ISO 9001:2015 y el Enfoque Basado en Riesgos

17/03/2015

La Organización Internacional de Estandarización (ISO) está actualmente trabajando en la revisión de la ISO

9001. El nuevo estándar de Sistema de la Gestión de la Calidad está previsto que se publique en septiembre de
2015.

Entre los numerosos cambios y modificaciones con respecto a la versión del 2008, uno de los que destaca por
su novedad y significación es el “enfoque basado en riesgos”, introduciendo éstos en varias cláusulas como
el enfoque a procesos, en el liderazgo y especialmente en la planificación.

Así pues, con la nueva versión de la norma, la documentación asociada debe contemplar y ser adecuada con los
riesgos que ponen en peligro la conformidad de productos o servicios y la satisfacción del cliente y dicha
consideración de los riesgos habilita a la organización para abordar estas oportunidades.

La gestión de riesgos

Las amenazas, incertidumbres y los riesgos son inherentes a cualquier actividad y organización,
independientemente que sea empresa privada, pública, institución, de cualquier tamaño y sector.

Las organizaciones están gestionando los riesgos en cierta medida, normalmente de forma no estructurada ni
formal, lo cual no siempre da los resultados apetecidos.

La nueva norma ISO 9001 y la ISO 31000 “gestión de riesgos” establecen una serie de principios que deben
ser satisfechos para hacer una gestión eficaz del riesgo, de forma que se desarrollen, implemente, y en su caso,
integren con el resto de sistemas de gestión disponibles en la empresa.

¿Cómo están gestionando hasta la fecha las empresas los riesgos?

Tradicionalmente los riesgos se han tratado de forma no estructurada, mediante soluciones puntuales tomadas
como acción correctiva a un accidente o incidente ocurrido y con el daño ya causado.

La gestión del riesgo es un conjunto de técnicas y herramientas de apoyo y ayuda para tomar las decisiones
apropiadas, de una forma lógica, teniendo en cuenta la incertidumbre, la posibilidad de futuros sucesos y los
efectos sobre los objetivos acordados.

La gestión de riesgos tiene como objeto la prevención de los mismos en lugar de la corrección y la mitigación
de daños una vez éstos se han producido, siendo necesario que las organizaciones usen herramientas y
mecanismos de gestión de riesgos.

¿Se puede sistematizar la gestión de los riesgos?

La respuesta es un rotundo sí. La experiencia ha demostrado que los elementos que conforman los riesgos y los
factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para
todos los riesgos en una organización. Por ello, la tendencia moderna es utilizar un enfoque integral de manejo
de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y
comunicar estos riesgos de una manera integral, basados en los objetivos estratégicos de la organización.

La gestión de riesgos ¿es una parte de la ISO 9001:2015? ¿Es un nuevo sistema de gestión? ¿Se trata de
norma nueva? ¿Se puede integrar con otros sistemas de gestión?

Como ya hemos comentado, la nueva norma IS 9001:2015 incorpora el enfoque basado en riesgos como una
de sus principales novedades. Eso significa que cuando las empresas adapten sus sistemas de gestión basado en
la norma del 2008, deberán incluir sistemáticas o procedimientos para evaluación, administración, eliminación
y/o minimización de los riesgos.

Esta nueva sistemática, se podrá definir e implementar de forma autónoma en cada una de las organizaciones,
aunque es conveniente el desarrollarla en base a los requisitos establecidos en la norma ISO 31000 “gestión de
riesgos”. De hacerlo así conseguiríamos las siguientes ventajas:

 El desarrollo de la sistemática de gestión de riesgos se realizaría sobre estándares ya probados y

experimentados con éxito.
 Nuestra gestión de riesgos se realizará mediante la misma sistemática y/o estándar que las
organizaciones de nuestro entorno, tanto clientes como proveedores, con la ventaja que ello supone.
 En un momento, dado, cuando interesase, se podría auditar y certificar dicha gestión por alguna entidad
acreditada, como muestra de cumplimiento de las especificaciones, lo cual nos facilitaría el acceso a
nuevos clientes y/o mercados.
 Facilitaría la integración con otras normativas, ya que a partir de la nueva norma ISO 9001 de 2015,
todas las normativas de sistemas de gestión ISO tendrán la llamada “estructura de alto nivel”, estructura
genérica que puede ser aplicada a todos los sistemas de gestión ISO, es decir, la estructura de una ISO
9001 será igual que la de una ISO 14001 “gestión medio ambiental”, una EN-UNE 166001 “gestión de
la I+D+i”, ISO 27001 “seguridad en la información”, …

Sobre la integrabilidad está todo dicho, una nueva estructura común, con los mismos requisitos, con la misma
numeración, facilita en gran medida esta integración. Es posible que a corto plazo sea un engorro la adaptación
de nuestras normas ya implementadas a esa estructura de alto nivel, pero luego van a ser todo ventajas, tanto en
el mantenimiento del sistema, por fin será solo uno, como en la auditoría del mismo, tanto interna como de
tercera parte.

