Como elaborar desde cero un proceso de GESTIÓN DE RIESGOS de acuerdo con la ISO 9001:2015 Blog de LaCalidad ¿QUÉ VA
Views 182 Downloads 0 File size 3MB
Como elaborar desde cero un proceso de
GESTIÓN DE RIESGOS de acuerdo con la ISO 9001:2015
Blog de LaCalidad
¿QUÉ VA A APRENDER EN ESTE EBOOK? IDENTIFICANDO Y DOCUMENTANDO RIESGOS...............................................................................................................................................2 DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS......................................................................................................................................12 ENTENDIENDO LAS ESTRATEGIAS PARA ABORDAR RIESGOS Y OPORTUNIDADES.......................................................................18 MATRIZ DE RIESGOS.......................................................................................................................................................................................................19 ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.............................................................................................................................21 4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS............................................................................26 COMIENCE DE LA MANERA CORRECTA...............................................................................................................................................................31 LEA TAMBIÉN.................................................................................................................................................................................................................... 32
Blog de LaCalidad
INTRODUCCIÓN Con la estandarización de las normas ISO en la estructura de alto nivel del ANEXO SL, la gestión de riesgos se ha convertido en una actividad básica para implantar sistemas de gestión. Aunque no es obligatorio hacer un proceso documentado sobre esto, varios profesionales de la calidad experimentados están implantando un proceso para así sistematizar actividades preventivas y poner en la rutina de las personas la mentalidad de riesgo. Este eBook tiene como objetivo ayudarle a elaborar un proceso de gestión de riesgos lo suficientemente bueno para comenzar una cultura de pensamiento basada en riesgos en su organización. Este es uno de los pasos para la transición de la ISO 9001: 2008 a la ISO 9001: 2015
Blog de LaCalidad
1
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
Blog de LaCalidad
2
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
ELIJA UN PROCESO, PROYECTO O TEMA Si usted comienza a hablar de riesgos de una manera muy
las personas que están involucradas, de alguna forma,
amplia, pensando en todos los procesos y proyectos de la
en el asunto que usted eligió, sea en el operativo o
organización al mismo tiempo, todo se tornará
estratégico, para discutir los riesgos de este proceso,
desordenado y confuso, usted no podrá pedir ayuda a otras
proyecto o tema.
personas, pues ellas también quedarán perdidas y no podrán contribuir de forma productiva. Entonces, para facilitar, separe la organización en "pedazos", bien sea por procesos, proyectos o temas y tenga bien claro lo que usted necesita hacer: "Vamos a levantar los riesgos del Proceso de Reclutamiento y Selección ", o vamos a hablar de "Riesgos de mercado ". Después de eso, programe una reunión con Blog de LaCalidad
3
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
EJEMPLOS DE PROCESOS
EJEMPLOS DE PROYECTOS
EJEMPLOS DE TEMAS
PROCESO DE PLANIFICACIÓN ESTRATÉGICO
TRANSICIÓN DE LA ISO 9001:2015
RIESGOS ESTRATÉGICOS Y DE MERCADO
PROCESO DE ADQUISICIÓN DE CLIENTES
IMPLANTACIÓN DE SOFTWARE PARA CALIDAD
RIESGOS OPERACIONALES
PROCESO DE ATENDIMIENTO AL CLIENTE
WORSHOP ACERCA DE RIESGOS
RIESGOS COMPLIANCE
PROCESOS DE ENTRENAMIENTO Y CAPACITACIÓN
IMPLANTAR SGI
RIESGOS DE REPUTACIÓN
Blog de LaCalidad
4
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
HAGA UNA LISTA DE RIESGOS El método más común de levantamiento de riesgos es el brainstorm (tormenta de ideas), pero para que ese método sea realmente efectivo, es necesario preparar al equipo para esa reunión. Levante los datos sobre los resultados de las Auditorías Internas y Externas, Encuentas de Satisfacción internas y / o externas, Análisis críticos de la dirección, Planificación estratégica y otras fuentes que sean necesarias para que usted aproveche al máximo de la experiencia de su equipo en el asunto y fomente la mentalidad de riesgos. Envíe esos datos con antelación a los participantes estén conscientes y presenten los mismos datos al inicio de la reunión como contenido introductorio. Blog de LaCalidad
5
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
IDENTIFICAR AMENAZAS Reúna a todas las personas que están involucradas con el proceso, el proyecto o el tema elegido en una sala de reunión y pregunte: "¿Qué es lo que puede salir mal en ese proceso? ". Haga una lista con todas las sugerencias. Un listado simple de todo lo fue dicho, sin hacer filtros o juicios, este no es momento para eso. Pero busque entender los riesgos discutidos, para que no queden dudas. Algunos riesgos operacionales, es decir, relacionados con la operación de los procesos, son muy comunes, como: Pérdida de clientes, el desperdicio, la reducción de ingresos, la pérdida de personal, en fin. Blog de LaCalidad
6
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
IDENTIFICAR OPORTUNIDADES Exactamente como fue hecho anteriormente, coordine una reunión sobre el mismo procedimiento en otro día y pregunte: "¿Qué podría traer un resultado más allá de lo esperado en este
No identifique oportunidades en la
proceso? ". Si hablamos de un proceso de
misma reunión que determino las
producción, por ejemplo, podríamos decir que, si
amenazas, sobre todo por las
tenemos determinada certificación, podríamos
predisposiciones mentales de las
ganar una licitación o vender para otros países.
