¿Cómo puedo realizar el análisis de riesgos para cumplir con los requisitos de la norma ISO 9001:2015? ¿Qué criterios debo seguir?
Como ya sabéis, uno de los nuevos conceptos que introduce la nueva actualización de la norma ISO 9001:2015, es la gestión de riesgos. Estoy realizando una serie de publicaciones donde quiero mostraros cómo y qué debéis tener en cuenta a la hora de cumplir este requisito, además de cómo podríais documentarlo en vuestro sistema de gestión de calidad. Por supuesto, lo que os expongo es una metodología entre otras, todas válidas, pero creo que es la más intuitiva y sencilla, tanto para aplicarla como para realizar su seguimiento.
De momento os he mostrado en dos publicaciones anteriores:
Nuevo requisito de la norma ISO 9001:2015: gestión de riesgos. En esta publicación analizo los requisitos de la propia norma.
Gestión del riesgo según ISO 9001:2015 (procedimiento). Se establece las etapas y la metodología general a seguir.
En esta tercera publicación quiero mostraros, uno de los puntos más complicados, que es explicar la metodología de cómo realizar el análisis de riesgos. Según la norma ISO 31000, guía de referencia utilizada para desarrollar este concepto, queda descrito en el apartado 5.4.3.
Calificar
la probabilidad y la consecuencia del riesgo identificado. Existen numerosos
modelos y herramientas para poder realizar bien este paso. Debemos escoger
aquel modelo que se adapte mejor a las necesidades de la empresa.
a) Establecimiento del nivel del riesgo
Para
poder establecer un nivel de riesgo, primero hemos de realizar una
clasificación de éste en función de la frecuencia (o probabilidad que ocurra un
riesgo) y el impacto que tiene dicho riesgo. La siguiente clasificación la
hemos identificado como A, B, C y D en función de su gravedad.
A – Riesgo intolerable: el riesgo requiere de una
acción inmediata, el coste no debe ser una limitación y el no hacer nada no es
una opción aceptable. Un riesgo de tipo A representa una situación de
emergencia y deben establecerse controles temporales inmediatos. La mitigación debe
hacerse por medio de controles de ingeniería y/o por factores humanos hasta
reducirlos a un tipo C o preferentemente de tipo D en un periodo de tiempo
inferior a 90 días.
B - Riesgo indeseable: el riesgo debe ser reducido y
hay margen para investigar y analizar con más detalle. No obstante la acción
correctiva debe darse en los primeros 90 días. Si la situación se demora más
tiempo deben establecerse controles temporales inmediatos para reducir el
riesgo.
C – Riesgo aceptable con
controles: el riesgo es significativo pero se pueden acompañar las acciones
correctivas con el paro de las instalaciones programadas. Los medios de
solución para atender los hallazgos deben darse en los próximos 18 meses. La
mitigación debe enfocarse en la disciplina operativa y en la confiabilidad de
los sistemas de protección.
D – Riesgo razonablemente
aceptable: el riesgo requiere de acción pero es de bajo impacto y puede
programarse su atención y reducción conjuntamente con otras mejoras operativas.
b) Matriz del riesgo
La
clasificación del riesgo anterior deberá ser el resultado de la valoración de
cada uno de los riesgos identificados. Para ello es necesario, como podemos
observar en la siguiente matriz la valoración individualizada en función de la probabilidad y el impacto de cada riesgo asumido por la empresa.
