Cómo abordar riesgos y oportunidades en ISO 9001

Riesgos y oportunidades

Todas organizaciones, independientemente de su tipo o tamaño, se enfrentan de manera constante a factores externos e internos que podrían influenciar su capacidad de lograr los objetivos y resultados deseados, la gestión de esta incertidumbre asociada con el contexto, es lo que actualmente se denomina gestión de riesgos y oportunidades.

En la norma Internacional ISO 9001:2015 el pensamiento basado en riesgos se consolido como un principio básico de los Sistemas de Gestión de Calidad, dirigido a aprovechar las oportunidades y prevenir resultados no deseados, mediante la determinación de los factores que podrían causar que los procesos se desvíen de los resultados planificados.

La gestión del riesgo es una función iterativa en las organizaciones, es parte de su gobernanza y su liderazgo, contribuye con la definición de su estrategia, sus objetivos, y la toma de decisiones en todos sus niveles, e implica abordar riesgos y oportunidades, con controles preventivos que minimicen los efectos negativos y maximicen los beneficios de aprovechar las oportunidades a medida que surjan.

Términos claves en la definición de formación

• Riesgo: Efecto de la incertidumbre sobre los objetivos. [Fuente: ISO 31000:2018, 3.1]
• Gestión del riesgo: Actividades coordinadas para dirigir y controlar la organización con relación al riesgo (3.1). [Fuente: ISO 31000:2018, 3.2]
• Fuente de riesgo: Elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo (3.1). [Fuente: ISO 31000:2018, 3.4]
• Evento: Ocurrencia o cambio de un conjunto particular de circunstancias, puede ser algo previsto que no llega a ocurrir, o algo no previsto que ocurre. [Fuente: adaptado de la ISO 31000:2018, 3.5]
• Consecuencia: Resultado de un evento (3.5) que afecta a los objetivos, puede ser cierta o incierta y puede tener efectos positivos o negativos, directos o indirectos sobre los objetivos. [Fuente: adaptado de la ISO 31000:2018, 3.6]
• Probabilidad: Posibilidad de que algo suceda. definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita utilizando términos generales o matemáticos (como una probabilidad matemática o una frecuencia en un periodo de tiempo determinado). [Fuente: adaptado de la ISO 31000:2018, 3.7]
• Control: Medida que mantiene y/o modifica un riesgo (3.1). [Fuente: ISO 31000:2018, 3.8]

¿Qué es un riesgo?

Como se ha expresado en los términos, es un riesgo es efecto de la incertidumbre sobre los objetivos, donde un efecto es una desviación respecto a lo previsto, esta variación puede ser positiva, negativa o ambas, y puede abordar, crear o resultar en oportunidades y amenazas, y la incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un evento, de sus consecuencias o de su probabilidad.

En otras palabras, el riesgo es el efecto de la incertidumbre y dicha incertidumbre puede tener efectos positivos o negativos. Generalmente, el riesgo se expresa en términos de fuentes de riesgo y sus eventos potenciales asociados, y se evalúa a razón de su impacto / consecuencia y su probabilidad de ocurrencia.

¿Qué es una oportunidad?

Según a RAE una oportunidad, proviene del latín. opportunĭtas, y hace referencia al momento o circunstancia oportunos o convenientes para algo.

Por otra parte, para el enfoque de la ISO, las oportunidades están ligadas al riesgo, en este sentido, anteriormente cuando nos referíamos a la posibilidad de que todos los riegos puedan tener desviaciones positivas, implícitamente se denotó el potencial de cada desviación positiva para proporcionar una oportunidad.

Integrando la definición de la RAE con el enfoque de la ISO, podemos sintetizar que las oportunidades pueden surgir como resultado de un evento favorable para lograr un resultado previsto, cuando coincida apropiadamente el contexto, el espacio y el tiempo., es por ello que no todos los efectos positivos del riesgo tienen como resultado oportunidades.

Por tanto las oportunidades de una empresa son una serie de factores positivos que se generan contexto externo y que, una vez son identificadas, pueden ser aprovechadas mediante una estrategia para obtener beneficios, algunas oportunidades, son, por ejemplo, un conjunto de circunstancias que permita a la organización optimizar sus relaciones con sus partes interesadas, mejorar su Know how, desarrollar nuevos productos y servicios, reducir los desperdicios, mejorar la productividad, entre otras.

¿Qué significa abordar riesgos y oportunidades?

El significado de abordar tanto los riesgos como las oportunidades, puede resumirse como el conjunto de acciones para tratar los riesgos inherentes al contexto interno y externo de una organización, para tratar los riesgos, es necesario haber realizado previamente una evaluación, la cual abarca las actividades que permitan a la organización identificar, analiza y valorar sus riesgos.

La gestión mediante la cual una organización evalúa y trata los riesgos y las oportunidades de su contexto interno y externo, se denomina generalmente gestión del riesgo, este proceso establece una base para aumentar la eficacia del sistema de gestión de la calidad, alcanzar mejores resultados y prevenir los efectos negativos.

La gestión para abordar riesgos y oportunidades estuvo implícita en la Norma Internacional ISO 9001 en sus ediciones anteriores, en los requisitos asociados a:

• Realizar acciones preventivas para eliminar no conformidades potenciales
• Analizar cualquier no conformidad que ocurra, y tomar acciones que sean apropiadas para los efectos de la no conformidad para prevenir su recurrencia.

