Enfoque basado en riesgos ISO 9001
Para realizar el análisis basado en riesgos se deben cumplir los requisitos que establece la norma ISO 9001. El enfoque basado en riesgos ISO 9001 tiene ciertos criterios a seguir.
El enfoque basado en riesgos ISO 9001 es uno de los nuevos conceptos que se introducen en la nueva norma ISO 9001:2015. Es necesario que lo conozcáis y sepáis tener en cuenta que hacer para cumplir con este requisito de la norma, además debéis saber cómo documentarlo en vuestro Sistema de Gestión de la Calidad. Lo que se expone es una metodología, entre otras, todas válidas, pero la más intuitiva y sencilla para hacer su seguimiento.
Durante este artículo se mostrarán los puntos más complicados a la hora de explicar la metodología de cómo hacer el análisis de los riesgos. Según establece la norma ISO 31000, siendo una guía de referencia utilizada para desarrollar este concepto que queda descrito en el apartado 5.4.3
Para calificar la probabilidad y la consecuencia del riesgo identificado existen diferentes modelos y herramientas que se pueden utilizar para realizar bien este paso. Se debe escoger el modelo que mejor se adapte a las necesidades que tenga la organización.
Establecer el nivel de riesgo
Para poder establecer un nivel de riesgo, primero debemos hacer una clasificación en función de la frecuencia en la que sucedan los riesgos y el impacto que puede generar sobre la organización dicho riesgo. La siguiente clasificación se ha identificado como A, B, C y D en función de la gravedad.
A (Riesgos intolerables): dichos riesgos requiere que se tome una acción inmediata, el coste no debe ser una limitación y el no hacer nada no es una opción que pueda ser aceptada. El riesgo de tipo A representa una situación de emergencia y deben establecerse ciertos controles temporales inmediatos. La mitigación tiene que hacerse por medio de los controles de ingeniería y por factores humanos hasta que se reduzcan a un tipo C o de preferencia a un tipo D dentro de un periodo inferior a 90 días.
B (Riesgo indeseable): estos riesgos tiene que ser reducido y existe cierto nivel de margen para investigarlo y analizarlos con más detalle. No obstante, la acción correctiva se debe dar en los primeros 90 días. Si la situación se demora más tiempo, tienen que llevarse a cabo controles temporales inmediatos que reduzcan el nivel de riesgo considerablemente.
[Tweet “El enfoque basado en riesgos #ISO9001 se basa en clasificar el riesgo”]
C (Riesgos aceptables con controles): el riesgo es significativo, pero se pueden utilizar acciones correctivas que pueden ser, parar de forma programada algunas instalaciones de la organización. Los medios facilitados para atender a los hallazgos se deben dar en los próximos 18 meses. La mitigación tiene que estar enfocada a la disciplina operativa y en la conformidad de los sistemas de protección.
D (Riesgo razonablemente aceptable): el riesgo requiere de acciones, pero de bajo impacto y puede programarse la atención y reducción de forma conjunta con otras mejoras operativas.
Matriz de riesgo
El enfoque basado en riesgos ISO 9001 se basa en clasificar el riesgo anteriormente mencionado siendo el resultado de la valoración de cada uno de los riesgos identificados en la organización. Es necesario, como podemos observar, en la siguiente matriz de valoración individualizada en función de la posibilidad y el impacto de cada riesgo asumido por la organización.
La probabilidad de que sucede un riesgo se evalúa en la siguiente tabla:
De igual forma podemos establecer todos los criterios para valorar el grado de impacto con la siguiente tabla:
Evaluar las perspectivas
Para cada indicador del proceso y los objetivos de calidad debemos evaluar las diferentes perspectivas que pueden influir en la valoración general del enfoque basado en riesgos ISO 9001.
Las diferentes perspectivas son:
- Financiera: evaluar la pérdida o ganancia económica.
- Clientes: debido a un riesgo que afecta al cliente.
- Mapa de procesos: influye el riesgo en los procesos de la organización.
- Formación y RRHH: afectan a la capacitación del personal de la organización.
- Socios: afecta al reparto de ganancias entre los diferentes socios.
- Partes interesadas: afecta a las partes interesadas del Sistema de Gestión de la Calidad.
Lo primero que debemos hacer es identificar cada riesgo en la organización y después, de forma individualizada, evaluar la posibilidad de que suceda dicho riesgo y el impacto de cada perspectiva. El valor medio obtenido de los resultados de la evaluación de todas las perspectivas será el valor final del enfoque basado en riesgos ISO 9001 para un determinado indicador del proceso.
El enfoque basado en riesgos ISO 9001 significará un fortalecimiento del Sistema de Gestión de la Calidad de todas las organizaciones, por lo que si estás interesado en conocer más te presentamos el curso online Taller ISO 9001:2015 Enfoque basado en riesgos.