Principios básicos para la Gestión del Riesgo

Para una mayor eficacia, la gestión del riesgo en una organización, debe cumplir los siguientes principios:

1. Añadir o crear valor. Al formar parte de las buenas prácticas de gestión empresarial, tratando
eficazmente la incertidumbre, identificando riesgos y oportunidades, y optimizando la capacidad de
respuesta ante los mismos.
2. Contribuir a la consecución de objetivos, así como a la mejora de aspectos tales como la seguridad y
salud laboral, cumplimiento legal y normativo, protección ambiental, etc.
3. Estar integrada en los procesos de una organización. No debe ser entendida como una actividad
aislada sino como parte de las actividades y procesos principales de una organización.
4. Estar integrada en el sistema de gestión principal de la organización, en muchos casos la ISO
9001:2105, OHSAS 18001, ISO 27001, etc. Esta sistematización debe ser adecuada, de forma que pueda
contribuir a la obtención de resultados fiables.
5. Formar parte de la toma de decisiones. La gestión del riesgo debe ayudar a la toma de decisiones,
evaluando la información sobre las distintas alternativas.
 6. Tratar explícitamente la incertidumbre. La gestión del riesgo debe tratar aquellos aspectos de la toma
de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.
7. Estar basada en la mejor información disponible. Los elementos de entrada del proceso de gestión del
riesgo están basados en fuentes de información como la experiencia, la observación, las previsiones y
la opinión de expertos.
8. Estar hecha a medida, ser propia de cada organización. La gestión debe responder a los riesgos de cada
organización, actividad y situación en concreto, estando alineada con el contexto externo e interno de la
misma.
9. Tiene en cuenta factores humanos y culturales. Si es posible debe formar parte del ciclo de mejora
PDCA, dando participación a aquellas personas que forman parte del proceso, siendo los que mejor los
conocen y por tanto, pueden realizar aportaciones que de otra manera no sería posible.
10. Debe facilitar la mejora continua en la organización.
11. Debe ser transparente, dentro de la misma organización y de los grupos de interés (stakeholders).

¿Estás interesado en adaptar tu Sistema de Gestión? Consúltanos sin ningún compromiso.

El enfoque basado en riesgos reemplazando las acciones

preventivas en la ISO 9001:2015 – Los beneficios
Autor: John Nolan

En Septiembre del 2015 se publicará el estándar ISO 9001:2015, con algunos cambios importantes. Uno
de los cambios más importantes es el que implica cambiar el actual proceso de acciones preventivas por
el de “enfoque basado en riesgos”. En la mayoría de las empresas con las que he trabajado, o para las
que he trabajado, las acciones preventivas tienden a ser un elemento poco útil, nacido de la necesidad de
satisfacer un requerimiento de la ISO 9001, aunque realmente no es algo que sirva de mucho para
conseguir un verdadero cambio y mejora continua. En el pasado las acciones preventivas se han llevado
a cabo a un nivel más bajo, quizás por un miembro del equipo de calidad, y generalmente no han captado
los problemas que verdaderamente afectan a las organizaciones a un nivel más alto para permitir que se
produzca la mejora continua. Por tanto, ¿Qué significa el cambio que comentábamos al principio para la
organización?

Enfoque basado en riesgos: La verdadera diferencia con las acciones preventivas

En artículos anteriores hemos examinado varios tipos de análisis de riesgos (mira este
artículo Methodology for Risk Analysis), pero el estándar ISO 9001:2015 nos obliga a tomar un
“enfoque basado en riesgo para gestionar la calidad”. Esto implica tomar una mejor visión estratégica
del riesgo en su organización, y también enlazar con los cambios relacionados con los requerimientos de
liderazgo, de los que puedes leer más en este artículo: Cómo cumplir con los nuevos requerimientos de
liderazgo en la ISO 9001:2015. Por tanto, dado que ahora la alta dirección de la organización debe estar
involucrada en el proceso de identificación, registro, eliminación, y mitigación del riesgo, puedes ver
desde el principio, usando un enfoque basado en riesgos, que las acciones preventivas pueden ser
superadas en términos de eficacia. Asegurar que el equipo de dirección de su organización tiene un foro
para la identificación de riesgos con reuniones regulares, puede ser un paso fundamental en la
implementación del Sistema de Gestión de Calidad. Igualmente importante es asegurar que los
empleados que se encuentran a un nivel inferior tengan un canal a través del cual puedan transmitir sus
opiniones, las cuales podrán ser consideradas por el equipo de dirección. Cuando estos dos procesos
están definidos, tendrás un proceso de “enfoque basado en riesgos” el cual estará liderado por el equipo
de la alta dirección, que tiene todo el conocimiento estratégico clave sobre las amenazas del negocio, y
es soportado por la información de todos los niveles – algunos de los cuales pueden ser desconocidos
para ellos. Así que, en efecto, en lugar de un único proceso de acciones preventivas unidireccional, el
cual generalmente se lleva a cabo a un nivel bajo y permanece allí, ahora tienes un proceso de enfoque
basado en riesgos presidido por el equipo que tiene toda la información disponible del negocio. Con las
decisiones tomadas en este proceso, y las acciones siguientes, no es difícil ver que las acciones
documentadas y los objetivos serán más eficaces y se basarán en toda la empresa, lo cual es mucho
mejor que lo que establecía únicamente el proceso de acciones preventivas. Por tanto, ¿Qué tiene que
hacer su organización para ponerse al día con este cambio?

