Implementación de un Análisis de Riesgos en ISO 9001: Pasos Clave y Herramientas

La norma ISO 9001, como la serie de normas ISO que desarrollan las diferentes disciplinas de los sistemas de gestión, introduce un enfoque basado en el riesgo como un principio fundamental para la gestión de la calidad. En este marco, la gestión de riesgos es un proceso en sí mismo. Las organizaciones deben identificar, evaluar y tratar los riesgos y oportunidades que puedan afectar la calidad de sus productos o servicios. Para ello, se deberán identificar todos los riesgos derivados de los objetivos, de las oportunidades, de los procesos, así como los derivados del sistema de getsión de  gestíón en sí.

En este artículo os quiero presentar los pasos clave para implementar un análisis de riesgos de un sistema de gestión conforme a la norma, con ejemplos y herramientas que faciliten su desarrollo. 

1. Identificación del contexto y partes interesadas

El primer paso es comprender el contexto de la organización, tanto interno como externo, y definir quiénes son las partes interesadas. Esto permite tener una visión clara de los factores que pueden influir en el desempeño del sistema de gestión de calidad (SGC). Estos factores incluyen aspectos políticos, económicos, sociales, tecnológicos, legales y ambientales.

Ejemplo de contexto de la organización: Una empresa identifica una oportunidad de negocio al expandirse a nuevos países abriendo sucursales. Para evaluar la viabilidad de esta expansión, es fundamental llevar a cabo un análisis exhaustivo que identifique los posibles riesgos involucrados en el proceso. Esto incluye evaluar la importancia de cada riesgo asociado con las acciones previstas, así como considerar medidas extraordinarias que podrían ser necesarias para mitigar dichos riesgos, tomando en cuenta los costos que estas acciones adicionales puedan generar.

Ejemplo partes interesadas. Un laboratorio de ensayos clínicos puede enfrentar regulaciones estrictas en cuanto a la ejecución de los diferentes ensayos. Una parte interesada clave sería la autoridad reguladora, cuyas decisiones podrían generar riesgos si no se cumplen los estándares y podría retirarles la licencia de actividades.

        Herramientas útiles:

- Análisis DAFO: Identifica los factores de debilidad, amenazas, fortalezas y oportunidades.

- Análisis PESTEL: Identifica factores políticos, económicos, sociales, tecnológicos, ambientales y legales que podrían impactar a la organización.

- Matriz de las partes interesadas: Identifica y clasifica a las partes interesadas según su influencia y el interés que tengan en la empresa.

Una vez definidos el contexto de la organización y las partes interesadas, es necesario identificar todos los riesgos asociados a los factores previamente analizados. Esto implica evaluar cómo cada uno de estos factores puede influir en los objetivos de la organización, asegurando que se contemplen todos los posibles riesgos que podrían afectar su desempeño.

2. Identificación de los riesgos y oportunidades

Una vez comprendido el contexto, el siguiente paso es identificar los riesgos y oportunidades. Los riesgos son eventos que, si se materializan, pueden afectar negativamente el logro de los objetivos del SGC, mientras que las oportunidades son situaciones que pueden favorecer a la organización.

Ejemplo práctico de riesgo. Un riesgo para una empresa de transporte podría ser un aumento en los precios del combustible, lo que afectaría sus márgenes de ganancia. 

Ejemplo práctico de oportunidades. Se podría considerar la posibilidad de adoptar vehículos eléctricos para reducir costos a largo plazo.

        Herramientas útiles:

- Lluvia de ideas o "brainstorming": Involucra a diversos miembros de la organización para identificar riesgos desde diferentes perspectivas.

- Diagrama de Ishikawa o diagrama causa-efecto: Ayuda a identificar las causas raíz de posibles riesgos en procesos específicos.

3. Evaluación de riesgos

Después de la identificación, se procede a evaluar los riesgos en términos de su probabilidad de ocurrencia y su impacto en la organización. Esto permite priorizar los riesgos que requieren mayor atención. Una técnica comúnmente utilizada es el cálculo del "nivel de riesgo", que se obtiene multiplicando la probabilidad por el impacto. Posteriormente se elaboran unas tablas de clasificación de los resultados donde puede clasificarse según su grado de significancia, aplicando unos criterios definidos por la organización.

Ejemplo: Supongamos que en una empresa de software, el riesgo de fallos en un servidor crítico se evalúa con una alta probabilidad y un impacto muy alto. Esto indicaría que es un riesgo prioritario a gestionar.

        Herramientas útiles:

- Matriz consecuencia y probabilidad. es una técnica para evaluar y priorizar riesgos en función de la probabilidad de ocurrencia y las consecuencias asociadas. Esta herramienta es efectiva para la toma de decisiones sobre la gestión de riesgos, debido a que se puede obtener información de la significancia o criticidad del riesgo que se está evaluando

- Análisis FMEA (Failure Mode and Effects Analysis): Identifica los posibles modos de falla y sus efectos en los procesos o productos.

4. Tratamiento de riesgos

Una vez evaluados, se deben planificar las acciones para tratar los riesgos identificados. Las estrategias pueden incluir evitar el riesgo, mitigar su impacto, transferirlo a otra parte (por ejemplo, mediante seguros) o aceptarlo si se considera bajo. Las oportunidades, por su parte, deben explotarse para mejorar el rendimiento del Sistema de Gestión.

Ejemplo práctico: La empresa de transporte puede optar por firmar contratos a largo plazo con proveedores de combustible para mitigar el riesgo de fluctuación en los precios.

        Herramientas útiles:

- Planes de acción. Definen las medidas específicas que la organización tomará para gestionar cada riesgo. Estas medidas, que son acciones concretas, deben planificarse, asignar un responsable que las lleve a cabo y que haga el seguimiento. Además se deberá estimar el coste asociado y los recursos necesarios para que se pueda realizar en el plazo de tiempo estimado. 

- Análisis Coste-Beneficio. Ayuda a decidir si vale la pena implementar una acción basada en su costo y el beneficio asociado a la mitigación del riesgo.

5. Monitoreo y revisión

El análisis de riesgos es un proceso cíclico y continuo. Es fundamental que la organización supervise de manera continua los riesgos, revise su efectividad y ajuste las estrategias si es necesario. Los cambios en el entorno empresarial, nuevas regulaciones o incidentes imprevistos pueden generar nuevos riesgos o modificar los existentes. Por ese motivo es necesario realizar la identificación de los riesgos de forma periódica, normalmente se realiza de forma anual.

Después que se hayan implementado las medidas de mitigación de los riesgos, se deberá volver a evaluar para asegurarse que el riesgo a disminuido, en el caso que no se produzca el resultado esperado, se deberán establecer nuevas acciones que permitan disminuir ese riesgo.

Ejemplo: Si la empresa de software introduce nuevos servidores o tecnología, deberá revisar su evaluación de riesgos y ajustar las medidas de prevención si es necesario.

        Herramientas útiles:

- Indicadores clave de rendimiento (KPI): Miden la efectividad de las acciones implementadas, mediante la medición de ratios que permiten evaluar el funcionamiento de un determinado proceso. Por ejemplo, número de reclamaciones de clientes respecto al número de pedidos realizados por los mismos.
- Auditorías: Verifican si el tratamiento de los riesgos se está llevando a cabo según lo planificado.

