Quieres aprender a gestionar los riesgos según ISO 9001:2015

02/03/2016

Para ser conforme con los requisitos de la Norma ISO 9001:2015, tu organización necesita planificar e implementar acciones para abordar los riesgos y oportunidades. No lo digo yo, lo dice literalmente la Norma en el punto 0.3.3 Pensamiento basado en riesgos.

En entradas anteriores ya hemos hablado de cómo la nueva Norma ISO 9001:2015 aborda este tema, si quieres saber más puedes leerlos aquí: Las claves del pensamiento basado en riesgos (ISO 9001:2015) y Que no te asuste la evaluación de riesgos de ISO 9001:2015.

Antes de comenzar a explicarte un método fácil y sencillo, no quiero que olvides que la Norma no especifica una metodología para hacerlo, ni que no existe la metodología perfecta, bueno sí, perdona, existe la perfecta para ti. La que se adapte al tamaño de tu empresa, a las actividades que desarrolla, al contexto en el que lo hace, y a los requisitos de tus partes interesadas.

Me imagino que te estará llegando muchísima información sobre este tema, ya que es uno de los cambios más sobresalientes que trae la Norma. Yo también la estoy recibiendo, y la verdad es que me parece que se están publicitando algunas metodologías de evaluación de riesgos que son refritos de otras evaluaciones de riesgos (HAZOP, 27001, etc) y que me parecen muy complejas para lo que realmente está exigiendo ISO 9001:2015. Por eso me he lanzado a escribirte este post, para que veas que no hacen falta metodologías complejas, con cálculos avanzados. Eso sí, si lo que te voy a explicar a continuación no te encaja, deséchala y búscate otra, que te sirva a ti. En estos temas no existen las verdades absolutas.

Tampoco quiero dejarme atrás algo muy importante, y es que eliminar por completo el riesgo de una organización no es posible, y que debes que ser coherente. Tienes que encontrar el equilibrio entre los esfuerzos invertidos en la gestión de un riesgo y el riesgo residual que nos queda, en algunos casos no merecerá la pena una inversión económica muy grande para acabar con un riesgo muy poco significativo.

Creemos que cualquier herramienta que se utilice para aplicar el enfoque a riesgos de la Norma ISO 9001:2015 debe incluir 3 fases:

riesgos según ISO 9001-2015

1. Identificar los riesgos

Vamos a empezar por definir qué es el riesgo. La Norma ISO 9000:2015 Fundamentos y vocabulario lo define como: Efecto de la incertidumbre, y añade una serie de notas explicativas:

Nota 1: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.

Nota 2: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad.

Nota 3: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (según se define en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en la Guía ISO 73:2009, 3.6.1.3), o a una combinación de éstos.

Nota 4: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la probabilidad (según se define en la Guía ISO 73:2009, 3.6.1.1) asociada de que ocurra.

Nota 5: La palabra “riesgo” algunas veces se utiliza cuando sólo existe la posibilidad de consecuencias negativas.

Nota 6: Este término es uno de los términos comunes y definiciones esenciales para las normas de sistemas de gestión que se proporcionan en el Anexo SL del Suplemento ISO consolidado de la Parte 1 de las Directivas ISO/IEC. La definición original se ha modificado añadiendo la nota 5 a la entrada.

Bueno, si no te ha aclarado mucho, ampliamos con la definición que incorpora ISO 31000. Riesgo. Efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos; y también que los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).

Para empezar a enumerar los riesgos de tu empresa. Empieza por saber dónde estás, es decir, el contexto de tu organización, los requisitos de las partes interesadas y el alcance de tu sistema de gestión de la calidad. Para comprender tus riesgos necesitas conocer tu negocio y cómo encaja en el ambiente de alrededor, como ya vimos en el post El análisis PEST, una herramienta para analizar el contexto en ISO 9001:2015.

Con esa información enumera los riesgos específicos para los aspectos, niveles o las actividades que desarrolla tu organización. Analiza los elementos y define los puntos críticos (positivos y negativos de los mismos). Puedes utilizar técnicas como las 5W, la tormenta de ideas o los mapas mentales, aunque si tu actividad es sencilla te bastará con analizarla a fondo, de forma sistemática.

Yo creo que lo vas a ver mucho más claro con un ejemplo sencillo. Control de la documentación: analizas tu proceso, y de entre las actividades críticas destacas como negativo pérdida de la información por no tener copia de seguridad y uso de documentos obsoletos. Pero también puede haber positivos, como puede ser la oportunidad de digitalizar la documentación.

2. Evaluar el riesgo

Evaluar el riesgo no es más que cuantificarlo, en función de la probabilidad de que ocurra y las consecuencias que acarrearía que ocurriese. Así que ahora te toca analizar las consecuencias de las posibles desviaciones en esos puntos / actividades críticas.

Aquí es donde entran las metodologías de cálculo, desde las sencillas tablas en las que se valora como alto, medio o bajo, con su justificación; hasta los elaborados métodos de cálculo matemático. En este post no vamos a entrar en estos últimos, ya que se trata de que definir una metodología sencilla.

