Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
 Derechos reservados 2020

Con la entrada en vigencia de la nueva versión de la norma ISO/IEC

17025:2017 se ha puesto de moda la gestión de riesgos. ¿Ya sabes
cómo implementar el sistema de gestión de riesgos en tu laboratorio?

En esta guía te voy a explicar todo lo que necesitas saber acerca de la

gestión de riesgos en tu laboratorio.

¿Qué aprenderás?
 A identificar los riesgos.
 A identificar las causas.
 A identificar las consecuencias.
 A identificar los controles.
 A cuantificar el impacto y la probabilidad.
 A determinar el nivel de riesgo.

Al final de la guía vas a ver de forma práctica cómo se gestiona la

matriz de riesgos empleando una hoja de cálculo de Excel. Para este
ejercicio verás un ejemplo real de un laboratorio, así que quédate hasta
el final.
El objetivo de este documento es establecer los lineamientos para la
identificación y gestión de los riesgos, con el fin de asegurar el
cumplimiento de los requisitos de la norma ISO/IEC 17025:2017, es
decir, la gestión de los riesgos para tu laboratorio.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Para lograrlo, debes seguir los siguientes pasos:
 Identificar los riesgos en los procesos del Sistema de Gestión de
Calidad.
 Establecer los lineamientos para la evaluación de los riesgos
identificados.
 Implementar los controles para mitigar o minimizar los impactos
negativos de los riesgos.
 Generar una cultura de seguimiento y control de los riesgos en tu
laboratorio.
La norma ISO 31000 estable algunos conceptos que vale la pena tratar,
por ejemplo, ¿sabes qué es un riesgo?
Dicha norma lo define como el efecto de la incertidumbre sobre los
objetivos, y también define el concepto de efecto, que es la desviación de
lo esperado.
En palabras más simples, el riesgo es la probabilidad de que le ocurran
cosas malas o cosas buenas a tu laboratorio, digo cosas buenas porque
el riesgo también puede ser positivo, en este caso, se le llama
oportunidad.

Ahora bien,

¿Cómo se expresa el riesgo?

El riesgo lo puedes expresar mediante una combinación de
consecuencias y probabilidades. Más adelante voy a profundizar en
estos dos conceptos.
La gestión de riesgos, así como la gestión de la calidad, también tiene
un ciclo. Este ciclo está dividido en 4 partes, una fase que define el
contexto del laboratorio, una fase para el levantamiento de la matriz de
riesgos, una fase para el seguimiento y una fase para la evaluación del
sistema de gestión.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
De este ciclo lo que nos interesa, a ti y a mí, es la parte de la
construcción de la matriz de riesgos.
Esta matriz se construye en tres etapas que son: la identificación de los
riesgos, descripción y calificación de los controles y el análisis y
valoración de los riesgos con los controles.

Empecemos con la fase uno del ciclo de Gestión de

Riesgos
La primera fase es el contexto del laboratorio. En esta etapa debes ser
capaz de analizar y describir los factores internos y externos que
afectan a tu laboratorio.
Dentro de los factores externos puedes describir cómo afecta al
laboratorio las políticas del gobierno, el entorno económico de tu región,
la tecnología, las leyes internas o externas, el medio ambiente, etc.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Detalla todo lo que más puedas, pero ten presente que debes describir
solo aquellos factores que tienen un impacto, ya sea positivo o negativo,
en tu laboratorio.
Dentro de los factores internos puedes detallar aquellas situaciones
internas que afectan al laboratorio, como las políticas internas, la
infraestructura, los equipos, el personal, los métodos, etc.

Fase dos. La matriz de riesgos

Una vez que tengas muy claro el contexto de tu laboratorio, es el
momento de levantar o construir la matriz de riesgos. Como dije arriba,
este proceso lo podemos dividir en tres etapas.
 La primera es la identificación de los riesgos,
 La segunda es la descripción y calificación de los controles para
mitigar los riesgos
 Y la tercera es el análisis y valoración de los riesgos con esos
controles.

