
Para abordar la Gestión de Riesgo es necesario conocer los diferentes herramientas y métodos utilizados, el cual vamos a presentar en este artículo más adelante. El pensamiento basado en el riesgo es un proceso de mejora, las organizaciones deben tener planes para gestionar estos riesgos y sus oportunidades, integrar las acciones correspondientes en el sistema de gestión de calidad, que deben ser proporcionales al impacto potencial, y evaluar su efectividad. Aunque su aplicación no es sólo una responsabilidad de la dirección, es cierto que esta debe hacer todo lo necesario para que este enfoque de los riesgos se convierta en una parte integral de la cultura de la organización.
Aquellas empresas que hayan adoptado la versión ISO 9001-2015 y su pensamiento basado en el riesgo y no sean capaces de superar auditorías externas, la única forma de demostrar la conformidad con lo establecido en la norma y su cumplimiento de forma consistente y documentada, incluyendo o específicamente enfocadas a la gestión de riesgos en viajes, no podrán renovarla con las consecuencias derivadas para su operación y reputación.
Gestión de Riesgos
Según establecen los requisitos de la norma ISO 9001 2015, la empresa necesita planificar e implantar las acciones para llevar a cabo la gestión de riesgos y conocer las oportunidades. Esto que comentamos se encuentra recogido en el punto 0.3.3 Pensamiento basado en riesgos, de la norma ISO 9001 2015.
La norma ISO 9001 2015 no especifica una metodología para llevar a cabo la gestión de riesgos, ya que no existe la metodología perfecta, si no que la metodología se debe amoldar a tu forma de trabajar, a tu empresa. Es necesario que la metodología se adapte al tamaño de tu organización, a las actividades que desarrolla, al contexto en el que lo hace, y a los requisitos de las partes interesadas.
La gestión de riesgos es uno de los cambios más importantes que ha incorporado la nueva norma ISO 9001 2015. Han aparecido muchas metodologías de evaluación de riesgos que son recopilaciones de otras evaluaciones de riesgos y que parecen bastante complejas para lo que realmente exige la norma ISO 9001.
Es necesario señalar que no es necesario contar con metodología muy complejas para realizar una gestión de riesgos correcta. También puede ser que lo que expliquemos en el artículo de hoy no te sirve, no te preocupes seguro que existen muchas más que se adecuan perfectamente a tus necesidades.
Hay algo que se debe tener en cuenta, es imposible eliminar por completo los riesgos de una organización. La gestión de riesgos nos permite encontrar el equilibrio entre los esfuerzos que se invierten en evitar riesgos y el riesgo residual que nos queda, en algunos casos no merecerá la pena una inversión económica muy grande para acabar con un riesgo muy poco significativo.
En cualquier enfoque basado en riesgos deberían de existir estas tres fases:
- Identificar el riesgo
- Evaluar el riesgo
- Llevar a cabo las acciones necesarias
Identificar los riesgos
Vamos a comenzar por definir qué es el riesgo. La norma ISO 9000 lo define como “efecto de la incertidumbre”. Puede ser que esta definición no quede del todo clara, entonces vamos a ver la definición que introduce la norma ISO 31000. Esta norma nos dice que el riesgo es “efecto de la incertidumbre sobre los objetivos, considerando que un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos, y también que los objetivos pueden tener aspectos diferentes y se pueden aplicar en niveles diferentes”.
Para comenzar a enumerar todos los riesgos de tu organización. empieza por conocer dónde estás, es decir, el contexto de tu empresa, los requisitos de las partes interesadas y el alcance de tu sistema de gestión de la calidad. Para entender los riesgos es necesario conocer el negocio y cómo encaja en el ambiente.
Con esta información enumera todos los riesgos específicos para los aspectos, niveles o las actividades que desarrolla la organización. Analiza todos los elementos y define los puntos críticos. Se pueden utilizar diferentes técnicas como las 5W, la tormenta de ideas o los mapas mentales, aunque si tu actividad es sencilla te bastará con analizarla a fondo, de forma sistemática.
Evaluar el riesgo
Evaluar el riesgo no es más que cuantificarlo, en función de la probabilidad de que suceda y las consecuencias que acarrearía. Así que ahora toca analizar las consecuencias de todas las posibles desviaciones en estos puntos. Definir las acciones a llevar a cabo: Es necesario establecer todos los controles necesarios para controlar los riesgos, es decir, después de ponderar y justificar la ponderación sólo faltaría establecer las acciones con las que eliminar o reducir el riesgo.
Las opciones que tienes para reducir o eliminar el riesgo son:
- Eliminar la fuente de riesgo, se puede llegar incluso a prohibir.
- Modificar las consecuencias.
- Cambiar las probabilidades.
- Compartir el riesgo con otros.
- Mantener el riesgo para perseguir la oportunidad.
Pasos para el proceso de gestión de riesgos en ISO 9001
Existen muchas maneras de abordar los riesgos. Si se utiliza la gestión de riesgos para mejorar los procesos dentro del sistema, entonces un proceso simple y sencillo puede ser lo más indicado. Considerar los siguientes 4 pasos para el proceso de gestión de riesgos en ISO 9001 puede sernos de gran ayuda:
1: Definir cómo se abordarán y tratarán los riesgos
En este paso lo más importante es determinar qué, dónde, cuándo, por qué y cómo.
- ¿Quién es el responsable de la evaluación de riesgos dentro del proceso?
- ¿Qué tiene que suceder cuando se identifica el riesgo?
- ¿Dónde se puede presentar el riesgo y dónde se realizará la evaluación?
- ¿Cuándo es necesario evaluar el riesgo?
