Con la revisión de la Norma ISO 9001:2015 se ha introducido un nuevo jugador en el tablero: “el Análisis de los Riesgos y las Oportunidades” y como éstos influyen en las empresas.
Se ha hablado mucho de las novedades que la revisión y actualización de la Norma ISO 9001:2015 ha introducido en el panorama de los Sistemas de Gestión de la Calidad en las organizaciones; en concreto del papel que ocupa “el contexto de la empresa en el documento”, sin embargo, no podemos olvidarnos de otros dos actores importantes que aparecen para adquirir un papel protagonista: “los Riesgos y las Oportunidades”.
No Todo es Negativo.
A menudo, cuando hablamos de los “Riesgos y las Oportunidades” solemos centrarnos en la parte negativa de estos; es decir, los efectos adversos que inciden directamente e indirectamente para lograr los objetivos y las metas que nos hemos propuesto; y no vemos o no le prestamos la debida atención a aquellos elementos que nos aportan una oportunidad para mejorar nuestro posicionamiento, nuestra efectividad (eficiencia + eficacia) o alcanzar nuestra visión empresarial.
“Si tomamos como referencia la definición de “riesgo”; como efecto de la incertidumbre, considerando un efecto como una desviación, ya sea positiva o negativa, de lo esperado, el concepto de riesgo se amplía y se acerca al de las oportunidades”. Y es que los riesgos de los que nos habla la revisión de la Norma ISO 9001:2015 van más allá y “se convierten en unas elementos para la mejora continua y en unas herramientas para alcanzar los objetivos marcados”.
El Papel de la Incertidumbre.
Partiendo de la base de que toda acción realizada conlleva un grado mayor o menor de incertidumbre, el apartado 6.1., “Acciones para abordar riesgos y oportunidades” de la Norma ISO 9001:2015, busca que la “Planificación Estratégica” sea más explícita y debidamente estructurada, para permitir una mayor eficacia y promover una orientación clara hacia la mejora.
Es decir, si en el momento en el que estamos realizando la “Planificación Estratégica” y definiendo los objetivos, metas, estrategias, procesos, acciones, responsables, recursos, etc., incluimos la información sobre los “Riesgos y las Oportunidades” que pueden afectar e impedir a que se alcancen los resultados previstos, junto con el contexto en el que nos encontramos y los datos sobre las partes interesadas y sus expectativas, se podrán prevenir los efectos negativos de la incertidumbre y repercutir en la mejora. De esta forma, “el Pensamiento basado en el Riesgo” reforzará el carácter preventivo de la norma”.
Como aplicar este requisito a la realidad de la empresa.
Debemos tener presente que “la organización no puede ni debe quedarse en una simple determinación de los Riesgos y las Oportunidades que pueden afectarle, sino que tiene que ir un paso más allá y con esta información, establecer que acciones son necesarias para abordarlos, incluyéndolas en el Sistema de Gestión de la Calidad y evaluándolas para comprobar continuamente su eficacia”.
Para ayudar a las empresas a aplicar este punto la norma indica en una de las notas de este apartado que las opciones de que disponen para abordar los riesgos pueden ser muy variadas, como:
Evitar riesgos;
Asumirlos para aprovechar una oportunidad;
Ir a la fuente del riesgo y eliminarla;
Cambiar la probabilidad;
Cambiar las consecuencias;
O mantener el riesgo. (Pero minimizado y controlado).
Sin embargo, lo que “no menciona es una metodología concreta para llevarlo a cabo, por lo que cada empresa debe evaluar que opción, entre las muchas existentes, se adapta mejor a sus necesidades”.
ISO 31000 o Gestión del Riesgo.
La Norma ISO 31000 beneficia a las pymes ya que permite identificar los impactos negativos que pueden estar asociados a las actividades y operación de las empresas. El aumento de la complejidad de las empresas y la necesidad de adaptarse a un entorno cada vez más amplio, competitivo, desafiante y variado, junto con otros factores; han hecho que las organizaciones estén más expuestas a los riesgos y que estos, en muchos casos, les afecten en mayor medida.
