¿Qué es el enfoque basado en el riesgo?
La continuidad de los negocios en el marco de los gigantescos cambios que experimenta la sociedad actual, demanda en los profesionales y en las organizaciones, competencias cada vez más diversas. En este sentido las organizaciones están llamadas a revisar sus estrategias de capacitación de forma de asegurar la disponibilidad de personal con la calificación apropiada en línea con sus necesidades actuales y su planificación futura.
En este artículo comentamos el enfoque del riesgo en las normas ISO 9001, 31000 y 17025, dirigido a personas que gestionan riesgos, toman decisiones y que están obligados a mejorar el desempeño y lograr los objetivos como parte de su gestión dentro de las organizaciones.
Las organizaciones deben visualizar los diferentes escenarios considerando los riesgos asociados a su operatividad, así como adoptar mecanismos que permitan evaluar estos riesgos, su vigencia y amplitud a todo nivel de la organización y en todo momento.
La norma ISO 31000 Administración/gestión de riesgos
Lineamientos guía, apoya a las organizaciones de cualquier tamaño para establecer sus estrategias, tomar decisiones basadas en los riesgos que enfrenta y así procurar el logro de sus objetivos. Esta norma considera los aspectos internos de la organización, así como los externos, incluyendo el comportamiento humano y los factores culturales..
La materia del riesgo ha sido ampliamente tratada por la ISO a través del comité correspondiente mediante las siguientes normas.
- ISO 31000 Gestión del riesgo. Guía.
- IEC 31010 Gestión de riesgos. Técnicas de evaluación de riesgos.
- ISO 31022 Gestión de riesgos. Guía para la gestión del riesgo legal.
- ISO 31030 Gestión de riesgos de viaje. Guía para organizaciones.
- ISO 31050 Gestión de riesgos para mejorar la resiliencia.
- ISO Guía 73 Gestión de riesgos. Vocabulario.
Lo que indica que, para todo los ámbitos existe riesgo, y que el conocerle y además dimensionarle permite mitigarlo y posiblemente eliminarlo y procurar cumplimiento de objetivos planteados originalmente.
ISO 9001 Requisitos de los sistemas de gestión de la calidad
De manera similar la norma madre ISO 9001 Requisitos de los sistemas de gestión de la calidad en su edición del 2015 introduce grandes cambios sobre la organización de la información denominada de alto desempeño, incorpora además el enfoque a procesos, la evaluación por desempeño (ciclo PHVA) y el pensamiento basado en riesgos.
El ciclo planificar, hacer, verificar y actuar permite estar seguro de que los procesos cuenten con recursos y que estos se gestionen adecuadamente, que las oportunidades de mejora se determinen y se actúe en consecuencia.
El pensamiento basado en riesgos abordado por la ISO 9001:2015 permite a las organizaciones detectar las alteraciones dentro de los procesos por la acción de algún factor de riesgo, admitiendo adoptar soluciones o implantar alguna metodología que permita abordar positivamente el riesgo y encaminar nuevamente hasta obtener los resultados planificados o simplemente pasar a otra estrategia y re direccionar los objetivos particulares. Es en este momento en el que la visualización de nuevas oportunidades cobra valor y quizás surjan nuevas líneas de negocio.
Toda organización necesita planificar e implementar acciones para abordar los riesgos y también las oportunidades.
Proceso PHVA
(Norma ISO 9001)
- Planificar: establecer los objetivos del sistema y sus procesos. Recursos necesarios para generar y proporcionar resultados de acuerdo con los requisitos del cliente y las políticas de la organización, e identificar y abordar los riesgos y las oportunidades.
- Hacer: implementar lo planificado.
- Verificar: realizar el seguimiento y (cuando sea aplicable) la medición de los procesos y los productos y servicios resultantes respecto a las políticas, los objetivos, los requisitos y las actividades planificadas, e informar sobre los resultados.
- Actuar: tomar acciones para mejorar el desempeño, cuando sea necesario.
ISO 17025 Requisitos generales para la competencia de los laboratorios de ensayo y calibración
La norma ISO 17025 Requisitos generales para la competencia de los laboratorios de ensayo y calibración en su versión del 2017 contempla con particular relevancia el pensamiento basado en riesgos, el cual permite activar acciones preventivas para eliminar las no conformidades potenciales, analizar las que ocurran y tomar acciones para evitar su ocurrencia, de esta manera alcanzar mejores resultados y prevenir efectos negativos. Al abordar los riesgos se incrementa la eficacia del sistema de gestión, mejoran los resultados y previene los resultados negativos en el laboratorio.