Enfoque basado en riesgos: ¿Cuándo empezamos?

Habrá un periodo transitorio de hasta tres años para la implementación del nuevo estándar, pero algunos
de los cambios son tan beneficiosos para su negocio que cuento antes los aplique, mejor que mejor.
Tiene sentido alentar al equipo de la alta dirección de su organización a adoptar los cambios en los
requisitos de liderazgo, y acoplarlos con un nuevo proceso de enfoque basado en riesgos. Cuanto antes
pueda aplicarlos, y fomentar la sinergia entre ambos, mejor preparada estará su organización para
manejar las amenazas y los riesgos que aparecerán en su organización en los próximos meses y años. Y,
como todos sabemos, donde hay riesgos, casi siempre hay oportunidades, por tanto la identificación de
estas es otra ventaja que puedes aprovechar adoptando este enfoque basado en riesgo lo antes posible. La
eliminación y mitigación de riesgos casi siempre asegura el crecimiento de su empresa, lo cual
obviamente sólo puede ser bueno para su organización. La ISO 9001:2015 es un estándar que va mucho
más allá de los estándares de calidad de la organización, y sus salidas aseguran que su organización
puede ser protegida y mejorada, además de que también se puedan identificar nuevas oportunidades.
Dado que estos cambios son tan beneficiosos, ¿Puede su organización no aplicarlos inmediatamente?

Para saber más acerca de los cambios en la nueva versión de ISO 9001, vea los How useful is ISO
9001? resultados del estudio.

Ciclo PHVA: una herramienta de gestión plenamente vigente

En la actualidad, las empresas tienen que enfrentarse a un nivel tan alto de competencia que
para poder crecer y desarrollarse, y a veces incluso para lograr su propia supervivencia, han
de mejorar continuamente, evolucionar y renovarse de forma fluida y constante. El ciclo
PHVA de mejora continua es una herramienta de gestión presentada en los años 50 por el
estadístico estadounidense Edward Deming.

Tras varias décadas de uso, este sistema o método de gestión de calidad se

encuentra plenamente vigente (ha sido adoptado recientemente por la familia de normas
ISO) por su comprobada eficacia para: reducir costos, optimizar la productividad, ganar
cuota de mercado e incrementar la rentabilidad de las organizaciones. Logrando, además, el
mantenimiento de todos estos beneficios de una manera continua, progresiva y constante.
Haz click aquí y descargate el ebook “La adopción de un enfoque basado en procesos”.
Las fases del ciclo PHVA
Las siglas del ciclo o fórmula PHVA forman un acrónimo compuesto por las iniciales de
las palabras Planificar, Hacer Verificar y Actuar. Cada uno de estos 4 conceptos
corresponde a una fase o etapa del ciclo:
Planificar: En la etapa de planificación se establecen objetivos y se identifican los
procesos necesarios para lograr unos determinados resultados de acuerdo a las políticas de
la organización. En esta etapa se determinan también los parámetros de medición que se
van a utilizar para controlar y seguir el proceso.
Hacer: Consiste en la implementación de los cambios o acciones necesarias para lograr las
mejoras planteadas. Con el objeto de ganar en eficacia y poder corregir fácilmente posibles
errores en la ejecución, normalmente se desarrolla un plan piloto a modo de prueba o
testeo.
Verificar: Una vez se ha puesto en marcha el plan de mejoras, se establece un periodo de
prueba para medir y valorar la efectividad de los cambios. Se trata de una fase de
regulación y ajuste.
Actuar: Realizadas las mediciones, en el caso de que los resultados no se ajusten a las
expectativas y objetivos predefinidos, se realizan las correcciones y modificaciones
necesarias. Por otro lado, se toman las decisiones y acciones pertinentes para mejorar
continuamente el desarrollo de los procesos.