En la siguiente tabla se puede observar un pequeño resumen de lo explicado en este artículo:

En este artículo, os he mencionado algunas herramientas que se pueden utilizar en cada uno de los pasos, pero existen muchísimas. Os facilito un enlace a un listado de herramientas que se pueden aplicar en el análisis de riesgos de los sistemas de gestión: Listado de técnicas y herramientas para la Gestión de Riesgos según ISO/IEC 31010.  

[Continue reading...]

Proceso de elaboración e implementación de la Documentación para un Sistema de Calidad según la Norma ISO 9001:2015

La norma ISO 9001 establece los requisitos para un Sistema de Gestión de la Calidad (SGC) y es ampliamente utilizada por empresas de todos los tamaños y sectores. Uno de los aspectos más importantes para la implementación efectiva de un SGC es la elaboración de la documentación. Este proceso no solo sirve para cumplir con los requisitos de la norma, sino también para asegurar que la organización pueda gestionar y mejorar continuamente sus procesos.

Cuando una empresa comienza a preparar la documentación necesaria para implementar un Sistema de Gestión de Calidad basado en la norma ISO 9001, debe seguir los siguientes pasos:

1. Revisar y listar actividades. Se debe identificar cada una de las actividades realizadas en la empresa y la documentación que se genera durante la ejecución de cada tarea.

2. Agrupar por procesos. Las tareas se agrupan en actividades, y un conjunto de actividades interconectadas forma un proceso. Por lo tanto, es necesario organizar las actividades dentro de los procesos correspondientes. Generalmente, estos procesos coinciden con los distintos departamentos de la empresa; sin embargo, en algunos casos no ocurre así, lo que puede dificultar su clasificación y organización. Una forma gráfica y visual que se utiliza mucho, es la elaboración de un mapa de procesos.

3. Redactar la documentación del Sistema. Para cada proceso identificado, es necesario redactar un procedimiento que describa la metodología utilizada para llevar a cabo las tareas, así como la documentación que se genera. En algunos casos, para simplificar, no es necesario redactar un procedimiento completo, optando en su lugar por una ficha de proceso que incluya un diagrama de flujo. Para tareas muy concretas y muy complejas, a veces es necesario elaborar una instrucción de trabajo. En este caso la instrucción colgaría del procedimiento.

4. Verificar el cumplimiento de la norma. Una vez definida la estructura de la empresa y todas las actividades, se debe verificar que se cumplen los requisitos de la norma ISO 9001. Es posible que la empresa no esté cumpliendo algunos requisitos específicos de gestión, por lo que será necesario diseñar una metodología que garantice su cumplimiento, documentando cada paso para evidenciarlo. Estas tareas/procesos suelen incluir la identificación del contexto de la organización, la evaluación de riesgos asociados a la gestión y a los procesos, las acciones de mejora, el control de la documentación del sistema, y las reuniones de revisión del sistema, auditorías, entre otros.

5. Implementar y hacer seguimiento. Una vez identificados y documentados todos los procesos, se deben implementar los procedimientos establecidos y hacer un seguimiento continuo para asegurar su correcta ejecución. Es decir, verificar que los documentos que se generan de cada una de las tareas que deben desempeñarse se realizan, cumplimientan y se incluyen en el sistema documental, con los formatos aprobados. Además se deberá realizar un seguimiento del funcionamiento de los diferentes procesos de la empresa, para ello, se suelen aplicar una serie de indicadores que son herramientas de control para verificar que un proceso funciona según los parámetros etsablecidos y detectar posibles desviaciones.

En la siguiente tabla se puede visualizar cada una de las etapas descritas y la documentación que se debe generar e implementar:

Con la finalidad de ampliar y detallar el proceso descrito anteriormente, se incluye a continuación los aspectos a tener en cuenta a la hora de elaborar la documentación del sistema:

La norma ISO 9001:2015 es menos prescriptiva en cuanto a la documentación obligatoria en comparación con versiones anteriores, pero aún exige ciertos documentos clave. 

Estos incluyen:

- Manual de calidad (aunque ya no es obligatorio, muchas empresas siguen manteniéndolo).

- Política de calidad.

- Los objetivos de calidad.
- Procedimientos documentados, fichas de proceso y/o diagramas de flujo necesarios para la descripción de la metodología a seguir, la planificación, la operación y el control de los procesos.
- Registros, listados y otros documentos derivados de realizar las diferentes tareas que sirven como evidencia de la conformidad de los procesos y productos.

Manual de Calidad

Como se ha mencionado anteriormente, aunque la ISO 9001:2015 no requiere explícitamente un manual de calidad, muchas organizaciones optan por mantener uno como herramienta de referencia.

Este documento suele incluir un resumen de cómo se cumplen los requisitos de la norma. Suele bastar con la redacción de un breve párrafo de cómo la empresa evidencia cada uno de los requisitos de la norma. Este documento suele anexar los siguientes documentos:

- La política de calidad.

- Los objetivos de calidad.
- El organigrama funcional y nominal de la empresa.

- El mapa de procesos de la empresa, indicando para cada uno de los procesos el procedimiento asociado, de tal manera que este documento sirva de guía para buscar en el sistema documental de la empresa.

En el caso que la empresa no disponga de Manual de calidad, sí deberá disponer de estos documentos enumerados como anexos, de igual forma otros, como por ejemplo, las exclusiones o no aplicaciones de algún requisito de la norma en particular, justificando el motivo por el cual no aplica.

Los procedimientos, fichas de proceso y/o instrucciones

Los procedimientos son esenciales para describir cómo se llevan a cabo los procesos clave dentro de la organización. La ISO 9001:2015 permite cierta flexibilidad en la manera de documentar estos procedimientos, que pueden ser descritos en:

- Documentos escritos que detallan cada paso del proceso.

- Fichas de proceso donde se incluye la información básica del proceso, habitualmente acompañada de un diagrama de flujo.
- Diagramas de flujo que representan visualmente los procesos.
- Instrucciones de trabajo (IT) que proporcionan guías más específicas para tareas individuales. Las IT son documentos detallados que guían a los empleados en la ejecución de tareas específicas. Son fundamentales para asegurar la consistencia en los procesos. 

Control de Documentos y Registros

Es crucial establecer un proceso para asegurar que todos los documentos y registros sean controlados adecuadamente, por ese motivo, es un requisito de la norma que debe cumplirse y evidenciarse, mediante la aplicación de una metodología (procedimiento) y la generación de unos registros actualizados para realizar su control y seguimiento. Esto incluye:

- Revisión y aprobación de documentos antes de su emisión.
- Distribución y acceso controlado a los documentos para asegurar que estén disponibles donde se necesiten.
- Actualización y revisión periódica de los documentos.
- Almacenamiento seguro de los registros y su disposición una vez que ya no sean necesarios.

Capacitación en el uso de la documentación

La documentación solo es efectiva si los empleados saben cómo utilizarla. Por lo tanto, es importante:

- Capacitar al personal en la lectura y uso de los documentos.
- Fomentar la cultura de la documentación, haciendo énfasis en su importancia para la calidad y la mejora continua.

Acceso y modificación de los documentos

Se debe establecer una metodología que determine quién tiene acceso a qué y para qué hacer. dependiendo de las funciones del personal se deberán establecer unas restricciones al acceso de los documentos del sistema, ya sea en formato papel o digital.

