Los Riesgos y Oportunidades en la norma ISO 9001 2015

Una de las principales novedades de la norma ISO 9001 2015, es la necesidad de gestionar los Riesgos y las Oportunidades que afecten a los Procesos de la empresa. Éstos son debidos de los cambios del Contexto de la organización, tanto de su entorno como de sus partes interesadas. Y surgen del análisis de los factores internos y externos, vistos en puntos anteriores de la norma ISO 9001 2015.

En ocasiones sólo se habla de Riesgos, olvidando el término de Oportunidad. Ya que se considera que aprovechar una oportunidad que surja en un momento determinado, al final supone un riesgo si se intenta aprovechar. Por ejemplo: la oportunidad de entrar en un nuevo mercado, lleva asociado el riesgo de que no se alcancen los objetivos marcados, y por tanto se pierda toda la inversión realizada en tiempo y dinero.

En versiones anteriores de la norma ISO 9001, existía la posibilidad de abrir Acciones Preventivas que evitasen la aparición de No Conformidades en los procesos de nuestro Sistema de Gestión de la Calidad. La necesidad de tomar estas acciones debía surgir en el día a día de la actividad o en la Revisión del Sistema de Gestión, por lo que el número de Acciones Preventivas era muy escaso. Con la gestión de los Riesgos este problema desaparece, ya que en definitiva se trata de adelantarse a los problemas, proporcionando una sistemática para generar acciones preventivas que reduzcan o eliminen los riesgos. Convirtiendo el Sistema de Gestión en una herramienta más preventiva que correctiva, como era hasta ahora. Favoreciendo además, que las organizaciones apliquen mejoras de manera proactiva y no sólo reactiva, garantizando la mejora continua de las mismas.

Pese a que la norma ISO 9001 2015 no establece ninguna metodología específica para la gestión de los Riesgos y las Oportunidades, se puede tomar como referencia la norma ISO 31000 Gestión del riesgo: Principios y directrices. A continuación te presentamos una posible sistemática, basada en las indicaciones de esta norma, simplificada a sólo tres pasos:

Paso 1: Identificación de riesgos y oportunidades

La definición de los Riesgos y las Oportunidades quizás sea la tarea más crítica, dado que es fundamental no dejarse ningún Riesgo por identificar. El análisis del Contexto realizado con anterioridad, como pide la norma ISO 9001 2015, nos proporcionará una buena fuente de información para la identificación de los Riesgos.

Es importante dedicarle unos días a pensar en posibles riesgos, evitando cerrar la lista en una única reunión. En la identificación de los Riesgos y las Oportunidades, además de la Dirección, es bueno que participen todos los propietarios o responsables de los procesos.

Alguno de los Riesgos más comunes que se dan en la mayoría de las organizaciones, son los siguientes:

1. Relacionados con los sistemas informáticos: virus informáticos, pérdida o robo de equipos, rotura de servidores, falta de capacidad...
2. Relacionados con los empleados: huelgas, baja productividad, pérdida de talento, alta rotación, escaso compromiso con la organización...
3. Relacionados con el corte de servicios: Pérdida de acceso a internet, comunicaciones (teléfono), corte de luz...
4. Relacionados con multas y penalizaciones: multas por incumplimientos legales, pérdida del certificado ISO 9001, nuevos reglamentos o leyes que resulten de aplicación...
5. Relacionados con la Pérdida de competitividad: obsolescencia de la máquinas, personal poco formado, falta de nuevos productos (patentes), pérdida de clientes...
6. Relacionados con los cambios en el mercado: productos sustitutivos, aumento de la competencia, falta de crédito, caída de la demanda...
7. Relacionados con desastres naturales: incendios, inundaciones, terremotos, explosiones, accidentes...

Algunas de las Oportunidades que se suelen dar en las empresas en algún momento, son las siguientes:

1. Relacionados con el entorno político y económico: La caída del precio del petróleo, las ayudas públicas al I+D, o la mejora en las condiciones de financiación, pueden ser oportunidades para retomar inversiones paradas.
2. Relacionados con la evolución del mercado: Una crecimiento de la demanda puede dar la oportunidad de invertir en el crecimiento y diversificación de la organización.
3. Relacionados con las nuevas tecnologías: Las nuevas tecnologías ofrecen a las organizaciones la opción de mejorar sus productos, ofrecer otros nuevos, y optimizar su productividad y eficiencia.
4. Relacionados con los nuevos mercados: La economía global actual, ofrece un gran número de países y culturas donde vender nuestros productos.
5. Relacionados con el cierre de competidores: Si una empresa competidora o proveedora cierra, ofrece una gran oportunidad tanto en la adquisición de maquinaria y equipos, como en la de contratación de personal altamente cualificado y experimentado.
6. Relacionados con los nuevas necesidades: Los clientes, los consumidores y la sociedad en general, cambia sus hábitos de vida continuamente, y por tanto sus necesidades de compra. Lo que abre un gran número de nuevos nichos de mercado que cubrir.
7. Relacionados con nuevos reglamentos y leyes: La publicación de una nueva ley, puede dar la oportunidad a la empresa de ser la primera en adaptarse al nuevo escenario, y por tanto sacar ventaja a sus competidores.

