• Author / Uploaded
• Juan Carlos Blanco León

• Categories
• Riesgo
• Probabilidad
• Blog
• Toma de decisiones
• Planificación

Citation preview

Como elaborar desde cero un proceso de

GESTIÓN DE RIESGOS de acuerdo con la ISO 9001:2015

Blog de LaCalidad

¿QUÉ VA A APRENDER EN ESTE EBOOK? IDENTIFICANDO Y DOCUMENTANDO RIESGOS...............................................................................................................................................2 DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS......................................................................................................................................12 ENTENDIENDO LAS ESTRATEGIAS PARA ABORDAR RIESGOS Y OPORTUNIDADES.......................................................................18 MATRIZ DE RIESGOS.......................................................................................................................................................................................................19 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.............................................................................................................................21 4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS............................................................................26 COMIENCE DE LA MANERA CORRECTA...............................................................................................................................................................31 LEA TAMBIÉN.................................................................................................................................................................................................................... 32

Blog de LaCalidad

INTRODUCCIÓN Con la estandarización de las normas ISO en la estructura de alto nivel del ANEXO SL, la gestión de riesgos se ha convertido en una actividad básica para implantar sistemas de gestión. Aunque no es obligatorio hacer un proceso documentado sobre esto, varios profesionales de la calidad experimentados están implantando un proceso para así sistematizar actividades preventivas y poner en la rutina de las personas la mentalidad de riesgo. Este eBook tiene como objetivo ayudarle a elaborar un proceso de gestión de riesgos lo suficientemente bueno para comenzar una cultura de pensamiento basada en riesgos en su organización. Este es uno de los pasos para la transición de la ISO 9001: 2008 a la ISO 9001: 2015

Blog de LaCalidad

1

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

Blog de LaCalidad

2

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

ELIJA UN PROCESO, PROYECTO O TEMA Si usted comienza a hablar de riesgos de una manera muy

las personas que están involucradas, de alguna forma,

amplia, pensando en todos los procesos y proyectos de la

en el asunto que usted eligió, sea en el operativo o

organización al mismo tiempo, todo se tornará

estratégico, para discutir los riesgos de este proceso,

desordenado y confuso, usted no podrá pedir ayuda a otras

proyecto o tema.

personas, pues ellas también quedarán perdidas y no podrán contribuir de forma productiva. Entonces, para facilitar, separe la organización en "pedazos", bien sea por procesos, proyectos o temas y tenga bien claro lo que usted necesita hacer: "Vamos a levantar los riesgos del Proceso de Reclutamiento y Selección ", o vamos a hablar de "Riesgos de mercado ". Después de eso, programe una reunión con Blog de LaCalidad

3

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

EJEMPLOS DE PROCESOS

EJEMPLOS DE PROYECTOS

EJEMPLOS DE TEMAS

PROCESO DE PLANIFICACIÓN ESTRATÉGICO

TRANSICIÓN DE LA ISO 9001:2015

RIESGOS ESTRATÉGICOS Y DE MERCADO

PROCESO DE ADQUISICIÓN DE CLIENTES

IMPLANTACIÓN DE SOFTWARE PARA CALIDAD

RIESGOS OPERACIONALES

PROCESO DE ATENDIMIENTO AL CLIENTE

WORSHOP ACERCA DE RIESGOS

RIESGOS COMPLIANCE

PROCESOS DE ENTRENAMIENTO Y CAPACITACIÓN

IMPLANTAR SGI

RIESGOS DE REPUTACIÓN

Blog de LaCalidad

4

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

HAGA UNA LISTA DE RIESGOS El método más común de levantamiento de riesgos es el brainstorm (tormenta de ideas), pero para que ese método sea realmente efectivo, es necesario preparar al equipo para esa reunión. Levante los datos sobre los resultados de las Auditorías Internas y Externas, Encuentas de Satisfacción internas y / o externas, Análisis críticos de la dirección, Planificación estratégica y otras fuentes que sean necesarias para que usted aproveche al máximo de la experiencia de su equipo en el asunto y fomente la mentalidad de riesgos. Envíe esos datos con antelación a los participantes estén conscientes y presenten los mismos datos al inicio de la reunión como contenido introductorio. Blog de LaCalidad

5

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

IDENTIFICAR AMENAZAS Reúna a todas las personas que están involucradas con el proceso, el proyecto o el tema elegido en una sala de reunión y pregunte: "¿Qué es lo que puede salir mal en ese proceso? ". Haga una lista con todas las sugerencias. Un listado simple de todo lo fue dicho, sin hacer filtros o juicios, este no es momento para eso. Pero busque entender los riesgos discutidos, para que no queden dudas. Algunos riesgos operacionales, es decir, relacionados con la operación de los procesos, son muy comunes, como: Pérdida de clientes, el desperdicio, la reducción de ingresos, la pérdida de personal, en fin. Blog de LaCalidad