Actualmente, la mayor parte de las empresas, optan por mantener su documentación en formato electrónico, con lo que se debe programar el acceso y las restricciones que tiene cada usuario, por ejemplo en: 

- Sistemas de gestión documental (DMS) que permiten el control y acceso a los documentos.

- Intranets corporativas para la difusión de políticas y procedimientos.
- Bases de datos para el almacenamiento y recuperación de registros.

Para ello, debe establecerse una metodología que deberá describirse en la documentación del sistema (procedimiento)

Conclusión

La correcta elaboración y mantenimiento de la documentación es un componente clave para el éxito de un sistema de gestión de la calidad basado en la norma ISO 9001:2015. Aunque la norma ofrece flexibilidad, es esencial que cada organización desarrolle un enfoque que se adapte a sus necesidades y cultura, asegurando que los documentos no solo cumplan con los requisitos, sino que también contribuyan al logro de los objetivos de calidad y a la mejora continua.

[Continue reading...]

El enfoque cindinámico (“Cyndynic approach”) aplicado a la ISO 9001

Esta herramienta de Gestión de riesgos es muy útil para determinar los déficits que puede tener un determinado sistema o proceso e identificar las posibles discrepancias que pueden existir entre partes interesadas en relación al proceso o sistema a estudiar. En este artículo os explicaré en qué consiste y lo aplicaré en un entorno de Sistema de Gestión basado en la ISO 9001.

¿En qué consiste?

La Cindinámica es ciencia que estudia el peligro.

El enfoque cindinámico (“Cyndynic approach”) es la técnica que identifica las causas (fuentes) y los factores que ocasionan el riesgo que una vez que ocurren, generan una o varias consecuencias diferentes. El objetivo del enfoque cindinámico es comprender por qué, a pesar de todas las medidas de control tomadas para prevenir desastres, estos aún ocurren.

En particular, esta técnica identifica y analiza:

- Las inconsistencias, las ambigüedades, las omisiones y el desconocimiento de cualquier aspecto englobado en los cinco criterios en los que se centra el análisis de esta técnica, que son: las metas, los valores, las reglas, los datos y los modelos.

- Las divergencias entre las partes interesadas. Mediante la aplicación de este enfoque se puede analizar los aspectos en que dos o varias partes interesadas discrepan o están de acuerdo.

El análisis generalmente involucra a un equipo multidisciplinar que incluye a aquellos con experiencia operativa en la vida real y a aquellos que llevarán a cabo acciones de tratamiento para abordar las fuentes de riesgo identificadas.

Situaciones en que se aplica esta técnica:

- Para mejorar la eficiencia económica de las organizaciones.

- La técnica busca fuentes y factores sistémicos de riesgo dentro de una organización que pueden llevar a consecuencias de gran alcance.

- Para identificar factores que actúan de manera favorable o desfavorable durante la evolución del sistema hacia nuevos objetivos.

- Para validar la coherencia de cualquier proyecto y es especialmente útil en el estudio de sistemas complejos.

Proceso de aplicación de la técnica:

El enfoque cindinámico comienza recopilando información sobre:

a) El sistema de Gestión, proceso u organización que es objeto del estudio, como por ejemplo la localización, el proceso, el tiempo en que se realizan unas determinadas tareas, datos históricos del proceso, no conformidades detectadas…

b) La identificación de partes interesadas y sus objetivos relacionados con el estudio que se va a realizar.

Posteriormente se realizan entrevistas semiestructuradas para recopilar información en varios momentos sobre la opinión y experiencias de cada parte interesada, en relación con los cinco criterios del enfoque cindinámico de la siguiente manera:

- Las metas (propósito principal de la organización).

- Los valores (considerados de alta estima por la parte interesada).

- Las reglas (derechos, normas, procedimientos... que rigen sus logros).

- Los datos (en los que se basa la toma de decisiones).

- Los modelos (técnicos, organizativos, humanos... que utilizan datos en la toma de decisiones).

Debido a que la base del enfoque se realiza recopilando información de varias fuentes, éste tiene en cuenta tanto las opiniones como evidencias objetivas documentales.

Una vez obtenida esta información, se analiza la coherencia entre los objetivos a alcanzar y los cinco criterios de la cindinámica, y se elaboran tablas que enumeran las carencias y las desviaciones (discrepancias) detectadas.

Los resultados se presentan en tablas (matrices) que indican las discrepancias y carencias entre las partes interesadas.

La matriz siguiente relaciona los déficits de cada parte interesada con los cinco criterios de análisis (metas, valores, reglas, modelos y datos).

Se pueden comparar dos aspectos dependiendo de la información que se disponga y la finalidad del análisis que se necesite realizar:

- Se pueden comparar la evolución de una situación a lo largo de varios periodos de tiempo.

- Se pueden identificar las cadencias entre diferentes situaciones en un determinado periodo de tiempo.

En función de la información obtenida se configuraría la matriz que va a ser la base del estudio.

Un ejemplo de matriz sería el siguiente:

Por otro lado, si la aplicación de esta técnica tiene como finalidad la determinación de los acuerdos o discrepancias entre partes interesadas, la matriz que se debería aplicar sería la siguiente:

Las partes interesadas relevantes están representadas en ambos ejes y las diferencias de opiniones entre las partes interesadas se muestran en las celdas de la matriz. Estas tablas permiten establecer un programa para la reducción de déficits y discrepancias entre las partes interesadas.

Ejemplo de aplicación del Enfoque Cindinámico en un Sistema de Gestión ISO 9001

1. Recopilación de Información

El primer paso es recopilar información sobre la organización que está implementando el sistema de gestión de calidad ISO 9001. Esto incluye:

- Metas: mejorar la satisfacción del cliente y cumplir con los requisitos reglamentarios y del cliente.

- Valores: calidad, mejora continua, satisfacción del cliente.

- Reglas: políticas de calidad, procedimientos operativos estándar, instrucciones de trabajo.

- Datos: indicadores de desempeño, informes de auditoría, retroalimentación del cliente.

- Modelos: modelos de gestión de calidad, diagramas de flujo de procesos, técnicas de mejora continua.

2. Entrevistas Semiestructuradas

Se llevan a cabo entrevistas semiestructuradas con las partes interesadas (empleados, gerentes, clientes, proveedores) para entender:

- Estado del Conocimiento: ¿Qué tan familiarizados están con la norma ISO 9001?

- Opiniones: ¿Cómo se sienten respecto a los cambios y la implementación del sistema de gestión de calidad?

3. Identificación de inconsistencias y discrepancias

A partir de la información recopilada, se identifican:

Inconsistencias:

- Metas y Reglas. Los procedimientos operativos no alinean completamente con los objetivos de mejora continua.

- Valores y Datos. La empresa valora la calidad, pero no todos los datos relevantes se están recopilando y analizando adecuadamente.

Discrepancias:

Entre Partes Interesadas: Los empleados de producción sienten que no tienen suficiente capacitación en comparación con los estándares de calidad esperados por la gerencia.

4. Análisis de coherencia y elaboración de las tablas

Se elaboran tablas para visualizar los déficits y disonancias:

Tabla de Déficits. Muestra los déficits de cada parte interesada en relación con los cinco criterios (metas, valores, reglas, datos y modelos).