Un ciclo sin fin

La principal característica de un ciclo PHVA es que no tiene un punto y final en el
momento en que se obtenga un determinado resultado, sino que se crea una rueda continua
en la que el ciclo se reinicia una y otra vez de manera periódica, generando de esta forma
un proceso de mejora continua. Cada ciclo terminado, además de para conseguir mejoras
hasta un cierto nivel en un determinado circuito o área de la empresa, debe servir también
como fuente de aprendizaje para mejorar en cada paso y aprender de los errores. Esto
significa que siempre se debe buscar la optimización de las acciones por medio del
análisis de: indicadores, logros obtenidos y programas de mejora ya implementados.

Ventajas y desventajas del ciclo PHVA

Las principales ventajas para las organizaciones de esta herramienta de gestión son:
Por lo general, se consiguen mejoras en el corto plazo y resultados visibles.
Se reducen los costos de fabricación de productos y prestación de servicios.
Es un sistema que favorece una cuestión hoy en día vital para todas las
empresas: incrementar la productividad y enfocar a la organización hacia la competitividad.
Contribuye a la adaptación de los procesos a los avances tecnológicos.
Permite detectar y eliminar procesos repetitivos.

Entre sus puntos débiles encontramos:

Cuando el mejoramiento se concentra en un área específica de la organización, se puede
perder la perspectiva de interdependencia que existe entre los distintos departamentos y
áreas de las organizaciones.
Requiere de cambios importantes en toda la organización, lo que puede acarrear inversiones
importantes en infraestructuras o recursos humanos.

Es importante subrayar y no perder nunca de vista que la mejora continua consiste en

desarrollar ciclos de mejora a todos los niveles de manera periódica, sin que la consecución
de un determinado objetivo suponga el fin de proceso, sino más bien un desafío para seguir
mejorando y lograr la excelencia. En esto consiste su verdadera esencia y filosofía.
PLANEAR
Es establecer los objetivos y procesos necesarios para conseguir resultados de acuerdo con los requisitos
del cliente y las políticas de la organización.
1. Identificar servicios
2. Identificar clientes
3. Identificar requerimientos de los clientes (5.2)
4. Trasladar los requerimientos del cliente a especificaciones (7.1)
5. Identificar los pasos claves del proceso (diagrama de flujo) (7.5)
6. Identificar y seleccionar los parámetros de medición (8.1)
7. Determinar la capacidad del proceso (8.2.3, 8.2.4)
8. Identificar con quien compararse (benchmarks) (5.1 de ISO 9004)

HACER
Implementación de los procesos.

Identificar oportunidades de mejora (8.5)

Desarrollo del plan piloto

Implementar las mejoras

VERIFICAR
Realizar el seguimiento y medir los procesos y los productos contra las políticas, los objetivos y los
requisitos del producto e informar sobre los resultados.

Evaluar la efectividad (8.2, 8.5.2)

ACTUAR
Tomar acciones para mejorar continuamente el desarrollo de los procesos.
1. Institucionalizar la mejora y-o volver al paso de Hacer (5.6)

APLICANDO EL PHVA EN LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE LA

CALIDAD EN UNA EMPRESA DE SERVICIOS, TENEMOS:
La definición de la red de procesos, la política de calidad y los objetivos, se define el Representante de
Gerencia, y el aseguramiento de los procesos.

En el Hacer se hace la implementación de lo definido en la planeación, es decir, toda la Organización se

alinea de acuerdo a las definiciones, se conforman equipos de trabajo para que documenten los procesos
con el enfoque de PHVA y con una metodología definida.

En el Verificar, se aplica el subproceso de Revisiones de Gerencia y Auditorias internas de Calidad.

En el Actuar, se aplica el subproceso de Acciones correctivas, preventivas y planes de mejoramiento

como consecuencia de unos informes de auditorias, adicionalmente se aplica la metodología para
análisis y solución de problemas a aquellos subprocesos que necesitan un mejoramiento continuo para
luego incorporarlos en los subprocesos y convertirlos nuevamente como parte del día a día.

No es posible realizar con calidad una actividad, proceso, producto o servicio, si se viola alguno de
los pasos del ciclo.

Podría decirse que la metodología PHVA no da lugar a fisuras en cuanto su propósito: se define una
meta y dejándose llevar por la sabiduría contenida en cada etapa, se llega a cumplirla quitando del
camino los obstáculos (no conformidades) que se interpongan, ya sean humanos, materiales o
financieros. Si el objetivo es realista y considera las variables del entorno, entonces siguiendo la
estrategia del Ciclo de la Calidad, la probabilidad de éxito es mayor. No debe olvidarse que en cada paso
habrá que realizar acciones tácticas y operativas para seguir adelante con dominio.