Riesgos y oportunidades en ISO 9001:2015

¡Cómo vamos entusiasta! Hoy en la sección sistema de gestión de calidad, abordamos el numeral 6.1 Acciones para abordar riesgos y oportunidades desde la perspectiva de la norma ISO 9001:2015. Voy a contarte cómo se determinan los riesgos y oportunidades de forma muy detallada (tal como lo explico en mi ebook) y también hablaremos de manera más superficial del numeral 6.1.2.

El numeral 6.1 se compone de dos clausulas: 6.1.1 y 6.1.2.

Este post contiene una copia exacta del requisito 6.1.1 explicado en el ebook ISO 9001:2015 Guía de trabajo. Puedes obtener un extracto gratuito del ebook haciendo click aquí.

Cuando trabajamos en la especificación de los procesos operativos necesarios y de los recursos relacionados para lograr los objetivos de la calidad, necesariamente tenemos que hablar de incertidumbre.

Este requisito exige tener en cuenta el contexto de la organización (requisitos 4.1 y 4.2) para la determinación de los riesgos y oportunidades, a fin de que nos aseguremos de que el sistema de gestión de calidad pueda alcanzar resultados previstos, aumentar efectos deseables, prevenir efectos no deseados y alcanzar la mejora.

Al planificar el sistema de gestión de la calidad, la organización debe considerar las cuestiones referidas en el apartado 4.1 y los requisitos referidos en el apartado 4.2, y determinar los riesgos y oportunidades que es necesario abordar con el fin de:

  • asegurar que el sistema de gestión de la calidad pueda lograr sus resultados previstos;
  • aumentar los efectos deseables;
  • prevenir o reducir efectos no deseados;
  • lograr la mejora.

La organización debe planificar:

  • las acciones para abordar estos riesgos y oportunidades;
  • la manera de:
    1. integrar e implementar las acciones en sus procesos del sistema de gestión de la calidad;
    2. evaluar la eficacia de estas acciones.

Las acciones tomadas para abordar los riesgos y oportunidades deben ser proporcionales al impacto potencial en la conformidad de los productos y los servicios.

Pero no podemos explicar cómo cumplir el requisito 6.1.1 sin antes comprender la definición de riesgo y oportunidad.

Qué es un riesgo en ISO 9001

Según la norma ISO 9000,  riesgo es el efecto de la incertidumbre. 

Donde efecto es la desviación positiva o negativa frente a lo esperado. Por ejemplo, si compramos dólares a precio bajo para venderlos a precio alto, ¿qué es lo que esperamos?

Por supuesto, esperamos que el precio del dólar suba para venderlos a un precio más alto.

Bajo este escenario se pueden generar dos tipos de desviaciones:

  • 🙂 Positiva: Que el precio del dólar suba y consigamos dinero por venderlo más caro con respecto al precio al que se adquirió.
  • 🙁 Negativa: Que el precio del dólar baje y perdamos dinero por haberlo comprado más caro con respecto a su precio actual, de manera que si lo vendemos perdemos la diferencia entre el precio pasado de compra y el precio actual.

Por otra parte, la incertidumbre es el estado incluso parcial,  deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad. 

En el caso de compra de dólares, la incertidumbre es el desconocimiento del valor que va a tomar el dólar después de la compra.

Qué es una oportunidad en ISO 9001

El concepto de oportunidad es muy similar al de riesgo, solo que se suele asociar riesgo con algo negativo cuando en realidad, como hemos visto en nuestro ejemplo,  el riesgo también puede ser positivo , pero ante la connotación que este ha adquirido, vamos a denominar al riesgo positivo como oportunidad.

Riesgo, su causa y consecuencia

Continuemos con nuestro ejemplo de compra de dólares.

Pensemos por un momento, ¿qué puede ocasionar que el valor del dólar baje?

Todo lo que pienses en realidad son las causas del riesgo. Para este caso hay muchas: un cambio en los precios del petróleo, las decisiones que toma un presidente, movimientos en la economía de un país, etc.

Cuando una de estas causas hace que se materialice el riesgo, se generan consecuencias. En nuestro ejemplo, la consecuencia más evidente es la pérdida de dinero.

¿Por qué te cuento esto?
Porque es importante diferenciar entre riesgo, su causa y la consecuencia. A veces, la línea es muy delgada y hace falta pensar mucho en la situación.

Aclarado el tema conceptual, ahora si hablemos de la norma.

Cómo determinar los riesgos y oportunidades para el sistema de gestión de calidad

Para cumplir este requisito es necesario contar con una metodología para la gestión de riesgos y oportunidades. La norma no especifica una metodología, esto quiere decir que tu organización puede elegir cualquier metodología o implantar una propia.

