Para ser conforme con los requisitos de la Norma ISO 9001:2015, tu organización necesita planificar e implementar acciones para abordar los riesgos y oportunidades. No lo digo yo, lo dice literalmente la Norma en el punto 0.3.3 Pensamiento basado en riesgos. (más…)
Siguiendo con la serie de entradas relacionadas con la Norma ISO 19600, esta semana queremos hablarte de los Riesgos en procesos externalizados en Sistema de Gestión de Compliance.
Dentro de los sistemas de gestión de cumplimiento (o “compliance”), cuando una organización está identificando sus riesgos de cumplimiento debe valorar todas sus actividades, productos y servicios. Ello implica considerar procesos externalizados entre los que se encuentran típicamente algunos como:
El análisis y control de los riesgos penales de estas actividades puede suponerte una de las mayores pesadillas en la implantación de los sistemas de gestión de Cumplimiento. En la norma ISO 19600, que algunos utilizan como referencia estos aspectos se incluyen en el apartado 8.3. (Conoce a fondo la Norma ISO 19600 y evita los delitos derivados de la RSC (4ª parte). Sistemas de gestión de compliance)
En relación con los subcontratistas y proveedores… ¿Hasta dónde alcanza nuestra responsabilidad legal? ¿Hasta dónde los riesgos empresariales?. No es sencillo de valorar.
Además, el nivel de autoridad y control que podemos tener sobre otras organizaciones suele ser limitado y las cadenas de proveedores / subcontratistas son a veces tan largas que suponen una caja de sorpresas cuando nos ponemos a indagar a fondo (sorpresas en ocasiones “desagradables”).
Suponte, por ejemplo, que has identificado como significativos riesgos de “compliance” en la red de representantes comerciales de tu empresa, y que dicha red la tenéis subcontratada (externalizados), ¿Cómo los controlas?
Tienes muchas alternativas:
No se trata de establecer a priori una determinada metodología sino de entender que no es necesario matar moscas a cañonazos, y que en función del nivel de riesgo puedes combinar varias de estas técnicas para alcanzar una confianza “razonable” en el cumplimiento de las medidas establecidas dentro de tu sistema de gestión de cumplimiento.
Dinos si te resulta útil esta información, y cuéntanos tus experiencias en la implantación de un Sistema de Gestión de Cumplimiento (Compliance).
Si te ha gustado, no seas egoísta, compártelo!
Ayer asistí a la Jornada que anualmente organiza la AEC (http://www.aec.es/web/guest/aec/quienes-somos) relacionada con la certificación acreditada. Este año, la jornada estaba dedicada a la Gestión de Riesgos (La gestión de riesgos y la certificación.Valor añadido a la estrategia de la organización) y es que este concepto se ha puesto de moda desde que la revisión de la Norma ISO 9001 lo incorpora, provocando el pánico.
¿Eres de esos que ha leído la definición de riesgo y te han puesto los pelos de punta?
Pues como ya comentamos en nuestra entrada Que no te asuste la evaluación de riesgos de ISO 9001:2015, no es tan fiero el león como lo pintan. Cuando en abril escribimos esa entrada todavía no se había publicado el Draft International Standard (DIS) y por lo tanto, sólo se podían elucubrar sobre cómo sería la Norma. A día de hoy, ya es casi 100% seguro de que se va mantener en la futura ISO 9001 (esperamos tenerla entre nosotros entre septiembre y octubre de 2005). Ésta a lo mejor tiene cambios de redacción, pero ya de requisitos se supone que no va a haber cambios.
¿Qué va querer ISO 9001:2015 que hagas? Pues ya te adelanto que no te va a exigir un sistema para gestionar riesgos.
Según el enfoque, y como el concepto de riesgo está incluido en el capítulo de planificación, vas a tener que identificar los riesgos de que no obtengas los resultados esperados (en el sistema de gestión de la calidad y la conformidad de productos o servicios). Una vez hayas identificado esos riesgos, evaluarlos y establecer medidas preventivas para evitarlos (los que puedas prever). Más tarde, en la Revisión por la Dirección tendrás que analizar si estas medidas han sido las adecuadas.
En otras palabras, lo que la norma exige es un enfoque al pensamiento basado en riesgos y NO un sistema para gestionar riesgos.
Da ahora en adelante, la gestión por procesos incluirá una determinación de las entradas y salidas esperadas, su seguimiento y medición (indicadores) y la identificación de los riesgos de no obtener los resultados esperados.
El pensamiento basado en riesgos hará que implementes un sistema más preventivo.
A menudo se piensa en riesgo solo en su sentido negativo. La norma, como ya vimos en nuestra entrada Que no te asuste la evaluación de riesgos de ISO 9001:2015, también incluye el pensamiento basado en riesgo para identificar oportunidades. Esto se puede considerarse el lado positivo del riesgo, ya que podemos tener oportunidades de las que queramos aumentar su impacto o posibilidad de ocurrencia, y estas oportunidades deben también ser identificadas en esta planificación.
Imagenes: www.freepik.es