¿Qué te recomiendo? Coger tu lista de riesgos y analizarlos para valorarlos. Vamos a verlo siguiendo con el ejemplo:

Tabla riesgos ISO 9001-1

Así a simple vista se verá si el riesgo es alto, medio o bajo.

3. Definición de acciones

Establecer los controles adecuados contra los riesgos, es decir, tras ponderar y justificar dicha ponderación sólo te falta definir las acciones para eliminar o reducir (en el caso en el que no se pueda eliminar) el riesgo. Teniendo en cuenta que habrá riesgos tolerables o no:

Un Riesgo es tolerable cuando es aceptado en un contexto determinado basado en los valores actuales de tu empresa o el riesgo ha sido reducido al nivel que puede ser soportado por tu empresa, vistas sus obligaciones legales y propia política de gestión del riesgo.

Así las opciones que tendrás para reducir el o eliminar el riesgo serán:

– Eliminar la fuente del riesgo, puedes llegar incluso a prohibir.

– Modificar las consecuencias.

– Cambiar las probabilidades.

– Compartir el riesgo con otros.

– Mantener el riesgo para perseguir una oportunidad

Teniendo todo esto en cuenta, termina tu tabla:

Tabla riesgos ISO 9001-2

Estas acciones deberás incluirlas en la planificación e implementarlas en los procesos de tu empresa.

¿Te falta algo? Sí. La gestión eficaz de los riesgos no tiene final, ya que están siempre cambiando y evolucionando. Por lo tanto tendrás que informar periódicamente del impacto de los riesgos y de las acciones definidas para tratarlos, y de su seguimiento (incluso puedes definir indicadores que te darán las señales de alarma si algo marcha mal) así como realizar una revisión periódica de los mismos.

Y ya está, ya tienes hecha tu evaluación de riesgos, ¿a qué no es tan fiero el león como lo pintan?

Por último, para acabar por hoy, sólo me queda señalarte en el índice de la norma, dónde aparecen los riesgos y oportunidades en la ISO 9001:2015.

0.3.3. Pensamiento basado en riesgos.

4.4 Sistema de gestión de calidad y sus procesos, como parte de la gestión de procesos.

6.1 Acciones para abordar riesgos y oportunidades (en 6. Planificación). Al planificar el sistema de gestión de la calidad, determinar riesgos y oportunidades, y establecer acciones.

9.3 Revisión por la dirección, eficacia de las acciones.

10.2 No conformidad y acción preventiva. Actualizar los riesgos, si es necesario.

Nos encantaría saber con qué dudas y problemas te estás encontrando, así que te animamos a comentárnoslo para que te podamos echar una mano con ellos.

Ya sabes, si te ha gustado, ¡compártelo!

Imagen destacada: Nicolas Raymond (www.freepik.es)

24 Comentarios

  1. oscar

    hola tengo una duda sobre un plan de mejora del sistema de gestión de la calidad ISO 9001 2015

    Responder
  2. oscar

    igual

    Responder
  3. Eugenia

    Muchas gracias por cuidar este contenido y compartirlo con todos, gracias

    Responder
  4. Greicy

    Muchas gracias por cuidar este contenido y compartirlo con todos, gracias

    Responder
  5. Ana Mireles

    Buenas Tardes
    Es necesario realizar el analisis FODA previo. ya que en la matriz de evaluacion de riesgo se claisfica los riesgos y oportuidades.

    Responder
  6. Marytrini

    buenas tardes,
    Muchas gracias por tan importante información referente a calidad, tengo una duda, la empresa para la que trabajo es del ramo aeroespacial, por tal estamos certificados con la norma AS9100, al cambiar de revision la norma ISO en automático cambia también la AS, asi que no se si puedas ayudarme con la pregunta que tengo, es referente al RIESGO, nosotros medimos el riesgo con los FMEAS y con los PRP, no se si estos documentos puedan ayudarnos para cumplir con la parte del Pensamiento basado en Riesgo, o tengo que aplicar otras metodologías para poderlo documentar.
    muchas gracias por tu ayuda
    Saludos

    Responder
  7. Celia

    Dentro de la implantación en el sistema estamos realizando el análisis de riesgos por proceso, después de leer tu blog, parece ser que es solo uno para toda la organización, ¿entendí mal?

    saludos

    Responder
    • HAZA CT

      Buenas tardes Celia,
      La norma no dice cuantos análisis de riesgos debes hacer. Para nosotros lo más cómodo es tener un único análisis que englobe a todos los procesos significativos de la organización.
      Un saludo,

      Responder
  8. Monica

    Buenas tardes, puedo generar solo la matriz con los riesgos y como modo de medición a cada riesgo en la matriz medirlo con indicadores.

    Responder
  9. Yepez

    como aplico la evaluación de riesgos al producto en lo referente a seguridad higiene y ambiente por ejemplo en una empresa metalmecanica.

