En una anterior publicación, os comenté el nuevo concepto que incorpora la nueva actualización de la norma ISO 9001.
Para poder realizar una buena gestión de riesgos nos tenemos que basar en la norma ISO 31000 donde expone la metodología a seguir para realizar una buena evaluación de riesgos de la organización.
Definición del riesgo según la norma ISO 31000
El riesgo se puede definir como: efectos en la incertidumbre sobre los objetivos.
- Un efecto es una desviación de aquello que se espera sea positivo o negativo
- Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud, seguridad y metas ambientales) y se pueden aplicar en diferentes niveles estratégicos en toda la organización, en proyectos, productos y procesos).
- A menudo el riesgo caracterizado por la referencia a los eventos potenciales y a las consecuencias o a una combinación de ellos
- También en las consecuencias y en la posibilidad que suceda.
El riesgo es la probabilidad de la ocurrencia de eventos por impacto de esos eventos en las organizaciones.
PxI = R (probabilidad x Impacto = riesgo)
El riesgo puede ser una cantidad numérica o cualitativa
Proceso de la gestión del riesgo
Comunicación y consulta (punto 5.2)
Establecimiento del contexto (punto 5.3):
Se deben identificar las áreas críticas, los procesos y el personal adecuado. Integración de la gestión de riesgo en los sistemas de gestión ya existentes. Se debe describir las partes de la organización (proceso – objetivo – requisito). Para ello se debe:
- Construir la política de calidad basada en la gestión de riesgos
- Diseñar los procesos: listas de riesgos por proceso
- Diseñar los objetivos e indicadores con los resultados de la gestión de riesgos
Identificación del riesgo (punto 5.4.2):
Identificar todos los posibles eventos o situaciones que pueden evitar el cumplimiento de los objetivos del proceso de las actividades o de las personas.
Inicialmente este punto es el más laborioso ya que se debe incluir la totalidad de posibles riesgos de la organización, abarcando cada uno de los procesos de la empresa.
Cada área de la empresa deberá participar en la identificación.
Análisis del riesgo (punto 5.4.3):
Calificar la probabilidad y la consecuencia del riesgo identificado. Existen numerosos modelos y herramientas para poder realizar bien este paso. Debemos escoger aquel modelo que se adapte mejor a las necesidades de la empresa. En la norma ISO 31000 encontrareis un listado de algunos modelos que os pueden interesar. En una publicación posterior os indicaré qué modelo acostumbro aplicar por su sencillez y os mostraré la metodología a seguir.
Si Calificamos la probabilidad y el impacto del riesgo identificado con la fórmula PxI = R donde:
Probabilidad: 1-bajo, 5-medio, 10-alto
Impacto: 1-bajo, 5-medio, 10-alto
Evaluación del riesgo (punto 5.4.4):
Concluir cuál es el significado del resultado de la multiplicación de Probabilidad e Impacto; y se deberán tomar las decisiones correspondientes dependiendo de los resultados.
Se deberá mostrar una tabla de decisiones; como por ejemplo:
- Riesgo 1-10 se corresponde con riesgo bajo (se deberán mantener los controles)
- Riesgo 25-50 se corresponde con riesgo medio (implementar controles a medio plazo)
- Riesgo >50 se corresponde con riesgo alto (implementar controles a corto plazo)
Tratamiento del riesgo (punto 5.5):
Una vez realizada la evaluación se deben establecer los resultados y seleccionarlos). Decidir si se deben eliminar, sustituir y transferir, disminuir la probabilidad, disminuir las consecuencias y aceptar y asumir.
Monitoreo y revisión (punto 5.6)
Esta publicación os puede ser de mucha ayuda a la hora de redactar vuestro procedimiento específico de gestión de riesgos que tanto como los que estáis adaptando la nueva actualización de la norma como los que estáis implantando por primera vez la norma ISO 9001 deberéis realizarlo.
Tomado de: http://asesordecalidad.blogspot.com/
No hay comentarios.:
Publicar un comentario