Saltar al contenido
Software de gestión normas ISO

Gestión de riesgos

Gestión de riesgos

En este curso vamos a desarrollar qué es la gestión de riesgos en el entorno de la norma ISO 9001 y su aplicación informatizada en el software GESISO.

¿Qué es la gestion de riesgos?

Hay muchas definiciones sobre la gestión de riesgos. La más tradicional es…

La gestión de riesgos es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, que se puede materializar provocando un impacto, a través de una secuencia de actividades que incluyen la identificación, el análisis y la evaluación de riesgo, para luego establecer las estrategias de su tratamiento.

La norma ISO 9001 nos pide un enfoque basado en el riesgo incluyendo la toma de acciones para abordar los riesgos y oportunidades con el fin de asegurar que el sistema de gestión de la calidad pueda lograr sus resultados previstos, aumentar los efectos deseables, prevenir o reducir efectos no deseados y lograr la mejora.

Los riesgos y oportunidades que identifiquemos se tienen que asociar a los procesos.

Cómo vemos entre la definición tradicional y el requisito de la norma ISO 9001 hay diferencias, una habla solo de amenazas y la otra incluye las oportunidades.

Estas diferencias plantean dudas en las empresas, porque ven claros los riesgos que tienen en sus actividades (procesos), pero no ven tan claro las oportunidades que puedan surgir de un riesgo.

¿Qué es un riesgo?

Definiremos el RIESGO como la conjunción de…

  • Una fuente de riesgo
  • Un evento (suceso) que se puede producir
  • Un impacto que se produce si se produce el evento
  • Unas causas que han provocado que se produzca el evento

Por lo tanto un riesgo tendrá una estructura como esta…

Ejemplo de riesgo

Posteriormente continuaremos viendo qué es una fuente de riesgo, un evento o suceso, un impacto y una causa.

Como estamos en un curso de ISO 9001 empezaremos…

Buscando las oportunidades

Es dificil encontrar oportunidades a través de los riesgos. Si se pueden producir en el ámbito financiero, legal, político,… pero es raro que se puedan producir sobre los riesgos asociados con los procesos de valor añadido.

Por ejemplo… un riesgo que puede tener una empresa de importación o exportación es el cambio de divisas. Una fluctuación en el cambio de divisas puede producir un impacto negativo o positivo. En un caso sería un riesgo y en el otro una oportunidad, pero es muy dificil planificar acciones sobre ella porque no la controlamos.

Por lo tanto, en este curso, vamos a buscar las oportunidades a través de la evaluación del contexto externo de la empresa, que es dónde identificaremos factores externos de contexto relacionados con el ámbito estratégico, financiero, legal, político,…

Tenemos que elaborar una lista de oportunidades y amenazas (factores externos) en la en la empresa y su entorno (mercado, competidores, finanzas, legislación, político,…).

Cómo ejemplo de oportunidades para una planta de hormigón serían…

  • Político.- Está proyectada y en fase de aprobación la circunvalación de la ciudad mediante una autovía.
  • Mercado.- Una promotora va a construir una urbanización a las afueras de la ciudad.

Cómo hemos visto anteriormente la norma ISO 9001 nos pide que definamos acciones para abordar los riesgos y oportunidades, por lo que nuestro consejo es que se definan objetivos sobre las oportunidades detectadas en el análisis de contexto y se planifique su desarrollo.

Les mostarmos unas imágenes de ejemplo del software GESISO…

La gestión de riesgos

Una vez hemos visto cómo podemos identificar las oportunidades de nuestra empresa ahora vamos a ver cómo vamos a identificar los riesgos y cómo tratarlos.

Anteriormente hemos definido el riesgo cómo la conjunción de…

  • Una fuente de riesgo
  • Un evento (suceso) que se puede producir
  • Un impacto que se produce si se produce el evento
  • Unas causas que han provocado que se produzca el evento

Vamos a definir qué es cada parte del riesgo…

Fuentes de riesgo.

Las fuentes de riesgo es dónde se puede producir los riesgos en la gestión de la empresa.

