Algunos de vosotros, me habéis solicitado, un ejemplo de cómo elaborar un plan de contingencias de riesgos, con la finalidad de cumplir con la norma de referencia.
¿Qué es un plan de contingencia de riesgos? ¿Debemos incorporarlo en nuestra gestión de riesgos? ¿Es un requisito de la norma ISO 9001:2015?
Este artículo pertenece al conjunto de publicaciones que os ofrezco para realizar una gestión de riesgos adecuada y que cumpla con los requisitos de la nueva actualización de la norma ISO 9001.
Primero de todo hemos de definir ¿Qué es un Plan de Contingencia?
Es una forma de organizarse para actuar frente a un evento posible. El Plan de contingencia establece las medidas a tomar, las tareas a realizar, los recursos que se necesitan y las indicaciones a fin de disminuir los daños que puede ocasionar.
¿Qué pasos hay que realizar antes de establecer un plan de contingencias?
Debemos establecer y definir una metodología para gestionar el riesgo de los procesos (ver aquí), así como identificar cada uno de los riesgos de los procesos de la empresa.
Posteriormente, se deberá establecer los criterios y parámetros a seguir para el análisis del riesgo (ver aquí). En este punto, se realizará una clasificación de riesgo con una descripción de las estrategias a seguir para cada una de las tipologías del riesgo.
Una vez establecidos los criterios, se realizará la evaluación de riesgos propiamente dicha (ver aquí), donde se obtendrán valores numéricos a la evaluación de los diferentes aspectos para cada uno de los riesgos.
La norma requiere que se debe planificar, verificar y vigilar el monitoreo y revisión (ver aquí). Para poder cumplir con este aparatado, es necesario un plan de contingencias, donde se especifique, para cada riesgo evaluado, que estrategia y qué medidas debemos tomar.
Os pondré un ejemplo, siguiendo el criterio que he elegido en las publicaciones anteriores. Como hes comentado, este es sólo un ejemplo, existen numerosas técnicas, igual de válidas que cumplen con el requisito de la norma.
Pasos a seguir en el ejemplo:
Se identifican los riesgos de los procesos de la empresa.
Se define el riesgo como la probabilidad que ocurra un evento por impacto; por lo tanto: R= IxP
Se establecen los criterios y la clasificación de dichos riesgos:
A – Riesgo intolerable: el riesgo requiere de una acción inmediata, el coste no debe ser una limitación y el no hacer nada no es una opción aceptable. Un riesgo de tipo A representa una situación de emergencia y deben establecerse controles temporales inmediatos. La mitigación debe hacerse por medio de controles de ingeniería y/o por factores humanos hasta reducirlos a un tipo C o preferentemente de tipo D en un periodo de tiempo inferior a 90 días.
B - Riesgo indeseable: el riesgo debe ser reducido y hay margen para investigar y analizar con más detalle. No obstante la acción correctiva debe darse en los primeros 90 días. Si la situación se demora más tiempo deben establecerse controles temporales inmediatos para reducir el riesgo.
C – Riesgo aceptable con controles: el riesgo es significativo pero se pueden acompañar las acciones correctivas con el paro de las instalaciones programadas. Los medios de solución para atender los hallazgos deben darse en los próximos 18 meses. La mitigación debe enfocarse en la disciplina operativa y en la confiabilidad de los sistemas de protección.
D – Riesgo razonablemente aceptable: el riesgo requiere de acción pero es de bajo impacto y puede programarse su atención y reducción conjuntamente con otras mejoras operativas.
