Riesgos y oportunidades
Uno de los cambios que más revuelo ha causado con la versión de la norma ISO 9001 del 2015, ha sido el enfoque basado en riesgos y la identificación de riesgos y oportunidades.
La norma ha dado una vuelta de tuerca a la gestión de riesgos, pero lo cierto es que estos ya se gestionaban en anteriores versiones a través de las acciones correctivas y de las acciones preventivas. Estas últimas, como ya sabes, desaparecen en esta versión, porque esta se vuelve preventiva en sí misma.
Este revuelo viene mayoritariamente por no saber cómo enfrentarse a la gestión de riesgos y oportunidades al considerar el tema como algo nuevo, cuando realmente sólo tenemos que adaptar un poco lo que ya veníamos haciendo.
Ya se oye hablar de procedimientos de gestión de riesgos (cuando la norma en ningún momento dice que esto sea obligatorio). Todo dependerá de las características de cada empresa. No es lo mismo una pyme, que una micropyme que una multinacional. Está claro que debemos adoptar lo que mejor sea para nuestra empresa, pero con mesura y, sobre todo, con un orden lógico.
¿Qué dice la norma?
“Aunque el apartado 6.1 especifica que la organización debe planificar acciones para abordar los riesgos, no hay ningún requisito en cuanto a métodos formales para la gestión del riesgo ni un proceso documentado de la gestión del riesgo. Las organizaciones pueden decidir si desarrollar o no una metodología de la gestión del riesgo más amplia de lo que requiere esta Norma Internacional, por ejemplo, mediante la aplicación de otra orientación u otras normas.
No todos los procesos de un sistema de gestión de la calidad representan el mismo nivel de riesgo en términos de la capacidad de la organización para cumplir sus objetivos, y los efectos de la incertidumbre no son los mismos para todas las organizaciones. Bajo los requisitos del apartado 6.1 la organización es responsable de la aplicación del pensamiento basado en riesgos y de las acciones que toma para abordar los riesgos, incluyendo si conserva o no información documentada como evidencia de su determinación de riesgos.”
Fuente: ISO 9001:2015 A.4
En anteriores post ya te hablaba de algunas metodologías para identificar riesgos y oportunidades. Hoy vengo a ponerte todas las cartas sobre la mesa, para que puedas escoger la metodología o sistema que mejor se adapte a ti y a la situación de tu empresa.
¿En qué capítulos se habla de riesgos y oportunidades?
Aunque ya hemos visto los capítulos de la norma uno por uno, resulta interesante ver en qué capítulos la norma menciona las palabras «riesgo» y «oportunidades».
Te he preparado esta tabla resumen para verlo más claro:
Otros capítulos donde no aparece explícitamente la palabra “riesgo”
Capítulo 7 Apoyo
Si bien en este capítulo no aparece la palabra “riesgo”, debemos tenerlo en cuenta, porque es aquí donde se habla de recursos e infraestructura necesaria para poder afrontar los riesgos y poder llevar a cabo los procesos.
Se hace referencia a aspectos tales como el manejo de los diferentes recursos: humanos, materiales, financieros, etc.
Entre estos recursos, considera también, la competencia, la concienciación, la comunicación o la información documentada entre otros.
Todos ellos en su conjunto supone un soporte necesario para que la organización pueda alcanzar las metas propuestas.
Capítulo 8 Operación
En este capítulo tampoco aparece por ninguna parte la palabra «riesgo», aunque debemos considerar el control a tener sobre la propiedad no sólo de los clientes sino también de los proveedores.
También debemos prever las acciones a realizar en caso de que resulten productos no conformes.
¿Qué metodologías existen?
En anteriores post ya habíamos visto unas cuantas metodologías que nos podían ser de ayuda.
La definición del riesgo cubre una gama muy amplia de sucesos de diferente naturaleza, por ello, se han desarrollado diferentes modelos de gestión. Algunos son propios por sector de actividad y otros se especializan en el tratamiento de algún tipo de riesgo.
Estándares para el tratamiento de riesgos específicos, independientemente de la condición o tamaño de la empresa:
- ISO 27000 para los sistemas de seguridad de la información.