Tabla de Discrepancias entre las partes interesadas:

5. Establecimiento de un Programa de Reducción de Déficits y Discrepancias

Con las tablas elaboradas, se puede establecer un programa para abordar los hallazgos encontrados, como por ejemplo:

- Capacitación y Formación. Implementar programas de capacitación para empleados de producción sobre los procedimientos de calidad.

- Revisión de Procedimientos. Alinear los procedimientos operativos con los objetivos de mejora continua.

- Mejora en la Recolección de Datos. Asegurarse de que se recopilan y analizan todos los datos relevantes para la gestión de calidad.

- Comunicación y Feedback. Mejorar la comunicación entre la gerencia y los empleados de producción para abordar las preocupaciones y disonancias.

[Continue reading...]

Herramienta de Índice de Riesgo aplicado en el Sistemas de Gestión ISO 9001

En el siguiente artículo os voy a mostrar en qué consiste y cómo se aplican los índices de riesgos aplicados a un Sistema de Gestión de Calidad basado en la norma ISO 9001. Esta técnica es la más utilizada en las empresas para evaluar sus riesgos y debido a ello, también es recomendada por la norma ISO 31010:2019 sobre técnicas de evaluación del riesgo.

La técnica de los índices de riesgo nos ayuda a comprender y medir el riesgo al definir criterios específicos, asignarles puntuaciones y analizar los resultados. Esto implica comparar el valor obtenido con rangos de referencia establecidos en tablas que representan intervalos de confianza. Es como si le diéramos un puntaje a distintos aspectos del riesgo y luego los comparáramos con estándares predefinidos para evaluar la situación.

Por lo tanto, en este proceso se detectan diversos factores que se considera que influyen en la magnitud del riesgo. Estos factores se evalúan y puntúan individualmente, teniendo en cuenta su relevancia y probabilidad de incidir en la situación de riesgo. Luego, estos puntajes se combinan utilizando una ecuación diseñada para representar las complejas relaciones entre ellos. Por ejemplo, en el caso del riesgo de detección de fallas en el proceso de medición con una balanza, se podrían considerar factores como la calibración de la balanza, la capacitación del personal, la frecuencia de mantenimiento y la precisión del proceso de medición. Cada uno de estos factores se evaluaría y puntuaría individualmente, y luego se combinarían utilizando la ecuación de riesgo para obtener una comprensión integral de la situación y poder tomar decisiones informadas sobre cómo mitigar el riesgo.

En las formulaciones más simples, los factores que aumentan el nivel de riesgo se multiplican entre sí y se dividen por aquellos que disminuyen el nivel de riesgo. La elección de las escalas y la forma en que se combinan se fundamenta idealmente en evidencia empírica y datos objetivos. Tanto el diseño de la fórmula como la interpretación de los resultados, incluyendo la definición de intervalos de riesgo, quedan a discreción del diseñador de la metodología. Estos aspectos se documentan típicamente en un procedimiento dentro del sistema de gestión, asegurando una aplicación coherente y transparente de la técnica.

Es importante que las puntuaciones de cada parte del sistema sean internamente coherentes y mantengan sus relaciones correctas. Es decir, una vez se elabore la tabla con los intervalos de significancia, se deberá comprobar que los valores o intervalos escogidos se adapten a los resultados que podamos obtener utilizando la fórmula que se ha diseñado.

Las fórmulas matemáticas no se pueden aplicar a las escalas ordinales. Por lo tanto, una vez que se haya desarrollado el sistema de puntuación, el modelo debe validarse aplicándolo a un sistema que se entienda bien. Desarrollar un índice es un enfoque iterativo y se deben probar varios sistemas diferentes para combinar las puntuaciones con el fin de validar el método.

Los índices de riesgo son esencialmente un enfoque cualitativo o semi-cualitativo para clasificar y comparar riesgos. Pueden usarse para riesgos internos o externos de alcance limitado o extendido. A menudo son específicos para un tipo particular de riesgo y se utilizan para comparar diferentes situaciones donde ocurre ese riesgo. Aunque se utilizan números, esto es simplemente para permitir la manipulación. En casos donde el modelo o el sistema no es bien conocido o no puede ser representado, generalmente es mejor utilizar un enfoque más abiertamente cualitativo que no implique un nivel de precisión que es imposible utilizando escalas ordinales.

Herramientas como Análisis en Árbol de Fallas (AAF o FTA), Análisis en árbol de eventos (AAE o ETA) y el Análisis Multicriterio (MCA) son utilizadas para apoyar los datos necesarios para desarrollar esta herramienta.

Ejemplo aplicado a la gestión de riesgos en el Sistema de gestión ISO 9001:

Supongamos que una empresa manufacturera implementa un sistema de gestión de calidad basado en la norma ISO 9001. Como parte de su proceso de gestión de riesgos, la empresa decide utilizar la técnica de índices de riesgo para evaluar y priorizar los riesgos relacionados con la calidad.

Para ello, aplica el siguiente proceso:

- Identifica los riesgos. El equipo de gestión de calidad realiza una revisión exhaustiva de los procesos clave de la empresa, identificando posibles riesgos que podrían afectar la calidad del producto o servicio. Por ejemplo, se identifican varios riesgos relacionados con la calidad, como fallos en la cadena de suministro de materiales, defectos en el proceso de ensamblaje, y problemas de calibración de equipos de prueba.

- Establece los criterios de evaluación. Se establecen criterios de evaluación para cada riesgo identificado, teniendo en cuenta factores como la probabilidad de ocurrencia (de 1 a 5), el impacto en la calidad del producto/servicio (de 1 a 5), la severidad de las consecuencias (de 1 a 5) y la capacidad de detección (de 1 a 5).

- Se asignan puntuaciones. Para cada riesgo identificado, se asignan puntuaciones según los criterios establecidos. Por ejemplo, la probabilidad de ocurrencia podría ser calificada en una escala del 1 al 5, donde 1 representa una probabilidad muy baja y 5 una probabilidad muy alta. Siguiendo con el ejemplo, para el riesgo de fallos en la cadena de suministro, se podría asignar una puntuación de 4 para la probabilidad de Ocurrencia (relativamente alta), una puntuación de 3 para el Impacto en la calidad (moderado), una puntuación de 2 para la capacidad de Detección (baja) y una puntuación de 4 para la Severidad de las consecuencias (graves).

- Se calculan los índices de riesgo. Utilizando las puntuaciones asignadas, se calculan los índices de riesgo para cada riesgo individual. Esto puede hacerse multiplicando las puntuaciones asignadas o aplicando otras herramientas adicionales. Se debe idear una fórmula que sea coherente y por la que se puedan relacionar los diferentes criterios que son de aplicación para cada uno de los riesgos identificados. Siguiendo el ejemplo anterior, la fórmula podría ser la siguiente:

Índice de Riesgo (IR) = Ocurrencia x Impacto x Detección x Severidad

Si se aplica la fórmula a los datos proporcionados del ejemplo, se obtendría el siguiente valor: IR = 4 x 3 x 2 x 4 = 96.

