lunes, 19 de octubre de 2015

GESTIÓN DEL RIESGO SEGÚN ISO 9001:2015


En una anterior publicación, os comenté el nuevo concepto que incorpora la nueva actualización de la norma ISO 9001.

Para poder realizar una buena gestión de riesgos nos tenemos que basar en la norma ISO 31000 donde expone la metodología a seguir para realizar una buena evaluación de riesgos de la organización.

Definición del riesgo según la norma ISO 31000

El riesgo se puede definir como: efectos en la incertidumbre sobre los objetivos
  • Un efecto es una desviación de aquello que se espera sea positivo o negativo
  • Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud, seguridad y metas ambientales) y se pueden aplicar en diferentes niveles estratégicos en toda la organización, en proyectos, productos y procesos).
  • A menudo el riesgo caracterizado por la referencia a los eventos potenciales y a las consecuencias o a una combinación de ellos
  • También en las consecuencias y en la posibilidad que suceda.

El riesgo es la probabilidad de la ocurrencia de eventos por impacto de esos eventos en las organizaciones.

PxI = R (probabilidad x Impacto = riesgo)

El riesgo puede ser una cantidad numérica o cualitativa

Proceso de la gestión del riesgo

Comunicación y consulta (punto 5.2)

Establecimiento del contexto (punto 5.3):

Se deben identificar las áreas críticas, los procesos y el personal adecuado. Integración de la gestión de riesgo en los sistemas de gestión ya existentes. Se debe describir las partes de la organización (proceso – objetivo – requisito). Para ello se debe:
  • Construir la política de calidad basada en la gestión de riesgos
  • Diseñar los procesos: listas de riesgos por proceso
  • Diseñar los objetivos e indicadores con los resultados de la gestión de riesgos
Valoración del riesgo (punto 5.4)

Identificación del riesgo (punto 5.4.2):

Identificar todos los posibles eventos o situaciones que pueden evitar el cumplimiento de los objetivos del proceso de las actividades o de las personas.
Inicialmente este punto es el más laborioso ya que se debe incluir la totalidad de posibles riesgos de la organización, abarcando cada uno de los procesos de la empresa.

Cada área de la empresa deberá participar en la identificación.

Análisis del riesgo (punto 5.4.3):

Calificar la probabilidad y la consecuencia del riesgo identificado. Existen numerosos modelos y herramientas para poder realizar bien este paso. Debemos escoger aquel modelo que se adapte mejor a las necesidades de la empresa. En la norma ISO 31000 encontrareis un listado de algunos modelos que os pueden interesar. En una publicación posterior os indicaré qué modelo acostumbro aplicar por su sencillez y os mostraré la metodología a seguir.

Si Calificamos la probabilidad y el impacto del riesgo identificado con la fórmula PxI = R donde:
  • Probabilidad: 1-bajo, 5-medio, 10-alto
  • Impacto: 1-bajo, 5-medio, 10-alto
Evaluación del riesgo (punto 5.4.4):

Concluir cuál es el significado del resultado de la multiplicación de Probabilidad e Impacto; y se deberán tomar las decisiones correspondientes dependiendo de los resultados.

Se deberá mostrar una tabla de decisiones; como por ejemplo:
  • Riesgo 1-10 se corresponde con riesgo bajo (se deberán mantener los controles)
  • Riesgo 25-50 se corresponde con riesgo medio   (implementar controles a medio plazo)
  • Riesgo >50 se corresponde con riesgo alto (implementar controles a corto plazo)

Tratamiento del riesgo (punto 5.5):

Una vez realizada la evaluación se deben establecer los resultados y seleccionarlos). Decidir si se deben eliminar, sustituir y transferir, disminuir la probabilidad, disminuir las consecuencias y aceptar y asumir.


Monitoreo y revisión (punto 5.6)

Esta publicación os puede ser de mucha ayuda a la hora de redactar vuestro procedimiento específico de gestión de riesgos que tanto como los que estáis adaptando la nueva actualización de la norma como los que estáis implantando por primera vez la norma ISO 9001 deberéis realizarlo.