Lo mínimo exigido por la norma a través de este requisito y el 6.2.2 consiste en 3 pasos:

  1. Determinar riesgos y oportunidades (6.1.1)
  2. Controlar riesgos y oportunidades  (6.2.2)
  3. Evaluar eficacia de las acciones para abordar riesgos y oportunidades (6.2.2)

Para tomar una mejor decisión te recomiendo leas la norma ISO 31000 Gestión del riesgo. Principios y directrices e ISO 31010 Gestión del riesgo. Técnicas de valoración del riesgo.

El contexto organizacional y su relación con los riesgos y oportunidades

Recuerda que al abordar los requisitos 4.1 y 4.2 obtuvimos una visión completa del entorno de la organización. Esta visión por sí sola ya nos está entregando un paquete importante de riesgos y oportunidades.

Con vista en la información obtenida al abordar estos requisitos, debemos preguntarnos:

  • ¿Qué aspectos del contexto externo e interno suponen riesgos y oportunidades?
  • ¿Cómo las necesidades y expectativas de las partes interesadas suponen riesgos y oportunidades?

Por ejemplo, si uno de los elementos obtenidos del análisis de contexto es:

  • El 80% de los ingresos de la organización están en manos de dos clientes.

¿Qué riesgos se derivan de esta situación? ¿Qué pasaría si uno de esos clientes cancelara el contrato?

Determinando riesgos y oportunidades

¡Pasemos a la acción!

Conforma un equipo de personas con conocimiento del negocio. Con vista en el análisis del contexto de la organización y de las necesidades y expectativas de las partes interesadas, identifiquen los riesgos y oportunidades estratégicos.

Decimos estratégicos porque son riesgos organizacionales y no específicos de un proceso.

Si durante el ejercicio se identifican riesgos y oportunidades de procesos, anótalos también.

La identificación puede incluir: fuente, causas, áreas de impacto y consecuencias.

Con los riesgos y oportunidades identificados, ya tienes información suficiente para analizarlos, evaluarlos y definir acciones para abordarlos en función de su impacto potencial en la conformidad de tus productos y servicios, y evaluando la eficacia. Pero eso es tema del requisito 6.1.2 y lo explico de forma detallada en mi ebook

Clasificando los riesgos y oportunidades

Una vez se identifican los riesgos y oportunidades, podemos clasificarlos, ¿por qué?

Para identificar cuáles son los riesgos y oportunidades más significativos y enfocar mayores esfuerzos en su tratamiento o acciones. Esto se debe a que las organizaciones no siempre cuentan con el personal, el tiempo y el dinero para abordar todos los riesgos y oportunidades.

Si bien esto no es un «debe» de la norma, debido a que el requisito 6.1.1 únicamente te dice que determines los riesgos y oportunidades con base en el contexto de la organización, si es importante que se clasifiquen por temas de priorización en asignación de recursos.

Información documentada en la determinación de riesgos y oportunidades

Este requisito NO exige información documentada. El auditor va a indagar en la metodología de la organización para gestionar riesgos y oportunidades, por lo que deberás mostrar evidencia de la determinación de riesgos y oportunidades.

Esta información puede estar toda en la cabeza del personal y es válido, sin embargo, siempre resulta más fácil para todos tener este requisito documentado.

Usualmente se emplea una matriz de riesgos y oportunidades o solo matriz de riesgos, que muestra como mínimo, los riesgos determinados, los controles establecidos y la evaluación de la eficacia de las acciones realizadas.

La matriz de riesgos y oportunidades puede ser tan compleja como tu desees y esto va de acuerdo al tamaño y complejidad de la empresa. Puede tener campos como fuente del riesgo, área de impacto, probabilidad, frecuencia, severidad, nivel de riesgo, control, eficacia de las acciones, etc.

Trabajando con los riesgos operativos

Hasta aquí ya podemos decir que estamos cumpliendo con el requisito 6.1.1 de la norma ISO 9001:2015.

Pero…

La gestión del riesgo va mucho más allá. La gestión del riesgo requiere fuentes de información para conocer la percepción del cliente, el estado de nuestros procesos y del sistema de gestión de calidad.

Las fuentes de información de los riesgos

Para mantener un sistema de gestión de calidad que funcione y aporte a los resultados de la empresa, debemos disponer de fuentes de información que nos permitan detectar cuándo es necesario realizar cambios y tomar decisiones. Ya mencionamos que el contexto organizacional (requisitos 4.1 y 4.2) es una fuente de información para la determinación de los riesgos estratégicos.