- Comparación y priorización. Una vez calculados los índices de riesgo para todos los riesgos identificados, se comparan entre sí para determinar cuáles representan los mayores riesgos para la calidad. Los riesgos con los índices más altos se priorizan para su tratamiento y mitigación. Se debe establecer un baremo numérico en el que se agrupe por intervalos, por ejemplo, con los criterios de riesgo bajo, normal, alto o inaceptable. Por lo tanto, se deberá verificar el valor obtenido para cada uno de los riesgos evaluados, en que rango se encuentra de la tabla, y en función del resultado, determinar el tipo de significancia, priorización y tratamiento que requiere. En el caso que nos ocupa, si el riesgo de fallos en la cadena de suministro tiene el índice de riesgo más alto (96), se considera como un riesgo prioritario para la calidad y requiere acciones inmediatas de mitigación.

- Acciones de mitigación. Con base en la priorización de los riesgos, se desarrollan y aplican acciones correctivas específicas para reducir la probabilidad de ocurrencia o el impacto de los riesgos identificados en la calidad del producto/servicio. Algunas de estas medidas pueden ser las siguientes: la diversificación de proveedores, la realización de auditorías de calidad en la cadena de suministro y la creación de planes de contingencia para gestionar posibles interrupciones en la cadena de suministro.

En la siguiente tabla se puede visualizar las fases del proceso aplicados al ejemplo:

[Continue reading...]

Análisis de causa-consecuencia (ACC) en la Gestión de Riesgos aplicada a los Sistemas de Gestión

En este artículo se explica en qué consiste una de las herramientas propuestas por la norma ISO 31010 en relación a las técnicas recomendadas que pueden aplicarse en la Gestión de Riesgos. Además se muestra un ejemplo práctico en el contexto de los Sistemas de Gestión ambiental (ISO 14001) y de Seguridad y Salud (ISO 45001).

El análisis de causa – consecuencia se desarrolló como herramienta de confiabilidad para analizar los sistemas críticos de seguridad con la finalidad de entender donde se producían los errores en el sistema. Actualmente, su uso se ha extendido en muchas áreas. Aplicado a los Sistemas de gestión, concretamente en sistemas basados en las normas ISO 14001 e ISO 45001, un posible uso sería un sistema de respuesta ante emergencias.

Se utiliza para representar la lógica del error que ocasiona un evento crítico pudiendo añadir el análisis de las fallas secuenciales en el tiempo. Por lo que mediante su uso se pueden simular los diferentes caminos que un sistema puede tomar después de producirse un evento crítico.

El análisis de causa-consecuencia es una mezcla del análisis de árbol de fallas y análisis de árbol de eventos, anteriormente explicados. Las causas de las condiciones o las fallas se analizan por medio de árboles de fallas y permite incorporar retrasos de tiempo en el análisis de las consecuencias.

Comienza a partir de un evento crítico y analiza las consecuencias por medio de una combinación de salidas lógicas SI/NO que representan condiciones que pueden ocurrir o los errores de los sistemas diseñados para mitigar las consecuencias del evento desencadenante. Por otro lado, las diferentes alternativas pueden cuantificarse mediante la estimación de la probabilidad en que se puedan producir cada una de las consecuencias.

Fases del análisis de causa-consecuencia:

1) Definir el problema o el evento crítico. Se debe identificar y definir claramente el problema o el evento no deseado que se quiere analizar. Es importante tener una comprensión clara de lo que está ocurriendo y cómo afecta al sistema de gestión.

2) Recopilar datos y evidencia. Se deben recopilar datos relevantes sobre el problema o incidente. Esto puede incluir registros históricos de incidentes pasados, datos operativos, informes de auditoría, entrevistas con personal involucrado, etc. Es fundamental contar con información precisa y completa para realizar un análisis efectivo.

3) Identificar las causas inmediatas Se deben identificar las causas inmediatas o superficiales del problema que son las acciones o eventos directamente relacionados con el incidente. Es importante no detenerse aquí, ya que estas causas suelen ser solo síntomas de problemas más profundos. 

4) Profundizar en las causas subyacentes. Se deben investigar las causas subyacentes que contribuyeron al problema. Estas pueden ser factores organizacionales, errores humanos, fallos en los procesos, deficiencias en los sistemas de gestión, etc. Se busca comprender por qué ocurrieron las causas inmediatas.

5) Identificar las causas raíz. Se identifican los factores fundamentales que dieron lugar al problema. Estas causas son las que, sí se abordan adecuadamente, pueden prevenir la recurrencia del problema. Es importante profundizar lo suficiente para llegar a las verdaderas causas subyacentes. Para ello, se pueden utilizar otras herramientas como el diagrama de causa-efecto.

6) Evaluar las consecuencias. Esto incluye tanto las consecuencias directas como las indirectas, a corto y largo plazo, en diferentes áreas del sistema de gestión. También se evalúa el impacto potencial en la organización, los clientes, el personal, la reputación, etc.

7) Desarrollar acciones correctivas y preventivas. Con base en las causas identificadas y la evaluación de las consecuencias, se desarrollan acciones correctivas y preventivas. Estas acciones están diseñadas para abordar las causas subyacentes y mitigar o eliminar el riesgo de que el problema vuelva a ocurrir en el futuro.

8) Implementar las acciones identificadas y monitorear su efectividad. Es importante realizar un seguimiento del progreso planificado de las para asegurarse de que estén teniendo el impacto deseado y que el riesgo se esté gestionando de manera efectiva.

9) Revisión y mejora continua. Se revisa regularmente el proceso de análisis de causa-consecuencia y se realizan ajustes según sea necesario para mejorar su efectividad.

A continuación se muestra un ejemplo del análisis de causa-consecuencia aplicado a una posible situación de estado de emergencias. Este ejemplo podría aplicarse tanto en un contexto de emergencia ambiental como en un contexto de seguridad y salud de los trabajadores.

A partir de este nivel, se pueden diseñar para cada una de las opciones más acciones para actuar y eliminar las causas y consecuencias que se van generando en función de los acontecimientos y efectos que se van produciendo. Como se ha comentado anteriormente, se puede cuantificar mediante probabilidades que se produzca una determinada situación.

[Continue reading...]

Técnica del Grupo Nominal (TGN) en la Gestión de Riesgos aplicada a los Sistemas de Gestión

En este artículo os voy a explicar en qué consiste esta técnica de gestión de Riesgos, los pasos a seguir para aplicarla, así como un par de ejemplos aplicados a los sistemas de gestión ISO 14001 e ISO 45001.

¿En qué consiste?

Esta técnica se utiliza para recoger ideas, además de ser útil también para priorizar ideas dentro de un grupo. Puede ser utilizada como alternativa a la técnica de Brainstorming.

¿Cómo se aplica?

El proceso completo es el siguiente:

1. Preparación. Definir los objetivos de la sesión. Antes de comenzar, es importante definir claramente los objetivos de la sesión de Grupo Nominal. Por ejemplo, puede ser identificar y priorizar riesgos específicos para el sistema de gestión, desarrollar estrategias de mitigación o revisar el estado actual de la gestión de riesgos.

2. Seleccionar a los participantes. Invita a un grupo de expertos y partes interesadas relevantes en el sistema de gestión específico. Se deben incluir personas con conocimientos y experiencia en el tema de gestión de riesgos y en el funcionamiento del sistema de gestión en cuestión.

3. Comienza la sesión explicando el propósito de la misma y el proceso que se seguirá. El facilitador proporciona a cada miembro del grupo una pregunta a considerar.