Ver también las publicaciones:
NUEVO REQUISITO DE LA NUEVA NORMA ISO 9001:2015 - LA GESTIÓN DEL RIESGO (INTRODUCCIÓN)
ANÁLISIS DEL RIESGO
EVALUACIÓN DEL RIESGO DE LOS PROCESOS
MONITOREO Y REVISIÓN DEL RIESGO SEGÚN ISO 9001

 Para facilitaros más si cabe, os he preparado este par de artículos donde podéis encontrar cómo podéis dar forma al procedimiento, e ideas que podéis aplicar a vuestro caso concreto:
LISTADO DE RIESGOS DE LOS PROCESOS 

 DOCUMENTOS PARA LA GESTIÓN DE RIESGOS

14 comentarios:

  1. CARLOS SIERRA3 de febrero de 2016, 22:19

    Adriana

    Hola


    La norma exige que se cree un procedimiento de gestion del riesgo

    ResponderEliminar
    Respuestas
    1. Adriana Gómez Villoldo4 de febrero de 2016, 7:22

      Buenos días, la norma establece que se debe crear una metodología y sistemática para la gestión de riesgos de los procesos. Por lo tanto, la respuesta es sí. Realmente es el único procedimiento que se tendrá que crear de nuevo si se está adaptando a la nueva actualización de la norma. Un saludo.

      Eliminar
    2. CARLOS SIERRA6 de febrero de 2016, 17:30

      Adriana

      Muchas gracias por la información suministrada, nos podrías indicar como quedaría constituido ese procedimiento, isa como nos explicaste el de los proveedores

      Gracias quedare atento

      Eliminar
    3. Adriana Gómez Villoldo8 de febrero de 2016, 8:25

      Buenos días catedra unadista, para elaborar el procedimeinto de gestión de riesgos puedes fusionar los tres siguientes artículos:
      http://asesordecalidad.blogspot.com/2015/11/analisis-del-riesgo.html#.VrhCjvkX3IV
      http://asesordecalidad.blogspot.com/2015/11/evaluacion-del-riesgo.html#.VrhCn_kX3IV
      http://asesordecalidad.blogspot.com/2015/11/monitoreo-y-revision-del-riesgo-segun.html#.VrhCsfkX3IV
      Deberás mantener la misma estructura que dispongas en tus procedimientos como puede ser: objetivo, alcance, responsabilidades, desarrollo e información documentada generada. Un saludo.

      Eliminar
    4. Anónimo25 de febrero de 2017, 16:01

      Hola Adriana, em la parte de riesgo, mencionaste que explicarias que metodo de la 31010 usarias para hacer la evaluacion, pero no lo he enontrad, me puedes guiar? como Lopa, fishbone, fmea, me puedes ayudar
      Gracias

      Eliminar
    5. Adriana Gómez Villoldo27 de febrero de 2017, 11:49

      Buenos días, el tipo de método utilizado para la evaluación de riesgos es un método semi cuantitativo, en el que se emplean escalas numéricas de clasificación para consecuencias y probabilidad, y se combinan para producir el nivel de riesgo (NPR) empleando una fórmula. Un saludo.

      Eliminar
  2. Unknown4 de febrero de 2016, 16:35

    Buen día
    Tengo una duda para hacer el análisis del riesgo cual sería el modelo mas recomendable? me surge un poco de confusión porque veo que en este apartado se utiliza una fórmula de PXC pero en el otro artículo análisis del riesgo, se usan otras tablas diferentes, entonces realmente cual se pudiera aplicar? o se aplican las dos?

    ResponderEliminar
    Respuestas
    1. Adriana Gómez Villoldo4 de febrero de 2016, 20:41

      Gracias Loren por tu pregunta. La definición más exacta de riesgo es la probabilidad por el impacto como puedes ver en los demás artículos. Sigue el modelo que he expuesto en el artículo del análisis del riesgo:
      http://asesordecalidad.blogspot.com/2015/11/analisis-del-riesgo.html#.VrOn7vlEnWJ
      Lo modificaré en este artículo para evitar confusiones, aunque también encontramos la definición del riesgo como R=PxC, es muy común también encontrarlo definido así.
      Según mi criterio tiene más sentido probabilidad e impacto.
      Un saludo.