Se establecen los criterios de clasificación:
- Riesgo 1-3 se corresponde con riesgo bajo (Riesgo de tipo D)
- Riesgo 4-8 se corresponde con riesgo medio (Riesgo de tipo C)
- Riesgo 9-14 se corresponde con riesgo alto (Riesgo de tipo B)
- Riesgo 15-25 se corresponde con riesgo muy alto (Riesgo de tipo A)
Y se establece una tabla de correlaciones:
Probabilidad 5
|
5
|
10
|
15
|
20
|
25
|
Probabilidad 4
|
4
|
8
|
12
|
16
|
20
|
Probabilidad 3
|
3
|
6
|
9
|
12
|
15
|
Probabilidad 2
|
2
|
4
|
6
|
8
|
10
|
Probabilidad 1
|
1
|
2
|
3
|
4
|
5
|
Impacto 1
|
Impacto 2
|
Impacto 3
|
Impacto 4
|
Impacto 5
|
Y se evalúa cada uno de los aspectos del riesgo identificado, y se puntúa. Al final tendremos un riesgo y una clasificación. Una vez que hemos evaluado cada uno de los riesgos, tenemos que saber qué tratamiento debemos hacer con cada uno de ellos, y para eso debemos realizar un plan de contingencias, como el siguiente:
Id
|
Actividad/Fase
|
Riesgo
|
Consecuencia
|
resultado evaluación
|
Estrategia
|
Resp.
|
Disparador
|
1
|
General
|
Cambios en los criterios de diseño a petición de
la constructora.
|
Coste / Plazo
|
A
|
Evitar y si sucede Mitigar renegociando
|
IS
|
Comunicación
|
2
|
General
|
Cambios de criterio o imposiciones de la
Administración.
|
Coste / Plazo
|
B
|
Evitar y si sucede Mitigar renegociando
|
IS
|
Comunicación
|
3
|
Seguimiento de campaña geotécnica
|
Retraso en la realización de la campaña
geotécnica.
|
Plazo
|
C
|
Evitar. Supervisión directa.
|
MA
|
Detección por supervisor
|
4
|
General
|
Incumplimiento o quiebra por parte de proveedor.
|
Plazo / Calidad
|
C
|
Mitigar. Supervisión directa.
|
IS
|
Comunicación o detección por jefe de proyecto
|
Debemos identificar:
- La actividad o fase del proceso al que pertenece
- El riesgo evaluado
- La consecuencia
- El resultado de la evaluación
- La estrategia a seguir
- El responsable de aplicar la estrategia
- El disipador del riesgo
Se podría añadir otra columna donde se establezca el plazo para mitigar el riesgo, o aplicar la estrategia, y los recursos a utilizar.
Posteriormente se tendrá que realizar el seguimiento y verificar el cumplimiento de este plan de contingencias.
Lo he querido hacer por partes, para que fuera más sencillo su entendimiento, pero la realidad es que podéis fusionar registros, y evitar así la duplicidad de documentos. Podéis aprovechar el listado de riesgos e incluirlo en el plan de contingencias, y así elimináis un registro extra.
excelente... muchas gracias por tus artículos.. son de mucha ayuda
ResponderEliminarMuchas gracias Katherine Uran
Eliminarmuchas gracias por tus artículos son de excelente ayuda , saludos
ResponderEliminarBuenos días Adriana
ResponderEliminarEn nuestra empresa contamos con un sistema APPCC que ya cuenta con una evalaución de riesgos. ¿Cómo lo debo hacer ahora en lo que es calidad?¿Debo escribir un nuevo procedimiento de evaluación para calidad o me puedo remitir al APPCC?
Un saludo y gracias por todo
Buenos días, Si tu empresa ya dispone de un procedimiento de gestión de riesgos, puedes fusionar y aprovechar sin ningún problema. Deberás especificar, en algún lugar de dónde procede cada uno de los riesgos y detallar si vienen de procesos, de qué proceso, o bien de la identificación del contexto, etc.
EliminarDeberás añadir en tu procedimiento, un apartado o varios, donde expliques que incorporas a tu gestión de riesgos los aspectos derivados de los procesos y de la identificación del contexto de la organización.
