matemático. En este post no vamos a entrar en estos últimos, ya que se trata de que definir una metodología sencilla.

Qué recomendamos? Coger tu lista de riesgos y analizarlos para valorarlos. Vamos a verlo siguiendo con el ejemplo:


Así a simple vista se verá si el riesgo es alto, medio o bajo.


3. Definición de acciones
Establecer los controles adecuados contra los riesgos, es decir, tras ponderar y justificar dicha ponderación sólo falta definir las acciones para eliminar o reducir (en el caso en el que no se pueda eliminar) el riesgo. Teniendo en cuenta que habrá riesgos tolerables o no:

Un Riesgo es tolerable cuando es aceptado en un contexto determinado basado en los valores actuales de la organización o el riesgo ha sido reducido al nivel que puede ser soportado, vistas las obligaciones legales y la política propia de gestión del riesgo.

Así las opciones quedan para reducir o eliminar el riesgo serán:

– Eliminar la fuente del riesgo, puedes llegar incluso a prohibir.

– Modificar las consecuencias.

– Cambiar las probabilidades.

– Compartir el riesgo con otros.

– Mantener el riesgo para perseguir una oportunidad

Teniendo todo esto en cuenta, se termina la tabla:

Estas acciones deben incluirse en la planificación e implementarlas en los procesos de la organización.

La gestión eficaz de los riesgos no tiene final, ya que están siempre cambiando y evolucionando. Por lo tanto hay que informar periódicamente del impacto de los riesgos y de las acciones definidas para tratarlos, y de su seguimiento (incluso se pueden definir indicadores que dan las señales de alarma si algo marcha mal) así como realizar una revisión periódica de los mismos.

Y ya está la evaluación de riesgos. Por último, es interesante destacar y analizar en el índice de la norma, dónde aparecen los riesgos y oportunidades en la ISO 9001:2015.

Nos encantaría saber con qué dudas y problemas te estás encontrando, así que te animamos a comentárnoslo para que te podamos echar una mano con ellos.

Ya sabes, si te ha gustado, ¡compártelo!
Recomendamos nuestro post: 
ISO 31000 o el nuevo paradigma del riesgo para 9001:2015 y 14001:2015

Publicado y ajustado con base en: 
http://www.hazaconsejerostecnicos.com/quieres-aprender-a-gestionar-los-riesgos-segun-iso-90012015/