- ISO 22000 para el control de riesgos alimentarios.
- COBIT e ITL para riesgos tecnológicos.
- PMBOK para gestión de riesgos en procesos.
- ISO 14000 para la gestión de riesgos de naturaleza ambiental.
- OSHAS 18001 para la gestión de la seguridad y salud ocupacional.
Estándares para la gestión de todo tipo de riesgos independientemente de su naturaleza y la organización donde se produzcan:
- COSO Es la metodología más extendida e implementada a nivel internacional, dedicada a proveer marcos y orientaciones sobre la gestión del riesgo empresarial, control interno y la disuasión del fraude.
- IRM Son estándares de gerencia de riesgos que considera las consecuencias positivas y negativas en todo tipo de organizaciones y actividades en el corto y largo plazo
- AS/NZ 4360:2004 publicado por la organización de estandarización de Australia y Nueva Zelanda, acaba de ser sustituido por el estándar AS/NZ ISO 31000:2009.
- NS 5814:1991 Es un estándar noruego que propone unas líneas de actuación para el tratamiento de los riesgos enfocado a la propuesta de mejoras y la consecución de las mismas.
- ISO 31000: 2009 “Gestión del riesgo. Principios y orientaciones”, que recoge y unifica todos los estándares mencionados. Está diseñado para que cualquier tipo de organización pueda identificar y evaluar todos sus riegos de una forma estructurada.
- ISO 31010: 2009 “Gestión del riesgo. Técnicas de evaluación de riesgos”, diseñadas para facilitar la aplicación de la norma ISO 31000 en los procesos de identificación y evaluación del riesgo.
Fuente: ISO Tools
¿Qué metodología debo elegir?
Como te comentaba al principio del post, cada empresa debe ajustarse a sus necesidades, por eso debes elegir una metodología que te sea fácil de asimilar y de la que puedas sacar el máximo provecho.
De nada te servirá tenerlo todo perfectamente desarrollado según X metodología si no te sirve para nada y en el momento de la verdad, se te viene todo el sistema abajo.
Independientemente de la metodología que sigas, debes tener en cuenta los siguientes pasos:
- Identificar los riesgos
- Evaluar los riesgos
- Definir acciones e implementarlas
- Evaluar las acciones tomadas
- Mejorar si fuese necesario
Te he preparado esta infografía que resume todo lo que hemos visto hasta ahora:
Información documentada sobre gestión de riesgos y oportunidades
En este post, te hablaba de la información documentada obligatoria y recomendada en ISO 9001:2015.
Realmente no es obligatorio tener un procedimiento de riesgos y oportunidades, aunque sí recomendable, por la “novedad” del tema.
Aquí puedes ver un ejemplo de Procedimiento de Gestión de Riesgos
Recuerda que cada empresa es diferentey que en temas de diseño y elaboración de procedimientos nadie tine la última palabra ;-)
Para saber más
Te dejo estos dos videos de David Hillson. Están en inglés, pero se entienden muy bien y puedes ponerle los subtítulos en español, aunque yo te recomiendo que si sabes un poco de inglés, lo subtitules en este idioma.
En el primero se trata el tema de qué es la gestión de riesgos y en el segundo, sobre cómo puede un riesgo convertirse en oportunidad.
¿Qué te han parecido los videos? ¿Estás ya gestionando los riesgos en tu empresa? ¿Los habías gestionado ya con la anterior versión de la norma? ¿Qué metodología has utilizado?
Cuéntamelo en los comentarios :)
- ISO 31000:2018 Capítulo 6 (Parte I) - 7 abril, 2022
- El informe anual del Consejero de Seguridad - 3 junio, 2021
- ISO 31000:2018 Capítulo 5 (Parte II) - 2 junio, 2021
Muchas gracias por tu interesante aporte…
Aún estoy un poco perdido en esto de la transición así que toda información me es muy útil :P
Me alegra mucho que te haya ayudado, Fernando. Ese es el objetivo del blog: hacer los temas de calidad y mercancías peligrosas más asequibles y «entendibles» para todos. Muchas gracias por comentar y felices fiestas!!