En los sistemas integrados de gestión, básicamente calidad, medio ambiente y prevención de riesgos se pretende unificar procedimientos, por lo tanto, en la actualidad los tres sistemas tienen como requisito la gestión de riesgos, y por lo tanto, es lógico unificar criterios, formatos e información documentada.
Un saludo.
Cordial saludo Hola Adriana me puedes hacer un favor, me indicas si en el procedimiento de gestión de riesgos debo describir como realizare el análisis de contingencias y si es así me puedes dar unos tic para poder describirla ya que no encontré un blog donde lo explique
ResponderEliminarGracias
Buenas noches, te recomiendo que elabores una tabla como la que muestro en el artículo y posteriormente una ficha con cada medida a tomar, identificando todos los aspectos que detallo en el artículo. Un saludo.
EliminarBuenas tarde, Adriana. Estoy documentando un plan de contingencias para actualizar una pequeña empresa con un sistema de calidad 90001: 2008. Entiendo que en la fase final de "disparador" en el supuesto de un riesgo intolerable o indeseable habría que detallar los pasos a seguir, el tratamiento para intentar minimizar los riesgos, como si fuese una acción correctiva. También en la primera etapa del Plan de Contingencias "actividad/fase" no veo una correlación clara con los procesos estratégicos de la empresa.
ResponderEliminarGracias por los artículos y comentarios.
Un saludo.
Victor Chmara
Buenos días Víctor, efectivamente si existe un riesgo intolerable o indeseable hay que detallar los pasos a seguir, así como especificar los recursos a destinar y el plazo en que se debe realizar, una vez pasado este plazo se debe evaluar otra vez el riesgo y ver si realmente ha disminuido el riesgo. Normalmente se analiza en un informe. Efectivamente, en cuanto a las actividades/fase sería mejor que se identificase a qué proceso pertenece. Un saludo y gracias por tu apreciación.
EliminarHola Adriana! Tus articulos han sido de muchisima ayuda! Una duda, mi empresa esta cambiando del ISO 9001:2008 al 2015. En referencia al analisis de riesgo, se deben evaluar todos los procesos de la empresa? O unicamente los previamente seleccionados considerando las debilidades de la empresa?
ResponderEliminarMuchas gracias Regina, me alegro que sea de ayuda. Respecto a tu consulta, se debe analizar el riesgo de todos los procesos, además de otros aspectos ajenos a los procesos, como aquellos analizados en el contexto de la organización. Un saludo.
EliminarHola Adriana, inicialmente felicitarte por el sitio y la información que compartes de forma tan profesional con todos los que requerimos de tus servicio. de otra parte tenia una consulta, quería saber si hay algún tipo de listado para basarse sobre los posibles riesgos de una empresa, lo que he podido encontrar es que los ubican en tres categorías y de allí se desprenden los riesgos, estas categorías son: Natural, Social y Técnicos, y otras los dividen en Personas, recursos y sistemas. Si es posible me podrías ayudar a aclarar esta duda.
ResponderEliminarMuchas gracias
Buenos días Andrés, puedes realizarlo y clasificarlo cómo quieras, mientras identifiques los diferentes riesgos de los procesos, para ello puedes guiarte a través de los indicadores de proceso y establecer el riesgo, a parte de considerar aquellos que provienen de la identificación del contexto de la organización y de los objetivos marcados anuales. Para orientarte consulta el siguiente enlace donde dispones de un listado de riesgos: http://asesordecalidad.blogspot.com/2016/01/listado-de-riesgos-de-los-procesos.html#.WJwLIvkgXIV
EliminarUn saludo.
Hola Adriana
ResponderEliminarDos preguntas
1 En un articulo anterior, mencionabas que incluirias que tools usar de la 31010 para el riesgo en 9001, pero no lo encuentro.
2 realmente consideras necesario usar 31000/31010 si solo es pensamiento del riesgo?, usar 31000 se me hace muy requisitoso.
Dame tus comentarios.
