Quieres aprender a gestionar los riesgos según ISO 9001 2015

Quieres aprender a gestionar los riesgos según ISO 9001:2015

Para ser conforme con los requisitos de la Norma ISO 9001:2015, tu organización necesita planificar e implementar acciones para abordar los riesgos y oportunidades. No lo digo yo, lo dice literalmente la Norma en el punto 0.3.3 Pensamiento basado en riesgos.

En entradas anteriores ya hemos hablado de cómo la nueva Norma ISO 9001:2015 aborda este tema, si quieres saber más puedes leerlos aquí: Las claves del pensamiento basado en riesgos (ISO 9001:2015) y Que no te asuste la evaluación de riesgos de ISO 9001:2015.

Antes de comenzar a explicarte un método fácil y sencillo, no quiero que olvides que la Norma no especifica una metodología para hacerlo, ni que no existe la metodología perfecta, bueno sí, perdona, existe la perfecta para ti. La que se adapte al tamaño de tu empresa, a las actividades que desarrolla, al contexto en el que lo hace, y a los requisitos de tus partes interesadas.

Me imagino que te estará llegando muchísima información sobre este tema, ya que es uno de los cambios más sobresalientes que trae la Norma. Yo también la estoy recibiendo, y la verdad es que me parece que se están publicitando algunas metodologías de evaluación de riesgos que son refritos de otras evaluaciones de riesgos (HAZOP, 27001, etc) y que me parecen muy complejas para lo que realmente está exigiendo ISO 9001:2015. Por eso me he lanzado a escribirte este post, para que veas que no hacen falta metodologías complejas, con cálculos avanzados. Eso sí, si lo que te voy a explicar a continuación no te encaja, deséchala y búscate otra, que te sirva a ti. En estos temas no existen las verdades absolutas.

Tampoco quiero dejarme atrás algo muy importante, y es que eliminar por completo el riesgo de una organización no es posible, y que debes que ser coherente. Tienes que encontrar el equilibrio entre los esfuerzos invertidos en la gestión de un riesgo y el riesgo residual que nos queda, en algunos casos no merecerá la pena una inversión económica muy grande para acabar con un riesgo muy poco significativo.

Creemos que cualquier herramienta que se utilice para aplicar el enfoque a riesgos de la Norma ISO 9001:2015 debe incluir 3 fases:

riesgos según ISO 9001-2015

1. Identificar los riesgos

Vamos a empezar por definir qué es el riesgo. La Norma ISO 9000:2015 Fundamentos y vocabulario lo define como: Efecto de la incertidumbre, y añade una serie de notas explicativas:

Nota 1: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.

Nota 2: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad.

Nota 3: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (según se define en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en la Guía ISO 73:2009, 3.6.1.3), o a una combinación de éstos.

Nota 4: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la probabilidad (según se define en la Guía ISO 73:2009, 3.6.1.1) asociada de que ocurra.

Nota 5: La palabra “riesgo” algunas veces se utiliza cuando sólo existe la posibilidad de consecuencias negativas.

Nota 6: Este término es uno de los términos comunes y definiciones esenciales para las normas de sistemas de gestión que se proporcionan en el Anexo SL del Suplemento ISO consolidado de la Parte 1 de las Directivas ISO/IEC. La definición original se ha modificado añadiendo la nota 5 a la entrada.

Bueno, si no te ha aclarado mucho, ampliamos con la definición que incorpora ISO 31000. Riesgo. Efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos; y también que los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).

Para empezar a enumerar los riesgos de tu empresa. Empieza por saber dónde estás, es decir, el contexto de tu organización, los requisitos de las partes interesadas y el alcance de tu sistema de gestión de la calidad. Para comprender tus riesgos necesitas conocer tu negocio y cómo encaja en el ambiente de alrededor, como ya vimos en el post El análisis PEST, una herramienta para analizar el contexto en ISO 9001:2015.

Con esa información enumera los riesgos específicos para los aspectos, niveles o las actividades que desarrolla tu organización. Analiza los elementos y define los puntos críticos (positivos y negativos de los mismos). Puedes utilizar técnicas como las 5W, la tormenta de ideas o los mapas mentales, aunque si tu actividad es sencilla te bastará con analizarla a fondo, de forma sistemática.

