GESTIN DEL RIESGO SEGN ISO 9001:2015

Publicado por Adriana Gmez

http://asesordecalidad.blogspot.com/2016/04/plan-de-contingencias-del-riesgo-iso.html#.WY9lnzGZLmI

Para poder realizar una buena gestin de riesgos nos tenemos que basar en la norma
ISO 31000 donde expone la metodologa a seguir para realizar una buena evaluacin
de riesgos de la organizacin.

Definicin del riesgo segn la norma ISO 31000

El riesgo se puede definir como: efectos en la incertidumbre sobre los objetivos

Un efecto es una desviacin de aquello que se espera sea positivo o

negativo
Los objetivos pueden tener aspectos diferentes (por ejemplo financieros,
salud, seguridad y metas ambientales) y se pueden aplicar en diferentes
niveles estratgicos en toda la organizacin, en proyectos, productos y
procesos).
A menudo el riesgo caracterizado por la referencia a los eventos
potenciales y a las consecuencias o a una combinacin de ellos
Tambin en las consecuencias y en la posibilidad que suceda.

El riesgo es la probabilidad de la ocurrencia de eventos por impacto de esos eventos en

las organizaciones.
PxI = R (probabilidad x Impacto = riesgo)
El riesgo puede ser una cantidad numrica o cualitativa
Proceso de la gestin del riesgo

Comunicacin y consulta (punto 5.2)

Establecimiento del contexto (punto 5.3):

Se deben identificar las reas crticas, los procesos y el personal adecuado. Integracin
de la gestin de riesgo en los sistemas de gestin ya existentes. Se debe describir las
partes de la organizacin (proceso objetivo requisito). Para ello se debe:

Construir la poltica de calidad basada en la gestin de riesgos

Disear los procesos: listas de riesgos por proceso
Disear los objetivos e indicadores con los resultados de la gestin de
riesgos

Valoracin del riesgo (punto 5.4)

Identificacin del riesgo (punto 5.4.2):

Identificar todos los posibles eventos o situaciones que pueden evitar el cumplimiento
de los objetivos del proceso de las actividades o de las personas.
Inicialmente este punto es el ms laborioso ya que se debe incluir la totalidad de posibles
riesgos de la organizacin, abarcando cada uno de los procesos de la empresa.

Cada rea de la empresa deber participar en la identificacin.

Anlisis del riesgo (punto 5.4.3):

Calificar la probabilidad y la consecuencia del riesgo identificado. Existen numerosos

modelos y herramientas para poder realizar bien este paso. Debemos escoger aquel
modelo que se adapte mejor a las necesidades de la empresa. En la norma ISO 31000
encontrareis un listado de algunos modelos que os pueden interesar. En una publicacin
posterior os indicar qu modelo acostumbro aplicar por su sencillez y os mostrar la
metodologa a seguir.

Si Calificamos la probabilidad y el impacto del riesgo identificado con la frmula PxI = R

donde:

Probabilidad: 1-bajo, 5-medio, 10-alto

Impacto: 1-bajo, 5-medio, 10-alto

Evaluacin del riesgo (punto 5.4.4):

Concluir cul es el significado del resultado de la multiplicacin de Probabilidad e

Impacto; y se debern tomar las decisiones correspondientes dependiendo de los
resultados.

Se deber mostrar una tabla de decisiones; como por ejemplo:

Riesgo 1-10 se corresponde con riesgo bajo (se debern mantener los
controles)
Riesgo 25-50 se corresponde con riesgo medio (implementar controles
a medio plazo)
Riesgo >50 se corresponde con riesgo alto (implementar controles a corto
plazo)

Tratamiento del riesgo (punto 5.5):

Una vez realizada la evaluacin se deben establecer los resultados y seleccionarlos).

Decidir si se deben eliminar, sustituir y transferir, disminuir la probabilidad, disminuir
las consecuencias y aceptar y asumir.