Las fuentes del los riesgos están incluidas en el software GESISO y están organizadas en una taxonomía a tres niveles donde contemplamos:

Naturaleza del riesgo: Actividad principal de la organización, entorno interno o externo donde se produce el riesgo.

Grupo del Riesgo: Grupo de actividad o entorno perteneciente a una misma naturaleza del riesgo

Familia del riesgo: Agrupación de elementos de las mismas características que pertenecen a un mismo grupo y a una misma naturaleza del riesgo.

Por ejemplo… la fuente de riesgo de un proceso sería OPERACIONAL (naturaleza) – PROCESOS (grupo) – NOMBRE DEL PROCESO (familia)

Ejemplo de taxonomía de los riesgos del software GESISO…

Eventos de riesgo (suceso)

Los eventos de riesgo (sucesos) son aquellos sucesos que, en caso de materializarse, exponen a la empresa a sufrir un impacto.

La identificación de los eventos la realizaremos mediante reuniones con los responsables de departamentos buscando… ¿Qué nos puede ocurrir?.

De cada evento identificado se definirá como mínimo:

  • Nombre del evento.
  • Valoración inicial del evento en base a su dificultad de localización (1 a 5), su probabilidad de ocurrencia (1 a 5) y su gravedad si se produce (1 a 5)
  • Valor aceptable del evento
  • Valor calculado del evento

Si es usuario del software GESISO además debe definir:

  • Punto del sistema de gestión dónde se puede asignar si el evento se produce (para asignaciones posteriores).

En las imágenes les mostramos los eventos sobre el software GESISO…

Impactos (o consecuencias)

El impacto de un riesgo es el resultado que se obtiene cuando se produce un evento (o suceso)

Se mide por la gravedad de sus consecuencias.

De cada impacto identificado se definirá:

  • Nombre identificativo del impacto
  • Gravedad estimada si se produce
  • Acción de emergencia (acción inmediata) si se produce
  • Acción de contingencia si se produce

En las imágenes les mostramos los impactos sobre el software GESISO…

Causas (o vulnerabilidades)

Las causas de los riesgos determinan las debilidades o vulnerabilidades internas o externas de la empresa que pueden provocar que se produzca un evento (o suceso) y, como resultado, se produzca un impacto.

Se miden por su probabilidad de que ocurran.

De cada causa identificada se definirá:

  • Nombre identificativo de la causa
  • Probabilidad de que ocurra
  • Acción de mitigación o preventiva de la causa o vulnerabilidad

En las imágenes les mostramos los impactos sobre el software GESISO…

Conjunto de evento

El conjunto de evento es la unión de un evento + un impacto + una causa

Gestión de riesgos - Conjunto
Conjunto de Evento

La definición del conjunto de evento se consigue:

  • Vinculando al evento de riesgo los impactos que se producen si el evento se materializa
  • Vinculando al evento de riesgo las causas que pueden provocar que se materialice
  • Definiendo las acciones de mitigación para minimizar las posibilidades de que el evento de riesgo se materialice.
  • Definiendo las acciones de emergencia y contingencia a desarrollar para hacer frente o limitar el impacto.

Si es usuario del software GESISO las vinculaciones son sencillas y el programa «arrastra» las acciones de mitigación definidas en las causas y las acciones de emergencia y contingencia definidas en los impactos

Ejemplo sobre el software GESISO…

Vinculación de los conjuntos de eventos con los procesos. Cadena de riesgo

La cadena de riesgo es la conjunción de un conjunto de evento con la fuente de riesgo dónde se puede producir.

Gestión de riesgos - Cadena

La norma ISO 9001 nos pide que los riesgos que identifiquemos se tienen que asociar a nuestros procesos.

Por lo tanto nuestra siguiente misión es unir cada conjunto de evento con los procesos que le correspondan, formando cadenas de riesgo o riesgos finales identificados.

Esta unión la tenemos que realizar con cuidado, ya que se nos pueden multiplicar los riesgos identificados de una manera no deseada.

Por ejemplo… en la figura anterior tenemos un evento asociado a 2 impactos y a dos causas (la causa 2 se repite). Al realizar las uniones se nos formarán 3 conjuntos de evento

Evento 1 + impacto 1 + causa 1 Evento 1 + impacto 1 + causa 2 Evento 1 + impacto 2 + causa 2

Si los 3 conjuntos de eventos los unimos con los 3 procesos (fuentes del riesgo) obtendremos 9 riesgos finales identificados.