6

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

IDENTIFICAR OPORTUNIDADES Exactamente como fue hecho anteriormente, coordine una reunión sobre el mismo procedimiento en otro día y pregunte: "¿Qué podría traer un resultado más allá de lo esperado en este

No identifique oportunidades en la

proceso? ". Si hablamos de un proceso de

misma reunión que determino las

producción, por ejemplo, podríamos decir que, si

amenazas, sobre todo por las

tenemos determinada certificación, podríamos

predisposiciones mentales de las

ganar una licitación o vender para otros países.

personas que ya están condicionadas

Podríamos tener la oportunidad de llegar al soñado

a pensar cosas negativas, esto

0 defectos, o terminar la producción 30% más

puede hacer que la identificación

rápido de lo normal. En fin, recolecte las ideas sin

de oportunidades no sea tan

filtros o juicios, así como se hacen en el

productiva.

levantamiento de las amenazas. Blog de LaCalidad

7

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

HÁGA UN FILTRO

Muy Alto Alto

He filtrado la lista del brainstorm y todavía tengo 47

Medio

riesgos relevantes para monitorear, ¿y ahora? ¿Necesito terminar con todo? No necesariamente. Usted tendrá que establecer algunos criterios para identificar lo que necesitará ser monitoreado.

Bajo

Piense que si usted tiene un riesgo como "caer un meteoro en la empresa" usted puede elegir seguir o no. Eliminar lo que usted no quiera en el radio de preocupación de su

Involucre a la Directiva en esa decisión y déjele

organización, considerando que debe tener total coherencia

bien claro que ese filtro es a lo que usted

con la estrategia de la empresa. Limitar su campo de

necesita hacerle seguir para alcanzar sus

preocupación ayuda a enfocarse, después de todo, ¿usted

objetivos y no otra cosa sobre lo que usted necesita actuar.

quiere que su equipo invierta energía preocupándose por un "meteoro que pueda caer en la empresa" o con la posibilidad de que un ¿"producto salga defectuoso de la línea de producción "? Blog de LaCalidad

8

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

DEFINA LOS RESPONSABLES Normalmente, tomaríamos ese paso como una cosa obvia y sin mucho énfasis, pero resolví separar ese ítem que puede hacer una total diferencia en la efectividad del tratamiento de un riesgo. No coloque a "cualquier" responsable, sólo por asignar a alguien. Defina una persona que sea capaz de hacer un análisis de ese problema, pero no sólo operacionalmente hablando, sino un análisis un poco más sistémico. Si es posible, involucre a más personas para apoyar a los responsables, porque es importante que este proceso se haga como el análisis de causa de una no conformidad: Con más de una persona, con diferentes visiones sobre el mismo proceso.

Blog de LaCalidad

9

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

USE CATEGORIAS Y CLASIFICACIONES Agrupe los riesgos por categorías y clasificaciones, para facilitar la recolección de información, para generar informes y actuar sobre los riesgos. Por ejemplo, si estamos en el proceso de salud ocupacional podríamos hablar de riesgos ergonómicos, físicos, químicos, biológicos, entre otros. Es interesante categorizar los riesgos en relación con sus causas, como "ruido", "temperatura", "Comportamiento". Esto no es una regla, y la mayoría de las personas, en un primer momento, no lo hacen, pero en algunos casos, ayuda mucho en la toma de decisiones y presentación de resultados.

Blog de LaCalidad

10

IDENTIFICANDO Y DOCUMENTANDO RIESGOS

DESCRIBA LA UBICACIÓN DEL RIESGO La ubicación del riesgo es diferente de un departamento o espacio físico, ya que es más específico. Mientras el departamento habla de "Producción", la ubicación del riesgo

!

puede ser la "máquina X"; mientras que el espacio físico puede ser "la cocina" el lugar de riesgo puede ser "La estufa", y así sucesivamente. Esto hace que la información se vea clara mejorando la comunicación y el análisis del riesgo.

Blog de LaCalidad

11

DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS

Blog de LaCalidad

12

DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS

El principio del análisis de un riesgo es la identificación de la probabilidad con que puede suceder y el impacto que él tendrá si llega a suceder. Estos dos criterios determinarán la prioridad a ser dada para ese riesgo, que puede ser acompañada por la posición de ese riesgo en la Matriz de Riesgo, por ejemplo. ¿Pero un impacto del 20% de retraso en el cronograma del proyecto es considerado un impacto alto o medio? Eso dependerá de la organización y el proceso, proyecto o tema en cuestión, entonces definir criterios para el análisis de riesgos ayudará a crear un entorno consenso a la hora de gestionar un riesgo.

