La idea inicial respecto a esta serie de artículos sobre las nuevas normas ISO 9001:2015 e ISO 14001:2015 era la de seguir el orden de los requisitos de la misma, comentando sus exigencias y pidiendo la opinión de quien quisiera participar.  Sin embargo, una lógica petición me ha hecho replantearme el orden de la exposición y hacer un pequeño salto hasta el capítulo 6.1. “Acciones para tratar riesgos y oportunidades”, que ha resultado ser una de las principales novedades de la norma y por el momento, la que más está preocupando a empresas, asesores y creo que también, auditores.

Todos sabemos que uno de los propósitos fundamentales de un sistema de gestión de la Calidad es prevenir los posibles errores en todos los ámbitos y procesos, sobre todo en aquellos que afectan directamente a la calidad del producto o servicio que ofrece la organización. Sin embargo, también sabemos que en el día a día, la mayor parte de las empresas no prestan especial atención a la implantación de acciones preventivas, ya que la corrección y eliminación de las causas de no conformidades reales ya resulta un trabajo suficientemente arduo.

Las nuevas normas no tienen un capítulo separado titulado ‘Acción preventiva’. El concepto de acción preventiva se expresa mediante un enfoque basado en el riesgo para formular requisitos del sistema de gestión de la calidad.  Por lo tanto, en la nueva versión de la norma se incorpora de manera explícita el enfoque basado en el riesgo, incluyéndolo en los requisitos establecidos para el establecimiento, la implementación, el mantenimiento y la mejora continua.

Con ello se persigue que la prevención de los problemas que pueden surgir en el devenir cotidiano de la actividad de una organización sea una realidad, obligando a la organización a establecer una sistemática para la identificación y la gestión de sus riesgos.

Es importante tener en cuenta que el concepto de riesgo va acompañado, en la norma, del concepto de oportunidad: el punto 6.1 se titula “Acciones para tratar riesgos y oportunidades”. Puede entenderse que la empresa deberá gestionar el tema identificando, analizando y evaluando los riesgos y planificando acciones para tratar los riesgos y las oportunidades.

Sin embargo,  aunque los riesgos y oportunidades tienen que determinarse y tratarse, no hay ningún requisito para la gestión formal de riesgos ni un proceso documentado de la gestión del riesgo. La empresa tiene total libertad de cara a elegir la metodología adecuada para ese tipo de gestión. Y aquí surgen varios problemas: ¿qué método utilizamos para evaluar el riesgo?, ¿qué procesos evaluamos? ¿se trata de evaluar riesgos estratégicos o riesgos concretos asociados a nuestra actividad?, ¿podemos simplificar el proceso según nuestro propio criterio?

Vamos a tratar este tema, tocando las tres cuestiones que pueden resultar más complejas: el alcance de la evaluación de riesgos, los métodos adecuados y su imbricación en el sistema de gestión de Calidad de la empresa.  En futuros artículos hablaremos de la incorporación de este requisito en ISO 14001:2015.

Alcance de la evaluación de riesgos.

Es una de las cuestiones que está resultando más controvertida y que está generando una cierta preocupación.  La gran pregunta es ¿tengo que realizar una evaluación de riesgos en cada proceso?  Bueno, a priori, la norma nos deja claro en su epígrafe 6.1.1 que la organización debe determinar los riesgos y oportunidades a partir del conocimiento de la organización y de su contexto (epígrafe 4.1., ya comentado con anterioridad).  Hasta ahí, la cosa está clara y contamos con diferentes herramientas para realizar este tipo de evaluación, como se verá más adelante.

Si avanzamos en la lectura de la norma, veremos que el punto 6.1.2 nos dice que, una vez evaluados los riesgos, la organización debe planificar las acciones para tratarlos y la manera de integrar e implementar estas acciones en los procesos de su sistema de gestión de Calidad y posteriormente, evaluar la eficacia de estas acciones.  ¿La norma nos está pidiendo que implantemos acciones para tratar riesgos y oportunidades en todos los procesos? La respuesta es sí, aunque al no utilizar la norma la palabra todos también podría defenderse lo contrario…Por otro lado, ¿la norma nos obliga a evaluar los riesgos en cada proceso? Creo que de la lectura de la norma puede deducirse que no.  La norma nos obliga a que actuemos en cada proceso, pero no a evaluarlo.  La cuestión puede parecer de menor importancia, pero no lo es.

Una organización puede tener un buen sistema general para evaluar riegos asociados al incumplimiento de requisitos de cliente, legales, normativos y de partes interesadas y obtener una clasificación de sus principales riesgos (y oportunidades). Una vez hecho eso puede desplegar acciones correctivas o de mejora para cada uno de los riesgos en uno o varios procesos.  Lo que sí nos pide la norma es que todos los procesos sean destinatarios de la implantación de alguna acción para tratar riesgos.

Pongamos un ejemplo: una organización ha realizado una evaluación general de riesgos y ha detectado como tal la entrada de un producto sustitutivo a un precio muy competitivo.  A su vez, la situación del precio de su producto no es muy ventajosa en el mercado, es decir, siguiendo el conocido modelo general DAFO se enfrenta a una amenaza exterior (producto sustitutivo más barato) en una situación de debilidad interna (precio propio caro).  Implantará una estrategia general de supervivencia que podrá ir enfocada, por ejemplo, a la reducción del precio del producto propio.  Esa estrategia podría desplegarse en acciones para eliminar la fuente del riesgo (el elevado precio) en varios procesos.  Así, implementará mejoras en el mantenimiento de la maquinaria (reduciendo paradas y fallos de producción), en las compras (optimizando el precio de las materia primas), en la planificación de la producción (reduciendo tiempos de trabajo), en el control de calidad (persiguiendo una producción sin defectos), en los recursos humanos (buscando la polivalencia de los empleados y la reducción de algunos costes de subcontratación), en el proceso de logística (reduciendo los costes del inmovilizado), etc…Con todo esto tendremos que una evaluación de riesgos “general”, es decir, no específica de cada proceso, dará lugar a una serie acciones para eliminar el riesgo en varios procesos del sistema de gestión, o incluso en todos ellos.

