PENSAMIENTO BASADO EN RIESGO ISO 9001:2015

Transcripción

1 PENSAMIENTO BASADO EN RIESGO ISO 9001:2015 Abril 2016

2 PENSAMIENTO BASADO EN RIESGO IS0 9001:2015 Introducción Como ya se ha citado en boletines anteriores, uno de los cambios más relevantes en las ediciones 2015 de ISO 9001 & ISO es el establecimiento de un enfoque sistemático para considerar el RIESGO, en lugar de tratarlo como un componente individual y separado del Sistema de Gestión. El concepto como tal NO es nuevo en la estructura y filosofía que venían trabajando las ediciones anteriores de las normas y en gran medida este se enfatizaba en las Acciones Preventivas. RIESGO En la terminología de la gestión de riesgos, la palabra "riesgo" se utiliza para referirse a la posibilidad de que algo ocurra y se caracteriza a menudo por referencia a los eventos potenciales y consecuencias, o una combinación de estos. De acuerdo a ISO Gestión de Riesgos, el Análisis de Riesgos permite: a) Crear y proteger el valor (recursos humanos, estructurales, monetarios, acervos, etc. de una organización); b) Es una parte integral de todos los procesos de organización/ y fundamentalmente del proceso de Planeación Estratégica; c) Es parte de la toma de decisiones (Asertividad); d) Aborda explícitamente la incertidumbre (Bases sólidas); e) Es sistemática, estructurada y oportuna (Enfoque a procesos); f) Se basa en la mejor información disponible (Basada en hechos); g) Considera los contextos internos y externos; h) Es transparente e inclusiva (Partes interesadas y contextos); i) Es dinámica, interactiva y da respuesta al cambio; j) Facilita la mejora continua de la organización PENSAMIENTO BASADO EN EL RIESGO Al tener en cuenta el riesgo en todo el sistema y todos los procesos se mejora la probabilidad de alcanzar los objetivos planificados, la producción es más consistente y los clientes pueden estar seguros de que van a recibir el producto o servicio que se espera. Entre los beneficios que se obtienen de un Enfoque Basado en Riesgos, se tienen otros los siguientes: mejora la gobernabilidad establece una cultura proactiva de mejora ayuda con el cumplimiento legal y regulatorio asegura la consistencia de la calidad de los productos y servicios mejora la confianza y la satisfacción del cliente 2 de 6

3 RIESGOS & OPORTUNIDADES Las normativas ISO 9001 / ISO en sus ediciones 2015, hacen referencia al término de Riesgo y Oportunidades, prácticamente en todo el texto de las mismas. Estas las encontramos referidas en las siguientes cláusulas normativas: Introducción - se explica el concepto de Pensamiento basado en el Riesgo; Se requiere que la organización determine sus procesos y hacer frente a sus Riesgos y Oportunidades - Cláusula 4 Cláusula 5 La Alta Dirección tiene la obligación de: Promover el conocimiento de Pensamiento basado en el Riesgo; Determinar los Riesgos y Oportunidades que pueden afectar la conformidad del producto / servicio y o del medio ambiente; Se requiere que la organización identifique los Riesgos y Oportunidades relacionados con el DESEMPEÑO del Sistema y tomar las medidas apropiadas para hacer frente a ellos Cláusula 6; Para determinar y proporcionar los recursos necesarios - Cláusula 7; Cláusula 8 La organización requiere gestionar sus procesos operativos; Para supervisar, medir, analizar y evaluar la eficacia de las medidas adoptadas para hacer frente a los Riesgos y Oportunidades - Cláusula 9; Cláusula 10 - Para corregir, prevenir o reducir los efectos no deseados y mejorar los Riesgos y Oportunidades del Sistema y de su actualización. El RIESGO se entiende comúnmente como una consecuencia negativas, sin embargo, los efectos del Riesgo puede ser negativos o positivos. En la norma ISO 9001: 2015 Riesgos y Oportunidades se citan frecuentemente de forma conjunta. Una Oportunidad que no es el lado positivo del Riesgo, sino un conjunto de circunstancias que hace que sea posible hacer algo. CÓMO ABORDO LOS RIESGOS Y OPORTUNIDADES EN MI ORGANIZACIÓN No todos los procesos de un Sistema de Gestión de representan el mismo nivel de riesgo en cuanto a la capacidad de la organización para cumplir sus objetivos. Algunos necesitan una mayor planificación y controles que otros. 3 de 6