Monitoreo y revisin (punto 5.6)

Esta publicacin os puede ser de mucha ayuda a la hora de redactar vuestro
procedimiento especfico de gestin de riesgos que tanto como los que estis adaptando
la nueva actualizacin de la norma como los que estis implantando por primera vez la
norma ISO 9001 deberis realizarlo.

Anlisis del riesgo

Publicado por Adriana Gmez

Cmo puedo realizar el anlisis de riesgos para cumplir con los requisitos de la norma
ISO 9001:2015? Qu criterios debo seguir?

Como ya sabis, uno de los nuevos conceptos que introduce la nueva actualizacin de
la norma ISO 9001:2015, es la gestin de riesgos. Estoy realizando una serie de
publicaciones donde quiero mostraros cmo y qu debis tener en cuenta a la hora de
cumplir este requisito, adems de cmo podrais documentarlo en vuestro sistema de
gestin de calidad. Por supuesto, lo que os expongo es una metodologa entre otras,
todas vlidas, pero creo que es la ms intuitiva y sencilla, tanto para aplicarla como para
realizar su seguimiento.

De momento os he mostrado en dos publicaciones anteriores:

Nuevo requisito de la norma ISO 9001:2015: gestin de riesgos. En esta
publicacin analizo los requisitos de la propia norma.

Gestin del riesgo segn ISO 9001:2015 (procedimiento). Se establece las etapas
y la metodologa general a seguir.

En esta tercera publicacin quiero mostraros, uno de los puntos ms complicados, que
es explicar la metodologa de cmo realizar el anlisis de riesgos. Segn la norma ISO
31000, gua de referencia utilizada para desarrollar este concepto, queda descrito en el
apartado 5.4.3.

Anlisis del riesgo

Calificar la probabilidad y la consecuencia del riesgo identificado. Existen numerosos

modelos y herramientas para poder realizar bien este paso. Debemos escoger aquel
modelo que se adapte mejor a las necesidades de la empresa.

a) Establecimiento del nivel del riesgo

Para poder establecer un nivel de riesgo, primero hemos de realizar una clasificacin de
ste en funcin de la frecuencia (o probabilidad que ocurra un riesgo) y el impacto que
tiene dicho riesgo. La siguiente clasificacin la hemos identificado como A, B, C y D en
funcin de su gravedad.

A Riesgo intolerable: el riesgo requiere de una accin inmediata, el coste no debe

ser una limitacin y el no hacer nada no es una opcin aceptable. Un riesgo de tipo A
representa una situacin de emergencia y deben establecerse controles temporales
inmediatos. La mitigacin debe hacerse por medio de controles de ingeniera y/o por
factores humanos hasta reducirlos a un tipo C o preferentemente de tipo D en un periodo
de tiempo inferior a 90 das.

B - Riesgo indeseable: el riesgo debe ser reducido y hay margen para investigar y
analizar con ms detalle. No obstante la accin correctiva debe darse en los primeros 90
das. Si la situacin se demora ms tiempo deben establecerse controles temporales
inmediatos para reducir el riesgo.

C Riesgo aceptable con controles: el riesgo es significativo pero se pueden

acompaar las acciones correctivas con el paro de las instalaciones programadas. Los
medios de solucin para atender los hallazgos deben darse en los prximos 18 meses.
La mitigacin debe enfocarse en la disciplina operativa y en la confiabilidad de los
sistemas de proteccin.

D Riesgo razonablemente aceptable: el riesgo requiere de accin pero es de bajo

impacto y puede programarse su atencin y reduccin conjuntamente con otras mejoras
operativas.

b) Matriz del riesgo

La clasificacin del riesgo anterior deber ser el resultado de la valoracin de cada uno
de los riesgos identificados. Para ello es necesario, como podemos observar en la
siguiente matriz la valoracin individualizada en funcin de la probabilidad y el impacto
de cada riesgo asumido por la empresa.