En la siguiente ficha de ayuda del software GESISO puede ver cómo se realiza…

Debe vincular conjuntos de eventos a todos los procesos que haya definido.

Cada unión que realicemos entre un Conjunto de Evento con un Proceso nos dará lugar a un Riesgo identificado.

En este ejemplo del software GESISO vemos el cuadro de mando de gestión de riesgos con los riesgos identificados…

Gestión de riesgos. Valoración del riesgo.

Anteriormente hemos identificado los riesgos asociados a cada proceso.

Ahora tenemos que valorar la exposición al riesgo que tenemos de cada uno de ellos.

Valoración de los riesgos

Los riesgos los valoraremos por…

  • la dificultad de localización del evento
  • la probabilidad de que se produzca la causa y se produzca el evento
  • la gravedad del impacto producido si se materializa el evento

Una vez valorado el riesgo definiremos si el riesgo está…

  • Controlado mediante controles, ensayos,…
  • Protegido con alguna protección o salvaguarda

El valor final del riesgo (EXPOSICION AL RIESGO) se calcula mediante la fórmula:

EXPOSICION AL RIESGO = VALOR CALCULADO – Riesgo controlado – Riesgo Protegido

Veamos algunas pantallas de ejemplo del software GESISO…

Análisis de los riesgos

En el análisis de riesgos tendremos que definir qué acciones de las que les presentamos a continuación se toman…

  • Aceptar el riesgo sin tomar más acciones
  • Evitar el riesgo cambiando las actuaciones propias de la fuente del riesgo (habitualmente mejorar el proceso)
  • Eliminar el riesgo mediante controles, protecciones o salvaguardas
  • Compartir el riesgo mediante negociaciones con terceras partes
  • Transferir el riesgo a terceras partes (p.e. contratar mantenimiento informático,…)
  • Financiar el riesgo (p.e. mediante contratación de seguros,…)
  • Mitigar el riesgo con acciones de mitigación sobre las causas que lo pueden producir
  • Mejorar el riesgo mediante buenas prácticas, controles, protecciones,…

Acciones a tomar sobre los riesgos

De cada riesgo identificado y valorado que sea significativo o tenga una significancia media sobre los criterios de evaluación de riesgos hay que definir las acciones que se deben realizar si el riesgo se materializa.

Se definirán las acciones de:

  • emergencia. Acción inmediata si el riesgo se materializa.
  • contingencia. Contención del impacto provocado por el evento.
  • mitigación. Acciones para prevenir que el evento no se produzca.
  • estratégicas. Acciones a tomar en el caso de compartir, transferir o financiar el riesgo. En el resto de los casos no se definen.

Para los usuarios del software GESISO, las acciones mecionadas están predefinidas en las causas y en los impactos de los riesgos incluidos en el software GESISO y, al vincular el conjunto de eventos con los procesos, se «arrastran» automáticamente a los riesgos.

Veamos un ejemplo del software GESISO…

Planes de actuación sobre los riesgos

Al definir las acciones de emergencia (inmediatas), contingencia, mitigación (preventivas) y estratégicas para cada riesgo ya podemos definir los planes de actuación sobre los riesgos.

Volcaremos a los planes de actuación los riesgos que tengan una valoración de significativo o riesgo de significancia media.

Si es usuario del software GESISO los planes de actuación sobre los riesgos se generan automáticamente.

Por lo tanto tendremos planes de:

  • emergencia.
  • contingencia.
  • mitigación.
  • estratégicas.

Los planes de emergencia, contingencia y estratégico son informativos para indicarnos cómo debemos actuar si el riesgo se materializa.

En el que tenemos que fijarnos especialmente es en el plan de mitigación. Si lo hemos realizado correctamente en él nos figurarán los riesgos significativos y de significancia media y las acciones de mitigación que hemos definido para cada uno de ellos.

En este plan debemos reflejar en qué estado de actuación se encuentra la acción de mitigación que hemos definido para cada riesgo.