- ¿Por qué es necesario evaluar el riesgo?
- ¿Cómo realizar la evaluación de riesgos, cómo registrarlos y controlarlos?
Al igual que todos los procedimientos en la organización, la evaluación y la gestión de riesgos deben incluir información importante, como la identificación y descripción del procedimiento: título, fecha, autor o número de referencia.
2: Identificar los riesgos
Ahora que el procedimiento ha sido definido, el siguiente paso es identificar qué riesgos existen para el sistema de gestión de la calidad. Un buen método es responder a las siguientes preguntas:
- ¿Puede su organización cumplir con todos los requisitos para entregar productos y servicios de calidad a sus clientes?
- ¿Sus proveedores representan condiciones que se puedan convertir en riesgos para alcanzar las metas de la organización?
- ¿Qué controles es necesario implementar para que los procesos de la organización funcionen correctamente?
Un ejemplo puede ser que un proveedor haya emitido un aviso en el que informe que dejará de suministrar el producto o servicio contratado, cuando este resulta crítico dentro del proceso productivo. Un segundo ejemplo de riesgo es un proceso donde pueden producirse partes defectuosas, cuando una determinada pieza del equipo se desgasta.
3: Evaluar cómo de significativos son los riesgos identificados
A estas alturas, no nos sorprenderá entender que todos los riesgos no tienen la misma importancia. La importancia del riesgo se determina calificando el nivel de impacto negativo y la probabilidad de ocurrencia.
Algunos riesgos tienen una probabilidad mínima de ocurrencia, en tanto que otros, sucederán solo si no implementamos un control o una acción correctiva para impedir que sucedan. Del mismo modo, algunos riesgos provocan muchos problemas, mientras que otros apenas crean dificultades o estas resultan ser muy fáciles de solucionar. Existen diversas herramientas para “categorizar” los riesgos. Una de ellas es el Modo de Fallas y Análisis de Efectos (FMEA). Una matriz de riesgos o un esquema de espina de pescado, también serán de gran utilidad.
4: Identificar los controles y otras opciones para disminuir o eliminar los riesgos
Sabemos cómo vamos abordar la gestión de riesgos, cómo identificarlos, evaluarlos y categorizarlos. Lo que sigue a continuación es diseñar e implementar los controles o las acciones necesarias para eliminar o disminuir el impacto o la probabilidad de ocurrencia del riesgo. Si un riesgo tiene un alto impacto negativo para la calidad y tiene una alta probabilidad de ocurrencia, no existe otra opción que implementar controles para eliminarlo o minimizar su impacto. Si se trata de un riesgo de bajo impacto y escasa probabilidad de ocurrencia, tal vez se pueda optar por no hacer nada, sobre todo cuando los controles pueden resultar muy costosos.
Metodologías para el Análisis de Riesgos
¿Qué es la Método FMEA?
El FMEA es un método cualitativo que establece una lista de fallos, sistemática, con sus consiguientes efectos y puede ser de fácil aplicación para cambios en el diseño o modificaciones de planta. Significa en español Análisis de Modos y Efectos de Fallos potenciales. El método FMEA para el análisis de riesgos según ISO 9001:2015 se desarrolla, en su forma más básica, en cuatro pasos:
1-) Identificar los riesgos: generalmente inicia con una sesión de lluvia de ideas, en las que participan personas de todas las áreas, que tienen un profundo conocimiento del funcionamiento del negocio. Se enumeran todos los agentes externos o internos que pueden, eventualmente, generar un riesgo por absurdo que parezca, o una nueva oportunidad.
2-) Determinar la criticidad de cada riesgo: los riesgos se evalúan comparándolos con un conjunto de factores y clasificándolos en una escala de acuerdo con su capacidad para impactar a la organización. Entre los factores que utilizamos para determinar qué tan crítico es un riesgo, tenemos la probabilidad de ocurrencia y la facilidad o no para detectarlos.
3-) Clasificación de los riesgos: algunos riesgos resultan tolerables o aceptables para la organización, debido a su baja incidencia, su impacto leve o su escasa probabilidad de ocurrencia. Este tipo de riesgos, generalmente, no requieren emprender ninguna acción sobre ellos. Otros, por el contrario, deben ser eliminados o mitigados en su impacto. Algunos más pueden ser compartidos o tratados, de acuerdo con las acciones que describimos en el paso No. 4.
4-) Determinar las acciones a seguir: finalmente, una vez la organización tiene una visión global de los riesgos a los que está expuesta, su capacidad de impacto y su probabilidad de ocurrencia, tiene todos los elementos necesarios para diseñar las acciones para el tratamiento de esos riesgos.
Una acción para tratar un riesgo, puede pretender reducir su impacto o eliminar la posibilidad de ocurrencia. Compartir el riesgo, con una compañía de seguros, por ejemplo, es otra opción de tratamiento. Incluso, tomar la decisión de no hacer nada, considerando que el riesgo es de leve impacto o de muy escasa probabilidad de ocurrencia, es otra acción que denominamos tolerar o aceptar el riesgo.
Fuente Bibliográfica
- https://revistatravelmanager.com/la-gestion-de-riesgos-y-la-norma-iso-9001/
- https://www.escuelaeuropeaexcelencia.com/2019/02/4-pasos-para-el-proceso-de-gestion-de-riesgos-en-iso-9001
- https://www.isotools.org/2017/12/23/metodologias-analisis-de-riesgos-segun-iso-9001-2015/
- https://blog.softexpert.com/es/7-pasos-estructura-fmea-aiag-vda/
- https://www.google.com.do/search?q=gestion+riesgos+y+oportunidades+segun+la+norma+iso+9001