La identificación del riesgo

En esta parte debes reunirte con tu equipo de trabajo y mediante alguna
estrategia, por ejemplo una lluvia de ideas, identificar los riesgos y las
oportunidades que afectan a tu laboratorio.
Existen varios tipos de riesgos, por ejemplo los estratégicos, estos se
asocian con la forma de administrar el laboratorio, aquí entra en juego la
misión, la visión, la política y los objetivos de calidad. Piensa en estos
riesgos cuando se vea amenazada la estrategia del laboratorio.
Otro tipo de riesgos son los que afectan la imagen del laboratorio, es
decir, aquellos que afectan la confianza y la percepción de las partes
interesadas hacia el laboratorio.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Existen también los riesgos operativos, estos afectan los procesos
internos, por ejemplo la recepción de muestras, los ensayos o las
calibraciones, la forma de calibrar los equipos, las compras, etc.
También están los riesgos financieros, estos afectan directamente el
presupuesto del laboratorio, la ejecución de los pagos, manejo de
excedentes, es decir, todo lo que tenga que ver con dinero.
Le siguen los riesgos de cumplimiento, estos generalmente se asocian
con la capacidad del laboratorio para cumplir con los requisitos legales,
contractuales, de ética pública y en general con su compromiso ante la
comunidad.
Y por último están los riesgos tecnológicos, estos están relacionados
con la capacidad tecnológica del laboratorio para satisfacer sus
necesidades actuales y futuras.

Tipos de riesgo: Estratégicos, de Imagen, Operativos,

Financieros, de Cumplimiento y Tecnológicos.

Dentro del proceso de identificación de los riesgos tienes que

determinar las causas y los efectos que estos tienen en el laboratorio.
Aquí es donde empiezas a alimentar la matriz de riesgos en Excel,
puedes usar cualquier otro medio, solo que en Excel se facilitan mucho
las cosas.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Las causas
¿Qué puede generar que se materialice el riesgo?
Para que el riesgo se materialice pueden existir muchos ingredientes,
por ejemplo: las personas, el entorno, los materiales, los equipos, las
políticas internas o externas, etc.
Debes identificar con mucho detalle lo que causa el riesgo, porque al
final lo que harás es tomar medidas para atacar esas causas.
Si el riesgo llegare a materializarse tendría unas consecuencias o
impactos en el laboratorio, por ejemplo: podrían haber lesiones o
muertes, pérdidas económicas, sanciones, daños ambientales,
interrupción de los servicios, etc.
Si el riesgo es positivo, es decir, es una oportunidad, entonces debes
reconocer cual sería el impacto si la oportunidad llegare a
materializarse, en este caso, podría mejorar la salud de los trabajadores,
la infraestructura podría mejorar, habrían reconocimientos, se mejorará
el medio ambiente, los servicios no tendrán interrupciones, etc.
Ahora que ya conoces las causas y las consecuencias de los riesgos en
tu laboratorio, es el momento de identificar los controles existentes para
frenar esos riesgos o potenciar las oportunidades.
Con seguridad que muchos de esos riesgos identificados en tu
laboratorio ya cuentan con los controles necesarios para reducir la
probabilidad o el impacto.
Como ves, en el formato de la matriz de riesgos debes describir el
control e identificar los registros de ese control, es decir, debe estar
disponible uno o varios formatos donde se registre información para
ese control.
Luego debes decidir si ese control disminuye la probabilidad o el
impacto, o ambos. Luego le das una calificación cualitativa y una
cuantitativa.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
 Resumiendo el tema de los controles, primero
debes hacer una descripción del control, este
control puede ser una política, un dispositivo, una
práctica, un equipo, etc. Luego determinas el efecto
de ese control, si disminuye la probabilidad, el
impacto o ambos, y por ultimo evalúas la eficacia
de ese control, es decir, tienes que darle una
calificación cualitativa y una cuantitativa.

Esta es la escala cuantitativa para evaluar la eficacia del control.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Si para un riesgo en particular tienes más de dos controles, debes
sumar las calificaciones y sacar un promedio. Si este promedio te da,
por ejemplo 2.5, debes aproximar a 3.
Una vez tengas una lista de tus riesgos y cada uno de ellos con sus
respectivos controles, es momento de evaluar el nivel del riesgo. Este
nivel simplemente es la multiplicación del impacto por la probabilidad.
Recuerda que el IMPACTO es la consecuencia que puede ocasionar al
laboratorio la materialización del riesgo, y la PROBABILIDAD es el grado
en el cual es probable que ocurra el riesgo.
La probabilidad y el impacto, al igual que los controles, también tienen
una valoración cualitativa y una valoración cuantitativa que la debes
poner en tu matriz de riesgos.