Excelente presentacion. El analisis y gestion de riesgos es un parametro importante , atingente a proteger la gestion exitosa de la empresa.
Buenas tardes,
Gran aporte sobre todo en donde indica que capítulos habla de riesgos y bien detallado pero se podría profundizar aun mas en como identificar los riesgos asociados a los proceso 4.4.1 no existe mucha orientación al respecto, como si para poder identificar los del 4.1 y 4.2.
¡Hola Guillermo!
Tomo nota para un próximo post sobre riesgos aplicados al 4.4.1. Un saludo y muchísimas gracias por comentar.
Muy agradecida con la información que nos aportas, de verás un gran apoyo…….saludos desde cuba….
Me alegra que te ayude la información. Muchas gracias a ti por leer el blog. Un saludo.
Buenas tardes, muy interesante el aporte.
Mi consulta es la siguiente: Es consabido que la gestión de riesgos tiene un propósito netamente preventivo, que sucede cuando ciertos riesgos identificados llegan a concretarse en la realidad , podríamos seguir tratándolos como riesgos? porque si ya son sucesos ocurridos ya no serían riesgos; entonces, tendríamos que aplicar un nuevo métodos y por ende nuevas acciones para abordar este suceso ocurrido?
Muchas gracias
Hola Christian:
Cuando se concretan los riesgos, aplicaríamos lo que teníamos definido en el plan de mitigación de riesgos (que para eso lo hicimos ;-) ).
Una vez que lo hayamos hecho, tenemos que identificar qué falló y revisar la matriz de riesgos y los análisis que hemos hecho para ver si requieren mejora.
Por lo que sí, el riesgo puedes dejarlo en la identificación que hiciste, no hay por qué quitarlo, simplemente cuando ocurre, se trata como una no conformidad (actuando sobre ella) y se registra su ocurrencia. Además se debe tomar en cuenta para posteriores revisiones por la dirección.
Imagina que has identificado el riesgo de que un producto no conforme llega al cliente. ¿Qué tenía s previsto para cuando ocurriera esto?
Quizás reponer el producto, disculparte con el cliente, ofrecerle un descuento en próximas compras (mitigar o minimizar el daño) y aplicar lo que tienes definido para cuando ocurre una no conformidad (registrarla y demás).
Vale, ya lo has hecho, ¿y ahora qué?
Analizas el proceso dónde se ha materializado este riesgo para disminuir la probabilidad de vuelva a ocurrir, mejorando el proceso si es necesario. (Revisiones por la dirección).
En resumen se trata de disminuir la probabilidad de que ocurran los riesgos y minimizar el impacto si llegase a ocurrir.
Espero haberte ayudado. Un saludo.
Excelentes videos, gracias por compartirlos.
Gracias a ti por visitar la web. Un saludo.
Entonces, riesgo y oportunidad, es todo aquello que puede hacer que nuestro sistema de calidad deje de funcionar?
Hola Martín:
Exactamente, son circunstancias que pueden afectar positiva o negativamente en nuestro sistema de gestión de calidad y que debemos tener identificadas para actuar cuando se produzcan.
Un saludo y muchas gracias por leer el blog.
Muchas gracias por la información.
No me acaba de quedar claro el tema de las oportunidades. ¿Cómo se identifican, se tratan etc.?
Un saludo!
Muchas gracias por su amable gesto de enviarme el e-book de los 7 Principios y por esta información tan especial en torno a los riesgos y oportunidades.
Buenas tardes
Cuando elaboro mi matriz de riesgo y controles , si el control es efectivo y adecuado en cuanto diseño y cumplimiento , es obligatorio que tenga una oportunidad de mejora .
Hola, podrias profundizar en que es oportunidades, como identificarlas y dar ejemplos especificos.?
Gracias
se pone mucho énfasis en la gestión de riesgos , pero se deja de lado la gestión de oportunidades que a mi parecer no puede compartir los mismos criterios para evaluar un riesgo ya que estos son dos polos opuestos, ¿existe información sobre esto o modelos para poder valorarlo?