Existen otras fuentes de información para los riesgos operativos:

  • Auditorias internas: Las conclusiones de auditoria nos permiten conocer qué hacer para tener un sistema de gestión conveniente, adecuado y eficaz.
  • Medir la satisfacción del cliente: Cualquier mecanismo que tengamos para comunicarnos con el cliente y obtener su percepción u opinión sobre el producto.
  • Medición y seguimiento de procesos: Lo que hacemos para monitorear nuestros procesos y asegurarnos de que cumplan su objetivos (gráfico de control, indicadores, inspección, etc)

Auditoria interna

Los hallazgos de auditoría son una fuente valiosa de riesgos y oportunidades. Se obtienen al tomar evidencias objetivas de lo que hace la empresa y evaluarlas frente a unos criterios de auditoría, los cuales los podemos enmarcar dentro de los requisitos CLON:

  • Clientes: Necesidad o expectativa del cliente, generalmente implícita u obligatoria.
  • Legales: Requisito obligatorio especificado por un organismo legislativo.
  • Organizacionales: Requisito propio de la organización.
  • Norma: Requisito especificado en una norma, por ejemplo ISO 9001:2015 o ISO 14001:2015.

Lo ya mencionado se puede resumir en esta imagen:Acción correctiva, riesgos y auditoria

Midiendo la satisfacción del cliente

Debemos medir la satisfacción del cliente. Las formas más comunes para hacerlo son:

  • Encuestas.
  • Entrevistas.
  • FPQRS (Felicitaciones, peticiones, quejas, reclamos, sugerencias), del cliente a la empresa.

Un buen análisis de la medición de la satisfacción del cliente debería permitir la identificación de riesgos y oportunidades.

Medición y seguimiento de procesos

La empresa determina qué prácticas le permiten medir y seguir sus procesos. Comúnmente se hace uso de indicadores (la primer imagen a continuación) y de revisiones y verificaciones del producto o servicio.

Indicadores estratégicos, tácticos y operativos
Indicadores estratégicos, tácticos y operativos

Dificultades asociadas a la gestión del riesgo

Tomar acciones e implementar un enfoque basado en riesgos no es fácil para las empresas.

Hacernos conscientes de esto permite encontrar (o al menos pensar) mejores formas de hacer la gestión del riesgo. La pregunta para hacerse entonces es, ¿Pasa esto en su organización?

1. El tiempo de todos: Todos están ocupados haciendo su trabajo. ¿Por qué voy a hacer algo que no es probable que pase o porqué voy a hacer algo que ya pasó una vez y la probabilidad de que vuelva a pasar no me es importante? No tengo tiempo para eso. Es lo que solemos escuchar en las empresas, y si se hacen las acciones, se hacen para última hora.

2. No hay cultura de mejoramiento: Relacionado con el anterior. ¿Implementamos acciones para mostrar que se hizo algo? Esa no es la idea de un sistema de gestión. Hacemos correcciones y acciones para mejorar continuamente y no para cumplir un requisito.

3. Temor: Temor a las no conformidades, temor a que nos quiten la certificación. Primero reconozcamos que algo está funcionando mal o que puede funcionar mal y luego hagamos las acciones para que esto no suceda más.

4. Análisis de causas superficiales: Antes de hacer un análisis debemos saber qué es lo que pasó, describir la situación y luego si determinar qué lo causó. Aquí es cuando herramientas como 5 porqués, Ishikawa y Pareto son de utilidad.

5. Confundir las correcciones con acciones correctivas: Si hay un incendio, lo apagamos. Eso fue una corrección. Si ya sabemos que en esa zona hay incendios con frecuencia, pues colocamos extintores y cambiamos el material inflamable que contribuye a la propagación del fuego. Eso fue una acción correctiva. ¿Y si hubiésemos pensando antes del incendio en que esto podía suceder, qué control de riesgos podríamos impementar. Esto es una acción para abordar un riesgo.

6. No documentar: Nos da pereza decir qué se hizo para resolver. Debemos buscar mecanismos para facilitar el registro de las acciones correctivas y de los riesgos. No necesitamos tener el «formatote» de acción correctiva, recuerda que una empresa hace su sistema de gestión tan complejo como lo desee. ¿Qué tal si ponemos una cartelera en el pasillo mas transitado, donde se relacionan las acciones hechas en el mes?

7. No estandarizar las mejoras: Tuvimos problemas, los resolvimos, pero lo hicimos una sola vez. ¿Qué pasa si después volvemos a recaer? ¿Hicimos una modificación permanente en la maquina prensadora para evitar ese color verdoso en la hoja o solo compramos un repuesto de segunda?


Derechos de imagen

La imagen de cabecera del post es de Freepik

Cómo referenciar este artículo

APACHICAGOICONTECISO 690MLA

Betancourt, D. F. (17 de octubre de 2015). Riesgos y oportunidades en ISO 9001:2015. Recuperado el 03 de abril de 2020, de Ingenio Empresa: www.ingenioempresa.com/riesgos-oportunidades-iso-9001.

Betancourt, Diego Fernando. Riesgos y oportunidades en ISO 9001:2015. (17 de octubre de 2015). www.ingenioempresa.com/riesgos-oportunidades-iso-9001. (último acceso: 03 de abril de 2020).