¿Quiere decir todo esto que una organización no puede aplicar su metodología de evaluación de riesgos a todos sus procesos?  Claro que no, evidentemente puede hacerlo y algunas lo harán.  Lo que ocurre es que, en ese caso, no resultaría muy recomendable utilizar un único método, ya que los diferentes procesos son de naturalezas muy distintas, siendo más aconsejable contar un “paquete metodológico” suficientemente versátil como para poder evaluar diferentes realidades.  Vayamos con ese tema.

Métodos de evaluación de riesgos.

Comentemos alguno de los métodos más utilizados para evaluar riesgos en las organizaciones, siempre dejando claro que una lista exhaustiva sería mucho más extensa y que sólo se pretende introducir la cuestión.

• AMFE.  Conocidísimo sistema basado en la combinación del conocimiento de la organización desde el punto de vista interno (debilidades y fortalezas) y externo (amenazas y oportunidades), es decir, perfectamente alineado con lo exigido por el epígrafe 4.1. de la nueva norma. En realidad se trata de una herramienta de planificación estratégica y no es, exactamente, un método de evaluación de riesgo, ya que no incluye una valoración probabilística. Su gran utilidad es la de ofrecer cuatro tipos de estrategia derivadas de la combinación de los factores internos y externos, lo cual facilita mucho la conexión de lo exigido por el punto 6.1.1. con lo que indica el 6.2.1.
• DIAGRAMA DE ISHIKAWA. Diagrama causa-efecto muy útil para organizar la información generada en una tormenta de ideas referente a la identificación de posibles riesgos, en un primer momento, y de sus causas posteriormente.  No es un método de evaluación de riesgos, sino una forma de identificarlos.
• Un diagrama de Pareto es una buena herramienta para estratificar causas y seleccionar prioridades.  Una secuencia “ISHIKAWA + PARETO + ISHIKAWA” puede ser una alternativa sencilla a métodos más complejos.
• COMPARACIÓN POR PARES. Buen método para la estratificación de problemas o riesgos y también para priorizar soluciones.  Es una alternativa al método de Pareto que puede utilizarse de forma general o “por criterios”.
• WHAT IF. Herramienta sencilla desde el punto de vista metodológico y que resulta aplicable a cualquier proceso.  Exige la preparación de listas de preguntas estándar que puedan aplicarse a todos ellos o de baterías específicas para cada caso.  Resulta interesante como herramienta para evaluar riesgos en procesos productivos, de mantenimiento, de logística, de compras y de ventas.  Como principal pega puede destacarse que tampoco ofrece un análisis probabilístico
• HAZOP o AFO. El Análisis Funcional de Operatividad es un método sistemático y más complejo que los anteriores (aunque también más exhaustivo), muy útil para evaluar riesgos en procesos productivos, fundamentalmente, pero también para otros como la logística o el mantenimiento. No valora la probabilidad del riesgo.
• ÁRBOL DE FALLOS (AAF/FTA). Se trata de un proceso deductivo para analizar procesos complejos, hasta llegar a sucesos básicos ligados a fallos de elementos, errores humanos, defectos operativos, etc…  Se basa en enlazar dichos sucesos mediante “puertas lógicas”.  El cálculo de los conjuntos mínimos de fallo ofrece una información probabilística que indica el riesgo de una manera muy real. Como principal problema asociado a su uso puede destacarse que el método exige una gran cantidad de información, de la que no siempre se dispone.  Podría aplicarse a cualquier proceso, aunque va más asociado a la producción, mantenimiento y logística.
• ÁRBOL DE SUCESOS (AAS/ETA). Evalúa las consecuencias de posibles errores o defectos.  Éstos, concatenados con otros errores o circunstancias agravantes o atenuantes, ofrecen el análisis cronológico del suceso, analizando el riesgo –entendido como probabilidad estadística- de que ocurra.  Es un método muy útil para procesos productivos y de mantenimiento (al evitar averías y paradas), así como para el análisis de accidentes.
• El Análisis Modal de Fallos y Efectos es una herramienta muy generalizada y tremendamente útil para evaluar riesgos en cualquier proceso, aunque se utiliza, fundamentalmente, en tres modalidades: AMFE de proceso, AMFE de diseño y AMFE de medios. Incluye causas, probabilidad y consecuencias y adelanta la planificación y valoración de las medidas preventivas.

Al margen de estas herramientas y de otras menos generalizadas, ha de hacerse una referencia especial a las normas ISO 31000, ISO 31010 e ISO 22301:2013, como normas especialmente enfocadas a la evaluación de riesgos.  Para no alargar excesivamente este artículo les dedicaremos un post más adelante.

De igual forma, sería interesante dedicarle un espacio al análisis de la forma que podría dársele a un proceso que aunara todo lo comentado con anterioridad y la planificación de acciones para tratar riesgos, objetivos, planes y planificación de cambios (interesante novedad, esta última).  Será también en otro post.