personas que ya están condicionadas
Podríamos tener la oportunidad de llegar al soñado
a pensar cosas negativas, esto
0 defectos, o terminar la producción 30% más
puede hacer que la identificación
rápido de lo normal. En fin, recolecte las ideas sin
de oportunidades no sea tan
filtros o juicios, así como se hacen en el
productiva.
levantamiento de las amenazas. Blog de LaCalidad
7
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
HÁGA UN FILTRO
Muy Alto Alto
He filtrado la lista del brainstorm y todavía tengo 47
Medio
riesgos relevantes para monitorear, ¿y ahora? ¿Necesito terminar con todo? No necesariamente. Usted tendrá que establecer algunos criterios para identificar lo que necesitará ser monitoreado.
Bajo
Piense que si usted tiene un riesgo como "caer un meteoro en la empresa" usted puede elegir seguir o no. Eliminar lo que usted no quiera en el radio de preocupación de su
Involucre a la Directiva en esa decisión y déjele
organización, considerando que debe tener total coherencia
bien claro que ese filtro es a lo que usted
con la estrategia de la empresa. Limitar su campo de
necesita hacerle seguir para alcanzar sus
preocupación ayuda a enfocarse, después de todo, ¿usted
objetivos y no otra cosa sobre lo que usted necesita actuar.
quiere que su equipo invierta energía preocupándose por un "meteoro que pueda caer en la empresa" o con la posibilidad de que un ¿"producto salga defectuoso de la línea de producción "? Blog de LaCalidad
8
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
DEFINA LOS RESPONSABLES Normalmente, tomaríamos ese paso como una cosa obvia y sin mucho énfasis, pero resolví separar ese ítem que puede hacer una total diferencia en la efectividad del tratamiento de un riesgo. No coloque a "cualquier" responsable, sólo por asignar a alguien. Defina una persona que sea capaz de hacer un análisis de ese problema, pero no sólo operacionalmente hablando, sino un análisis un poco más sistémico. Si es posible, involucre a más personas para apoyar a los responsables, porque es importante que este proceso se haga como el análisis de causa de una no conformidad: Con más de una persona, con diferentes visiones sobre el mismo proceso.
Blog de LaCalidad
9
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
USE CATEGORIAS Y CLASIFICACIONES Agrupe los riesgos por categorías y clasificaciones, para facilitar la recolección de información, para generar informes y actuar sobre los riesgos. Por ejemplo, si estamos en el proceso de salud ocupacional podríamos hablar de riesgos ergonómicos, físicos, químicos, biológicos, entre otros. Es interesante categorizar los riesgos en relación con sus causas, como "ruido", "temperatura", "Comportamiento". Esto no es una regla, y la mayoría de las personas, en un primer momento, no lo hacen, pero en algunos casos, ayuda mucho en la toma de decisiones y presentación de resultados.
Blog de LaCalidad
10
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
DESCRIBA LA UBICACIÓN DEL RIESGO La ubicación del riesgo es diferente de un departamento o espacio físico, ya que es más específico. Mientras el departamento habla de "Producción", la ubicación del riesgo
!
puede ser la "máquina X"; mientras que el espacio físico puede ser "la cocina" el lugar de riesgo puede ser "La estufa", y así sucesivamente. Esto hace que la información se vea clara mejorando la comunicación y el análisis del riesgo.
Blog de LaCalidad
11
DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS
Blog de LaCalidad
12
DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS
El principio del análisis de un riesgo es la identificación de la probabilidad con que puede suceder y el impacto que él tendrá si llega a suceder. Estos dos criterios determinarán la prioridad a ser dada para ese riesgo, que puede ser acompañada por la posición de ese riesgo en la Matriz de Riesgo, por ejemplo. ¿Pero un impacto del 20% de retraso en el cronograma del proyecto es considerado un impacto alto o medio? Eso dependerá de la organización y el proceso, proyecto o tema en cuestión, entonces definir criterios para el análisis de riesgos ayudará a crear un entorno consenso a la hora de gestionar un riesgo.
