Gestión de Riesgos es el nuevo desafío de ISO
Gestión de riesgos, es uno de los cambios que más revuelo ha generado la norma ISO 9001 2015 ha sido el enfoque basado en riesgos y la identificación de riesgos y oportunidades.
La norma ISO 9001 2015 ha dado una vuelta de tuerca a la gestión de riesgos, pero lo cierto es que estos ya se gestionaban en las versiones anteriores de la norma mediante las acciones correctivas y las acciones preventivas. Las acciones preventivas desaparecen en la nueva versión de la norma, ya que ahora la norma ISO 9001 2015 se vuelve preventiva en sí misma.
El revuelo viene de forma mayoritaria por no saber cómo enfrentarse a la gestión de riesgos y oportunidades a la hora de tener en cuenta como algo nuevo, cuando realmente sólo tenemos que adaptar un poco lo que ya veníamos haciendo.
Hemos oído hablar mucho sobre los procedimientos de gestión de riesgos, aunque la norma no dice en ningún momento que se obligatorio. Es necesario que tengamos en cuenta las características de cada organización. No es lo mismo una pequeña empresa que una multinacional. Debemos tener en cuenta que debemos seleccionar la mejor opción para nuestra organización, pero con mesura y, sobre todo, con un orden lógico.
¿Qué dice la norma ISO 9001 2015 sobre la Gestión de Riesgos y Oportunidades?
El apartado 6.1 especifica que la empresa deberá planificar las acciones que debe llevar a cabo para abordar los riesgos, no hay ningún requisito en cuanto a métodos formales para realizar la gestión del riesgo ni un proceso documentado de la gestión del riesgo. Las empresas pueden decidir si desarrollar o no una metodología de la gestión del riesgo más amplia de lo que requiere la norma ISO 9001 2015, por ejemplo, mediante la aplicación de otra orientación u otras normas.
No todos los procesos de un sistema de gestión de la calidad representan el mismo nivel de riesgo en términos de capacidad de la organización en cumplir con los objetivos y los efectos de la incertidumbre no son los mismos para todas las empresas. Bajo los requisitos del apartado 6.1 la organización es responsable de la aplicación del pensamiento basado en riesgos y de las acciones que toma para abordar los riesgos, incluyendo si conserva o no la información documentada como evidencia de su determinación de riesgos.
¿Qué metodologías existen?
La definición del riesgo cubre toda una amplia gama de sucesos de diferentes naturalezas, por ello, se han desarrollado diferentes modelos de gestión. Algunos son propios por sector de actividad y otros se especializan en el tratamiento de algún tipo de riesgo.
Veamos algunos de los estándares para tratar los riesgos de forma específica, sin importar el tamaño o sector de la organización:
- ISO 27000 para los sistemas de seguridad de la información.
- ISO 22000 para el control de riesgos alimentarios.
- COBIT e ITL para riesgos tecnológicos.
- PMBOK para gestión de riesgos en procesos.
- ISO 14000 para la gestión de riesgos de naturaleza ambiental.
- OSHAS 18001 para la gestión de la seguridad y salud ocupacional.
Otros Tipos de estandades
También existen estándares para gestionar todo tipo de riesgos, sin importar su naturaleza y la organización en la que se produzcan:
- COSO Es la metodología más extendida e implementada a nivel internacional, dedicada a proveer marcos y orientaciones sobre la gestión del riesgo empresarial, control interno y la disuasión del fraude.
- IRM Son estándares de gerencia de riesgos que considera las consecuencias positivas y negativas en todo tipo de organizaciones y actividades en el corto y largo plazo
- AS/NZ 4360:2004 publicado por la organización de estandarización de Australia y Nueva Zelanda, acaba de ser sustituido por el estándar AS/NZ ISO 31000:2009.
- NS 5814:1991 Es un estándar noruego que propone unas líneas de actuación para el tratamiento de los riesgos enfocado a la propuesta de mejoras y la consecución de las mismas.
- ISO 31000: 2009 “Gestión del riesgo. Principios y orientaciones”, que recoge y unifica todos los estándares mencionados. Está diseñado para que cualquier tipo de organización pueda identificar y evaluar todos sus riegos de una forma estructurada.
- ISO 31010: 2009 “Gestión del riesgo. Técnicas de evaluación de riesgos”, diseñadas para facilitar la aplicación de la norma ISO 31000 en los procesos de identificación y evaluación del riesgo.
¿Qué metodología debería seleccionar?
Cada organización deberá ajustar sus necesidades, por esto que debes seleccionar una metodología que te sea fácil de asimilar y de la que puedas sacar el máximo provecho. De nada sirve tenerlo todo perfectamente desarrollado según alguna de la metodología si no te sirve de nada y en el momento de la verdad, se te viene todo el sistema abajo.
Independientemente de la metodología que utilice, deberá tener en cuenta los siguientes pasos:
- Identificar los riesgos que le afectan
- Evaluar los riesgos
- Establecer las acciones necesarias e implementarlas
- Evaluar las acciones llevadas a cabo
- Mejorar, si fuera necesario
Información documentada sobre gestión de riesgos y oportunidades
No es obligatorio tener un procedimiento de riesgos y oportunidades, aunque sí recomendable, por la novedad del tema.
Quantum Consultora puede ayudarte a implementar, la Gestión de Riesgos. Contáctanos.