Para la certificación según la nueva ISO 9001:2015 será fundamental
disponer de un proceso de gestión de riesgos eficaz que asegure que el sistema
es capaz de cumplir los objetivos propuestos y lograr la mejora continua.
En esta versión se sustituye el concepto de acción preventiva por un enfoque basado en riesgos. El riesgo habitualmente se entiende como algo
negativo. Sin embargo, es un elemento inherente a cualquier actividad y
organización. La norma lo define como efecto de la incertidumbre o desviación
(positiva o negativa) frente al resultado del proceso esperado y los objetivos
de la organización.
Uno de los asuntos que más preocupa a las organizaciones es conocer cual es el proceso adecuado para gestionar los riesgos que puedan afectar al sistema, la conformidad del producto y la satisfacción del cliente. La organización
deberá ser capaz de definir las acciones necesarias para tratar los riesgos y
alcanzar oportunidades. Debe demostrar una comprensión de los riesgos que
afectan a su actividad y cómo estos pueden afectar a su capacidad para
cumplir con los requisitos del cliente mejorando la confianza. Debe garantizar que se han tenido en
cuenta las distintas posibilidades de fallo. Este enfoque facilitará la toma
decisiones considerando amenazas, probabilidad de sucesos futuros y efectos de
estos en los objetivos. A partir de un conocimiento de la incertidumbre
en la consecución de los objetivos podrá augurarse el desempeño de los procesos,
anticipando la aparición del fallo. Los requisitos del sistema deberán formularse,
por tanto, en un entorno de incertidumbre.
Este cambio empujará a las organizaciones a ser más proactivas,
estableciendo como objetivo la prevención de riesgos en lugar de su corrección.
Calcular cuidadosamente estos riesgos permitirá llegar más allá de lo esperado,
creando un clima adecuado para la innovación y generando excelencia.
La norma no establece requisitos para la gestión formal del riesgo dejando
total libertad a las organizaciones para implementar el enfoque y medidas
adecuadas en función de su contexto, el grado de riesgo de sus procesos, la
manera de priorizar oportunidades y el deseo asumir riesgos. La norma ISO 31000
será una referencia útil.
Recordar que en el marco del Anexo SL, al que se irán adaptando todas
las normas relativas a sistemas de gestión el riesgo será un asunto común. Más
aún en normas como ISO 14001, ISO 27001 o en la futura ISO 45001.
Pasos para la gestión de
riesgos y oportunidades
1.- Identificación
La organización debe adoptar medidas para identificar los riesgos
que pueden afectar a su capacidad para alcanzar los objetivos. Durante el proceso
de comprensión de riesgos y el estudio de formas para mitigarlos surgirán
oportunidades de mejora. En la norma ISO 9001:2015 el concepto de riesgo irá unido a oportunidad.
Deben sondearse experiencias de las personas que trabajan
directamente en el proceso, el historial de no conformidades, reclamaciones de
clientes y posibles cambios en el diseño. En ocasiones, las organizaciones
comparten riesgos comunes: pérdida de bienes por incidentes, caída de ventas
por interrupción de la actividad o pérdidas de personal clave por accidente,
jubilación o cambio de puesto. Respecto al sistema, podemos pensar en riesgos
como no detectar una no conformidad, desconocer
procedimientos el personal, falta de
eficacia en planes de formación, evaluación inadecuada de la satisfacción, indicadores
deficientes o recursos insuficientes para cumplir los objetivos propuestos.
2.- Análisis, clasificación y priorización
La organización debe estimar las consecuencias asociadas al riesgo asignado
la severidad del daño. A continuación, debe identificar todas las posibles causas
de riesgo y evaluar la probabilidad de que ocurran. El análisis abarcará todos
y cada uno de los procesos del sistema de gestión. En todos o en alguno de los
procesos surgirán acciones para eliminar el riesgo.
Deberá clasificar los riesgos
y oportunidades organizando la información para facilitar la planificación,
ejecución y control de acciones. Se asignará a cada riesgo un nivel de
riesgo para asignar prioridades y establecer medidas y controles que garanticen
el desempeño de los procesos.
3.- Planificación de acciones
La organización debe planificar la gestión de los riesgos
estableciendo el “qué, quién, cómo y cuándo” para cada acción, asignando un objetivo
que permita verificar que la causa es eliminada o controlada. Eliminar por
completo el riesgo en una organización no es posible, se debe buscar el
equilibrio entre los esfuerzos invertidos en su gestión y el riesgo residual
que queda. La correcta gestión del riesgo permite que sus efectos sean
mitigados y sus consecuencias sean menos adversas que si el riesgo no se
gestionase.
La norma ISO 31000 establece
diferentes estrategias de gestión:
a) Si los riesgos son evitables, eliminar el riesgo estableciendo controles,
tomar la decisión de no iniciar o continuar con la actividad que provoca el
riesgo o suprimir la fuente de riesgo.
a) En caso de que no sean evitables, reducir los riesgos
transformando la probabilidad o modificando las consecuencias.
b) Finalmente, aceptar el riesgo con el objetivo de aprovechar una
oportunidad, compartir o transferir el riesgo a un tercero subcontratando una
actividad, o asumir el riesgo por decisión informada en consenso, por ejemplo,
con el cliente.
4.- Implementación de acciones
La organización debe implantar de manera adecuada las medidas
previstas integrando las acciones en los procesos. Debe documentar los
controles críticos para asegurar que estos no son eliminados en el futuro.
5.- Evaluación de la eficacia de las acciones
Esta sistemática de vigilancia convertirá la prevención de riesgos en
una actividad habitual en la organización garantizando el control del riesgo y la actuación ante cambios
en riesgo por variación en la probabilidad o consecuencia de un evento. Permitirá
aprender de la experiencia asegurando la mejora continua.