4. Lluvia de ideas. Se pide a los participantes que generen individualmente una lista de posibles riesgos que podrían afectar al sistema de gestión. Anima a que anoten todas las ideas que se les ocurran, sin discutir ni evaluar en esta etapa. Cada miembro escribe sus propias ideas de manera objetiva e individual.

5. Ronda de aportaciones. Una vez que todos hayan generado sus listas, pide a cada participante que comparta una idea a la vez, sin repetir ninguna. Registra todas las ideas en un lugar visible para que todos los participantes puedan verlas. Cada miembro del grupo presenta sus ideas en esta etapa, sin discutirlas. Si la dinámica del grupo hace que unas voces tengan más peso que otras, se deberán presentar al facilitador de forma anónima.

6. Discusión y clarificación. Una vez que se hayan registrado todas las ideas, permite que los participantes aclaren cualquier punto o proporcionen más detalles sobre los riesgos mencionados. Las ideas serán discutidas en grupo hasta conseguir un listado acordado.

7. Agrupación de ideas. Si hay riesgos similares o relacionados, se deben agrupar para evitar la duplicación y facilitar la posterior evaluación.

8. Evaluación y priorización. Se deben definir los criterios que se utilizarán para evaluar y priorizar los riesgos, como la probabilidad de ocurrencia, el impacto potencial y la capacidad de detección.

9. Votación. Se pide a los participantes que voten por los riesgos que consideren más significativos según los criterios establecidos. Pueden asignar una cierta cantidad de votos a cada riesgo, dependiendo de su importancia percibida.

10. Tabulación de resultados. Se recopila los resultados de la votación y calcula la puntuación total para cada riesgo.

11. Análisis de riesgos prioritarios. Se identifica los riesgos con las puntuaciones más altas y discute las posibles estrategias de gestión para mitigarlos.

12. Desarrollo de planes de mitigación. Se definen acciones específicas que se deben tomar para gestionar y controlar los riesgos identificados. Asigna responsabilidades y establece plazos para la implementación de estas acciones.

13. Seguimiento y revisión. Se define cómo se seguirá monitoreando y revisando los riesgos y las estrategias de gestión en el futuro.

14. Programar reuniones de seguimiento. Se deben programar reuniones periódicas para revisar el progreso en la implementación de las acciones y actualizar la evaluación de riesgos según sea necesario.

En la siguiente tabla se pueden visualizar las fases del proceso de forma esquemática:

Ejemplo aplicado a un Sistema de Gestión ambiental en base a la norma ISO 14001

Imaginemos que queremos aplicar esta técnica para analizar y abordar un determinado riesgo ambiental, como por ejemplo, "derrame de productos químicos peligrosos" en una empresa manufacturera.

El proceso que se seguiría aplicando la Técnica del grupo Nominal (TGN) podría ser el siguiente:

Preparación. Establecer un objetivo de la sesión como puede ser, identificar y priorizar estrategias para prevenir o mitigar los derrames de productos químicos peligrosos en el sitio de producción.

Selección de Participantes. Se invita a un grupo multidisciplinario de expertos en gestión ambiental y seguridad ocupacional, que incluye a gerentes de medio ambiente, ingenieros de seguridad, técnicos de producción y representantes del personal de operaciones. Dada la posibilidad de derrames de productos químicos con potenciales impactos adversos en el medio ambiente y la seguridad de los trabajadores, es imperativo convocar a profesionales de ambas disciplinas. Esto permitirá una evaluación integral de los riesgos desde diferentes perspectivas, facilitando así la adopción de medidas consensuadas y efectivas para prevenir incidentes, considerando todas las voces y puntos de vista presentes.

Generación de ideas. Cada participante genera individualmente una lista de posibles causas de derrames de productos químicos peligrosos, como fallos en el equipo, errores humanos, almacenamiento inadecuado, etc. 

Ronda de aportaciones. Los participantes comparten una idea a la vez, sin discutir ni evaluar en esta etapa. Las ideas se registran en un pizarrón o en una hoja grande visible para todos. 

Discusión y clarificación. Se da la oportunidad a los participantes para aclarar cualquier punto o proporcionar más detalles sobre las posibles causas de los derrames de productos químicos. En esta fase, cada miembro puede explicar su opinión y su punto de vista en relación a la idea que ha aportado tras la realización de su propio análisis.

Agrupación de ideas. Los riesgos similares o relacionados se agrupan juntos para facilitar la evaluación posterior. Por ejemplo, podríamos agrupar los riesgos relacionados con el almacenamiento inadecuado bajo una categoría.

Evaluación y priorización. Se deben definir los criterios que se utilizarán para evaluar y priorizar las posibles causas de los derrames, como la probabilidad de ocurrencia, el impacto potencial en el medio ambiente y la capacidad de detección.

Votación. Los participantes votan por las causas que consideran más significativas según los criterios establecidos. Pueden asignar una cierta cantidad de votos a cada causa.

Tabulación de resultados. Se recopilan y suman los resultados de la votación para cada causa, lo que proporciona una lista priorizada de las posibles causas de derrames de productos químicos peligrosos.

Análisis de causas prioritarias. Una vez que se obtiene el listado de las principales causas que pueden originar el riesgo a estudiar, es necesario enfocarse en aquellas con las puntuaciones más altas y se discute entre todos los participantes de  las posibles estrategias para prevenir o mitigar los derrames asociados.

Desarrollo de planes de mitigación. Tras el intercambio de opiniones anterior, se consensua y definen acciones específicas, responsabilidades y plazos para la implementación de las estrategias identificadas, como la capacitación del personal, la mejora de los procedimientos de manipulación de químicos y la instalación de sistemas de contención.

Seguimiento y revisión. Se establece un plan para monitorear y revisar regularmente la efectividad de las estrategias implementadas y realizar ajustes según sea necesario.

Reuniones de seguimiento. Se programan reuniones periódicas para revisar el progreso en la implementación de las acciones y actualizar la evaluación de riesgos en caso de que surjan nuevos riesgos o cambios en el entorno operativo.

Ejemplo aplicado a un Sistema de Gestión de Seguridad y Salud en base a la norma ISO 45001

En este ejemplo se va a suponer que estamos abordando el riesgo de "caídas desde altura" en un entorno de construcción, el proceso que se seguiría aplicando la Técnica del grupo Nominal (TGN) podría ser el siguiente:

Objetivo de la sesión. Identificar y priorizar estrategias para prevenir o mitigar las caídas desde altura en el lugar de trabajo.

Participantes. Se convoca a un grupo de expertos en seguridad y salud ocupacional, incluyendo gerentes de seguridad, supervisores de obra, trabajadores de seguridad y representantes del personal de operaciones.

Generación de ideas. Cada participante genera individualmente una lista de posibles causas de caídas desde altura, como falta de protección en el borde, superficies resbaladizas, equipo defectuoso, falta de capacitación, etc.

Ronda de aportaciones. Los participantes comparten una idea a la vez, sin discutir ni evaluar en esta etapa. Las ideas se registran en un pizarrón o en una hoja grande visible para todos.

Discusión y clarificación. Se da la oportunidad a los participantes para aclarar cualquier punto o proporcionar más detalles sobre las posibles causas de las caídas desde altura.