Yo creo que lo vas a ver mucho más claro con un ejemplo sencillo. Control de la documentación: analizas tu proceso, y de entre las actividades críticas destacas como negativo pérdida de la información por no tener copia de seguridad y uso de documentos obsoletos. Pero también puede haber positivos, como puede ser la oportunidad de digitalizar la documentación.

2. Evaluar el riesgo

Evaluar el riesgo no es más que cuantificarlo, en función de la probabilidad de que ocurra y las consecuencias que acarrearía que ocurriese. Así que ahora te toca analizar las consecuencias de las posibles desviaciones en esos puntos / actividades críticas.

Aquí es donde entran las metodologías de cálculo, desde las sencillas tablas en las que se valora como alto, medio o bajo, con su justificación; hasta los elaborados métodos de cálculo matemático. En este post no vamos a entrar en estos últimos, ya que se trata de que definir una metodología sencilla.

¿Qué te recomiendo? Coger tu lista de riesgos y analizarlos para valorarlos. Vamos a verlo siguiendo con el ejemplo:

Tabla riesgos ISO 9001-1

Así a simple vista se verá si el riesgo es alto, medio o bajo.

3. Definición de acciones

Establecer los controles adecuados contra los riesgos, es decir, tras ponderar y justificar dicha ponderación sólo te falta definir las acciones para eliminar o reducir (en el caso en el que no se pueda eliminar) el riesgo. Teniendo en cuenta que habrá riesgos tolerables o no:

Un Riesgo es tolerable cuando es aceptado en un contexto determinado basado en los valores actuales de tu empresa o el riesgo ha sido reducido al nivel que puede ser soportado por tu empresa, vistas sus obligaciones legales y propia política de gestión del riesgo.

Así las opciones que tendrás para reducir el o eliminar el riesgo serán:

– Eliminar la fuente del riesgo, puedes llegar incluso a prohibir.

– Modificar las consecuencias.

– Cambiar las probabilidades.

– Compartir el riesgo con otros.

– Mantener el riesgo para perseguir una oportunidad

Teniendo todo esto en cuenta, termina tu tabla:

Tabla riesgos ISO 9001-2

Estas acciones deberás incluirlas en la planificación e implementarlas en los procesos de tu empresa.

¿Te falta algo? Sí. La gestión eficaz de los riesgos no tiene final, ya que están siempre cambiando y evolucionando. Por lo tanto tendrás que informar periódicamente del impacto de los riesgos y de las acciones definidas para tratarlos, y de su seguimiento (incluso puedes definir indicadores que te darán las señales de alarma si algo marcha mal) así como realizar una revisión periódica de los mismos.

Y ya está, ya tienes hecha tu evaluación de riesgos, ¿a qué no es tan fiero el león como lo pintan?

Por último, para acabar por hoy, sólo me queda señalarte en el índice de la norma, dónde aparecen los riesgos y oportunidades en la ISO 9001:2015.

0.3.3. Pensamiento basado en riesgos.

4.4 Sistema de gestión de calidad y sus procesos, como parte de la gestión de procesos.

6.1 Acciones para abordar riesgos y oportunidades (en 6. Planificación). Al planificar el sistema de gestión de la calidad, determinar riesgos y oportunidades, y establecer acciones.

9.3 Revisión por la dirección, eficacia de las acciones.

10.2 No conformidad y acción preventiva. Actualizar los riesgos, si es necesario.

Nos encantaría saber con qué dudas y problemas te estás encontrando, así que te animamos a comentárnoslo para que te podamos echar una mano con ellos.

Ya sabes, si te ha gustado, ¡compártelo!

Imagen destacada: Nicolas Raymond (www.freepik.es)

¿Estás preparado para el cambio?

Descárgate Gratis la Guía de implantación de la Norma ISO 9001:2015

Tags: , , , ,

12 Responses to “Quieres aprender a gestionar los riesgos según ISO 9001:2015”

  1. Carlos 06/09/2016 at 6:46 pm #

    Gracias por el aporte, pero tengo una duda, cómo le das validez al resultado de tu análisis de riesgos ya sea FODA o PEST? si tu mismo dices que es subjetivo?