La escala para la probabilidad va del 1 al 5, veamos cada una.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Para la escala del impacto tenemos:

Hagamos un pequeño resumen de lo que llevamos hasta el momento.

Ya tienes identificado un riesgo, y has identificado unos controles que
tienen una calificación. Luego evaluaste la probabilidad y el impacto de
ese riesgo a través de unas escalas cualitativas y cuantitativas. Esta
evaluación la debes hacer teniendo en cuenta los controles existentes.
Ahora, dentro de la matriz de riesgos debes evaluar el nivel de riesgo, y
para ello solo multiplica el valor de la probabilidad por el valor del
impacto, el resultado será el nivel de riesgo.
Nivel de Riesgo = Probabilidad x Impacto
Con los valores resultantes obtendrás una clasificación para los riesgos
tal como se muestra en la siguiente tabla.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Aquí tienes cuatro zonas de riesgo, la verde para la zona baja, la amarilla
para la zona media, la naranja para la zona alta y la roja para la zona de
riesgo extrema.
Estas zonas son importantes porque te permiten saber cómo actuar
frente a los riesgos, y de esta manera tenemos:
Si el riesgo se ubica en la zona verde debes asumir el riesgo, es decir,
puedes hacerte cargo de ese riesgo sin ningún problema.
Si el riesgo se ubica en la zona amarilla, tienes la opción de asumir o de
reducir el riesgo.
Si el riesgo se ubica en la zona naranja, tienes la opción de reducir el
riesgo, evitarlo o transferirlo.
Si el riesgo se ubica en la zona roja, tienes la opción de evitar el riesgo,
compartirlo o transferirlo.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Veamos las opciones de manejo
ASUMIR. En este nivel puedes aceptar el riesgo sin necesidad de tomar
otras medidas de control diferentes a las que ya posees.
EVITAR. Debes tomar medidas encaminadas a prevenir su
materialización. Puedes por ejemplo, reforzar los controles. O puedes
tomar medidas más drásticas como por ejemplo, dejar de hacer la
actividad y de esta manera el riesgo desaparece.
REDUCIR. Debes tomar medidas encaminadas a disminuir tanto la
probabilidad y el impacto. Puedes por ejemplo reforzar los controles o
cambiarlos por otros más eficaces.
COMPARTIR. Debes involucrar a un tercero en su manejo, quien en
algunas veces puede absorber parte de las pérdidas ocasionadas por la
ocurrencia del riesgo. Un ejemplo típico son las aseguradoras de
riesgos.
Una vez establecida la opción de manejo final, debes establecer las
acciones a implementar para su manejo, el responsable de su respuesta
y el indicador que te permita medir el cumplimiento de dichas
actividades.
Terminada la matriz de riesgos solo te queda hacerle seguimiento, esto
lo puedes programar por ejemplo, cada seis meses o cada año. Dentro
de este seguimiento debes evaluar tus indicadores y tomar medidas
oportunas.
Para la fase de evaluación te recomiendo implementar auditorías
internas.
Este ciclo lo debes repetir cuantas veces sea necesario para evitar la
materialización de los riesgos, en el caso de las oportunidades debes
asegurarte de que el ciclo permita la materialización de la oportunidad.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
A continuación te muestro un ejemplo de un riesgo típico
en el laboratorio para diligenciar la matriz de riesgos
paso a paso.

Nota: Las imágenes que verás a continuación son

capturas de pantalla de la matriz de riesgos hecha
en Excel.

