sábado, 2 de julio de 2016

A propósito de la ISO 9001:2015, Quieres aprender a gestionar los riesgos?

Para ser conforme con los requisitos de la Norma ISO 9001:2015, tu organización necesita planificar e implementar acciones para abordar los riesgos y oportunidades. No lo digo yo, lo dice literalmente la Norma en el punto 0.3.3 Pensamiento basado en riesgos.

Antes de comenzar a explicar un método fácil y sencillo, no quiero que olvidemos que la Norma no especifica una metodología para hacerlo, ni que no existe la metodología perfecta que se ajuste a todas las organizaciones a manera de receta pre elaborada. La que se adapte al tamaño de su organización, a las actividades que desarrolla, al contexto en el que lo hace, y a los requisitos de sus partes interesadas.

Me imagino que te estará llegando muchísima información sobre este tema, ya que es uno de los cambios más sobresalientes que trae la Norma en su última versión. La verdad es que nos parece que se están publicitando algunas metodologías de evaluación de riesgos que son refritos de otras evaluaciones de riesgos (HAZOP, 27001, etc) y que me parecen muy complejas para lo que realmente está exigiendo ISO 9001:2015. Para que veamos que no hacen falta metodologías complejas, con cálculos avanzados publicamos este post. Eso sí, no encaja, deséchala y búsquemos otra, que si sirva. En estos temas no existen las verdades absolutas.

Tampoco hay que dejar de lado algo muy importante, y es que eliminar por completo el riesgo de una organización no es posible, y que hay que ser coherente, encontrar el equilibrio entre los esfuerzos invertidos en la gestión de un riesgo y el riesgo residual que nos queda, en algunos casos no justifica la inversión económica grande para acabar con un riesgo muy poco significativo.

Cualquier herramienta que se utilice para aplicar el enfoque a riesgos de la Norma ISO 9001:2015 debe incluir 3 fases:
1. Identificar los riesgos. Vamos a empezar por definir qué es el riesgo. La Norma ISO 9000:2015 Fundamentos y vocabulario lo define como: Efecto de la incertidumbre, y añade una serie de notas explicativas:

Nota 1: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.

Nota 2: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad.

Nota 3: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (según se define en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en la Guía ISO 73:2009, 3.6.1.3), o a una combinación de éstos.

Nota 4: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la probabilidad (según se define en la Guía ISO 73:2009, 3.6.1.1) asociada de que ocurra.

Nota 5: La palabra “riesgo” algunas veces se utiliza cuando sólo existe la posibilidad de consecuencias negativas.

Nota 6: Este término es uno de los términos comunes y definiciones esenciales para las normas de sistemas de gestión que se proporcionan en el Anexo SL del Suplemento ISO consolidado de la Parte 1 de las Directivas ISO/IEC. La definición original se ha modificado añadiendo la nota 5 a la entrada.

Bueno, si no se ha aclarado, podemos revisar la definición que incorpora ISO 31000. Riesgo. Efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos; y también que los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).

Para empezar a enumerar los riesgos de su organización. Se debe empezar por saber dónde estás, es decir: el contexto de la organización, los requisitos de las partes interesadas y el alcance del sistema de gestión de la calidad. Para comprender los riesgos necesitamos conocer el negocio y cómo encaja en el ambiente de alrededor, como ya vimos en nuestra publicación EL P.E.S.T.: UNA HERRAMIENTA PARA ANALIZAR EL CONTEXTO EN ISO 9001:2015.

Con esa información enumere los riesgos específicos para los aspectos, niveles o las actividades que desarrolla la organización. Analice los elementos y defina los puntos críticos (positivos y negativos de los mismos). Se pueden utilizar técnicas como las 5W, la lluvia de ideas o los mapas mentales, aunque si la actividad es sencilla bastará con analizarla a fondo, de forma sistemática.

Este tema se puede ver mucho más claro con un ejemplo sencillo. Control de la documentación: analice el proceso, y de entre las actividades críticas destaque como negativo pérdida de la información, por no tener copia de seguridad y uso de documentos obsoletos. Pero también puede haber positivos, como puede ser la oportunidad de digitalizar la documentación.

2. Evaluar el riesgo. Evaluar el riesgo no es más que cuantificarlo, en función de la probabilidad de que ocurra y las consecuencias que generaría al ocurrir. Paso seguido debe analizar las consecuencias de las posibles desviaciones en esos puntos y/o actividades críticas.

Aquí es donde entran las metodologías de cálculo, desde las sencillas tablas en las que se valora como alto, medio o bajo, con su justificación; hasta los elaborados y complejos métodos de cálculo matemático. En este post no vamos a entrar en estos últimos, ya que se trata de que definir una metodología sencilla.

Qué es los recomendable? Tomar la lista de riesgos y analizarlos para valorarlos. Vamos a verlo siguiendo con el ejemplo:

Así a simple vista se verá si el riesgo es alto, medio o bajo. En la herramienta excel pueden formularse los semáforos para usar ventajosamente los semáforos del software

3. Definición de acciones. Establecer los controles adecuados contra los riesgos, es decir, tras ponderar y justificar dicha ponderación sólo falta definir las acciones para eliminar o reducir (en el caso en el que no se pueda eliminar) el riesgo. Teniendo en cuenta que habrá riesgos tolerables o no:

Un Riesgo es tolerable cuando es aceptado en un contexto determinado basado en los valores actuales de la organización o el riesgo ha sido reducido al nivel que puede ser soportado, vistas las obligaciones legales y la propia política de gestión del riesgo.

Así las opciones que existen para reducir el o eliminar el riesgo serán:

– Eliminar la fuente del riesgo, puedes llegar incluso a prohibir.
– Modificar las consecuencias.
– Cambiar las probabilidades.
– Compartir el riesgo con otros.
– Mantener el riesgo para perseguir una oportunidad.
-  Adaptarse al riesgo y administrar las consecuencias.

Teniendo todo esto en cuenta, termina tu tabla:

Estas acciones deberán incluirlas en la planificación e implementarlas en los procesos de la organización.

¿Hace falta algo? Sí. La gestión eficaz de los riesgos no tiene final, ya que están siempre cambiando y evolucionando. Por lo tanto hay que informar periódicamente del impacto de los riesgos y de las acciones definidas para tratarlos, y de su seguimiento (incluso definir indicadores que darán las señales de alarma si algo marcha mal) así como realizar una revisión periódica de los mismos.

Y ya está, ya esta echa tu evaluación de riesgos, ¿a qué no es tan fiero el león como lo pintan?

Por último, para acabar por hoy, sólo queda señalar en el índice de la norma, dónde aparecen los riesgos y oportunidades en la ISO 9001:2015.

0.3.3. Pensamiento basado en riesgos.

4.4 Sistema de gestión de calidad y sus procesos, como parte de la gestión de procesos.

6.1 Acciones para abordar riesgos y oportunidades (en 6. Planificación). Al planificar el sistema de gestión de la calidad, determinar riesgos y oportunidades, y establecer acciones.

9.3 Revisión por la dirección, eficacia de las acciones.

10.2 No conformidad y acción preventiva. Actualizar los riesgos, si es necesario.

Tomado de: http://www.hazaconsejerostecnicos.com