La revisión 2015 de la norma ISO 9001 plantea un nuevo y bastante interesante enfoque basado en el análisis del riesgo. Las anteriores versiones de esta norma planteaban el uso de acciones preventivas, cuyo requisito fue eliminado para tratar el sistema como un elemento preventivo en sí, mucho más sólido y fuerte, que puede actuar con claridad cuando se enfrenta a los riesgos inherentes de todo proceso.
El cambiante mercado y los distintos contextos a los que hoy en día se enfrentan nuestras organizaciones hacen que este enfoque basado en el riesgo sea vital para poder identificar y controlar las situaciones críticas mediante el Sistema de Gestión de Calidad.
Para aplicar correctamente este enfoque es necesario:
Definir el alcance
Determinar las cuestiones y los requisitos que pueden causar impacto en la planificación del Sistema de Gestión, como la complejidad de los procesos y sus interacciones, en relación con las expectativas de las partes interesadas de la organización.
Para abordar la cláusula 4.1 de la norma ISO 9001:2015, “Entendiendo la organización y su contexto”, se pueden utilizar distintas herramientas para la detección de riesgos, entre ellas:
• Análisis FODA, para identificar fortalezas, oportunidades, debilidades y amenazas. Las fortalezas y debilidades son factores internos, mientras que las oportunidades y amenazas provienen de factores externos.
• Lluvia de ideas, para conocer con mayor profundidad el análisis del contexto desde diferentes puntos de vista.
• Análisis de Modo y Efecto de Fallas (AMEF), que permite identificar fallas en productos, procesos y sistemas, así como evaluar y clasificar sus efectos y causas.
El uso de estas herramientas, solas o combinadas, permite recopilar información valiosa, clasificarla y aumentar la posibilidad de anticiparse a los efectos de los riesgos con una correcta toma de decisiones.
Identificar el riesgo
Este requisito del nuevo enfoque basado en riesgos de ISO 9001:2015 es esencial para la organización.
Una vez identificados y enumerados los riesgos con las herramientas mencionadas, el siguiente paso es diseñar las estrategias adecuadas para hacerles frente.
Es importante que la organización considere tanto los factores de riesgo internos como externos, identificándolos claramente para evitar que afecten la dirección estratégica y el propósito de la empresa.
Analizar y evaluar el riesgo
No todos los riesgos tienen el mismo impacto, ya que su capacidad de alterar los procesos de la empresa varía. Algunos serán fáciles de evitar o solucionar, mientras que otros pueden afectar significativamente los resultados. Algunos ocurrirán con menor frecuencia y serán fácilmente detectables.
Es fundamental evaluar correctamente la gravedad del efecto, la probabilidad de ocurrencia y la posibilidad de detección oportuna.
Mantener información actualizada sobre la probabilidad y las consecuencias de los riesgos permite una mejor comprensión de ellos y de las estrategias implementadas para solucionarlos.
Seguimiento y revisión
Una vez evaluados los riesgos, ¿qué se puede hacer?
Debe desarrollarse un proceso que monitorice cada riesgo de la organización y establezca un período de tiempo para su revisión y control.
Para que este enfoque basado en el riesgo funcione, se deben diseñar controles acordes a la importancia del riesgo. Como regla general: “grandes riesgos requieren grandes controles”.
Es crucial realizar revisiones periódicas para mejorar el seguimiento y la medición de los riesgos.
Al igual que en la implementación de cualquier sistema de gestión, el compromiso de la alta dirección es fundamental para revisar los procesos y el plan de tratamiento de riesgos. El éxito o fracaso de este enfoque depende en gran medida de este compromiso.
