En este artículo os voy a describir una pauta de cómo identificar los riesgos de vuestro sistema de gestión, con la finalidad de cumplir con los requisitos descritos en la norma ISO 9001:2015.
Tras la charla a la que fui invitada el pasado 5 de noviembre sobre la Gestión de riesgos con los consultores Daniel Blanco Alonso y Héctor Ñopo Aguilar, muchos de vosotros me habéis solicitado que elabore un artículo explicando cómo podéis identificar los riesgos que vuestra empresa para dar evidencia del cumplimiento del apartado 6.1 "acciones para abordar riesgos y oportunidades" de la norma ISO 9001:2015. Para aquellos que no habéis tenido la oportunidad de asistir a esta charla, y estáis interesados, os facilito el siguiente enlace donde la podréis verla de forma íntegra:
Primero de todo, para aquellos que no entendéis muy bien en qué consiste el proceso de la Gestión de Riesgos, os lo explicaré a continuación en base al siguiente ejemplo:
Una empresa de fabricación para disminuir los costes de fabricación necesita sustituir un reactivo por otro equivalente, ya que el que se está utilizando ha aumentado mucho el precio, y la producción no es rentable sino se aumenta el precio del producto final. Para este caso, un aumento de precios haría disminuir las ventas, y los clientes perderían el interés por el producto, por lo que la empresa debe pensar en alguna alternativa viable. Finalmente, la única salida por parte del fabricante, si quiere mantener la fabricación de este producto, es la disminución de costes de fabricación. Por lo tanto, la solución pasa por la de sustituir alguna de las materias primas por otras más económicas. Naturalmente, un cambio en el proceso puede provocar un riesgo considerable que puede evidenciarse fácilmente en el producto final. Al realizar un cambio en el reactivo, la empresa debe analizar y evaluar si el cambio puede producir algún efecto, tanto positivo como negativo, en el producto final. Este cambio va a provocar una serie de riesgos, que deben identificarse. Tras su evaluación se deben describir una serie de acciones a realizar, estimando los recursos y el plazo de tiempo necesarios para llevarlas a cabo, con la finalidad de corregir las desviaciones que puedan producirse. Una vez que se disponen de las previsiones, la Dirección deberá tomar la decisión, si es viable o no, asumir dicho riesgo.
Para poder gestionar los riesgos en una empresa se deben realizar las siguientes etapas:
- Identificación de riesgos
- Análisis y Evaluación de los riesgos
- Estimación de la significancia
- Establecer acciones que mitiguen los riesgos
- Valorar la efectividad de las acciones
- Análisis y Evaluación de los riesgos
- Estimación de la significancia
- Establecer acciones que mitiguen los riesgos
- Valorar la efectividad de las acciones
Si nos centramos en la Identificación de riesgos, en la siguiente tabla podemos observar la procedencia de los diferentes riesgos:
Primero de todo para poder abordar los riesgos derivados de la gestión, se deben identificar. Cada una de las tareas que se realizan en la empresa llevan asociado uno o varios riesgos que se deben tener en cuenta, o por lo menos valorar, si pueden o no afectar al correcto funcionamiento de la empresa.
Para ello, la norma nos da algunas especificaciones de dónde pueden provenir los riesgos más significativos que debemos abordar. En el apartado 6.1 "acciones para abordar riesgos y oportunidades" nos menciona que tenemos que considerar los riesgos derivados de los requerimientos especificados en los apartados: 4.1. "Comprensión de la organización y su contexto" y 4.2. "Comprensión de las necesidades y expectativas de las partes interesadas". Además en algunos de los demás requerimientos también se debe valorar el riesgo asociado, y de este modo establecer acciones que puedan mitigar las posibles desviaciones asociadas a cada uno de los procesos de la empresa.
De todos modos, os voy a proporcionar un listado que contenga los aspectos a tener en cuenta y de dónde podéis identificar los diferentes riesgos que son de aplicación. Los riesgos pueden ser derivados de:
Objetivos: debéis identificar los riesgos de cada una de las metas a alcanzar.
Identificación del Contexto de la Organización: tanto las debilidades, amenazas y oportunidades identificadas comportan uno o varios riesgos asociados, con los que se deben identificar para cada uno de ellos.
Identificación de las necesidades y expectativas de las partes interesadas: todos los grupos de interés tienen unas necesidades y expectativas que la empresa debe cumplir. Para poder hacerlo, la empresa debe realizar adecuadamente una serie de procesos, que están relacionados entre sí. Por lo tanto, se deberán analizar todos los riesgos derivados de los diferentes procesos de la empresa. En este punto, se incluirían, entre otros, los riesgos derivados de:
- No conformidades y acciones correctoras.
- Las inspecciones y auditorías
- Los procesos productivos y de diseño.
- Los procesos productivos y de diseño.
- Los indicadores de procesos
- Las mediciones
- La planificación de los procesos
- La planificación de los procesos
- El sistema documental
- La gestión de cambios
- La gestión de los recursos: humanos, materiales (infraestructura, equipos y maquinaria) y económicos; además de otros como son el conocimiento, la marca...
- La evaluación de la satisfacción del cliente
- La gestión de cambios
- La gestión de los recursos: humanos, materiales (infraestructura, equipos y maquinaria) y económicos; además de otros como son el conocimiento, la marca...
- La evaluación de la satisfacción del cliente
- Las reuniones del Comité de Calidad
- La estrategia empresarial
- La estrategia empresarial
En este último apartado también se podrían incluir los objetivos. Debido a su importancia, los he separado, aunque podrían estar incluidos perfectamente en la Identificación de las necesidades y expectativas de las partes interesadas. Cada empresa, en función de su realidad, debe identificar sus propios riesgos, de todos modos, de forma orientativa, os facilito un enlace donde podéis encontrar algunos de los posibles riesgos que puede llegar a tener una empresa: Listado de posibles riesgos significativos.
Finalmente, nos damos cuenta, que se debe identificar cada uno de los riesgos asociados prácticamente de cada una de las tareas que se realicen en la empresa. Al final sólo un grupo muy reducido de tareas o decisiones deben comportar un riesgo significativo al que se deben aplicar acciones de mitigación del mismo. Pero inicialmente se deben identificar o bien se debe evidenciar que se han identificado todos los riesgos asociados a los procesos.
Independientemente de cómo lo realicéis, deberéis documentar, ya sea en forma de procedimiento, o bien en forma más esquemática en una ficha de proceso, la metodología a seguir para gestionar los riesgos de la empresa.
En cuanto al propio registro para el control de la gestión de riesgos, mi recomendación, si no disponéis de un programa específico de gestión de riesgos, es la de elaborar un único documento en una hoja de cálculo. En este documento se deberá incluir la identificación de cada uno de los riesgos, su evaluación, la determinación de la significancia y, finalmente, la asignación de acciones de mitigación, recursos y estimación del plazo de tiempo. Este documento se irá revisando y actualizando de forma periódica. También os recomiendo, que añadáis una columna más, donde indiquéis la procedencia del riesgo, si es derivado de los objetivos, oportunidades...
Finalmente, se suele realizar un informe periódico, que coincide en el tiempo con las reuniones del comité de calidad, donde se evalúa y se realiza el seguimiento de los riesgos, y se aporta como evidencia en las diferentes reuniones de calidad, dejando constancia como anejo en las actas de las reuniones de calidad; sobre todo, en la reunión de la Revisión del Sistema.
0 comments:
Publicar un comentario