Professional Documents
Culture Documents
17/03/2015
Entre los numerosos cambios y modificaciones con respecto a la versión del 2008, uno de los que destaca por
su novedad y significación es el “enfoque basado en riesgos”, introduciendo éstos en varias cláusulas como
el enfoque a procesos, en el liderazgo y especialmente en la planificación.
Así pues, con la nueva versión de la norma, la documentación asociada debe contemplar y ser adecuada con los
riesgos que ponen en peligro la conformidad de productos o servicios y la satisfacción del cliente y dicha
consideración de los riesgos habilita a la organización para abordar estas oportunidades.
La gestión de riesgos
Las amenazas, incertidumbres y los riesgos son inherentes a cualquier actividad y organización,
independientemente que sea empresa privada, pública, institución, de cualquier tamaño y sector.
Las organizaciones están gestionando los riesgos en cierta medida, normalmente de forma no estructurada ni
formal, lo cual no siempre da los resultados apetecidos.
La nueva norma ISO 9001 y la ISO 31000 “gestión de riesgos” establecen una serie de principios que deben
ser satisfechos para hacer una gestión eficaz del riesgo, de forma que se desarrollen, implemente, y en su caso,
integren con el resto de sistemas de gestión disponibles en la empresa.
Tradicionalmente los riesgos se han tratado de forma no estructurada, mediante soluciones puntuales tomadas
como acción correctiva a un accidente o incidente ocurrido y con el daño ya causado.
La gestión del riesgo es un conjunto de técnicas y herramientas de apoyo y ayuda para tomar las decisiones
apropiadas, de una forma lógica, teniendo en cuenta la incertidumbre, la posibilidad de futuros sucesos y los
efectos sobre los objetivos acordados.
La gestión de riesgos tiene como objeto la prevención de los mismos en lugar de la corrección y la mitigación
de daños una vez éstos se han producido, siendo necesario que las organizaciones usen herramientas y
mecanismos de gestión de riesgos.
La respuesta es un rotundo sí. La experiencia ha demostrado que los elementos que conforman los riesgos y los
factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para
todos los riesgos en una organización. Por ello, la tendencia moderna es utilizar un enfoque integral de manejo
de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y
comunicar estos riesgos de una manera integral, basados en los objetivos estratégicos de la organización.
La gestión de riesgos ¿es una parte de la ISO 9001:2015? ¿Es un nuevo sistema de gestión? ¿Se trata de
norma nueva? ¿Se puede integrar con otros sistemas de gestión?
Como ya hemos comentado, la nueva norma IS 9001:2015 incorpora el enfoque basado en riesgos como una
de sus principales novedades. Eso significa que cuando las empresas adapten sus sistemas de gestión basado en
la norma del 2008, deberán incluir sistemáticas o procedimientos para evaluación, administración, eliminación
y/o minimización de los riesgos.
Esta nueva sistemática, se podrá definir e implementar de forma autónoma en cada una de las organizaciones,
aunque es conveniente el desarrollarla en base a los requisitos establecidos en la norma ISO 31000 “gestión de
riesgos”. De hacerlo así conseguiríamos las siguientes ventajas:
Sobre la integrabilidad está todo dicho, una nueva estructura común, con los mismos requisitos, con la misma
numeración, facilita en gran medida esta integración. Es posible que a corto plazo sea un engorro la adaptación
de nuestras normas ya implementadas a esa estructura de alto nivel, pero luego van a ser todo ventajas, tanto en
el mantenimiento del sistema, por fin será solo uno, como en la auditoría del mismo, tanto interna como de
tercera parte.
Para una mayor eficacia, la gestión del riesgo en una organización, debe cumplir los siguientes principios:
1. Añadir o crear valor. Al formar parte de las buenas prácticas de gestión empresarial, tratando
eficazmente la incertidumbre, identificando riesgos y oportunidades, y optimizando la capacidad de
respuesta ante los mismos.
2. Contribuir a la consecución de objetivos, así como a la mejora de aspectos tales como la seguridad y
salud laboral, cumplimiento legal y normativo, protección ambiental, etc.
3. Estar integrada en los procesos de una organización. No debe ser entendida como una actividad
aislada sino como parte de las actividades y procesos principales de una organización.
4. Estar integrada en el sistema de gestión principal de la organización, en muchos casos la ISO
9001:2105, OHSAS 18001, ISO 27001, etc. Esta sistematización debe ser adecuada, de forma que pueda
contribuir a la obtención de resultados fiables.
5. Formar parte de la toma de decisiones. La gestión del riesgo debe ayudar a la toma de decisiones,
evaluando la información sobre las distintas alternativas.
6. Tratar explícitamente la incertidumbre. La gestión del riesgo debe tratar aquellos aspectos de la toma
de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
7. Estar basada en la mejor información disponible. Los elementos de entrada del proceso de gestión del
riesgo están basados en fuentes de información como la experiencia, la observación, las previsiones y
la opinión de expertos.
8. Estar hecha a medida, ser propia de cada organización. La gestión debe responder a los riesgos de cada
organización, actividad y situación en concreto, estando alineada con el contexto externo e interno de la
misma.
9. Tiene en cuenta factores humanos y culturales. Si es posible debe formar parte del ciclo de mejora
PDCA, dando participación a aquellas personas que forman parte del proceso, siendo los que mejor los
conocen y por tanto, pueden realizar aportaciones que de otra manera no sería posible.
10. Debe facilitar la mejora continua en la organización.
11. Debe ser transparente, dentro de la misma organización y de los grupos de interés (stakeholders).
Para saber más acerca de los cambios en la nueva versión de ISO 9001, vea los How useful is ISO
9001? resultados del estudio.
HACER
Implementación de los procesos.
ACTUAR
Tomar acciones para mejorar continuamente el desarrollo de los procesos.
1. Institucionalizar la mejora y-o volver al paso de Hacer (5.6)
No es posible realizar con calidad una actividad, proceso, producto o servicio, si se viola alguno de
los pasos del ciclo.
Podría decirse que la metodología PHVA no da lugar a fisuras en cuanto su propósito: se define una
meta y dejándose llevar por la sabiduría contenida en cada etapa, se llega a cumplirla quitando del
camino los obstáculos (no conformidades) que se interpongan, ya sean humanos, materiales o
financieros. Si el objetivo es realista y considera las variables del entorno, entonces siguiendo la
estrategia del Ciclo de la Calidad, la probabilidad de éxito es mayor. No debe olvidarse que en cada paso
habrá que realizar acciones tácticas y operativas para seguir adelante con dominio.