Una vez definidos todos los Riesgos y las Oportunidades, pasaremos a evaluar su importancia.

Paso 2: Evaluación de riesgos y oportunidades

Una vez identificados todos los Riesgos y Oportunidades de nuestra organización, deberemos determinar cuáles de ellos vamos a tratar. Dado que los recursos para reducirlos suelen ser finitos, necesitaremos poder valorar cada uno de los riesgos para poder determinar su criticidad, y así dedicar los recursos disponibles en los más importantes.

Para poder valorar los riesgos de manera objetiva, evitando las opiniones subjetivas del evaluador, deberemos definir previamente los criterios que vamos a utilizar en la evaluación. Estos criterios deberán ser lo más cuantificables que podamos: evitando términos como "muchas veces, pocas o casi nunca", y utilizando otros como "más de 5 veces al día, menos de 1 vez al mes". Los dos criterios clásicos que se utilizan para este tipo de evaluación, son la probabilidad y el impacto. Y son suficientes para el cumplimiento de los requisitos de la norma ISO 9001 2015.

1. La Probabilidad: calcular la probabilidad de que un riesgo se materialice suele ser complicado. Para ello deberemos consultar las veces que nos ha sucedido en el pasado en la empresa, o buscar en internet información al respecto.
2. El Impacto: la mejor forma de poder comparar los impactos de diferentes riesgos, es calcular el coste económico en caso de materializarse. No sólo el coste de reposición de la maquinaria, de las materias primas o de los servicios que necesitaremos subcontratar, sino también el de todas las horas del personal propio implicado.

Una vez valorados todos los Riesgos y Oportunidades bajo estos criterios, deberemos aplicar una fórmula para determinar el nivel de riesgo de cada uno de ellos. Esta fórmula puede ser desde una simple suma o producto de la valoración de los criterios, a un algoritmo ponderado más complejo.

Ya hemos calculado el nivel de riesgo de cada uno de los Riesgos/Oportunidades, ahora deberemos determinar cuáles de ellos tratamos/aprovechamos. Evidentemente será aquellos con mejor puntuación, pero dado que los recursos son limitados, habrá que determinar un punto de corte. Éste debe ser determinado y aprobado por la Dirección, que asumirá el resto de riesgos como tolerables y el resto de oportunidades como aplazables.

IMPORTANTE: La evaluación de riesgos debe ser aprobada por la Dirección. Evitando así, incoherencias con los Objetivos y la Estrategia de la organización, y cumplir así los requisitos de la norma ISO 9001 2015. Por ejemplo: no es coherente que tengamos como objetivo mejorar la atención de los clientes, y aceptar como tolerable el riesgo de eliminar sus correos electrónicos por ser confundidos como "spam".

RECOMENDACIÓN: Se debe reevaluar periódicamente los riesgos y oportunidades, siendo lo más habitual al menos una vez al año o ante cambios importantes del Contexto. Disponer de una evaluación actualizada de loa Riesgos y las Oportunidades es requisito de la norma ISO 9001 2015.

Paso 3: Tratamiento de riesgos y oportunidades

Una vez realizada la evaluación de los riesgos y de las oportunidades, y saber cuáles de ellos vamos a tratar, es el momento de definir las acciones que vamos a realizar. En el caso de los Riesgos, estas acciones irán dirigidas a conseguir alguno de los siguientes objetivos:

1. Eliminar el Riesgo: Siempre será la mejor solución, pero pocas veces será posible. Para ello deberemos centrarnos en analizar el foco y origen del riesgo, para tratarlo y así eliminar el riesgo.
2. Reducir la probabilidad: Al tomar acciones sobre un determinado riesgo, podremos centrarnos en reducir la probabilidad de que éste se materialice. Y por tanto, reducir dicho riesgo. Por ejemplo: el invertir en un antivirus de garantías, reducirá la probabilidad de que los equipos informáticos de la organización sean infectados.
3. Limitar el impacto: La otra opción es realizar acciones para reducir su impacto en el caso de que suceda. Por ejemplo: ante el riesgo de ser penalizado o multado económicamente por una suma de dinero que cuestionaría la continuidad de la organización, podemos contratar un seguro.
4. Asumir el Riesgo: Cuando el riesgo puede considerarse tolerable o trivial, existe la opción de asumir dicho riesgo y por tanto no tomar ningún tipo de acción para corregirlo.
5. Desviar el Riesgo: subrogar el riesgo a un proveedor o colaborador es bastante habitual en actividades que no aportan valor añadido a nuestros productos. Por ejemplo: si la distribución de nuestros productos la realizamos con vehículos propios, podemos subcontratar el reparto y así desviar a la empresa repartidora el riesgo de accidente o penalizaciones por retrasos en la entrega.

Todas las acciones que vayamos a llevar a cabo, incluyendo su planificación con plazos y responsables, pueden ser definidos en un Plan de Acción específico. O integrados en la Planificación del Sistema de Gestión. Realizando un seguimiento periódico de todas las acciones, y corrigiendo las posibles desviaciones que puedan surgir.