Agrupación de ideas. Los riesgos similares o relacionados se agrupan juntos para facilitar la evaluación posterior. Por ejemplo, podríamos agrupar los riesgos relacionados con la falta de protección contra caídas bajo una categoría.

Evaluación y priorización. se definen los criterios que se utilizarán para evaluar y priorizar las posibles causas de caídas, como la probabilidad de ocurrencia, el impacto potencial en la salud y seguridad de los trabajadores, y la capacidad de detección.

Votación. Los participantes votan por las causas que consideran más significativas según los criterios establecidos. Pueden asignar una cierta cantidad de votos a cada causa.

Tabulación de resultados. Se recopilan y suman los resultados de la votación para cada causa, lo que proporciona una lista priorizada de las posibles causas de caídas desde altura.

Análisis de causas prioritarias. Es necesario centrarse en las causas con las puntuaciones más altas y discutir posibles estrategias para prevenir o mitigar las caídas asociadas entre todos los miembros que forman la sesión.

Desarrollo de planes de acción. Se definen acciones específicas, responsabilidades y plazos para la implementación de las estrategias identificadas, como la instalación de barandas de protección, el uso de equipos de protección personal, la capacitación del personal, etc.

Plan de seguimiento. Se establece un plan para monitorear y revisar regularmente la efectividad de las estrategias implementadas y realizar ajustes según sea necesario.

Reuniones de seguimiento. Se programan reuniones periódicas para revisar el progreso en la implementación de las acciones y actualizar la evaluación de riesgos en caso de que surjan nuevos riesgos o cambios en el entorno operativo.

Todo este proceso debe quedar registrado y documentado en el Sistema Documental del Sistema de Gestión, no sólo los resultados obtenidos, sino también la descripción de la metodología a seguir (procedimiento o ficha de proceso). 

[Continue reading...]

Toma de decisiones en la Gestión de Riesgos en los Sistemas de Gestión

La toma de decisiones se produce en varios momentos a lo largo del proceso de gestión de riesgos, desde la identificación inicial de riesgos hasta la implementación de medidas de control y el monitoreo continuo del desempeño del sistema de gestión de riesgos. Es importante tomar decisiones informadas y documentadas, basadas en datos en cada etapa para garantizar una gestión efectiva de los riesgos organizacionales.

En el siguiente artículo os mencionaré el listado de los puntos en el proceso de la Gestión de Riesgos donde se suelen tomar las decisiones por parte de la Dirección, además de los factores a tener en cuenta para decidir las prioridades en la toma de decisiones.

Listado de toma de decisiones

Listado de toma de decisiones que se deben realizar durante todo el proceso de la gestión de riesgos:

- Decidir cómo se va a diseñar, elaborar e implementar el Sistema.

- Decidir y asignar al responsable y/o equipo que se va a encargar tanto de la implementación, coordinación y seguimiento de la Gestión de Riesgos.

- Aprobar la metodología a seguir, así como los métodos de evaluación y análisis de riesgos más apropiados para aplicar a la empresa. Aunque se asigne a una persona o equipo competente, la Dirección de la empresa deberá tener la última palabra y responsabilidad de aprobar cómo se va a realizar.

- Aprobar los criterios de evaluación así como los baremos de significancia para cada uno de los tipos de riesgos que se identifican en la empresa.

- Seleccionar las acciones correctoras más eficientes que estén alineadas con los objetivos en la Gestión de Riesgos, el contexto y el alcance del sistema.

- Asignar y aprobar los recursos necesarios en cada una de las etapas del proceso de la gestión de riesgos, incluyendo aquellos recursos destinados para mitigar los riesgos identificados como significativos, teniendo en cuenta la estrategia y objetivos definidos por la Dirección de la empresa.

Con la finalidad de garantizar una toma de decisiones eficaz y acertada por parte de la Dirección de la empresa, es importante establecer un canal de comunicación continuo y de confianza, en el que el Responsable del Sistema de Gestión pueda consultar y explicar los datos y resultados obtenidos procedentes de la evaluación de desempeño. De este modo la Dirección de la empresa puede disponer de toda la información necesaria, además de la opinión de los expertos en el sistema de Gestión, para tomar las decisiones acertadas lo más pronto posible.

Factores a tener en cuenta para decidir las prioridades en la toma de decisiones

La Dirección de la empresa debe ponderar las ventajas y desventajas potenciales de cada una de las opciones en las que deberá decidir considerando en todo momento las incertidumbres que comporta cada una de las opciones seleccionadas de acorde al contexto, los objetivos y alcance del sistema de Gestión de Riesgo. Para ello, deberá considerar los siguientes factores:

- En algunas ocasiones, como se ha comentado anteriormente, la toma de decisiones comporta seleccionar una entre varias opciones, donde cada una de ellas tiene asociado un grado de incertidumbre que deberá ser valorado.

- Las consecuencias esperadas.

- La efectividad de los controles.

- Las características cualitativas de los eventos o sus posibles consecuencias.

- Las opiniones y percepciones de las partes interesadas.

- Los recursos y el plazo de tiempo a invertir invertido en comparación con la mejora que se va a obtener.

- Las incertidumbres asociadas con los resultados potenciales de las opciones y estimaciones de costes y beneficios.

- Eventos y desarrollos que pueden afectar los resultados.

- La incertidumbre en torno a los juicios realizados a partir de los resultados del análisis de riesgos, incluidas consideraciones como si los objetivos y criterios continuarán sin cambios en el futuro.

- Las ganas o necesidad que tenga la organización de asumir un determinado riesgo.

- Preservar los resultados de la evaluación para uso y referencia futuros.

- Realizar el seguimiento continuo de la opción seleccionada, y realizar los cambios pertinentes en caso de detectar desviaciones respecto a la previsión.

- Permitir la verificación de la evaluación.

- Proporcionar un rastro de auditoría.

Proporcionar un Registro documentado sobre la toma de decisiones

Como todo proceso en un sistema de gestión, la toma de decisiones debe documentarse. A continuación se muestra un listado de los aspectos que se deben tener en cuenta a la hora de elaborar los documentos relacionados con la toma de decisiones. Por lo que se puede decir que los documentos deben:

- Ser identificados, trazables, entendibles y estructurados.

- Estar incluidos en el sistema documental del Sistema de Gestión de Riesgos.

- Estar completos.

- Proporcionar la profundidad técnica y detalle suficiente.

- Incorporar toda la información necesaria (estudios, documentos, información, permisos…) asociado a la viabilidad de cada una de las opciones, así como la evaluación del riesgo para cada una de las opciones a decidir.

- Poder ser utilizada de base para permitir revisar y validar las diferentes opciones y resultados.

- Ser elaborados por personas competentes y expertas en el Sistema de Gestión de Riesgos de la empresa.

En la siguiente tabla podéis encontrar un breve resumen de todos los puntos mencionados en este artículo:

[Continue reading...]

La Incertidumbre y la Sensibilidad de los resultados en el análisis de riesgos de los Sistemas de Gestión

En el siguiente artículo os quiero explicar en qué consisten dos de los más importantes factores que pueden afectar a la fiabilidad de los resultados en el proceso de análisis de riesgos. Estos factores son la incertidumbre y la sensibilidad de los resultados. Con la finalidad que sean dos conceptos entendibles os muestro algunos ejemplos aplicados al Sistema de Gestión de Calidad (ISO 9001).