Blog de LaCalidad

13

DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS

PROBALIDAD La probabilidad evalúa cuán posible es que ese riesgo suceda. Generalmente está relacionada con la frecuencia de un determinado riesgo, según la tabla a siguiente:

Frecuencia de riesgo

Clasificación

Definición

10%

Muy Bajo

Nunca ocurrió

30%

Bajo

Ocurre por lo menos 1 vez por año

50%

Medio

Ocurre más de 1 vez por año y menos de 1 vez por mes

70%

Alto

Ocurre mensualmente

90%

Muy Alto

Ocurre Semanalmente

De acuerdo con este modelo, debe crear los criterios que son adecuados para su realidad, pero siempre pensando en criterios que se utilizarán para analizar los riesgos que usted levantó. Para evaluar esta probabilidad, puede utilizar el historial de eventos, es decir, identificar si el riesgo ya ha ocurrido y cuántas veces ha ocurrido. Blog de LaCalidad

14

DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS

IMPACTO

Severidade del Riesgo

El impacto está relacionado con la afectación a la empresa si se produce el riesgo. Esta evaluación es más cualitativa, pero es importante definir criterios para que todos sólo usen una norma para evaluar los impactos, según el modelo a seguir:

Muy Bajo

Definición Los riesgos poseen daños poco significativos.

Bajo

Los riesgos poseen daños reversibles a corto y mediano plazo con costos pocos significativos.

Medio

Los riesgos poseen daños reversibles a corto y medio plazo con costos bajos.

Alto

Los riesgos poseen daños reversibles a corto y mediano plazo pero costos altos.

Muy Alto

Los riesgos poseen daños irreversibles o Con costos económicamente inviables.

Para hacer esta evaluación de impacto, es muy común tener en cuenta las consecuencias económico-financiera (flujo de caja, rentabilidad, gastos, desperdicios) y estratégico-operacionales (viabilidad de ejecución, alcance de objetivos, participación en el mercado). Pero cuando no es posible cuantificar, el análisis se convierte solamente cualitativo, por lo tanto, es bueno tener más de 2 o 3 personas para discutir este criterio, si es posible, de diferentes departamentos. Blog de LaCalidad

15

ENTENDIENDO LAS ESTRATÉGIAS PARA ABORDAR RIESGOS

Blog de LaCalidad

16

ENTENDIENDO LAS ESTRATÉGIASPARA ABORDAR RIESGOS

Después de definir la probabilidad y el impacto del

No sólo esos, sino riesgos como "caer el internet",

riesgo, necesitamos decidir qué estrategia

"falta de energía eléctrica ", entre otros, todos van a

adoptaremos para ese riesgo, es decir, hacer un plan

depender de la visión de su empresa, de lo que

de respuesta al riesgo. Es básicamente identificar

deciden importante. Para una empresa de

cuál es la postura que tendremos ante la ocurrencia

tecnología, por ejemplo, quedarse sin internet puede

de un riesgo. Existen riesgos que conviene disminuir,

generar un caos, pero para una obra en la

prevenirlo eliminar, otros pueden transferir o aceptar.

construcción civil, ese puede ser un riesgo que no

Por ejemplo, el riesgo de que el producto salga

interfiere en el producto. Pero recuerde, es bueno

defectuoso de la línea de producción "es un riesgo

mantener el registro de los riesgos aceptados,

que conviene trabajar para disminuir, pero un riesgo

transferidos, o cualquier otro que esté siendo

como el de "Ocurrir un incendio", tal vez pueda ser

trabajado, eso documenta una información ya

tercerizado al contratar a una aseguradora.

discutida y decidida.

Blog de LaCalidad

17

Estrategias para

Estrategias para

abordar las amenazas

abordar oportunidades

Prevenir, eliminar o evitar

Explorar o perseguir:

Significa eliminar la causa de ese riesgo. Es un

Consiste en abrazar la oportunidad hasta el punto de hacerla

enfoque más radical, por ejemplo, cuando una

suceder. Es mucho más radical que mejorarlo, pues, en vez de

empresa coloca una página en Facebook, ella corre el

tomar algunas acciones sólo, el explorar puede hacer que esa

riesgo de tener reclamos de clientes en la página. Si

oportunidad sea parte de la estrategia y utilizar todos los

yo asumo que la postura de eliminar ese riesgo, yo no

métodos para que suceda. Un ejemplo podría ser "batir la meta

colocaré una página en Facebook.

de ventas en la primera quincena del mes", entonces, usted va a hacer todas las acciones posibles para alcanzar esa oportunidad.