    • HAZA CT 07/09/2016 at 6:29 pm #

      Gracias a ti!
      En respuesta a tu cuestión comentarte que el fin último del sistema de gestión es que tu organización sea capaz de proporcionar productos y servicios que cumplan con los requisitos de cliente y los legales y reglamentarios, así como aumentar la satisfacción de cliente, por lo tanto debes tener presente que estas claúsulas (contexto y partes interesadas) no debe enfocarse como una ampliación de requisitos del sistema más allá de de este fin.
      Por tanto, es tu organización la que decide quienes son sus partes interesadas o su contexto, y cuáles de sus requisitos son pertinentes para el sistema de gestión de calidad, sin necesidad de darle validez.
      Un saludo,
      Carmen Machado

  2. Nelba 03/10/2016 at 7:19 am #

    excelente información

    • HAZA CT 03/10/2016 at 5:28 pm #

      Muchas gracias!
      Un saludo,
      Carmen Machado

  3. Andres López 07/01/2017 at 4:27 pm #

    Gracias por la información
    Me surge la siguiente duda:
    ¿Si realizo el abordaje de riesgos desde las caracterizaciones de proceso, es suficiente con enunciar RIESGO U OPORTUNIDAD DE MEJORA y ACCIONES O CONTROLES PARA ABORDAR EL RIESGO ?? o debo hacer la respectiva calificación o tolerancia de estos riesgos?

    • HAZA CT 09/01/2017 at 11:27 am #

      Buenos días Andrés,
      ¿Cómo decides si un riesgo debe tratarse o no? ¿Cómo defines si está controlado o debes si debes definir acciones para controlarlo? Para eso es para lo es necesario calificar o clasificar los riesgos con algún requisito predefinido (gravedad, frecuencia…)
      Gracias por participar en el foro!
      Un saludo
      Carmen Machado

  4. Mary 11/01/2017 at 7:15 pm #

    Hola, gracias por aportar esta importante información.
    Yo he utilizado una herramienta similar a la que has compartido, es decir ya he identificado, evaluado y plasmado acciones para los riesgos.
    Mi pregunta es con respecto a cómo serán abordadas las acciones, es decir, si estas deberán plasmarse en un plan de acción como tal o como podría evidenciar su ejecución para después medir su eficacia.???
    gracias

    • HAZA CT 23/01/2017 at 6:04 pm #

      Las acciones deberán ser abordadas definiendo un responsable, un plazo, unos recursos, etc, es decir, tal y como bien dices, plasmadas en un plan de acción.
      Muchas gracias por tu contribución!
      Un saludo

  5. José Cruz 16/01/2017 at 12:01 pm #

    Hola.

    ¿Sería suficiente realizar la valoración de riesgos en la revisión del sistema o al estar enfocado a los procesos habría que realizar dicha valoración en cada proceso?

    Un saludo..

    • HAZA CT 23/01/2017 at 6:29 pm #

      Hola José,
      Nosotros incluimos en el análisis de procesos en la matriz de riesgos, pero sólo de aquellos que consideramos significativos, es decir, aquellos que tienen influencia en la calidad de los productos o servicios realizados por la organización. Analizamos las actividades de estos procesos, los escenarios tanto negativos como positivos que pueden plantearse.
      Un saludo

      • José Cruz 24/01/2017 at 8:25 am #

        Muchas gracias por la respuesta.
        Nosotros estamos certificados bajo ISO 9001 y TS 16949. Según esta especificación técnica de automoción hemos definido los procesos clave, establecido objetivos e indicadores y planes de contingencia de cada uno. Mi duda es que en la TS 16949 no especifica la identificación de riesgos como tal aunque el diagrama de tortuga de cada proceso es muy parecido a la identificación de riesgos y hace esta mención para la revisión del sistema: ANALISIS DE LOS PROBLEMAS EN EL MERCADO, REALES Y POTENCIALES Y DE SU IMPACTO EN LA CALIDAD, LA SEGURIDAD O EL MEDIO AMBIENTE punto 5.6.2.1 suplemento

      • José Cruz 30/01/2017 at 8:57 am #

        Gracias por la contestación.

        Nuestra empresa está certificada también bajo la TS 16949. Tenemos establecidos procesos clave, entradas y salidas, objetivos e indicadores pero no se evalúan los riesgos como tal. También tenemos planes de contingencia de los procesos. ¿Cómo podría integrar el nuevo requisito de la evaluación de los riesgos en la TS 16949?

Deja un comentario