Por ejemplo… si tenemos un riesgo con un evento de «impagado» y nuestra acción de mitigación es «solicitar informes comerciales del cliente», debemos comprobar si estamos solicitando esos informes comerciales, los solicitamos algunas veces o no los solicitamos habitualmente.

Actuaciones sobre el plan de mitigación

Si la acción de mitigación que hemos definido la estamos cumpliendo no tendremos que hacer nada más sobre el riesgo (lo tenemos controlado mediante una acción «preventiva»).

En caso contrario deberemos tomar acciones para «reconducir» la acción de mitigación que estamos incumpliendo. Para la toma de estas acciones utilizaremos alguna de estas herramientas de nuestro sistema de gestión:

  • Objetivo.- Cuando cumplimos con la acción de mitigación pero queremos reducir la exposición al riesgo.

Les mostramos algunas pantallas de ejemplo del software GESISO…

Gestión de los riesgos continuada

Hasta aquí, en este curso hemos definido la gestión de los riesgos de una forma subjetiva, ya que los riesgos que hemos definido y vinculado con nuestros procesos son los que «creemos» que nos pueden pasar, aunque ya tendremos experiencia y muchos de ellos ya nos habrán pasado.

Pero la gestión de los riesgos no se debe quedar aquí, ya que los riesgos identificados se van ir produciendo y, con toda seguridad, se materializarán otros nuevos que no habiamos identificado inicialmente.

Si es usuario del software GESISO la gestión de los riesgos continuada se realiza automáticamente, por lo que podrá ver los resultados nada más introducirlos.

Si no es usuario del software GESISO no podemos aconsejarle de una manera efectiva cómo lo puede realizar (suponemos que la mejor manera será sobre hojas de cálculo), ya que no tenemos experiencia en ese sentido.

Veamos cómo la gestión de los riesgos es continua…

Riesgos en no conformidades, reclamaciones,…

Cuando en la gestión de nuestro sistema se detecta un producto no conforme, recibimos una reclamación de un cliente, tenemos una incidencia posventa, se avería en una máquina,… abrimos el correspondiente registro en nuestro sistema de gestión.

Para una correcta gestión de los riesgos en todos estos casos deberemos, además de gestionar el registro del sistema de gestión que hemos abierto, identificar qué evento se ha materializado, qué impacto nos ha producido y porqué causa se ha producido el evento.

Vemos un ejemplo sobre unas no conformidades en el software GESISO…

Para los usuarios de software GESISO… el software GESISO va «acumulando» los conjuntos de evento para ver sus repeticiones en tiempo real y que podamos tomar decisiones sobre ellos.

Si en una no conformidad, reclamación,… asignamos un conjunto de evento (evento+impacto+causa) diferente de los que hemos identificado inicialmente de manera subjetiva en nuestros procesos, el nuevo conjunto de evento se dará de alta en el cuadro de mando de gestión de riesgos y tendremos que evaluarle incialmente cómo hemos visto anteriormente.

De esta manera la gestión de los riesgos es continua y objetiva, ya que vamos acumulando repeticiones a los riesgos que se materializan o identificando nuevos riesgos, para posteriormente realizar una correcta evaluación periódica de riesgos.

Sobre el cuadro de mando de la gestión de los riesgos del software GESISO vemos las repeticiones que han tenido los riesgos (en azul)…

Evaluación periódica de la gestión de los riesgos

Si hemos ido asignando los eventos, impactos y causas a las no conformidades, incidencias, reclamaciones, acciones correctivas,… cómo hemos visto anteriormente tendremos datos para poder realizar una evaluación periódica objetiva basada en datos reales.

Ahora vamos a realizar un seguimiento de los riesgos.

Evaluación periódica de la valoración de los riesgos

La evaluación periódica de la valoración de los riesgos se realizará sobre los riesgos identificados en el sistema mediante la comprobación las repeticiones del conjunto de evento EVENTO DE RIESGO + IMPACTO + CAUSA.

Es aconsejable realizarla por periodos de año natural y siempre antes de realizar la revisión del sistema por la Dirección.