¿En qué momento la ISO 3100 habla de riesgos?
La norma ISO 3100 en su totalidad habla de riesgos, ya que ofrece los lineamientos para administrar y gestionar los mismos dentro de cualquier organización y es aplicable a cualquier nivel de la organización en cualquier momento.
Esta norma presenta los principios, marco de referencia y procesos, los cuales son descritos en los capítulos 4, 5 y 6 respectivamente.
En esta norma se enfatiza que la gestión de riesgos es parte de todas las actividades asociadas con la organización e incluye la participación de las partes interesadas. Además, considera los contextos interno y externo de la organización, incluyendo el comportamiento humano y los factores culturales (capitulo 6).
En el capítulo 4 se abordan los principios, que a su vez involucra la creación y protección del valor a través de una serie de elementos que van desde la integración de la gestión del riesgo a las actividades de la organización, hasta la mejora continua mediante el aprendizaje y experiencia. Incluye los factores humanos y los culturales como factor influyente a todos los niveles de la organización. El aspecto de dinamismo de la gestión del riesgo el cual indica que el riesgo podría aparecer, cambiar o desaparecer con el contexto y que con el enfoque basado en riesgo la organización debe anticipar, detectar, reconocer y responder a esos cambios de manera oportuna. De la misma manera el manejo de riesgo se debe adaptar y actuar proporcionalmente de acuerdo con los contextos interno y externo de la organización y siempre alineados con sus objetivos.
El capítulo 5, denominado marco de referencia está directamente relacionado con el liderazgo y el compromiso mediante la integración, diseño, implementación, evaluación y mejora. Dirigido a apoyar a la organización a integrar la gestión del riesgo a todas las actividades y funciones.
La evaluación y las mejoras se logran con la medición periódica del desempeño, los planes para la implementación y sus indicadores.
El capítulo 6 denominado proceso de administración/gestión de riesgos implica la aplicación de las políticas, procedimientos y prácticas.
La identificación, el análisis y evaluación de riesgos en la organización conforma como tal la evaluación de riesgos, esta norma considera una cantidad de tópicos dentro de este proceso entre los que se encuentran los siguientes.
- Comunicación y consulta: Apoyo a las partes interesadas para conocer y divulgar las razones por las que son necesarias acciones específicas, procurando la retroalimentación para apoyar la toma de decisiones.
- Alcance, contexto y criterios: Implica definir el alcance del proceso y comprender los contextos interno y externo. Esto con el fin de permitir una evaluación de riesgos efectiva y un tratamiento apropiado.
- Tratamiento de riesgos: Seleccionar e implementar opciones para tratar los riesgos, de manera interactiva.
- Seguimiento y revisiones: Su propósito es asegurar y mejorar la calidad y efectividad del diseño, la implementación y los resultados del proceso. Sus resultados deben ser una parte planeada del proceso de la gestión de riesgos, con responsabilidades claramente definidas y deberían tener parte en todas las etapas del proceso.
- Registros e informes: Su finalidad es comunicar las actividades de la gestión de riesgos y sus resultados a toda la organización; ofrecer información para la toma de decisiones; mejorar las actividades de la gestión de riesgos; apoyar en la interacción con las partes interesadas, incluyendo a las personas que tienen la responsabilidad y la obligación de rendir cuentas de las actividades de la gestión de riesgos. El reporte es una parte integral de la gobernanza de la organización
¿En qué momento la ISO 9001 habla de riesgos?
La norma ISO 9001 indica que la organización debe establecer, mantener y mejorar continuamente el sistema de gestión de calidad y sus procesos y abordar los riesgos y oportunidades determinados (4.4.1). Esto significa que la organización debe planificar las acciones para abordar los riesgos y oportunidades (evitar o asumir riesgos).
Es un hecho que el liderazgo de la organización debe promover el uso del enfoque a procesos y el pensamiento basado en riesgos, como parte de sus atribuciones de liderazgo y compromiso (5.1).
En cuanto a la conformidad de los productos y servicios y la capacidad de aumentar la satisfacción al cliente es determinante la consideración de los riesgos y oportunidades, que en el peor de los casos podría acarrear el cierre de operaciones de una actividad comercial.
Es importante que la alta gerencia o dirección se involucre para dar el enfoque al cliente de manera congruente con los objetivos de la organización (5.1.2).
Más adelante en la ISO 9001 refiriéndose al análisis y evaluación sugiere la toma de acciones eficaces para abordar los riesgos y oportunidades al momento de evaluar los datos e información que se originan por el seguimiento y la medición. Esto es parte del seguimiento, medición, análisis y evaluación en la organización (9.1). Al igual que otros puntos de la norma la dirección debe hacer la revisión la cual debe planificarse y considerar la eficacia de las acciones tomadas para abordar los riesgos y las oportunidades.