A continuación se explican en qué consisten ambos términos:

Incertidumbre de los resultados

Se considera incertidumbre como a la falta de conocimiento completo o certeza sobre los eventos futuros y sus resultados. En el contexto de los sistemas de gestión, la incertidumbre puede manifestarse de varias maneras:

• El uso de datos incompletos y poco precisos como elementos de entrada en el análisis de riesgos. El análisis se ve comprometido cuando se emplean datos incompletos o poco precisos. Esta falta de precisión puede afectar negativamente la evaluación de la probabilidad de ocurrencia y los impactos de los riesgos identificados, lo que resulta en una estimación imprecisa de su significancia y nivel de gravedad. Como consecuencia, la toma de decisiones relacionadas con las acciones para mitigar estos riesgos puede verse afectada por errores.

• Dificultad de predecir posibles cambios que puedan surgir debido a la complejidad del entorno. Los sistemas de gestión operan en entornos complejos y dinámicos donde interactúan múltiples variables entre sí, lo que dificulta predecir completamente los resultados de las acciones de gestión de riesgos. En estos casos, es importante recopilar las opiniones sobre posibles situaciones que se puedan dar por parte de los trabajadores con más experiencia y con más antigüedad en la empresa. Seguramente estos perfiles pueden aportar conocimientos históricos sobre posibles situaciones que se han podido dar en la empresa y cómo se solucionaron en aquel entonces. Si se obtiene este conocimiento como punto de partida para poder identificar y analizar ciertos riesgos, es posible que las acciones de mitigación que se vayan a proponer sean adecuadas y efectivas.

• El entorno externo de la empresa es cambiante y debe adaptarse a posibles cambios imprevistos que puedan surgir. Algunos ejemplos de ello son cambios en la legislación, condiciones económicas o tecnológicas. Cualquiera de estos tres aspectos, entre otros, va a requerir un análisis en profundidad, identificando los riesgos que se puedan dar y las acciones estratégicas que la empresa debe aplicar para minimizar los riesgos significativos que puedan darse. En estos casos, el análisis y la aplicación de medidas debe realizarse en cuanto se detecte que se produce este cambio imprevisto, actualizando de inmediato la evaluación de riesgos de la empresa.

Ejemplos de incertidumbre de los resultados aplicados a los Sistemas de Gestión

Ejemplo 1: Industria de la Construcción. Una empresa de construcción evalúa los riesgos asociados con un proyecto de construcción de un nuevo edificio. Entre los factores de incertidumbre se encuentran los cambios en el precio de los materiales de construcción, la disponibilidad de mano de obra cualificada y las condiciones climáticas imprevistas que podrían retrasar el proyecto.

Ejemplo 2: Sector Financiero. Un banco está evaluando los riesgos asociados con sus inversiones en el mercado de valores. La incertidumbre surge de la volatilidad del mercado, los cambios en las tasas de interés y las fluctuaciones en los precios de los activos financieros.

Ejemplo 3: Sector de Tecnología. Una empresa de tecnología evalúa los riesgos asociados con el desarrollo de un nuevo producto. La incertidumbre proviene de la competencia en el mercado, los cambios en las preferencias del consumidor y la posibilidad de retrasos en el desarrollo del producto.

Sensibilidad de los resultados

La sensibilidad de los resultados en el análisis de riesgos de los sistemas de gestión se refiere a la capacidad de los resultados del análisis de riesgos para cambiar en respuesta a variaciones en los parámetros de entrada o supuestos utilizados en el modelo. Básicamente, la sensibilidad examina cómo los cambios en ciertos factores afectan a los resultados del análisis de riesgos.

Por ejemplo, si se evalúan los riesgos asociados con la construcción de un nuevo edificio, es posible que durante el análisis se determine que el coste total del proyecto es altamente sensible a los cambios en el precio del acero. Pequeñas fluctuaciones en el precio del acero pueden tener un impacto significativo en el coste total del proyecto y, por lo tanto, en la evaluación de los riesgos económicos asociados.

Considerando lo anterior, la sensibilidad de los resultados puede:

• Identificar los factores críticos o más influyentes en los resultados del análisis. Esto puede ser útil para priorizar y asignar los recursos necesarios en las acciones de mitigación asociadas a los riesgos más significativos.

• Ayudar a identificar áreas donde se necesitan datos más precisos o donde el análisis debe realizarse con más precisión para reducir la incertidumbre en el proceso de evaluación de riesgos.

Ejemplos de sensibilidad de los resultados aplicados a los Sistemas de Gestión

Ejemplo 1: Industria de la Construcción. Durante el análisis de riesgos, la empresa descubre que el costo del proyecto es altamente sensible al precio del acero, que es uno de los principales materiales de construcción utilizados en el proyecto. Pequeños cambios en el precio del acero pueden tener un impacto significativo en el costo total del proyecto y en los márgenes de beneficio de la empresa.

Ejemplo 2: Sector Financiero. Durante el análisis de riesgos, el banco identifica que su cartera de inversiones es altamente sensible a los movimientos en las tasas de interés. Un aumento en las tasas de interés podría disminuir el valor de la cartera, mientras que una disminución podría aumentarlo. Esta sensibilidad influye en las decisiones de gestión de riesgos y en la diversificación de la cartera del banco.

Ejemplo 3: Sector de Tecnología. Durante el análisis de riesgos, la empresa descubre que el éxito del producto es altamente sensible a la calidad y la innovación. Pequeñas mejoras en la calidad y la innovación del producto pueden aumentar significativamente su aceptación en el mercado, mientras que cualquier falta de calidad podría llevar al fracaso del producto.

Estrategias para abordar la incertidumbre y sensibilidad:

Se pueden considerar que las tres principales estrategias que se pueden aplicar para tomar las medidas concretas y deliberadas para minimizar la incertidumbre y sensibilidad de los resultados son las siguientes:

• Diversificación. La diversificación es una estrategia que implica distribuir los recursos en una variedad de opciones o categorías con el fin de reducir la exposición a cualquier riesgo específico. Por ejemplo, en un sistema de gestión financiera, una empresa puede diversificar su cartera de inversiones invirtiendo en una variedad de clases de activos, como acciones, bonos, bienes raíces y materias primas. Al hacerlo, la empresa reduce la dependencia de cualquier activo o mercado en particular, lo que ayuda a mitigar el impacto negativo de eventos imprevistos o cambios en condiciones económicas específicas. Además, en el contexto operativo de una empresa, la diversificación puede aplicarse diversificando las líneas de productos, mercados geográficos, proveedores o canales de distribución. Esto ayuda a reducir la vulnerabilidad de la empresa ante factores externos que podrían afectar negativamente su desempeño.

• Seguimiento y adaptación. Las empresas pueden realizar el seguimiento de los factores de sensibilidad identificados durante el análisis de riesgos y ajustar sus estrategias según sea necesario para adaptarse a los cambios en el entorno.

• Planificación de las acciones de tratamiento del riesgo. Las organizaciones pueden desarrollar planes de contingencia para abordar los posibles escenarios de riesgo identificados durante el análisis, lo que les permite responder de manera rápida y efectiva a eventos inesperados.

En la siguiente tabla se puede visualizar un pequeño resumen de lo explicado en este artículo:

[Continue reading...]