Probabilidad C B A A A
5
Probabilidad C C B A A
4
Probabilidad D C B B A
3
Probabilidad D C C C B
2
Probabilidad D D D C C
1
Impacto 1 Impacto 2 Impacto 3 Impacto 4 Impacto 5

Donde se tiene evala la probabilidad de que ocurra un riesgo segn la tabla siguiente:

Probabilidad Grado Valor

1 Sera excepcional 1
2 Es raro que suceda 2
3 Es posible 3
 4 Muy probable 4
5 Ocurre seguro 5

De igual manera hemos establecido los criterios para valorar el grado de impacto en la
siguiente tabla:

Impacto Grado Valor

1 Insignificante 1
2 Pequeo 2
3 Moderado 3
4 Grande 4
5 Catastrfico 5

c) Evaluacin de las perspectivas

Para cada indicador de proceso y objetivo de calidad deberemos evaluar las diferentes
perspectivas que pueden influir en la valoracin global del riesgo.

Las diferentes perspectivas son:

La financiera: evaluacin de la prdida o ganancia econmica.

Clientes: Debido a un riesgo que afectacin puede tener con el cliente
Mapa de procesos: que influye el riesgo en los procesos de la empresa
Formacin y RRHH: Qu afectacin puede tener con la capacitacin del personal,
aprendizaje y crecimiento.
Socios: reparto de ganancias entre los socios

Partes interesadas: afectacin a las partes interesadas.

Por lo tanto, deberemos primero identificar cada uno de los riesgos de la empresa, y
posteriormente, de forma individualizada evaluar la probabilidad que ocurra un riesgo y
el impacto de cada perspectiva. El valor medio obtenido de los resultados de la
evaluacin de todas las perspectivas ser el valor final de la evaluacin de riesgos para
un determinado indicador de proceso.
Plan de contingencias del riesgo ISO 9001:2015
Publicado por Adriana Gmez

Algunos de vosotros, me habis solicitado, un ejemplo de cmo elaborar un plan de

contingencias de riesgos, con la finalidad de cumplir con la norma de referencia.

Qu es un plan de contingencia de riesgos? Debemos incorporarlo en nuestra

gestin de riesgos? Es un requisito de la norma ISO 9001:2015?

Este artculo pertenece al conjunto de publicaciones que os ofrezco para realizar una
gestin de riesgos adecuada y que cumpla con los requisitos de la nueva actualizacin
de la norma ISO 9001.

Primero de todo hemos de definir Qu es un Plan de Contingencia?

Es una forma de organizarse para actuar frente a un evento posible. El Plan

de contingencia establece las medidas a tomar, las tareas a realizar, los recursos que
se necesitan y las indicaciones a fin de disminuir los daos que puede ocasionar.

Qu pasos hay que realizar antes de establecer un plan de contingencias?

Debemos establecer y definir una metodologa para gestionar el riesgo de los procesos
(ver aqu), as como identificar cada uno de los riesgos de los procesos de la empresa.

Posteriormente, se deber establecer los criterios y parmetros a seguir para el anlisis

del riesgo (ver aqu). En este punto, se realizar una clasificacin de riesgo con una
descripcin de las estrategias a seguir para cada una de las tipologas del riesgo.
Una vez establecidos los criterios, se realizar la evaluacin de riesgos propiamente
dicha (ver aqu), donde se obtendrn valores numricos a la evaluacin de los diferentes
aspectos para cada uno de los riesgos.

La norma requiere que se debe planificar, verificar y vigilar el monitoreo y revisin (ver
aqu). Para poder cumplir con este aparatado, es necesario un plan de contingencias,
donde se especifique, para cada riesgo evaluado, que estrategia y qu medidas
debemos tomar.

Os pondr un ejemplo, siguiendo el criterio que he elegido en las publicaciones

anteriores. Como hes comentado, este es slo un ejemplo, existen numerosas tcnicas,
igual de vlidas que cumplen con el requisito de la norma.

Pasos a seguir en el ejemplo:

Se identifican los riesgos de los procesos de la empresa.