En la versión ISO 9001:2015, se hizo explicita, al especificar como requisito la necesidad de planificar e implementar acciones para abordar los riesgos y las oportunidades (requisito 6.1)

Requisitos para abordar riesgos y oportunidades referidos en la norma ISO 9001:2015

Al analizar los diferentes puntos donde la norma refiere las palabras riesgos y oportunidades, se obtienen los siguientes requisitos:

• La organización debe abordar los riesgos y oportunidades determinados de acuerdo con los requisitos del apartado 6.1 (requisito 4.4.1, f).).
• La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de la calidad promoviendo el uso del pensamiento basado en riesgos (5.1.1 d). ).
• La alta dirección debe asegurarse de que se determinan y se consideran los riesgos y oportunidades que pueden afectar a la conformidad de los productos y servicios y a la capacidad de aumentar la satisfacción del cliente (requisito 5.1.2 b).)
• Acciones para abordar riesgos y oportunidades (requisito 6.1)
• La organización debe analizar y evaluar la eficacia de las acciones tomadas para abordar los riesgos y oportunidades (requisito 9.1.3 e).)
• La revisión por la dirección debe planificarse y llevarse a cabo incluyendo consideraciones sobre la eficacia de las acciones tomadas para abordar los riesgos y las oportunidades (requisito 9.2.3 e).)
• Cuando ocurra una no conformidad, la organización debe, si fuera necesario, actualizar los riesgos y oportunidades determinados durante la planificación (requisito 10.2.1 e).)
• La organización debe considerar los resultados del análisis y la evaluación, y las salidas de la revisión por la dirección, para determinar si hay necesidades u oportunidades que deben considerarse como parte de la mejora continua. (10.3)

¿Cuáles son las acciones para abordar riesgos y oportunidades según a ISO 9001?

El apartado 6 Planificación, en su requisito 6.1, la ISO 9001:2015, establece las directrices de planificación de las acciones para abordar riesgos y oportunidades, indicando los siguientes requisitos específicos.

• Al planificar el sistema de gestión de la calidad, la organización debe considerar las cuestiones de la comprensión de la organización y de su contexto, y los requisitos de las necesidades y expectativas de las partes interesadas, y determinar los riesgos y oportunidades que es necesario abordar con el fin de (requisito 6.1.1.):
  1. Asegurar que el sistema de gestión de la calidad pueda lograr sus resultados previstos
  2. Aumentar los efectos deseables
  3. Prevenir o reducir efectos no deseados
  4. Lograr la mejora.

• La organización debe planificar (requisito 6.1.2.):

1. las acciones para abordar estos riesgos y oportunidades
2. la manera de:
   1. Integrar e implementar las acciones en sus procesos del sistema de gestión de la calidad (véase 4.4.)
   2. Evaluar la eficacia de estas acciones.

En la selección de las acciones más apropiadas para el tratamiento del riesgo, se debía lograr un balance entre impacto potencial en la conformidad de los productos y los servicios, los beneficios potenciales, y los costos, esfuerzos o desventajas de la implementación.

Cada organización define las opciones de tratamiento para cada uno de sus riesgos, generalmente esta decisión depende del nivel del riesgo, en relación la ISO 31000:2018 sugiere las siguientes acciones para tratar el riesgo:

• Evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo
• Aceptar o aumentar el riesgo en busca de una oportunidad
• Eliminar la fuente de riesgo
• Modificar la probabilidad
• Modificar las consecuencias
• Compartir el riesgo (por ejemplo: a través de contratos, compra de seguros)
• Retener el riesgo con base en una decisión informada.

Directrices de la Gestión del riesgo ISO 31000:2018

 La ISO 31000 prorciona un enfoque común para gestionar cualquier tipo de riesgo, sin limitarse a una industria o un sector, donde el proceso de la gestión del riesgo implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo:

• Comunicación y consulta: Actividades para asistir a las partes interesadas pertinentes en todas y cada una de las etapas de la gestión del riesgo, a fin de comprender el riesgo, las bases con las que se toman decisiones y las razones por las que son necesarias acciones específicas.
• Alcance, contexto y criterios: Actividades para definir el alcance del proceso, contexto (interno y externo) y los criterios para valorar la importancia del riesgo, implica adaptar la gestión del riesgo, para permitir una evaluación eficaz y un tratamiento apropiado del riesgo.
• Evaluación del riesgo: Actividades sistemáticas, iterativas y colaborativas, para la identificar, analizar y valorar el riesgo, mediante la comparación de los resultados del análisis del riesgo, con los criterios de riesgo, para determinar si el riesgo y/o su magnitud son aceptables o tolerables:
  1. Identificación del riesgo: Actividades para encontrar, reconocer y describir los riesgos, implica la identificación de las fuentes de riesgo (estén o no bajo su control), los eventos, sus causas y sus consecuencias potenciales
  2. Análisis del riesgo: Actividades que permite comprender la naturaleza del riesgo y sus características con el propósito de determinar el nivel de riesgo, implica una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia.
  3. Valoración del riesgo: Actividades que permiten comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos, para determinar cuándo se requiere una acción adicional, esta puede conllevar a una decisión de aceptar, tratar, mantener los controles existentes, reconsiderar el análisis o los objetivos.

• Tratamiento del riesgo: Actividades destinadas a modificar el riesgo, en otras palabras, es el proceso para es seleccionar e implementar las acciones para abordar el riesgo.

1. Seguimiento y revisión: Actividades de seguimiento continuo y revisión periódica de los resultados de la gestión de riesgos, orientados a asegurar y mejorar la calidad y la eficacia del diseño, la implementación y los resultados de la gestión total del riesgo.
2. Registro e informe: Actividades para documentar e informar los resultados de la gestión del riesgo y sus resultados a través de mecanismos apropiados.