Claves para incorporar el concepto de riesgo a la gestión de la calidad conforme a próxima revisión de la norma ISO 9001:2015

jueves, 16 de julio de 2015
Para la certificación según la nueva ISO 9001:2015 será fundamental disponer de un proceso de gestión de riesgos eficaz que asegure que el sistema es capaz de cumplir los objetivos propuestos y lograr la mejora continua.

En esta versión se sustituye el concepto de acción preventiva por un enfoque basado en riesgos. El riesgo habitualmente se entiende como algo negativo. Sin embargo, es un elemento inherente a cualquier actividad y organización. La norma lo define como efecto de la incertidumbre o desviación (positiva o negativa) frente al resultado del proceso esperado y los objetivos de la organización.

Uno de los asuntos que más preocupa a las organizaciones es conocer cual es el proceso adecuado para gestionar los riesgos que puedan afectar al sistema, la conformidad del producto y la satisfacción del cliente. La organización deberá ser capaz de definir las acciones necesarias para tratar los riesgos y alcanzar oportunidades. Debe demostrar una comprensión de los riesgos que afectan a su actividad y cómo estos pueden afectar a su capacidad para cumplir con los requisitos del cliente mejorando la confianza. Debe garantizar que se han tenido en cuenta las distintas posibilidades de fallo. Este enfoque facilitará la toma decisiones considerando amenazas, probabilidad de sucesos futuros y efectos de estos en los objetivos.  A  partir de un conocimiento de la incertidumbre en la consecución de los objetivos podrá augurarse el desempeño de los procesos, anticipando la aparición del fallo. Los requisitos del sistema deberán formularse, por tanto, en un entorno de incertidumbre. 

Este cambio empujará a las organizaciones a ser más proactivas, estableciendo como objetivo la prevención de riesgos en lugar de su corrección. Calcular cuidadosamente estos riesgos permitirá llegar más allá de lo esperado, creando un clima adecuado para la innovación y generando excelencia.

La norma no establece requisitos para la gestión formal del riesgo dejando total libertad a las organizaciones para implementar el enfoque y medidas adecuadas en función de su contexto, el grado de riesgo de sus procesos, la manera de priorizar oportunidades y el deseo asumir riesgos. La norma ISO 31000 será una referencia útil.  

Recordar que en el marco del Anexo SL, al que se irán adaptando todas las normas relativas a sistemas de gestión el riesgo será un asunto común. Más aún en normas como ISO 14001, ISO 27001 o en la futura ISO 45001.

Pasos para la gestión de riesgos y oportunidades
1.- Identificación
La organización debe adoptar medidas para identificar los riesgos que pueden afectar a su capacidad para alcanzar los objetivos. Durante el proceso de comprensión de riesgos y el estudio de formas para mitigarlos surgirán oportunidades de mejora. En la norma ISO 9001:2015 el concepto de riesgo irá unido a oportunidad.

Deben sondearse experiencias de las personas que trabajan directamente en el proceso, el historial de no conformidades, reclamaciones de clientes y posibles cambios en el diseño. En ocasiones, las organizaciones comparten riesgos comunes: pérdida de bienes por incidentes, caída de ventas por interrupción de la actividad o pérdidas de personal clave por accidente, jubilación o cambio de puesto. Respecto al sistema, podemos pensar en riesgos como no detectar  una no conformidad, desconocer  procedimientos el personal, falta de eficacia en planes de formación, evaluación inadecuada de la satisfacción, indicadores deficientes o recursos insuficientes para cumplir los objetivos propuestos.

2.- Análisis, clasificación y priorización
La organización debe estimar las consecuencias asociadas al riesgo asignado la severidad del daño. A continuación, debe identificar todas las posibles causas de riesgo y evaluar la probabilidad de que ocurran. El análisis abarcará todos y cada uno de los procesos del sistema de gestión. En todos o en alguno de los procesos surgirán acciones para eliminar el riesgo.

Deberá  clasificar los riesgos y oportunidades organizando la información para facilitar la planificación, ejecución y control de acciones. Se asignará a cada riesgo un nivel de riesgo para asignar prioridades y establecer medidas y controles que garanticen el desempeño de los procesos.

3.- Planificación de acciones
La organización debe planificar la gestión de los riesgos estableciendo el “qué, quién, cómo y cuándo” para cada acción, asignando un objetivo que permita verificar que la causa es eliminada o controlada. Eliminar por completo el riesgo en una organización no es posible, se debe buscar el equilibrio entre los esfuerzos invertidos en su gestión y el riesgo residual que queda. La correcta gestión del riesgo permite que sus efectos sean mitigados y sus consecuencias sean menos adversas que si el riesgo no se gestionase. 