Gracias
Buenos días Tomas, respecto a tus dos preguntas:
Eliminar1. El tipo de método que os propongo para la evaluación de riesgos es un método semi cuantitativo, en el que se emplean escalas numéricas de clasificación para consecuencias y probabilidad, y se combinan para producir el nivel de riesgo (NPR) empleando una fórmula (está incluido en la norma 31010). Puedes ver la metodología en los siguientes enlaces:
http://asesordecalidad.blogspot.com/2015/11/analisis-del-riesgo.html#.WL09jFWLTIV
http://asesordecalidad.blogspot.com/2015/11/evaluacion-del-riesgo.html#.WL09cVWLTIV
2. No es necesario seguir la norma ISO 31010 para llevar a cabo la gestión de riesgos de la empresa. Esta norma es una guía que puede ayudarte a escoger la mejor herramienta posible para realizar tu gestión de riesgos. Yo he escogido el más sencillo y el que se puede aplicar a cualquier tipo de empresa. Como he comentado, no es obligatorio, pero para cumplir los requisitos de la nueva ISO 9001:2015, deberás idear una metodología para evaluar el riesgo de los procesos.
Un saludo
Hola Adriana, gracias por tus posts, son de mucha ayuda.
ResponderEliminarHablas de riesgos, pero la norma también indica que hay que abordar las oportunidades. Yo creo que se podrían incluir en estas tablas, aunque adaptando la definición de la clasificación. Qué opinas?
Un saludo
Nuria
Naturalmente Nuria, en el análisis del contexto de la organización identificas las oportunidades, y se deben evaluar sus riesgos también siguiendo esta misma metodología. Un saludo
EliminarHola Adriana, te saludo desde Valencia, Venezuela, luego de leer tu post, donde hablas sobre gestión de los riesgos y revisando la cláusula 6.1 cuyo titulo es abordar los riesgos y oportunidades y revisando el anexo A.4 que establece que no se requieren de métodos formales, me surgen ciertas dudas al respecto:
ResponderEliminar1) ¿abordar y gestión tienen el mismo significado?
2) ¿Es necesario o mandatorio utilizar metodologías formales?
Saludos cordiales
Angel Ramirez
Buenos días Angel,
EliminarLa identificación y evaluación de los riesgos y oportunidades es un requisito muy importante de la norma, el cual se debe evidenciar documentalmente. No importa el sistema o metodología que utilices para identificar los riesgos de los procesos del sistema, utilizarás aquel que sea más conveniente para tu empresa, pero hay que hacerlo. No sólo se menciona en el apartado del requisito en sí (6.1), sino que se menciona en varios apartados de la norma, los cuales se solicita la evidencia documental. Por ejemplo los apartados:
- 0.3.3 donde planificar e implementar acciones para abordar los riesgos, va implícito que se debe establecer una metodología para realizar tal fin.
-5.1.2 apartado b
-por supuesto el apartado 6.1
- apartado 9.1.3
- apartado 9.3.2
- apartado 10.2.1 e)
- en el anexo A4 se puntualiza que se debe establecer una metodología para planificar y abordar los riesgos asociados a los procesos aunque la norma no exige ninguna metodología en concreto, ni ningún método formal en concreto. Sino que la dificultad, el detalle y la elección de la metodología aplicar es a cuenta de la empresa. Pero se debe hacer. Para evidenciar que se hace tiene que haber un soporte documental (evidencia documental).
En cuanto a tus preguntas directas:
- La primera entendemos como abordar como tratar los riesgos. En la gestión de riesgos se abordan, es decir, se identifican, evalúan y se realizan las acciones para mitigarlos.
- La segunda: se debe establecer una metodología, la elección de la misma es decisión de la empresa, dependiendo de sus necesidades y complejidad.
Espero que sea de ayuda. Un saludo.
Hola Adriana buenos días, te quería comentar que una tía tiene una tortillería y protección civil le indicó que necesita una gestión de riesgos dentro del lugar me podrías dar una idea como realizarlo.
ResponderEliminar