    Responder
  10. Jorge

    Hola, soy nuevo en el puesto que tengo en la empresa y me dieron el cargo de realizar la transicion de la ITAF 16949, es posible que en los informes de la revision por la direccion (realizado a conciencia) se encuentre plasmado total/parcialmente un enfoque del riesgo?

    Responder
  11. Norah M.

    Gracias por el aporte. Mi duda es la siguiente:

    Hasta qué nivel le corresponde al sistema de gestión analizar los riesgos. Tomando como ejemplo una empresa del sector construcción, donde cada proyecto es diferente y único, el sistema de gestión analiza los riesgos orientados a los objetivos estratégicos de la empresa o debe involucrarse en cada proyecto constructivo que desarrolle la empresa??

    Saludos.

    Responder
  12. José Cruz

    Hola.

    ¿Sería suficiente realizar la valoración de riesgos en la revisión del sistema o al estar enfocado a los procesos habría que realizar dicha valoración en cada proceso?

    Un saludo..

    Responder
    • HAZA CT

      Hola José,
      Nosotros incluimos en el análisis de procesos en la matriz de riesgos, pero sólo de aquellos que consideramos significativos, es decir, aquellos que tienen influencia en la calidad de los productos o servicios realizados por la organización. Analizamos las actividades de estos procesos, los escenarios tanto negativos como positivos que pueden plantearse.
      Un saludo

      Responder
      • José Cruz

        Muchas gracias por la respuesta.
        Nosotros estamos certificados bajo ISO 9001 y TS 16949. Según esta especificación técnica de automoción hemos definido los procesos clave, establecido objetivos e indicadores y planes de contingencia de cada uno. Mi duda es que en la TS 16949 no especifica la identificación de riesgos como tal aunque el diagrama de tortuga de cada proceso es muy parecido a la identificación de riesgos y hace esta mención para la revisión del sistema: ANALISIS DE LOS PROBLEMAS EN EL MERCADO, REALES Y POTENCIALES Y DE SU IMPACTO EN LA CALIDAD, LA SEGURIDAD O EL MEDIO AMBIENTE punto 5.6.2.1 suplemento

        Responder
      • José Cruz

        Gracias por la contestación.

        Nuestra empresa está certificada también bajo la TS 16949. Tenemos establecidos procesos clave, entradas y salidas, objetivos e indicadores pero no se evalúan los riesgos como tal. También tenemos planes de contingencia de los procesos. ¿Cómo podría integrar el nuevo requisito de la evaluación de los riesgos en la TS 16949?

        Responder
  13. Mary

    Hola, gracias por aportar esta importante información.
    Yo he utilizado una herramienta similar a la que has compartido, es decir ya he identificado, evaluado y plasmado acciones para los riesgos.
    Mi pregunta es con respecto a cómo serán abordadas las acciones, es decir, si estas deberán plasmarse en un plan de acción como tal o como podría evidenciar su ejecución para después medir su eficacia.???
    gracias

    Responder
    • HAZA CT

      Las acciones deberán ser abordadas definiendo un responsable, un plazo, unos recursos, etc, es decir, tal y como bien dices, plasmadas en un plan de acción.
      Muchas gracias por tu contribución!
      Un saludo

      Responder
  14. Andres López

    Gracias por la información
    Me surge la siguiente duda:
    ¿Si realizo el abordaje de riesgos desde las caracterizaciones de proceso, es suficiente con enunciar RIESGO U OPORTUNIDAD DE MEJORA y ACCIONES O CONTROLES PARA ABORDAR EL RIESGO ?? o debo hacer la respectiva calificación o tolerancia de estos riesgos?

    Responder
    • HAZA CT

      Buenos días Andrés,
      ¿Cómo decides si un riesgo debe tratarse o no? ¿Cómo defines si está controlado o debes si debes definir acciones para controlarlo? Para eso es para lo es necesario calificar o clasificar los riesgos con algún requisito predefinido (gravedad, frecuencia…)
      Gracias por participar en el foro!
      Un saludo
      Carmen Machado

      Responder
  15. Nelba

    excelente información

    Responder
    • HAZA CT

      Muchas gracias!
      Un saludo,
      Carmen Machado

      Responder
  16. Carlos

    Gracias por el aporte, pero tengo una duda, cómo le das validez al resultado de tu análisis de riesgos ya sea FODA o PEST? si tu mismo dices que es subjetivo?

    Responder
    • HAZA CT

      Gracias a ti!
      En respuesta a tu cuestión comentarte que el fin último del sistema de gestión es que tu organización sea capaz de proporcionar productos y servicios que cumplan con los requisitos de cliente y los legales y reglamentarios, así como aumentar la satisfacción de cliente, por lo tanto debes tener presente que estas claúsulas (contexto y partes interesadas) no debe enfocarse como una ampliación de requisitos del sistema más allá de de este fin.
      Por tanto, es tu organización la que decide quienes son sus partes interesadas o su contexto, y cuáles de sus requisitos son pertinentes para el sistema de gestión de calidad, sin necesidad de darle validez.
      Un saludo,
      Carmen Machado

      Responder

Enviar un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

¿ Quieres saber más?