Probabilidad 5
|
C
|
B
|
A
|
A
|
A
|
Probabilidad 4
|
C
|
C
|
B
|
A
|
A
|
Probabilidad 3
|
D
|
C
|
B
|
B
|
A
|
Probabilidad 2
|
D
|
C
|
C
|
C
|
B
|
Probabilidad 1
|
D
|
D
|
D
|
C
|
C
|
Impacto 1
|
Impacto 2
|
Impacto 3
|
Impacto 4
|
Impacto 5
|
Donde se tiene evalúa la probabilidad de que ocurra un riesgo según la tabla siguiente:
Probabilidad
|
Grado
|
Valor
|
1
|
Sería excepcional
|
1
|
2
|
Es raro que suceda
|
2
|
3
|
Es posible
|
3
|
4
|
Muy probable
|
4
|
5
|
Ocurre seguro
|
5
|
De
igual manera hemos establecido los criterios para valorar el grado de impacto
en la siguiente tabla:
Impacto
|
Grado
|
Valor
|
1
|
Insignificante
|
1
|
2
|
Pequeño
|
2
|
3
|
Moderado
|
3
|
4
|
Grande
|
4
|
5
|
Catastrófico
|
5
|
c) Evaluación de las perspectivas
Para
cada indicador de proceso y objetivo de calidad deberemos evaluar las
diferentes perspectivas que pueden influir en la valoración global del riesgo.
Las
diferentes perspectivas son:
La financiera: evaluación de
la pérdida o ganancia económica.
Clientes: Debido a un
riesgo que afectación puede tener con el cliente
Mapa de procesos: que influye
el riesgo en los procesos de la empresa
Formación y RRHH: Qué afectación puede tener con la capacitación del personal, aprendizaje y crecimiento.
Socios: reparto de ganancias entre los socios
Partes interesadas: afectación a
las partes interesadas.
Por lo tanto, deberemos primero identificar cada uno de los riesgos de la empresa, y posteriormente, de forma individualizada evaluar la probabilidad que ocurra un riesgo y el impacto de cada perspectiva. El valor medio obtenido de los resultados de la evaluación de todas las perspectivas será el valor final de la evaluación de riesgos para un determinado indicador de proceso.
Gracias a Alejandro Jiménez he podido corregir un error en la publicación. He sustituido frecuencia por probabilidad. Ahora es correcto. Espero que os sea de utilidad. Un saludo a tod@s.
ResponderEliminarBuen día algún correo do de pueda enviar un análisis de riesgos, y que me asesoren si voy bien, aun no se como detectar el riesgo, o que la gente sepa describirlo como tal, o que si es un riesgo y que es una cuestión, ayuda como transcribir correctamente el riesgos en mi análisis. Gracias.
EliminarBuenos días, puedes ponerte en contacto con nosotros, rellenando el formulario de contacto que encontrarás en la versión web del blog, en la pestaña superior donde pone contacto. Un saludo.
EliminarGracias a tí Adriana Gómez, por compartir conocimiento de calidad. Saludos cordiales.
ResponderEliminarAdriana, ¿es necesario realizar un análisis por perspectiva de cada riesgo o esto es una de las maneras que hay de evaluar el riesgo?
ResponderEliminarBuenas tardes Marianela, lo que explico en este artículo es una metodología sencilla y eficaz para evaluar los riesgos, hay numerosas maneras diferentes que puedes realizarlo diferentes a ésta.
EliminarHola Adriana Buenos dias, para efecto de este procedimiento es de obligación hacer un mapa de riesgo? si es así que funcion cumple ese mapa de riesgo en el procedimiento?
ResponderEliminarPuedes hacerlo como quieras, y establecer la metodología que, bajo tu criterio, sea coherente. Lo único que se requiere es que se identifiquen los riesgos asociados a los procesos, se evalúen y se tomen las medidas oportunas para minimizar esos riesgos (plan de contingencias). Mientras cumplas con lo anterior, la elaboración y el cómo lo hagas, es en base a tu criterio o referencias que puedas tener. Yo he propuesto un sistema sencillo para realizarlo, pero hay infinitos modelos que podéis aplicar. Un saludo.
EliminarHola adriana, gracias por compartir información, tengo una duda cuando dices para cada indicador de proceso y objetivo de la calidad debemos evaluar las diferentes perspectivas que afectan el resultado global del riesgo... el análisis del riesgo se realiza por cada proceso de la empresa y de igual manera se debe de realizar un análisis de riesgo por los indicadores de gestión de esos procesos y un análisis de riesgo para cada objetivo de calidad?