En el aparte 10 se aborda aspectos de mejora en la cual se consideran las acciones cuando aparece una no conformidad y una acción correctiva, originada por quejas. Lo cual está relacionado directamente con riesgo. En cuyo caso de ser necesario deberán evaluar las razones de la ocurrencia y actualizar los riesgos y oportunidades que han sido planificados.
¿En qué momento la ISO 17025 habla de riesgos?
La norma ISO/IEC 17025 en su edición del año 2017 habla del riesgo en los requisitos generales punto 4, específicamente en el punto 4.1 sobre la imparcialidad, punto 4.2 confidencialidad, en el punto 7.8 dentro de no conformidades y trabajos no conformes al documentarlo en el informe de resultados, además dentro de los requisitos del sistema de gestión (8.5, 8.6, 8.7, 8.9).
Un laboratorio debe ser imparcial a la hora de emitir un resultado y debe evaluar los riesgos de las relaciones o actividades comprometedoras. Las relaciones al momento de adquirir recursos, realizar una gestión, promover una marca, o el pago de comisiones por concepto de ventas podrían poner en peligro su credibilidad u opacar su imparcialidad. De presentarse algo parecido el laboratorio debe demostrar cómo se elimina o minimiza este riesgo.
Un aspecto de gran relevancia con relación al riesgo es presentado el punto 7.8.6 y está relacionado con la conformidad de un resultado donde la propia norma establece que en una declaración de conformidad con relación a una norma o especificación se debe documentar los criterios de aceptación o rechazo, ya que el impacto sobre la actividad de producción o servicios es de las más altas en las actividades del laboratorio.
En el caso de que exista un trabajo no conforme relacionado con aspectos técnicos asociados a los métodos de ensayo la norma 17025 contempla los requisitos para evitar esos riesgos.
Dentro de la sección requisitos del sistema de gestión (8), la norma indica que los riesgos deben ser asociados a cada una de las actividades de manera de asegurar que el sistema de gestión logre los resultados previstos, mejore las oportunidades de lograr el propósito y objetivos del laboratorio, así como prevenir o reducir los impactos no deseados. El laboratorio debe planificar las acciones para abordar estos riesgos y oportunidades y hacerlo de una manera proporcional a su impacto sobre la validez de los resultados.
En cuanto a las mejoras, deberán ser identificadas, y en su momento implantar acciones que las incorporen. En estos casos las auditorias forman parte importante, ya que ayuda a evidenciar estas oportunidades de mejoras, e invita a tomar acciones para su implementación.
El aspecto del dinamismo de un sistema basado en riesgo queda manifiesto cuando se actualiza de manera pronta los riesgos y oportunidades al momento de detectar una no conformidad.
Finalmente, y no por ello menos importante están las revisiones y registros realizados por la dirección, en la que deben incluir información relacionada con la identificación de los riesgos y la planificación para el abordaje de los riesgos.
Un sistema de gestión de riesgo deberá garantizar que las empresas sean capaces de detectar el riesgo, para así tomar acción a tiempo y a su vez evaluar la amenaza de su existencia. Adicionalmente considerar la oportunidad de crecimiento y o mejora al incorporarlo o erradicarlo, mientras continua la operatividad de los procesos en la organización.
Las tendencias normativas de la ISO explícitamente requieren de la evaluación y valoración de los riesgos, y la integración al sistema de gestión.
La organización, incluyendo las de laboratorios, debe planificar y aplicar medidas que permitan tratar los riesgos y las oportunidades.
Si bien es cierto que por el tamaño de los laboratorios y por la complejidad de sus operaciones no se requiere implantar un sistema de gestión de riesgo los laboratorios, todos los aspectos indicados en la ISO 31000 deben ser considerados para el logro de las metas de las organizaciones.
Es de vital importancia que los laboratorios y los evaluadores de los organismos de acreditación conozcan los fundamentos para la gestión de los riesgos de acuerdo a la norma ISO 31000 para así facilitar la implantación de la nueva versión de la norma ISO/IEC 17025 y su posterior acreditación.
Sobre el Autor: Ing. Fernando M. Rovira B. Actualmente trabaja en la implementación de Sistemas de Control y Aseguramiento de la Calidad para laboratorios, basados en las normas ISO/IEC 17025. Con experiencia en perforación de pozos, laboratorios de ensayos mecánicos y metalúrgicos en la industria petrolera de Venezuela y México.