Blog de LaCalidad
13
DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS
PROBALIDAD La probabilidad evalúa cuán posible es que ese riesgo suceda. Generalmente está relacionada con la frecuencia de un determinado riesgo, según la tabla a siguiente:
Frecuencia de riesgo
Clasificación
Definición
10%
Muy Bajo
Nunca ocurrió
30%
Bajo
Ocurre por lo menos 1 vez por año
50%
Medio
Ocurre más de 1 vez por año y menos de 1 vez por mes
70%
Alto
Ocurre mensualmente
90%
Muy Alto
Ocurre Semanalmente
De acuerdo con este modelo, debe crear los criterios que son adecuados para su realidad, pero siempre pensando en criterios que se utilizarán para analizar los riesgos que usted levantó. Para evaluar esta probabilidad, puede utilizar el historial de eventos, es decir, identificar si el riesgo ya ha ocurrido y cuántas veces ha ocurrido. Blog de LaCalidad
14
DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS
IMPACTO
Severidade del Riesgo
El impacto está relacionado con la afectación a la empresa si se produce el riesgo. Esta evaluación es más cualitativa, pero es importante definir criterios para que todos sólo usen una norma para evaluar los impactos, según el modelo a seguir:
Muy Bajo
Definición Los riesgos poseen daños poco significativos.
Bajo
Los riesgos poseen daños reversibles a corto y mediano plazo con costos pocos significativos.
Medio
Los riesgos poseen daños reversibles a corto y medio plazo con costos bajos.
Alto
Los riesgos poseen daños reversibles a corto y mediano plazo pero costos altos.
Muy Alto
Los riesgos poseen daños irreversibles o Con costos económicamente inviables.
Para hacer esta evaluación de impacto, es muy común tener en cuenta las consecuencias económico-financiera (flujo de caja, rentabilidad, gastos, desperdicios) y estratégico-operacionales (viabilidad de ejecución, alcance de objetivos, participación en el mercado). Pero cuando no es posible cuantificar, el análisis se convierte solamente cualitativo, por lo tanto, es bueno tener más de 2 o 3 personas para discutir este criterio, si es posible, de diferentes departamentos. Blog de LaCalidad
15
ENTENDIENDO LAS ESTRATÉGIAS PARA ABORDAR RIESGOS
Blog de LaCalidad
16
ENTENDIENDO LAS ESTRATÉGIASPARA ABORDAR RIESGOS
Después de definir la probabilidad y el impacto del
No sólo esos, sino riesgos como "caer el internet",
riesgo, necesitamos decidir qué estrategia
"falta de energía eléctrica ", entre otros, todos van a
adoptaremos para ese riesgo, es decir, hacer un plan
depender de la visión de su empresa, de lo que
de respuesta al riesgo. Es básicamente identificar
deciden importante. Para una empresa de
cuál es la postura que tendremos ante la ocurrencia
tecnología, por ejemplo, quedarse sin internet puede
de un riesgo. Existen riesgos que conviene disminuir,
generar un caos, pero para una obra en la
prevenirlo eliminar, otros pueden transferir o aceptar.
construcción civil, ese puede ser un riesgo que no
Por ejemplo, el riesgo de que el producto salga
interfiere en el producto. Pero recuerde, es bueno
defectuoso de la línea de producción "es un riesgo
mantener el registro de los riesgos aceptados,
que conviene trabajar para disminuir, pero un riesgo
transferidos, o cualquier otro que esté siendo
como el de "Ocurrir un incendio", tal vez pueda ser
trabajado, eso documenta una información ya
tercerizado al contratar a una aseguradora.
discutida y decidida.
Blog de LaCalidad
17
Estrategias para
Estrategias para
abordar las amenazas
abordar oportunidades
Prevenir, eliminar o evitar
Explorar o perseguir:
Significa eliminar la causa de ese riesgo. Es un
Consiste en abrazar la oportunidad hasta el punto de hacerla
enfoque más radical, por ejemplo, cuando una
suceder. Es mucho más radical que mejorarlo, pues, en vez de
empresa coloca una página en Facebook, ella corre el
tomar algunas acciones sólo, el explorar puede hacer que esa
riesgo de tener reclamos de clientes en la página. Si
oportunidad sea parte de la estrategia y utilizar todos los
yo asumo que la postura de eliminar ese riesgo, yo no
métodos para que suceda. Un ejemplo podría ser "batir la meta
colocaré una página en Facebook.
de ventas en la primera quincena del mes", entonces, usted va a hacer todas las acciones posibles para alcanzar esa oportunidad.
