ISO 9001:2015 y el Enfoque Basado en Riesgos

La Organización Internacional de Estandarización (ISO) está actualmente trabajando en la revisión de la ISO 9001. El nuevo estándar de Sistema de la Gestión de la Calidad está previsto que se publique en septiembre de 2015.

Entre los numerosos cambios y modificaciones con respecto a la versión del 2008, uno de los que destaca por su novedad y significación es el “enfoque basado en riesgos”, introduciendo éstos en varias cláusulas como el enfoque a procesos, en el liderazgo y especialmente en la planificación.

Así pues, con la nueva versión de la norma, la documentación asociada debe contemplar y ser adecuada con los riesgos que ponen en peligro la conformidad de productos o servicios y la satisfacción del cliente y dicha consideración de los riesgos habilita a la organización para abordar estas oportunidades.

La gestión de riesgos

Las amenazas, incertidumbres y los riesgos son inherentes a cualquier actividad y organización, independientemente que sea empresa privada, pública, institución, de cualquier tamaño y sector.

Las organizaciones están gestionando los riesgos en cierta medida, normalmente de forma no estructurada ni formal, lo cual no siempre da los resultados apetecidos.

La nueva norma ISO 9001 y la ISO 31000 “gestión de riesgos” establecen una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo, de forma que se desarrollen, implemente, y en su caso, integren con el resto de sistemas de gestión disponibles en la empresa.

¿Cómo están gestionando hasta la fecha las empresas los riesgos?

Tradicionalmente los riesgos se han tratado de forma no estructurada, mediante soluciones puntuales tomadas como acción correctiva a un accidente o incidente ocurrido y con el daño ya causado.

La gestión del riesgo es un conjunto de técnicas y herramientas de apoyo y ayuda para tomar las decisiones apropiadas, de una forma lógica, teniendo en cuenta la incertidumbre, la posibilidad de futuros sucesos y los efectos sobre los objetivos acordados.

La gestión de riesgos tiene como objeto la prevención de los mismos en lugar de la corrección y la mitigación de daños una vez éstos se han producido, siendo necesario que las organizaciones usen herramientas y mecanismos de gestión de riesgos.

¿Se puede sistematizar la gestión de los riesgos?

La respuesta es un rotundo sí. La experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos en una organización. Por ello, la tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los objetivos estratégicos de la organización.

La gestión de riesgos ¿es una parte de la ISO 9001:2015? ¿Es un nuevo sistema de gestión? ¿Se trata de norma nueva? ¿Se puede integrar con otros sistemas de gestión?

Como ya hemos comentado, la nueva norma IS 9001:2015 incorpora el enfoque basado en riesgos como una de sus principales novedades. Eso significa que cuando las empresas adapten sus sistemas de gestión basado en la norma del 2008, deberán incluir sistemáticas o procedimientos para evaluación, administración, eliminación y/o minimización de los riesgos.

Esta nueva sistemática, se podrá definir e implementar de forma autónoma en cada una de las organizaciones, aunque es conveniente el desarrollarla en base a los requisitos establecidos en la norma ISO 31000 “gestión de riesgos”. De hacerlo así conseguiríamos las siguientes ventajas:

• El desarrollo de la sistemática de gestión de riesgos se realizaría sobre estándares ya probados y experimentados con éxito.
• Nuestra gestión de riesgos se realizará mediante la misma sistemática y/o estándar que las organizaciones de nuestro entorno, tanto clientes como proveedores, con la ventaja que ello supone.
• En un momento, dado, cuando interesase, se podría auditar y certificar dicha gestión por alguna entidad acreditada, como muestra de cumplimiento de las especificaciones, lo cual nos facilitaría el acceso a nuevos clientes y/o mercados.
• Facilitaría la integración con otras normativas, ya que a partir de la nueva norma ISO 9001 de 2015, todas las normativas de sistemas de gestión ISO tendrán la llamada “estructura de alto nivel”, estructura genérica que puede ser aplicada a todos los sistemas de gestión ISO, es decir, la estructura de una ISO 9001 será igual que la de una ISO 14001 “gestión medio ambiental”, una EN-UNE 166001 “gestión de la I+D+i”, ISO 27001 “seguridad en la información”, …

Sobre la integrabilidad está todo dicho, una nueva estructura común, con los mismos requisitos, con la misma numeración, facilita en gran medida esta integración. Es posible que a corto plazo sea un engorro la adaptación de nuestras normas ya implementadas a esa estructura de alto nivel, pero luego van a ser todo ventajas, tanto en el mantenimiento del sistema, por fin será solo uno, como en la auditoría del mismo, tanto interna como de tercera parte.

Principios básicos para la Gestión del Riesgo 

Para una mayor eficacia, la gestión del riesgo en una organización, debe cumplir los siguientes principios:

1. Añadir o crear valor.  Al formar parte de las buenas prácticas de gestión empresarial, tratando eficazmente la incertidumbre, identificando riesgos y oportunidades, y optimizando la capacidad de respuesta ante los mismos.
2. Contribuir a la consecución de objetivos, así como a la mejora de aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo, protección ambiental, etc.
3. Estar integrada en los procesos de una organización. No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organización.
4. Estar integrada en el sistema de gestión principal de la organización, en muchos casos la ISO 9001:2105, OHSAS 18001, ISO 27001, etc. Esta sistematización debe ser adecuada, de forma que pueda contribuir a la obtención de resultados fiables.
5. Formar parte de la toma de decisiones. La gestión del riesgo debe ayudar a la toma de decisiones, evaluando la información sobre las distintas alternativas.
6. Tratar explícitamente la incertidumbre. La gestión del riesgo debe tratar aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
7. Estar basada en la mejor información disponible. Los elementos de entrada del proceso de gestión del riesgo están basados en fuentes de información como la experiencia, la observación, las previsiones y la opinión de expertos.
8. Estar hecha a medida, ser propia de cada organización. La gestión debe responder a los riesgos de cada organización, actividad y situación en concreto, estando alineada con el contexto externo e interno de la misma.
9. Tiene en cuenta factores humanos y culturales. Si es posible debe formar parte del ciclo de mejora PDCA, dando participación a aquellas personas que forman parte del proceso, siendo los que mejor los conocen y por tanto, pueden realizar aportaciones que de otra manera no sería posible.
10. Debe facilitar la mejora continua en la organización.
11. Debe ser transparente, dentro de la misma organización y de los grupos de interés (stakeholders).

¿Estás interesado en adaptar tu Sistema de Gestión? Consúltanos sin ningún compromiso.