Lo primero que debes hacer es identificar el riesgo, para este ejemplo el

riesgo es:
“Corte de energía eléctrica dentro de las instalaciones del laboratorio”.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
A continuación debes clasificar el riesgo. De esta manera el riesgo se
clasifica como estratégico, financiero y tecnológico. Ver la figura de
arriba.
Luego debes establecer las causas:
Para el ejemplo tenemos:
 Mal servicio de la empresa de energía
 Fenómenos naturales
 Red eléctrica interna defectuosa u obsoleta
 Sobrecarga de la red interna por equipos encendidos al mismo
tiempo.
Luego debes establecer las consecuencias que tendría para el
laboratorio si el riesgo llegare a materializarse. Para este caso tenemos:
 Interrupción del servicio
 Pérdida de información
 Daño o deterioro de las muestras
 Daño o deterioro de los equipos
 Retrasos en las metas y compromisos institucionales.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Ahora debes revisar qué controles tienes disponibles dentro del
laboratorio, los registros que evidencian la aplicación del control, y
debes también analizar si los controles disminuyen la probabilidad, el
impacto o ambos, en este caso tenemos:
 Personal contratado para mantenimiento de la red y de equipos.
Como registro se tiene un contrato de prestación de servicios, y se
ha establecido que no disminuye la probabilidad pero si el
impacto.
 Planta eléctrica. Como registro se tiene un formato de
funcionamiento diario y el formato de mantenimiento anual, y se ha
establecido que no disminuye la probabilidad pero sí el impacto.
 UPS de gran capacidad que permiten trabajar hasta diez horas
continuas. Como registro se tiene un formato de funcionamiento
diario y el formato de mantenimiento anual, y se ha establecido
que no disminuye la probabilidad pero sí el impacto.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Ahora que tienes identificados los controles, debes evaluar su
eficacia a través de la escala de valores que la viste en la sección de
los controles.
Para este ejemplo, todos los controles se clasifican con un valor
cuantitativo 4 y un valor cualitativo MODERADA.
Como tienes más de un control para este riesgo, debes sacar un
promedio, en este caso el promedio de los tres valores es 4, y se
clasifica como EFICACIA MODERADA.
En este momento ya puedes evaluar el riesgo con los controles
existentes. Para ello debes dirigirte a la tabla de la escala de la
probabilidad y asignarle un valor. En este caso hemos escogido el
valor 5, ya que el riesgo se ha materializado más de una vez en el
último año.
Para evaluar el impacto haces exactamente lo mismo. Debes dirigirte
a la tabla de la escala del impacto y asignarle un valor. En este caso
hemos escogido el valor 2, ya que las consecuencias para el
laboratorio son menores.
Ten presente que estas consecuencias se han definido teniendo en
cuenta los controles. Si el laboratorio no cuenta con dichos
controles, entonces las consecuencias serían muy graves.
Para encontrar el nivel de riesgo, solo multiplica la probabilidad por el
impacto, en este caso el valor obtenido es 10 (5x2). Este valor lo
ubicas en la escala para el nivel de riesgo y obtendrás el nivel de
riesgo.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
El valor 10 corresponde a un nivel MEDIO.
Los riesgos ubicados en un nivel medio tienen varias opciones de
manejo, para este caso hemos decidido ASUMIR el riesgo.
A continuación debes establecer unas acciones preventivas, para ello
tenemos:
 Continuar con las rutinas de mantenimiento y seguimiento de
la planta eléctrica y de las UPS.
 Capacitar al personal sobre el manejo de situaciones cuando
existan cortes de energía eléctrica.
 Incluir en el plan de auditorías internas el seguimiento a la
matriz de riesgos.
Estas medidas preventivas deben tener unos responsables y un
calendario para el seguimiento.

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia
Y por último, debes establecer qué hacer en caso de que el riesgo se
materialice.
Las acciones en su orden son:
Primero. Verificar que la planta eléctrica esté funcionando bien.
Segundo. Apagar todos los equipos que no sean necesarios para
realizar los ensayos o para conservar las muestras.
Tercero. Si el tiempo de interrupción de la energía eléctrica supera el
80% del combustible disponible en la planta eléctrica, se debe iniciar
de inmediato el servicio de las UPS.
Dentro de tu sistema de gestión de calidad debes establecer una
frecuencia para el seguimiento de esta matriz de riesgos.
Esta secuencia de análisis, desde la identificación del riesgo hasta
las acciones que el laboratorio debe tomar en caso de materializarse
el riesgo, la debes realizar para cada riesgo identificado en tu
laboratorio.

Espero que esta guía te haya sido de mucha ayuda, hasta la

próxima!!

OSCAR ALEXANDER DELGADO

Director y Fundador de Especialistas Técnicos SAS

Especialistas Técnicos SAS

contacto@especialistastecnicos.com
San Juan de Pasto - Colombia