La nueva norma ISO 9001:2015 requiere que las organizaciones implementen un proceso efectivo de gestión de riesgos para asegurar que el sistema de gestión de calidad puede cumplir con sus objetivos y lograr mejoras continuas. La norma reemplaza el enfoque de acción preventiva por un enfoque basado en riesgos, definiendo el riesgo como el efecto de la incertidumbre sobre los resultados esperados y objetivos de la organización. La norma no establece requisitos formales para la gestión de riesgos, dejando libertad
Claves para incorporar el concepto de riesgo a la gestión de la calidad conforme a próxima revisión de la norma iso 90012015
1. Claves para incorporar el concepto
de riesgo a la gestión de la calidad
conforme a próxima revisión de la
norma ISO 9001:2015
jueves, 16 de julio de 2015
Para la certificación según la nueva ISO 9001:2015 será fundamental
disponer de un proceso de gestión de riesgos eficaz que asegure que el
sistema es capaz de cumplir los objetivos propuestos y lograr la mejora
continua.
En esta versión se sustituye el concepto de acción preventiva por un
enfoque basado en riesgos. El riesgo habitualmente se entiende como
algo negativo. Sin embargo, es un elemento inherente a cualquier
actividad y organización. La norma lo define como efecto de la
incertidumbre o desviación (positiva o negativa) frente al resultado del
proceso esperado y los objetivos de la organización.
Uno de los asuntos que más preocupa a las organizaciones es conocer
cual es el proceso adecuado para gestionar los riesgos que puedan
afectar al sistema, la conformidad del producto y la satisfacción del
cliente. La organización deberá ser capaz de definir las acciones
necesarias para tratar los riesgos y alcanzar oportunidades. Debe
demostrar una comprensión de los riesgos que afectan a su actividad y
2. cómo estos pueden afectar a su capacidad para cumplir con los
requisitos del cliente mejorando la confianza. Debe garantizar que se
han tenido en cuenta las distintas posibilidades de fallo. Este enfoque
facilitará la toma decisiones considerando amenazas, probabilidad de
sucesos futuros y efectos de estos en los objetivos. A partir de un
conocimiento de la incertidumbre en la consecución de los objetivos
podrá augurarse el desempeño de los procesos, anticipando la aparición
del fallo. Los requisitos del sistema deberán formularse, por tanto, en un
entorno de incertidumbre.
Este cambio empujará a las organizaciones a ser más proactivas,
estableciendo como objetivo la prevención de riesgos en lugar de su
corrección. Calcular cuidadosamente estos riesgos permitirá llegar más
allá de lo esperado, creando un clima adecuado para la innovación y
generando excelencia.
La norma no establece requisitos para la gestión formal del riesgo
dejando total libertad a las organizaciones para implementar el enfoque
y medidas adecuadas en función de su contexto, el grado de riesgo de
sus procesos, la manera de priorizar oportunidades y el deseo asumir
riesgos. La norma ISO 31000 será una referencia útil.
Recordar que en el marco del Anexo SL, al que se irán adaptando todas
las normas relativas a sistemas de gestión el riesgo será un asunto
común. Más aún en normas como ISO 14001, ISO 27001 o en la futura
ISO 45001.
Pasos para la gestión de riesgos y oportunidades
1.- Identificación
La organización debe adoptar medidas para identificar los riesgos que
pueden afectar a su capacidad para alcanzar los objetivos. Durante el
proceso de comprensión de riesgos y el estudio de formas para
mitigarlos surgirán oportunidades de mejora. En la norma ISO
9001:2015 el concepto de riesgo irá unido a oportunidad.
Deben sondearse experiencias de las personas que trabajan
directamente en el proceso, el historial de no conformidades,
reclamaciones de clientes y posibles cambios en el diseño. En ocasiones,
las organizaciones comparten riesgos comunes: pérdida de bienes por
incidentes, caída de ventas por interrupción de la actividad o pérdidas
3. de personal clave por accidente, jubilación o cambio de puesto.
Respecto al sistema, podemos pensar en riesgos como no detectar una
no conformidad, desconocer procedimientos el personal, falta de
eficacia en planes de formación, evaluación inadecuada de la
satisfacción, indicadores deficientes o recursos insuficientes para cumplir
los objetivos propuestos.
2.- Análisis, clasificación y priorización
La organización debe estimar las consecuencias asociadas al riesgo
asignado la severidad del daño. A continuación, debe identificar todas
las posibles causas de riesgo y evaluar la probabilidad de que ocurran.
El análisis abarcará todos y cada uno de los procesos del sistema de
gestión. En todos o en alguno de los procesos surgirán acciones para
eliminar el riesgo.
Deberá clasificar los riesgos y oportunidades organizando la información
para facilitar la planificación, ejecución y control de acciones. Se
asignará a cada riesgo un nivel de riesgo para asignar prioridades y
establecer medidas y controles que garanticen el desempeño de los
procesos.
3.- Planificación de acciones
La organización debe planificar la gestión de los riesgos estableciendo el
“qué, quién, cómo y cuándo” para cada acción, asignando un objetivo
que permita verificar que la causa es eliminada o controlada. Eliminar
por completo el riesgo en una organización no es posible, se debe
buscar el equilibrio entre los esfuerzos invertidos en su gestión y el
riesgo residual que queda. La correcta gestión del riesgo permite que
sus efectos sean mitigados y sus consecuencias sean menos adversas
que si el riesgo no se gestionase.
La norma ISO 31000 establece diferentes estrategias de gestión:
a) Si los riesgos son evitables, eliminar el riesgo estableciendo
controles, tomar la decisión de no iniciar o continuar con la actividad
que provoca el riesgo o suprimir la fuente de riesgo.
a) En caso de que no sean evitables, reducir los riesgos transformando
la probabilidad o modificando las consecuencias.
4. b) Finalmente, aceptar el riesgo con el objetivo de aprovechar una
oportunidad, compartir o transferir el riesgo a un tercero
subcontratando una actividad, o asumir el riesgo por decisión informada
en consenso, por ejemplo, con el cliente.
4.- Implementación de acciones
La organización debe implantar de manera adecuada las medidas
previstas integrando las acciones en los procesos. Debe documentar los
controles críticos para asegurar que estos no son eliminados en el
futuro.
5.- Evaluación de la eficacia de las acciones
Esta sistemática de vigilancia convertirá la prevención de riesgos en una
actividad habitual en la organización garantizando el control del riesgo
y la actuación ante cambios en riesgo por variación en la probabilidad o
consecuencia de un evento. Permitirá aprender de la experiencia
asegurando la mejora continua.