Se define el riesgo como la probabilidad que ocurra un evento por impacto; por lo tanto:
R= IxP

Se establecen los criterios y la clasificacin de dichos riesgos:

A Riesgo intolerable: el riesgo requiere de una accin inmediata, el coste no debe

ser una limitacin y el no hacer nada no es una opcin aceptable. Un riesgo de tipo A
representa una situacin de emergencia y deben establecerse controles temporales
inmediatos. La mitigacin debe hacerse por medio de controles de ingeniera y/o por
factores humanos hasta reducirlos a un tipo C o preferentemente de tipo D en un periodo
de tiempo inferior a 90 das.

B - Riesgo indeseable: el riesgo debe ser reducido y hay margen para investigar y
analizar con ms detalle. No obstante la accin correctiva debe darse en los primeros 90
das. Si la situacin se demora ms tiempo deben establecerse controles temporales
inmediatos para reducir el riesgo.

C Riesgo aceptable con controles: el riesgo es significativo pero se pueden

acompaar las acciones correctivas con el paro de las instalaciones programadas. Los
medios de solucin para atender los hallazgos deben darse en los prximos 18 meses.
La mitigacin debe enfocarse en la disciplina operativa y en la confiabilidad de los
sistemas de proteccin.

D Riesgo razonablemente aceptable: el riesgo requiere de accin pero es de bajo

impacto y puede programarse su atencin y reduccin conjuntamente con otras mejoras
operativas.

Se establecen los criterios de clasificacin:

Riesgo 1-3 se corresponde con riesgo bajo (Riesgo de tipo D)

Riesgo 4-8 se corresponde con riesgo medio (Riesgo de tipo C)
Riesgo 9-14 se corresponde con riesgo alto (Riesgo de tipo B)
Riesgo 15-25 se corresponde con riesgo muy alto (Riesgo de tipo A)

Y se establece una tabla de correlaciones:

Probabilidad 5 5 10 15 20 25

Probabilidad 4 4 8 12 16 20

Probabilidad 3 3 6 9 12 15

Probabilidad 2 2 4 6 8 10

Probabilidad 1 1 2 3 4 5

Impacto 1 Impacto 2 Impacto 3 Impacto 4 Impacto 5

Y se evala cada uno de los aspectos del riesgo identificado, y se punta. Al final
tendremos un riesgo y una clasificacin. Una vez que hemos evaluado cada uno de los
riesgos, tenemos que saber qu tratamiento debemos hacer con cada uno de ellos, y
para eso debemos realizar un plan de contingencias, como el siguiente:
 RESULTADO
ID ACTIVIDAD/FASE RIESGO CONSECUENCIA ESTRATEGIA RESP. DISPARADOR
EVALUACIN

Cambios en los Evitar y si

criterios de diseo a sucede Comunicaci
1 General Coste / Plazo A IS
peticin de la Mitigar n
constructora. renegociando
Evitar y si
Cambios de criterio
sucede Comunicaci
2 General o imposiciones de la Coste / Plazo B IS
Mitigar n
Administracin.
renegociando
Retraso en la
Seguimiento de Evitar. Deteccin
realizacin de la
3 campaa Plazo C Supervisin MA por
campaa
geotcnica directa. supervisor
geotcnica.
Comunicaci
Incumplimiento o Mitigar.
Plazo / n o deteccin
4 General quiebra por parte de C Supervisin IS
Calidad por jefe de
proveedor. directa.
proyecto

Debemos identificar:

- La actividad o fase del proceso al que pertenece

- El riesgo evaluado
- La consecuencia
- El resultado de la evaluacin
- La estrategia a seguir
- El responsable de aplicar la estrategia
- El disipador del riesgo

Se podra aadir otra columna donde se establezca el plazo para mitigar el riesgo, o
aplicar la estrategia, y los recursos a utilizar.
Posteriormente se tendr que realizar el seguimiento y verificar el cumplimiento de este
plan de contingencias.

Lo he querido hacer por partes, para que fuera ms sencillo su entendimiento, pero la
realidad es que podis fusionar registros, y evitar as la duplicidad de documentos. Podis
aprovechar el listado de riesgos e incluirlo en el plan de contingencias, y as eliminis un
registro extra.