Cuando realizamos la evaluación periódica de riesgos y le asignamos un periodo de evaluación (por ejemplo el año 2019), el software GESISO escanea todos los conjuntos de evento dados de alta y aprobados y, en base a los criterios de evaluación establecidos, realizara…

  • bajar el valor de ocurrencia si el riesgo no se ha producido
  • mantener el valor de ocurrencia si sus repeticiones se mantinenen dentro de los parámetros de evaluación
  • subir el valor de ocurrencia si sus repeticiones superan los parámetros de evaluación

Y el software GESISO recalculará los valores de exposición al riesgo de cada riesgo identificado…

Veamos el ejemplo sobre el software GESISO…

Comprobación de las acciones de mitigación

En la evaluación periódica de la valoración de los riesgos el software GESISO también nos muestra las repeticiones que hemos tenido en las acciones de mitigación (preventivas) que cada conjunto de evento tiene asociada para que tengamos datos y podamos tomar decisiones basadas en ellos…

Vemos una pantallas de ejemplo del software GESISO…

Decisiones sobre las acciones de mitigación

A la hora de decidir si se abren acciones (correctiva, mejora u objetivo) sobre las accciones de mitigación, debemos tener en cuenta las repeticiones del periodo evaluado en relación a las actividades realizadas en el mismo periodo.

Por ejemplo… Tenemos 2 recepcionistas que reciben 10 llamadas de media todos los días. Se han repetido 20 veces en el año conjuntos de evento relacionados con la recepción de llamadas que tienen asignada una acción de mitigación de «Mentalización y concienciación del personal»

En el ejemplo la acción de mitigación «Mentalización y concienciación del personal» se ha repetido 20 veces. Las actuaciones anuales han sido 2 personas x 220 días de trabajo x 10 llamadas de media = 4400 llamadas atendidas al año. Porcentaje = 20/4400 = 0,45 %.

En este ejemplo, con el porcentaje obtenido, tenemos que determinar si la acción de mitigación «Mentalización y concienciación del personal» esta fallando (tomamos acciones) o ha fallado en un porcentaje aceptable.

Comprobaremos también las tendencias que tiene la repetición de la acción de mitigación en diferentes evaluaciones de riesgos periódicas a la hora de tomar decisiones sobre ellas.

Ejemplo sobre «Mentalización y concienciación del personal» en el software GESISO…

Decisiones finales sobre la evaluación de riesgos

Dependiendo de los resultados de la evaluación periódica de riesgos y de las repeticiones de las acciones de mitigación, decidiremos si es necesaria una actuación sobre el mismo que se debe canalizar en el sistema de gestión a través de:

  • Objetivo.- Cuando cumplimos con la acción de mitigación pero queremos reducir la exposición al riesgo.

Conclusiones finales

En este artículo hemos visto cómo realizar la gestión los riesgos de nuestras actividades en el ámbito de la calidad.

Por supuesto sabemos que lo que hemos explicado en este artículo no es válido para todas las empresas, pero sí para la mayoría, y si hemos podido contribuir a aclararle algunas dudas nos damos por satisfechos.

Si les surgen dudas con respecto a lo explicado en este artículo déjenos un comentario al final de esta página. Le responderemos a la mayor brevedad posible. Con las dudas de nuestros lectores iremos perfeccionando este artículo.

Puede descargar este artículo en PDF desde la parte inferior de la página. Si utiliza un artículo, o un curso de los que iremos publicando, para divulgar en sus publicaciones o en otros ámbitos, le agradeceríamos que nos referencie como fuente e incluya un enlace a nuestra pagina web.

Le agradeceríamos también que, si le gusta este artículo, lo comparta en las redes sociales que figuran al final de esta página.

El Equipo de GESISO®

¿Cómo informatizar mi sistema de gestión?

¿Cómo implantar un sistema ISO 9001 desde cero?

DEMO GESISO

El único riesgo de probar el Software GESISO, es la probabilidad de que mejores tú conocimiento sobre la informatización de los sistemas de gestión ISO 9001, ISO 14001, ISO 45001, la gestión del riesgo, la gestión de proyectos y la gestión de competencias. Si descarga la DEMO no le molestaremos con contactos comerciales.

error: El contenido está protegido!!
Botón arriba