Manual de calidad paso a paso según la norma ISO 9001. Todo lo que quieras saber de los sistemas de gestión y procesos. Implantación y seguimiento. Elaboración de documentación. Adaptación a la norma ISO 9001:2015. Integración de sistemas. Gestión de riesgos. Foro de calidad y noticias de interés. Asesoramiento online.

19 de abril de 2016

Plan de contingencias del riesgo ISO 9001:2015

Algunos de vosotros, me habéis solicitado, un ejemplo de cómo elaborar un plan de contingencias de riesgos, con la finalidad de cumplir con la norma de referencia. 

¿Qué es un plan de contingencia de riesgos? ¿Debemos incorporarlo en nuestra gestión de riesgos? ¿Es un requisito de la norma ISO 9001:2015?

Este artículo pertenece al conjunto de publicaciones que os ofrezco para realizar una gestión de riesgos adecuada y que cumpla con los requisitos de la nueva actualización de la norma ISO 9001. 

Primero de todo hemos de definir ¿Qué es un Plan de Contingencia? 


Es una forma de organizarse para actuar frente a un evento posible. El Plan de contingencia establece las medidas a tomar, las tareas a realizar, los recursos que se necesitan y las indicaciones a fin de disminuir los daños que puede ocasionar.
¿Qué pasos hay que realizar antes de establecer un plan de contingencias?
Debemos establecer y definir una metodología para gestionar el riesgo de los procesos (ver aquí), así como identificar cada uno de los riesgos de los procesos de la empresa.
Posteriormente, se deberá establecer los criterios y parámetros a seguir para el análisis del riesgo (ver aquí). En este punto, se realizará una clasificación de riesgo con una descripción de las estrategias a seguir para cada una de las tipologías del riesgo.
Una vez establecidos los criterios, se realizará la evaluación de riesgos propiamente dicha (ver aquí), donde se obtendrán valores numéricos a la evaluación de los diferentes aspectos para cada uno de los riesgos.
La norma requiere que se debe planificar, verificar y vigilar el monitoreo y revisión (ver aquí). Para poder cumplir con este aparatado, es necesario un plan de contingencias, donde se especifique, para cada riesgo evaluado, que estrategia y qué medidas debemos tomar. 
Os pondré un ejemplo, siguiendo el criterio que he elegido en las publicaciones anteriores. Como hes comentado, este es sólo un ejemplo, existen numerosas técnicas, igual de válidas que cumplen con el requisito de la norma.
Pasos a seguir en el ejemplo:
Se identifican los riesgos de los procesos de la empresa.
Se define el riesgo como la probabilidad que ocurra un evento por impacto; por lo tanto: R= IxP
Se establecen los criterios y la clasificación de dichos riesgos:

A – Riesgo intolerable: el riesgo requiere de una acción inmediata, el coste no debe ser una limitación y el no hacer nada no es una opción aceptable. Un riesgo de tipo A representa una situación de emergencia y deben establecerse controles temporales inmediatos. La mitigación debe hacerse por medio de controles de ingeniería y/o por factores humanos hasta reducirlos a un tipo C o preferentemente de tipo D en un periodo de tiempo inferior a 90 días.

B - Riesgo indeseable: el riesgo debe ser reducido y hay margen para investigar y analizar con más detalle. No obstante la acción correctiva debe darse en los primeros 90 días. Si la situación se demora más tiempo deben establecerse controles temporales inmediatos para reducir el riesgo.


C – Riesgo aceptable con controles: el riesgo es significativo pero se pueden acompañar las acciones correctivas con el paro de las instalaciones programadas. Los medios de solución para atender los hallazgos deben darse en los próximos 18 meses. La mitigación debe enfocarse en la disciplina operativa y en la confiabilidad de los sistemas de protección.


D – Riesgo razonablemente aceptable: el riesgo requiere de acción pero es de bajo impacto y puede programarse su atención y reducción conjuntamente con otras mejoras operativas.

Se establecen los criterios de clasificación:
  • Riesgo 1-3 se corresponde con riesgo bajo (Riesgo de tipo D)
  • Riesgo 4-8 se corresponde con riesgo medio (Riesgo de tipo C)
  • Riesgo 9-14 se corresponde con riesgo alto (Riesgo de tipo B)
  • Riesgo 15-25 se corresponde con riesgo muy alto (Riesgo de tipo A)
Y se establece una tabla de correlaciones:


Probabilidad 5
5
10
15
20
25
Probabilidad 4
4
8
12
16
20
Probabilidad 3
3
6
9
12
15
Probabilidad 2
2
4
6
8
10
Probabilidad 1
1
2
3
4
5

Impacto 1
Impacto 2
Impacto 3
Impacto 4
Impacto 5

Y se evalúa cada uno de los aspectos del riesgo identificado, y se puntúa. Al final tendremos un riesgo y una clasificación. Una vez que hemos evaluado cada uno de los riesgos, tenemos que saber qué tratamiento debemos hacer con cada uno de ellos, y para eso debemos realizar un plan de contingencias, como el siguiente:


Id
Actividad/Fase
Riesgo
Consecuencia
resultado evaluación
Estrategia
Resp.
Disparador
1
General
Cambios en los criterios de diseño a petición de la constructora.
Coste / Plazo
A
Evitar y si sucede Mitigar renegociando
IS
Comunicación
2
General
Cambios de criterio o imposiciones de la Administración.
Coste / Plazo
B
Evitar y si sucede Mitigar renegociando
IS
Comunicación
3
Seguimiento de campaña geotécnica
Retraso en la realización de la campaña geotécnica.
Plazo
C
Evitar. Supervisión directa.
MA
Detección por supervisor
4
General
Incumplimiento o quiebra por parte de proveedor.
Plazo / Calidad
C
Mitigar. Supervisión directa.
IS
Comunicación o detección por jefe de proyecto




















Debemos identificar:

- La actividad o fase del proceso al que pertenece
- El riesgo evaluado
- La consecuencia
- El resultado de la evaluación
- La estrategia a seguir
- El responsable de aplicar la estrategia
- El disipador del riesgo


Se podría añadir otra columna donde se establezca el plazo para mitigar el riesgo, o aplicar la estrategia, y los recursos a utilizar.

Posteriormente se tendrá que realizar el seguimiento y verificar el cumplimiento de este plan de contingencias.

Lo he querido hacer por partes, para que fuera más sencillo su entendimiento, pero la realidad es que podéis fusionar registros, y evitar así la duplicidad de documentos. Podéis aprovechar el listado de riesgos e incluirlo en el plan de contingencias, y así elimináis un registro extra.


9 comentarios:

  1. excelente... muchas gracias por tus artículos.. son de mucha ayuda

    ResponderEliminar
  2. muchas gracias por tus artículos son de excelente ayuda , saludos

    ResponderEliminar
  3. Buenos días Adriana
    En nuestra empresa contamos con un sistema APPCC que ya cuenta con una evalaución de riesgos. ¿Cómo lo debo hacer ahora en lo que es calidad?¿Debo escribir un nuevo procedimiento de evaluación para calidad o me puedo remitir al APPCC?

    Un saludo y gracias por todo

    ResponderEliminar
    Respuestas
    1. Buenos días, Si tu empresa ya dispone de un procedimiento de gestión de riesgos, puedes fusionar y aprovechar sin ningún problema. Deberás especificar, en algún lugar de dónde procede cada uno de los riesgos y detallar si vienen de procesos, de qué proceso, o bien de la identificación del contexto, etc.
      Deberás añadir en tu procedimiento, un apartado o varios, donde expliques que incorporas a tu gestión de riesgos los aspectos derivados de los procesos y de la identificación del contexto de la organización.

      En los sistemas integrados de gestión, básicamente calidad, medio ambiente y prevención de riesgos se pretende unificar procedimientos, por lo tanto, en la actualidad los tres sistemas tienen como requisito la gestión de riesgos, y por lo tanto, es lógico unificar criterios, formatos e información documentada.
      Un saludo.

      Eliminar
  4. Cordial saludo Hola Adriana me puedes hacer un favor, me indicas si en el procedimiento de gestión de riesgos debo describir como realizare el análisis de contingencias y si es así me puedes dar unos tic para poder describirla ya que no encontré un blog donde lo explique

    Gracias

    ResponderEliminar
    Respuestas
    1. Buenas noches, te recomiendo que elabores una tabla como la que muestro en el artículo y posteriormente una ficha con cada medida a tomar, identificando todos los aspectos que detallo en el artículo. Un saludo.

      Eliminar
  5. Buenas tarde, Adriana. Estoy documentando un plan de contingencias para actualizar una pequeña empresa con un sistema de calidad 90001: 2008. Entiendo que en la fase final de "disparador" en el supuesto de un riesgo intolerable o indeseable habría que detallar los pasos a seguir, el tratamiento para intentar minimizar los riesgos, como si fuese una acción correctiva. También en la primera etapa del Plan de Contingencias "actividad/fase" no veo una correlación clara con los procesos estratégicos de la empresa.
    Gracias por los artículos y comentarios.
    Un saludo.
    Victor Chmara

    ResponderEliminar
    Respuestas
    1. Buenos días Víctor, efectivamente si existe un riesgo intolerable o indeseable hay que detallar los pasos a seguir, así como especificar los recursos a destinar y el plazo en que se debe realizar, una vez pasado este plazo se debe evaluar otra vez el riesgo y ver si realmente ha disminuido el riesgo. Normalmente se analiza en un informe. Efectivamente, en cuanto a las actividades/fase sería mejor que se identificase a qué proceso pertenece. Un saludo y gracias por tu apreciación.

      Eliminar

Print

 
Copyright © . Manual de gestión de calidad paso a paso - Posts · Comments
Theme Template by BTDesigner · Powered by Blogger
Visítenos en Google+