BETANCOURT, Diego. Riesgos y oportunidades en ISO 9001:2015. [En línea]. 17 de octubre de 2015. [Citado 03 de abril de 2020]. Disponible en: (www.ingenioempresa.com/riesgos-oportunidades-iso-9001).

BETANCOURT QUINTERO, Diego. Riesgos y oportunidades en ISO 9001:2015. En: Ingenio Empresa. [En línea]. 17 de octubre de 2015. [Citado el: 03 de abril de 2020]. www.ingenioempresa.com/riesgos-oportunidades-iso-9001.

Betancourt, Diego Fernando. Riesgos y oportunidades en ISO 9001:2015. 17 de octubre de 2015. 03 de abril de 2020. <www.ingenioempresa.com/riesgos-oportunidades-iso-9001>.

Si esto te ha sido útil...
Únete a la comunidad. ¡Es gratis! Vas a recibir en tu correo recursos, herramientas y novedades exclusivas para miembros de Ingenio Empresa.

Responsable de tus datos: Diego Betancourt Finalidad: Envío de publicaciones y productos creados por Ingenio Empresa. Legitimación: Tu consentimiento otorgado en este formulario. Destinatario: MailRelay (ubicados en España). Es mi herramienta de email marketing. Derechos: Puedes darte de baja cuando desees y ejercer tus derechos de acceso, rectificación, cancelación y oposición.

6 comentarios en “Riesgos y oportunidades en ISO 9001:2015”

  1. Hola.
    Me llama mucho la atención lo que mencionas en las dificultades para no predecir los eventos o tratar accioness correctivas. En mi caso, el funcionamiento de la empresa por áreas, donde todos mantenían ocupados y para que te ayudaran siendo de otra área era un gran problema. Luego cuando te encuentras en una empresa que entiende la norma, te das cuenta de que es el enfoque basado en procesos.

    Esperaba que hablaras más de riesgos, según la 2015. Tengo algunas dudas con eso.

    Responder
    • Lamentablemente en algunas empresas es así, y más cuando tienes un sistema de gestión de calidad que no es eficaz.
      Tienes razón. Tengo pensando para inicios de noviembre desarrollar un post dedicado totalmente a la nueva versión 2015 y a sus cambios.

      Un saludo.

      Responder
  2. en mi empresa, tenemos un procedimiento de gestion de riesgos para el SIG donde se recogen riesgos de seguridad y salud, medioambientales y de control interno, por procesos, podemos utilizar este mismo procedimiento (se incluye la identificacion, evaluación, plan de prevención) como informacion documentada para la gestión de los riesgos, codificandolos como riesgos operacionales,

    Responder
    • Hola Enio.
      Supongo que me estás haciendo una pregunta. Asumo que me estás hablando de un sistema de información geográfica.

      De entrada te diría que si. Por supuesto habría que hacer una adaptación, pues en el post me enfoco en el ámbito empresarial y más aún, en la gestión de la calidad. Podrías buscar la analogía entre cada una de las fuentes de información de riesgos referentes a tu temática y las que nombro en el post y partir de ahí estructurar el documento.

      Responder
    • Hola Amelia.

      Con eficacia nos referimos a la capacidad de obtener el efecto pretendido como resultado de nuestras acciones. Dicho lo anterior, la eficacia de las acciones para abordar riesgos y oportunidades la puedes evaluar considerando si el efecto que trajo la acción ha logrado mitigar (evitar, transferir, aceptar, etc) el riesgo u oportunidad.

      Consideremos por ejemplo que somos una clínica odontológica y tenemos un riesgo que es la cancelación de contrato con una empresa que nos remite pacientes afiliados al sistema de salud del estado. Los pacientes que nos envía esta empresa representa el 90% de los ingresos que obtenemos.

      El riesgo es grandísimo y las acciones deben ser proporcionales al impacto del riesgo. Podemos emplear estrategias comerciales para obtener pacientes por fuera. La eficacia de esta acción consistiría en determinar si el efecto deseado de esta acción (disminuir la participación en los ingresos de los pacientes que nos remiten por el sistema de salud) se logró.

      Supongamos que tras un año de implementadas las estrategias comerciales, se determinó que los pacientes que nos remite el sistema de salud ahora representan el 70% de los ingresos totales. En este caso la acción fue eficaz, permitió mitigar el riesgo y debe ser una acción continua.

      Responder

Deja un comentario

Responsable de tus datos: Diego Betancourt. Finalidad: Moderación de los comentarios por el tiempo que dure este post publicado o hasta que decidas borrar tu comentario. Legitimación: Tu consentimiento otorgado en este formulario. Destinatario: Wordpress.Derechos: Tienes derechos de acceso, rectificación, cancelación y oposición de tus datos. Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.