ResponderEliminarBuenos días, puedes realizar un análisis del riesgo de cada indicador de proceso. En cuanto a los objetivos, como siempre tienen que tener un indicador asociado, y evalúas el riesgo del indicador, entonces ya lo haces implícitamente para el objetivo. Cada objetivo debe tener su indicador asociado, ya que los objetivos deben ser medibles y se debe controlar la evolución. Un saludo.
EliminarAdriana, disculpa, pero los comentarios que haces, forman un sistema demasiado complicado, la norma dice RBT, risk based thinking, de hecho, yo he certificado sistema sin hacer tanto rollo, le he demostrado al auditor, que mi sistema considera el riesgo, pero de una manera mucho mas simple,tu recomiendas hacer analisis por todos lados, y esto no hace un sistema simple y practico.
EliminarPudieras hacer recomendaciones mas simples?
Gracias
Buenos días Tomas, gracias por tu aportación, y quizás para personas expertas que puedan debatir cada uno de los requisitos de la norma es válido. Aunque en empresas complejas de fabricación o laboratorio es necesario idear un sistema de gestión de riesgos completo, debido a su complejidad. El sistema que aporto a todos aquellos que no están familiarizados con el sistema de gestión de calidad y tienen que implantarlo y certificarlo, permite, mediante un análisis completo, que las personas que lo tienen que defender ante el auditor no se preocupen por demostrar al auditor su cumplimiento, y el auditor no encuentre incidencias. Aplicando este método he certificado 36 empresas, y en todos los casos hemos recibido la felicitación del equipo auditor de las certificadoras internacionales más importantes.
EliminarIgualmente intento explicar cada uno de los requisitos de la forma más completa posible, ya que siempre, a medida que el sistema implantado madura, siempre se puede simplificar.
Un saludo,
Te invito un cafe, si me convences, de hecho yo soy usuario y he estudiado a profunidad la norma y lo he hecho de una manera facil, y se como defenderme del auditor, pero sobre todo tu, que das consejos y eres fuente de informacion tratas de mostrar los detalles para personas que no son expertas.
Eliminarsaludos y Gracias
Estimada. Buenas tardes! Cuantos Métodos de Análisis existen?? Conozco solo el IPER pero cuales son los otros métodos o técnicas de análisis o las mas utilizadas? Las mas practicas a la hora de aplicar?. Tengo entendido que segun el lugar y/o accidente el estudio de riesgo del mismo es diferente. Es asi???
ResponderEliminarCuando hay que implementar el uso de estas tecnicas? Hay estudios de si son realmente efectivas? Un saludo. Gracias por su respuesta:)
Buenos días Carolina Dafne, existen numerosos sistemas y herramientas para realizar la gestión de riesgos, y el aplicar uno u otro depende del detalle en el que quieras hacerlo y el tipo de actividad a evaluar. Para darte una orientación te recomiendo que consultes la norma ISO 31001:2018, que son las recomendaciones normalizadas en base a este tema. Te facilito el siguiente enlace donde puedes consultarla:
Eliminarhttp://www.foncodes.gob.pe/portal/index.php/convocatorias-a-myperu/archivos-pdf-sci/1387-capacitacion-sistema-gestion-de-riesgos-iso-31000-aenor-franco-gamboni-30-05-a-11-06-2018/file
Un saludo
Las técnicas de valoración de riesgos están en la norma ISO 31010 en su última versión.
EliminarMuchas gracias por tu aporte adriana...si posible por favor me puedes enviar esta teoria al correo yipenat@gmail.com
ResponderEliminarLo.estoy necesitando urgente.
Muchas gracias por tu ayuda y bendiciones...
Gracias por consultar mi blog. Te acabo de enviar el email con el enlace a este artículo. Un saludo y que tengas muy buen día.
Eliminar