      Eliminar
  3. maryann24 de febrero de 2016, 15:29

    Buenos Días Adriana,

    De antemano agradezco toda la información que nos compartes a través de tu blog, personalmente me ha sido de mucha utilidad.

    Respecto al numeral de la planificación y control de cambios, tengo una duda, lo que entiendo de la norma y de tu interpretación es que debo hacer un procedimiento para este numeral? Y allí debo colocar algo así como un paso a paso de lo que debería hacer cuando hay un cambio que afecte a la organización? Mi duda va hacia el contenido de ese procedimiento, es decir, si debo poner, por ejemplo:

    1. Identificar los riesgos por medio de la metodología X.
    2. Según los riesgos identificados determine las estrategias para disminuir el impacto que pueda generarse en el desarrollo de estas actividades.
    3. Etc.

    Agradezco tu colaboración para continuar con el desarrollo de este numeral.

    Cordial Saludo,

    Mary Riaño
    Colombia

    ResponderEliminar
    Respuestas
    1. Adriana Gómez Villoldo1 de marzo de 2016, 10:09

      Buenos días maryann, según mi padecer, elaboraría sin dudarlo un procedimiento específico que recogiera la metodología y sistemática de la gestión de riesgos de los diferentes procesos de la empresa.

      Eliminar
  4. Anónimo27 de mayo de 2016, 15:54

    Adriana buenos dias, primero que todo gracias por compartir tus valiosos conocimientos.

    Tengo una duda, la gestión de riesgos toma como base el contexto de la Organización y sus partes interesadas, como se realiza este punto? Porque tengo entendido que el contexto externo puede ser requisitos legales, nuevas tendencias, mercado laboral, y los factores internos recursos, personal o equipos.

    Gracias..

    ResponderEliminar
  5. Adriana Gómez Villoldo30 de mayo de 2016, 10:50

    Buenos días Ivonne, la gestión de riesgos de la empresa tiene en cuenta el contexto de la organización, pero también tiene en cuenta los riesgos derivados de los procesos. En la tabla de identificación de los riegsos, puedes añadir una columna que identifique el origen del riesgo, si es derivado del análisis del contexto, si es de los propios procesos, si es derivado de la Dirección, etc. Para orientarte de cómo analizar el contexto de la organización te recomiendo que consultes este artículo:
    http://asesordecalidad.blogspot.com/2016/02/procedimiento-contexto-organizacion.html#.V0v-oYggXIV
    Un saludo.

    ResponderEliminar
  6. Unknown8 de junio de 2017, 1:46

    Buenas tardes Adriana, muy interesante el aporte.
    Mi consulta es la siguiente: Es consabido que la gestión de riesgos tiene un propósito netamente preventivo, que sucede cuando ciertos riesgos identificados llegan a concretarse en la realidad , podríamos seguir tratándolos como riesgos? porque si ya son sucesos ocurridos ya no serían riesgos; entonces, tendríamos que aplicar un nuevo método y por ende nuevas acciones ( Muy distintas a las que habíamos establecido para evitar o mitigar su impacto) para abordar este suceso ocurrido?
    Muchas gracias

    ResponderEliminar
    Respuestas
    1. Adriana Gómez Villoldo8 de junio de 2017, 9:55

      Buenos días Christian, si ya han ocurrido las podríamos tratar como no conformidades, y aplicar las acciones correctoras necesarias para eliminar o mitigar estas incidencias. Una vez mitigadas se podrían volver a considerar en la gestión de riesgos. Todos estos aspectos deben ser comentados o en el informe de gestión del riesgo, o bien en las actas de las revisiones periódicas de calidad, y por supuesto en el acta de la revisión del sistema. Un saludo

      Eliminar