Mitigar o reducir
Mejorar:
Es cuando usted trabaja para reducir la probabilidad
Significa que usted hará acciones para estar más cerca de
o impacto de ese riesgo. Es una estrategia que no
aquella oportunidad. Por ejemplo, si usted quiere ganar una
elimina el riesgo, pero actúa para que sea más difícil
licitación y hay un requisito que es "Tener la ISO 9001: 2015", al
que el riesgo se produzca, o, si ocurre, tenga el menor
comenzar el proceso de implantación, usted está aumentando
impacto para la empresa. En el ejemplo del riesgo de
sus posibilidades de ganar la licitación. Está relacionado con
"un producto defectuoso que llegue al cliente", la
aumentar la probabilidad de que suceda.
acción de hacer una auditoría de los productos antes de ser entregados a los clientes es una acción de mitigación.
Transferir o Tercerizar (Subcontratar):
Compartir:
Significa que usted colocará el riesgo bajo la
Esta posición significa que usted transferirá total o
responsabilidad de un tercero. Un ejemplo clásico de
parcialmente una oportunidad para un tercero que tiene
eso es cuando usted contrata una
mayor capacidad de hacerlo. Un buen ejemplo de
aseguradora. Aunque este riesgo ocurra, la
compartir las oportunidades son las joint ventures.
consecuencia de ese riesgo será asumida por la aseguradora, y no por su empresa.
ACEPTAR El "aceptar" aparece tanto en riesgos positivos (lo que llamamos oportunidades en la ISO 9001: 2015) como en los negativos. Es la decisión de no tomar acciones preventivas para disminuir (para riesgos negativos) ni aumentar (para riesgos positivos) la probabilidad de ocurrencia del evento. La aceptación, puede ser activa o pasiva. Activa cuando se toman precauciones construyendo un plan de contingencia (Página 25) o definiendo barreras. Pasiva cuando no se planea ninguna acción hasta que ocurra el riesgo.
Blog de LaCalidad
18
MATRIZ DE RIESGOS
Blog de LaCalidad
19
MATRIZ DE RIESGOS
La matriz de riesgos, también conocida como matriz de probabilidad e impacto, es una herramienta visual que muestra el nivel de criticidad de un riesgo de acuerdo con su probabilidad e impacto. Es decir, al ver una matriz de riesgo, usted puede apreciar cuales son riesgos que tienen más probabilidad e impacto de suceder, facilitando la toma de decisiones para asignar el orden de prioridad y ayudar en la sensibilización de los involucrados.
Punto crítico, implemente acciones inmediatamente! Punto de atención, Centre su mirada en estos riesgos.
Planee acciones para oportunidades
Amenazas
Cree una rutina de inspección
Oportunidad
Probabilidad
90 70 50 30 10 Haga análisis periódicos y maneje por procedimento de rutina
Muy Bajo
Bajo
Medio
Alto
Muy Alto
Muy Alto
Alto
Medio
Bajo
Muy Bajo
Cuando fuese de bajo impacto, olvídelo. Si fuese de alto impacto actué sobre ellos
Blog de LaCalidad
20
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
Blog de LaCalidad
21
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
Después de analizar el riesgo, usted habrá determinado el nivel de criticidad y definido la postura que va a adoptar en relación a él. Ahora ha llegado el momento de actuar sobre los riesgos, y usted puede hacerlo a través de Planes de acción, no conformidades o planes de contingencia.
Blog de LaCalidad
22
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
PLANES DE ACCIÓN Los planes de acciones y proyectos serán abiertos cuando usted está actuando para disminuir la probabilidad o el impacto de un riesgo, es decir, estarán relacionados con la actitud que usted asumió ante el riesgo. Cuando yo defino que tendré la estrategia para mitigar un riesgo, por ejemplo, formalizo un plan de acción que puede surtir un efecto de mitigación sobre ese riesgo. Riesgo
Producto con defecto
Estrategia
Mitigar / Reducir
Plan de acción
Inspección de productos antes de la entrega
Blog de LaCalidad
23
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
NO CONFORMIDADES Si usted eligió supervisar el riesgo de "producto que llega al destino defectuoso" y un cliente se llama a la empresa diciendo que ha recibido un producto con defectos, significa que el riesgo tuvo una incidencia, es decir,
En este caso, como todo reclamo del cliente y problemas de procesos, la incidencia debe ser tratada como no conformidad.