Mitigar o reducir

Mejorar:

Es cuando usted trabaja para reducir la probabilidad

Significa que usted hará acciones para estar más cerca de

o impacto de ese riesgo. Es una estrategia que no

aquella oportunidad. Por ejemplo, si usted quiere ganar una

elimina el riesgo, pero actúa para que sea más difícil

licitación y hay un requisito que es "Tener la ISO 9001: 2015", al

que el riesgo se produzca, o, si ocurre, tenga el menor

comenzar el proceso de implantación, usted está aumentando

impacto para la empresa. En el ejemplo del riesgo de

sus posibilidades de ganar la licitación. Está relacionado con

"un producto defectuoso que llegue al cliente", la

aumentar la probabilidad de que suceda.

acción de hacer una auditoría de los productos antes de ser entregados a los clientes es una acción de mitigación.

Transferir o Tercerizar (Subcontratar):

Compartir:

Significa que usted colocará el riesgo bajo la

Esta posición significa que usted transferirá total o

responsabilidad de un tercero. Un ejemplo clásico de

parcialmente una oportunidad para un tercero que tiene

eso es cuando usted contrata una

mayor capacidad de hacerlo. Un buen ejemplo de

aseguradora. Aunque este riesgo ocurra, la

compartir las oportunidades son las joint ventures.

consecuencia de ese riesgo será asumida por la aseguradora, y no por su empresa.

ACEPTAR El "aceptar" aparece tanto en riesgos positivos (lo que llamamos oportunidades en la ISO 9001: 2015) como en los negativos. Es la decisión de no tomar acciones preventivas para disminuir (para riesgos negativos) ni aumentar (para riesgos positivos) la probabilidad de ocurrencia del evento. La aceptación, puede ser activa o pasiva. Activa cuando se toman precauciones construyendo un plan de contingencia (Página 25) o definiendo barreras. Pasiva cuando no se planea ninguna acción hasta que ocurra el riesgo.

Blog de LaCalidad

18

MATRIZ DE RIESGOS

Blog de LaCalidad

19

MATRIZ DE RIESGOS

La matriz de riesgos, también conocida como matriz de probabilidad e impacto, es una herramienta visual que muestra el nivel de criticidad de un riesgo de acuerdo con su probabilidad e impacto. Es decir, al ver una matriz de riesgo, usted puede apreciar cuales son riesgos que tienen más probabilidad e impacto de suceder, facilitando la toma de decisiones para asignar el orden de prioridad y ayudar en la sensibilización de los involucrados.

Punto crítico, implemente acciones inmediatamente! Punto de atención, Centre su mirada en estos riesgos.

Planee acciones para oportunidades

Amenazas

Cree una rutina de inspección

Oportunidad

Probabilidad

90 70 50 30 10 Haga análisis periódicos y maneje por procedimento de rutina

Muy Bajo

Bajo

Medio

Alto

Muy Alto

Muy Alto

Alto

Medio

Bajo

Muy Bajo

Cuando fuese de bajo impacto, olvídelo. Si fuese de alto impacto actué sobre ellos

Blog de LaCalidad

20

ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

Blog de LaCalidad

21

ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

Después de analizar el riesgo, usted habrá determinado el nivel de criticidad y definido la postura que va a adoptar en relación a él. Ahora ha llegado el momento de actuar sobre los riesgos, y usted puede hacerlo a través de Planes de acción, no conformidades o planes de contingencia.

Blog de LaCalidad

22

ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

PLANES DE ACCIÓN Los planes de acciones y proyectos serán abiertos cuando usted está actuando para disminuir la probabilidad o el impacto de un riesgo, es decir, estarán relacionados con la actitud que usted asumió ante el riesgo. Cuando yo defino que tendré la estrategia para mitigar un riesgo, por ejemplo, formalizo un plan de acción que puede surtir un efecto de mitigación sobre ese riesgo. Riesgo

Producto con defecto

Estrategia

Mitigar / Reducir

Plan de acción

Inspección de productos antes de la entrega

Blog de LaCalidad

23

ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

NO CONFORMIDADES Si usted eligió supervisar el riesgo de "producto que llega al destino defectuoso" y un cliente se llama a la empresa diciendo que ha recibido un producto con defectos, significa que el riesgo tuvo una incidencia, es decir,

En este caso, como todo reclamo del cliente y problemas de procesos, la incidencia debe ser tratada como no conformidad.

