Por: Jesús López Patiño / DQS de México / Jesus.Lopez@dqsmexico.com
Después de las últimas versiones emitidas de las normas internacionales ISO 9001, ISO 14001 e IATF 16949, existe un concepto que no ha quedado del todo claro para muchas de las organizaciones que cuentan con sistemas de gestión implementados: El pensamiento basado en riesgos.
El pensamiento basado en riesgos es un enfoque que ahora deben considerar las organizaciones para lograr la constante consecución de sus objetivos. Es un tema que ha tomado importancia en el último par de años, sin embargo, ya se trataba en la norma ISO 31000:2009, gestión de riesgos.
La norma se actualizó en febrero de este año, con la nueva versión ISO 31000:2018, la organización internacional de estandarización tiene como objetivo el apoyar el entendimiento de riesgo en los sistemas de gestión implementados de ISO 9001:2015, ISO 14001:2015 e IATF 16949:2016, entre otras normas.
La norma es aplicable a cualquier tipo de organización, independientemente del tipo, tamaño, estructura, localidad o giro y abarca todo tipo de riesgo. Sin embargo, ISO 31000:2018 no es una norma certificable, es una norma guía que puede complementar los sistemas de gestión de normas que sí son certificables. Hay que recordar que ISO no certifica directamente, la certificación debe llevarla a cabo un organismo de certificación como DQS de México.
Elementos de la norma han sido revisados para que sean interpretados sencillamente y se puedan alinear a cualquier organización, incluso el riesgo como tal ha tenido una modificación para facilitar su interpretación y el objeto de su gestión. Riesgo ahora se define como “efecto de incertidumbre en los objetivos”.
Con la nueva versión de la norma se busca justamente clarificar el pensamiento basado en riesgo, elemento primordial dentro de los sistemas de gestión de las organizaciones. Cosa que en la actualidad las organizaciones no consideran a lo largo de todos sus procesos y en cada nivel jerárquico.
El conflicto que existe para lograr la implementación del pensamiento basado en riesgo es consecuencia de una mala identificación de las partes interesadas, en otras palabras, parte del contexto de la organización que se ha definido.
El contexto de la organización es de acuerdo a ISO 9000: Combinación de factores internos y externos, y condiciones que pueden tener un efecto en una organización con enfoque en sus productos, servicios e inversiones y partes interesadas.
Teniendo en mente la identificación de estos factores, es necesario a su vez, identificar las partes interesadas de la organización. Esto quiere decir toda persona u organización que puede afectar o verse afectadas por una decisión o actividad de la organización. Las partes interesadas pueden ser clientes, proveedores, socios, incluso la sociedad.
Una vez que se han identificado, se debe contemplar el efecto de incertidumbre que existe para la consecución de los objetivos, y relacionarlo con las partes interesadas que estarían afectadas por esta incertidumbre.
Para lograr tener este control se recomienda el uso de ISO 31000, norma que no es certificable, empero busca ser una guía de apoyo para la optimización en los sistemas de gestión de normas certificables, como las que se han mencionado en este artículo.
ISO 31000:2018 fomenta una gestión de riesgos para beneficio de las organizaciones, con ayuda de ISO 31010, técnicas de gestión de riesgo, proponen la identificación de factores tanto internos como externos que lo hagan incierto sÍ y cuándo se lograrían los objetivos de las empresas.
El efecto de incertidumbre es un cuestionamiento que se debe abordar desde una perspectiva innovadora que rompa con el paradigma inmerso en la cultura organizacional actual; esto es, dejar de ver a la incertidumbre como un efecto completamente negativo, para verle también con la posibilidad de obtener un beneficio, que antes no se había considerado y que ahora se puede aprovechar. En otras palabras, la incertidumbre se puede traducir en un riesgo, que afectaría la consecución de los objetivos de la empresa, o en oportunidad, que son cuestiones que la organización puede utilizar para facilitar o beneficiar su desempeño y el logro de los objetivos organizacionales.
Con la ayuda de ISO 31010 se pueden utilizar herramientas para optimizar la gestión de riesgos. Y alcanzar un pensamiento basado en riesgos adecuado.
Existen distintas técnicas de administración de riesgo que pueden ser utilizadas para beneficio de la organización, y éstas se pueden dividir de acuerdo a su funcionalidad. Los tipos más comunes y que se pueden encontrar en la norma 31010 son:
- Técnicas de identificación del riesgo.
- Análisis del riesgo- Análisis de las consecuencias.
- Análisis del riesgo- Estimación de la probabilidad cualitativa, semicuantitativa o cuantitativa.
- Análisis del riesgo- Evaluación de la eficacia de todos los controles existentes.
- Análisis del riesgo- Estimación del nivel del riesgo
- Evaluación del riesgo.
También es importante entender enteramente el contexto de la organización, para de esta manera usar las herramientas que mejor se adecúen a la misma. Tener en cuenta factores como la complejidad de problema, la naturaleza y grado de incertidumbre, darán una visión más acertada de qué herramienta funciona mejor y en qué nivel de cada organización.
Una vez que se han considerado estos conceptos, entonces se puede implementar la herramienta que más convenga, las herramientas pueden variar, como lo vimos de acuerdo al tipo que son o bien también a su grado de alcance y detalle, así como los entregables que brindan. Pueden ser desde una tormenta de ideas o listas de verificación, hasta un desarrollo extenso como lo son los análisis HAZOP o análisis de causa-consecuencia.
La labor que se realiza usando estas herramientas y alineándolas a las guías de ISO 31000:2018 y al sistema de gestión en sí, puede parecer compleja y demandante, sin embargo, el costo-beneficio está a favor de su uso. Ya que, gracias a una adecuada gestión de riesgos, estos se pueden evitar o mitigar de tal manera que se cumplan los objetivos y no se llegue a una pérdida considerable por no haber tenido situaciones en consideración.
Además, se debe de tomar en cuenta que al tener identificados tanto riesgos como oportunidades, en conjunción con un mayor involucramiento de la Alta Dirección (que también es requisito de las normas internacionales), brinda un beneficio cuantificable en la toma de decisiones; lo cual, da como objetivo mayor efectividad, mejor uso de recursos y sin duda, la gestión de riesgos en conjunto con una toma de decisiones eficiente son componentes que se vuelven primordiales para la mejora continua del desempeño de las organizaciones.
La tarea es complicada, es un cambio en culturas organizacionales que se encuentran arraigadas en costumbres laborales que no son funcionales en la actualidad. Normalmente se tiene una cultura de corrección en lugar de previsión, sin embargo, la norma permite a las organizaciones identificar situaciones, y darles el poder de decisión; prevenir ese riesgo, aprovechar esa oportunidad, asumir el riesgo si el impacto es pequeño. Este beneficio que tiene la organización es de gran valor y al estar correlacionado con los objetivos de la empresa, no sólo la organización se verá beneficiada por esta toma de decisiones consciente, también sus partes interesadas, sus clientes.
ISO 31000:2018 trae consigo una serie de beneficios que impactan positivamente en los resultados de las organizaciones, y aunque no sea una norma certificable, es recomendable se utilice como complemento en los sistemas de gestión de las organizaciones que se encuentren certificados.
ACERCA DEL AUTOR
Jesús Alejandro López Patiño es Coordinador de Innovación & MKT en DQS de México, organismo de certificación reconocido internacionalmente. Cuenta con cinco años de experiencia en sistemas de gestión y normas internacionales.
Correo: Jesus.Lopez@dqsmexico.com