Blog de LaCalidad
24
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
PLANES DE CONTINGENCIA Un plan de contingencia son un conjunto de acciones
Podemos entender el plan de contingencia como un
definidas para se ejecuten en caso de producirse un
proceso Plan B, recordando que podemos tener un Plan C,
riesgo. El plan de la contingencia es accionado por algo,
D, E, F y cuantos sean necesarios para cada riesgo. Los
que puede ser un número o una evidencia de que el
planes de contingencia se definen independientemente
riesgo ha tenido incidencia. Por ejemplo: Si el nivel del
de la estrategia adoptada, es decir, no importa si usted va
agua de un depósito es superior a 10 metros, se deben
mitigar, aceptar, o transferir un riesgo, se puede tener se
abrir las compuertas. Es muy parecido a la acción
registrará lo que se hará si el riesgo ocurre.
inmediata que estamos acostumbrados en el
Sin embargo, sólo son obligatorios cuando usted asume la
tratamiento de las no conformidades, pero el plan de
estrategia de aceptar activamente un riesgo.
contingencia, generalmente, ya tiene responsables definidos y una estructura bien clara que se documentada en el riesgo. Blog de LaCalidad
25
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS
Blog de LaCalidad
26
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS
DEFINA OS RESPONSÁVEIS NO DEFINIR UNA RUTINA DE ANALISIS
Los riesgos no deben ser subestimados, entonces si hoy tenemos un evento que representa el 30% de probabilidades de que acontezca puede ser del 70% mañana. No hay manera de saberlo si no está siguiendo el riesgo con una cierta frecuencia, por lo que es necesario que el análisis entre en su rutina y en la rutina de las personas, dejando de ser algo que se hace "cuando sobra un tiempo". La buena práctica es siempre definir la fecha de próximo análisis del riesgo.
Blog de LaCalidad
27
DEFINA OS RESPONSÁVEIS
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS
DEJAR DE DOCUMENTAR LAS INCIDENCIAS No documentar incidencias puede interferir directamente en su análisis, así como no documentar una no conformidad, porque distorsionará lo que está sucediendo en su empresa.
Blog de LaCalidad
28
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS
DEFINA OS RESPONSÁVEIS EVITAR RIESGOS EN LUGAR DE GERENCIARLOS
Una cultura de mentalidad de riesgo es reconocida por la frecuencia con que se hacen las preguntas de prevención (como el famoso y “¿si eso sucediera?”), ella no debe de ninguna manera, descartar las ideas para no correr riesgos. Toda acción implica riesgo, y aunque no haga nada, también estará expuesto a riesgos. Por lo tanto, no sea el asesino de nuevas ideas tampoco influencie a otras personas a serlo, ¿ok?
Blog de LaCalidad
29
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS
DEFINA OS RESPONSÁVEIS PENSAR SOLAMENTE EN LA IMPLATACIÓN DE PROCESO
Es importante recordar que la ISO 9001: 2015 enfatiza la creación de una cultura con pensamiento basado en riesgo, y no sólo en un proceso que se ejecute. Por supuesto, a través de un proceso es más simple involucrar a las personas y demostrar el resultado de la acción, pero es fundamental dar la debida importancia a la comunicación y la implicación de los colaboradores, para que la mentalidad de riesgos esté siempre presente en la organización.
Blog de LaCalidad
30
COMIENCE DE LA MANERA CORRECTA Un software que ayudara a su SGC a tener un proceso de gestión de riesgos correcto, ágil y sin hojas de cálculo
Registro de incidentes
Prioridad, análisis y tratamiento
Atribución de responsabilidades
Matriz de Riesgoss
Documente todas las ocurrencias de los riesgos y utilice esa información en los próximos análisis
Dele prioridad y trabaje en los riesgos que demanden más atención y tratamiento más complejo
Informe el responsable al registrar un grupo para que no queden sin tratamiento
Acompañe visualmente la probabilidad y el impacto de los riesgos
Forlogic
Risks
Solicite una presentación de Forlogic Risks con ejemplos de su empresa
Quiero conocer Risks Blog de LaCalidad
31
LEA TAMBIÉN Listamos algunos textos del BLOG DE LA CALIDAD que pueden ayudarle a entender más sobre gestión de riesgos
Diferencia entre Riesgos y Peligros Lea ahora
Gestión de riesgos para líderes que no saben lo que son riesgos Lea ahora
Gestión de Riesgos: Utilizando la estrategia de ACEPTAR sin ser irresponsable Lea ahora
Blog de LaCalidad
32
DEFINA OS RESPONSÁVEIS
BlogdeLaCalidad
.com