Blog de LaCalidad

24

ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

PLANES DE CONTINGENCIA Un plan de contingencia son un conjunto de acciones

Podemos entender el plan de contingencia como un

definidas para se ejecuten en caso de producirse un

proceso Plan B, recordando que podemos tener un Plan C,

riesgo. El plan de la contingencia es accionado por algo,

D, E, F y cuantos sean necesarios para cada riesgo. Los

que puede ser un número o una evidencia de que el

planes de contingencia se definen independientemente

riesgo ha tenido incidencia. Por ejemplo: Si el nivel del

de la estrategia adoptada, es decir, no importa si usted va

agua de un depósito es superior a 10 metros, se deben

mitigar, aceptar, o transferir un riesgo, se puede tener se

abrir las compuertas. Es muy parecido a la acción

registrará lo que se hará si el riesgo ocurre.

inmediata que estamos acostumbrados en el

Sin embargo, sólo son obligatorios cuando usted asume la

tratamiento de las no conformidades, pero el plan de

estrategia de aceptar activamente un riesgo.

contingencia, generalmente, ya tiene responsables definidos y una estructura bien clara que se documentada en el riesgo. Blog de LaCalidad

25

4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

Blog de LaCalidad

26

4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

DEFINA OS RESPONSÁVEIS NO DEFINIR UNA RUTINA DE ANALISIS

Los riesgos no deben ser subestimados, entonces si hoy tenemos un evento que representa el 30% de probabilidades de que acontezca puede ser del 70% mañana. No hay manera de saberlo si no está siguiendo el riesgo con una cierta frecuencia, por lo que es necesario que el análisis entre en su rutina y en la rutina de las personas, dejando de ser algo que se hace "cuando sobra un tiempo". La buena práctica es siempre definir la fecha de próximo análisis del riesgo.

Blog de LaCalidad

27

DEFINA OS RESPONSÁVEIS

4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

DEJAR DE DOCUMENTAR LAS INCIDENCIAS No documentar incidencias puede interferir directamente en su análisis, así como no documentar una no conformidad, porque distorsionará lo que está sucediendo en su empresa.

Blog de LaCalidad

28

4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

DEFINA OS RESPONSÁVEIS EVITAR RIESGOS EN LUGAR DE GERENCIARLOS

Una cultura de mentalidad de riesgo es reconocida por la frecuencia con que se hacen las preguntas de prevención (como el famoso y “¿si eso sucediera?”), ella no debe de ninguna manera, descartar las ideas para no correr riesgos. Toda acción implica riesgo, y aunque no haga nada, también estará expuesto a riesgos. Por lo tanto, no sea el asesino de nuevas ideas tampoco influencie a otras personas a serlo, ¿ok?

Blog de LaCalidad

29

4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

DEFINA OS RESPONSÁVEIS PENSAR SOLAMENTE EN LA IMPLATACIÓN DE PROCESO

Es importante recordar que la ISO 9001: 2015 enfatiza la creación de una cultura con pensamiento basado en riesgo, y no sólo en un proceso que se ejecute. Por supuesto, a través de un proceso es más simple involucrar a las personas y demostrar el resultado de la acción, pero es fundamental dar la debida importancia a la comunicación y la implicación de los colaboradores, para que la mentalidad de riesgos esté siempre presente en la organización.

Blog de LaCalidad

30

COMIENCE DE LA MANERA CORRECTA Un software que ayudara a su SGC a tener un proceso de gestión de riesgos correcto, ágil y sin hojas de cálculo

Registro de incidentes

Prioridad, análisis y tratamiento

Atribución de responsabilidades

Matriz de Riesgoss

Documente todas las ocurrencias de los riesgos y utilice esa información en los próximos análisis

Dele prioridad y trabaje en los riesgos que demanden más atención y tratamiento más complejo

Informe el responsable al registrar un grupo para que no queden sin tratamiento

Acompañe visualmente la probabilidad y el impacto de los riesgos

Forlogic

Risks

Solicite una presentación de Forlogic Risks con ejemplos de su empresa

Quiero conocer Risks Blog de LaCalidad

31

LEA TAMBIÉN Listamos algunos textos del BLOG DE LA CALIDAD que pueden ayudarle a entender más sobre gestión de riesgos

Diferencia entre Riesgos y Peligros Lea ahora

Gestión de riesgos para líderes que no saben lo que son riesgos Lea ahora

Gestión de Riesgos: Utilizando la estrategia de ACEPTAR sin ser irresponsable Lea ahora

Blog de LaCalidad

32

DEFINA OS RESPONSÁVEIS

BlogdeLaCalidad

.com