4 De acuerdo a ISO estos son los pasos sugeridos para la Gestión de Riesgos, no obstante, es importante remarcar que ISO 9001/ ISO no requieren de una gestión formal del riesgo. Identificando cuáles son los riesgos, en función al Contexto de la Organización El objetivo de este paso es generar una lista completa de los riesgos basados en los acontecimientos que puedan crear, mejorar, prevenir, degradar, acelerar o retrasar la consecución de los objetivos. Analizar y Priorizar los Riesgos El análisis de riesgos implica la consideración de las causas y las fuentes de riesgo, consecuencias positivas y negativas y la probabilidad de que esas consecuencias pueden ocurrir. Las decisiones deben tener en consideración el Contexto más amplio del riesgo; tomando en cuenta las necesidades de las PARTES INTERESADAS, así como la conformidad con los requisitos legales, reglamentarios y otros. Identificación y Análisis: Qué es aceptable/ qué no es aceptable? Alcanzar mi meta más rápidamente debe ser equilibrada contra la probabilidad de una sanción. A este elemento se asocia el apetito de riesgo que pudiera tener una organización. Para la identificación y selección de la herramienta más apropiada para el Análisis de Riesgo, es factible emplear la norma ISO 31010:2010 Técnicas de Gestión de Riesgo, en donde se describen diferentes técnicas y que de acuerdo a la criticidad de su organización y procesos usted pudiera seleccionar. Técnicas de Análisis: Sobre las Consecuencias Estimación de la Probabilidad Cualitativa, Simi Cualitativa o Cuantitativa Evaluación de la eficacia de los controles existentes Estimación del nivel de Riesgo. Algunos de los factores relevantes que influyen en la selección de las Técnicas de Apreciación del Riesgo y que su organización debería considerar, incluyen los siguientes: Complejidad del problema y métodos necesarios para su análisis; Naturaleza, grado de incertidumbre de la apreciación del riesgo, basados en la cantidad de información disponible 4 de 6

5 Amplitud de los recursos necesarios en función al tiempo y nivel de conocimientos técnicos, de las necesidades de datos o de los costos; Sí el método puede proporcionar resultados cuantitativos. La Apreciación del Riesgo trata de dar respuesta a las siguientes preguntas: Qué puede suceder y por qué? Cuáles son las Consecuencias? Cuál es la probabilidad de ocurrencia? Existen factores que mitiguen las consecuencias del riesgo o que reduzcan la probabilidad del riesgo? Qué información empleó para la determinación del riesgo y la oportunidad? Estas entradas deberían incluir lo siguiente: análisis de las cuestiones externas e internas; la dirección estratégica de la organización; las partes interesadas, en relación con su sistema y sus requisitos contractuales el alcance del sistema de la organización; Los mecanismos necesarios de documentación para mantener evidencia y resguardar el conocimiento, aunque nuevamente enfatizamos que NO existe ningún requisito específico en la norma ISO 9001: 2015 sobre cómo documentar los resultados de las determinaciones de los riesgos y oportunidades. Planificación de las acciones para abordar los riesgos. Como resultado del Análisis de Riesgo, su organización debería entonces considerar la implementación de un plan de acción, para atender los Riesgo y Oportunidades, para posteriormente comprobar la eficacia de las acciones. Aprender de las Lecciones y Mejorar Naturalmente, esta es la última acción a considerar, ganando conocimiento de las prácticas y experiencias para poder entrar en una espiral de mejora. Al efectuar este ejercicio, sugerimos considerar los siguientes aspectos, que sin duda le permitirán contar con una visión más específica de lo que su organización debería considerar para estos propósitos: Cómo la organización ha determinado sus Riesgos y Oportunidades? La evidencia objetiva de la realización de este ejercicio puede reflejarse y registrarse en diversas formas, por ejemplo: Actas de reuniones Análisis FODA (SWOT) Informes sobre los comentarios de los clientes. Actividades de intercambio de ideas Análisis de la competencia. Planificación, análisis y evaluación de las actividades relacionadas con varios procesos, por ejemplo: o Planificación estratégica, diseño y desarrollo, marketing, producción y la prestación de servicios, acciones correctivas, etc. 5 de 6

6 Revisión de gestión Determinación o evaluación de riesgos registros. Cómo puede una organización hacer frente a los Riesgos y Oportunidades determinados? A través de la revisión de Objetivos y planes de acción definidos para estos fines; realizando verificaciones durante las jornadas de trabajo y la conformidad de instrucciones de trabajo establecidas para atender los Riesgos y Oportunidades y evaluando la eficacia de las acciones antes mencionadas. Este boletín contiene extractos del documento preparado por el Comité Técnico de ISO y del Grupo de Prácticas de Auditoria alejandro.rios@cotecna.com 6 de 6