La norma ISO  31000 establece diferentes estrategias de gestión:

a) Si los riesgos son evitables, eliminar el riesgo estableciendo controles, tomar la decisión de no iniciar o continuar con la actividad que provoca el riesgo o suprimir la fuente de riesgo.

a) En caso de que no sean evitables, reducir los riesgos transformando la probabilidad o modificando las consecuencias.

b) Finalmente, aceptar el riesgo con el objetivo de aprovechar una oportunidad, compartir o transferir el riesgo a un tercero subcontratando una actividad, o asumir el riesgo por decisión informada en consenso, por ejemplo, con el cliente.

4.- Implementación de acciones
La organización debe implantar de manera adecuada las medidas previstas integrando las acciones en los procesos. Debe documentar los controles críticos para asegurar que estos no son eliminados en el futuro.

5.- Evaluación de la eficacia de las acciones
Esta sistemática de vigilancia convertirá la prevención de riesgos en una actividad habitual en la organización garantizando el  control del riesgo y la actuación ante cambios en riesgo por variación en la probabilidad o consecuencia de un evento. Permitirá aprender de la experiencia asegurando la mejora continua.



Publicado por en
Etiquetas: , , , , , , , ,

9 comentarios:

  1. Unknown7 de agosto de 2015, 14:04

    Gracias por el resumen, muy útil para bosquejar de qué manera plantear al cliente la transición entre una versión y la otra.
    Saludos desde Argentina.

    ResponderEliminar
    Respuestas
    1. davidramospean21 de agosto de 2015, 20:36

      Estimado Gregorio Correa recuerda que al plantear al cliente la transición entre una versión y la otra debes tener en cuenta estas fechas:

      - Septiembre 2015, se publica y pueden empezar a emitirse certificaciones bajo ISO 9001:2015

      - Febrero de 2017, última fecha para seguir certificándose en ISO 9001:2008 como certificación inicial

      - Marzo de 2017 solo se harán auditorias de certificación inicial bajo ISO 9001:2015

      - Septiembre 2018: Los certificados de la versión 2008 dejarán de ser válidos y tendremos que habernos adaptado a ISO 9001:2015

      Las auditorías de seguimiento siempre serán bajo la versión de la norma en la que se emite el certificado, ISO 9001:2008 o ISO 9001:2015.

      Eliminar
  2. Unknown21 de agosto de 2015, 16:39

    Si bien el análisis de riesgo es una herramienta fuertemente preventiva, se puede utilizar también como acción correctiva. Creo que este cambio en la norma será muy beneficioso si bien será difícil de implementar ya que generalmente no se está familiarizado con estas herramientas.

    ResponderEliminar
    Respuestas
    1. davidramospean21 de agosto de 2015, 20:51

      En ocasiones los riesgos se tratan con soluciones puntuales tomadas como acción correctiva con el daño ya causado. La corrección de no conformidades que surgen se convierte de por si en un trabajo arduo.

      La gestión de riesgos que introduce la nueva versión ISO 9001:2015 tiene como objeto la prevención de los mismos en lugar de la corrección.

      Ahora bien, eliminar por completo el riesgo mediante acciones preventivas no es posible. Se debe buscar un equilibrio entre el esfuerzo y el riesgo que queda. La correcta gestión del riesgo hace que los efectos sean mitigados y las consecuencias no sean tan adversas como en el caso de que el riesgo no se gestionase. La organización debe tener un sistema para evaluar y clasificar riegos (y oportunidades). A continuación o debe desplegar acciones correctivas o de mejora para cada uno de los riesgos en uno o varios procesos.

      Saludos

      Eliminar
  3. Unknown1 de agosto de 2017, 5:29

    Estoy trabajando en una monografia sobre el concepto del riesgo para las nuevas ediciones de las normas ISO 9001 e ISO 14001 2015, es posible que me puedan ayudar con bibliografía para buscar información. Gracias.

    ResponderEliminar
  4. Joseph30 de septiembre de 2020, 19:06

    I have learned much at your web site and also I anticipate alot more articles and will be coming back soon. Thanks you.

    ISO 45001 Certification

    ResponderEliminar
  5. Arya Rishi18 de noviembre de 2020, 16:50

    Well, it’s time to start, Thank you :)

    Certificacion ISO 45001 Argentina

    ResponderEliminar
  6. Priya Kumari20 de enero de 2021, 14:16

    I like your suggestions they are really helpful. Thank you so much for sharing this post.
    certificado iso peru

    ResponderEliminar
  7. Zenny D3 de febrero de 2021, 9:39

    I would definitely thank the admin of this blog for sharing this information with us. Waiting for more updates from this blog admin.
    Certificacion ISO 45001 Argentina

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)