Por esa razón, “la norma ISO 31000 es un poderoso aliado para las empresas, al aportar un enfoque general y objetivo de la gestión de riesgo, sin importar el tamaño, tipo de riesgo, características, sector al que pertenece o localización de la empresa”.
La norma ISO 31000, Gestión de Riesgo. Principios y directrices, permite que las empresas de cualquier tipo y tamaño se beneficien de las oportunidades que están a su alcance, al identificar los impactos negativos generados en su operación. De esta forma, se puede observar que está relacionada íntimamente tanto con las oportunidades que la empresa puede aprovechar; como con las amenazas que le pueden ocasionar pérdidas. Podemos resumir que “la gestión de riesgo es una herramienta más, que pueden utilizar las empresas para alcanzar el éxito comercial y operacional que persiguen con sus actividades diarias”.
Es una herramienta esencial y muy útil para todas las empresas, sin embargo la experiencia nos enseña que todavía muchas organizaciones desconocen la existencia de esta y de cómo puede ayudarles a alcanzar los objetivos que proyecten. Si bien hemos avanzado algo en el conocimiento, ya que hace algunos años “era impensable que la dirección de las empresas se planteara la gestión, el estudio y el análisis de los posibles riesgos a los que podía verse afectada a lo largo de su actividad y en su entorno comercial”, todavía hoy en día se desconoce en su mayor parte. El pensamiento más habitual y equivocado, es que sólo son técnicas que se emplean en las grandes compañías no siendo de utilidad para las pymes.
Por otro lado, en los casos en los que se conoce la herramienta de la gestión de riesgo y su aplicación a la empresa, podemos encontrarnos con que se desconoce cómo adaptarla y utilizarla eficazmente en la práctica, no comprendiéndola en su totalidad. Esto último es más peligroso que el desconocimiento total; ya que en ocasiones un directivo que no conozca cómo se debe adaptar una eficaz gestión de riesgo y lo haga “a su manera” puede no alcanzar los objetivos marcados y en lugar de llegar a la conclusión de que debe entender la herramienta que ha optado a utilizar para poder sacarle todo el beneficio, puede llegar a desecharla de forma definitiva.
Como se puede adaptar la gestión de riesgo en una empresa.
“La buena comunicación y la honestidad son dos aspectos claves para la implantación eficaz de la gestión de riesgo en la empresa”.
Existen muchas maneras de implantar la gestión de riesgo en la empresa de forma eficaz, dependiendo de la existencia de un sistema de gestión, del grado de aceptación de los cambios, etc. Para poner un ejemplo vamos a remitirnos a un artículo de la “Revista ISO Focus” del mes de febrero del 2013 (páginas 19 a la 21): “La gestión de riesgos puede adaptarse de forma progresiva a cualquier empresa o puede optarse por una implantación completa, siendo únicamente importante que, igual que con cualquier otro proceso, la comunicación y la honestidad sean las adecuadas ya que son claves para que puede ser implantada de forma eficaz”.
De esta forma, “es muy aconsejable que las empresas adopten las nuevas herramientas administrativas que les permitan alcanzar sus metas, les ayuden a mantener y mejorar su posición en el mercado y aumentar sus beneficios”.
Fases de la Gestión de Riesgos en la empresa.
La correcta Gestión de los Riesgos en la empresa forma la base para consolidar el éxito y alcanzar una mejor posición en el mercado frente a la competencia.
Como ya observamos, “la Gestión de Riesgos es esencial para la correcta gestión de la empresa y no sólo en el campo administrativo o de producción, sino que se adapta a todos los procesos de la organización y aporta claros beneficios a todos ellos.
“Su correcta implantación y gestión, van a aportar grandes beneficios como el aumento de la confianza de los Clientes y proveedores, la correcta asignación y gestión de los recursos; destacándose por su eficacia. También se produce una minimización de las pérdidas y se identifican las fortalezas, oportunidades, debilidades y las amenazas que afectan o afectarán a la empresa”.
Todo ello repercute positivamente en los beneficios y aumenta las ganancias, al igual que ayuda a posicionar en el mercado a la organización.
Pero no sólo estos beneficios deben ser tenidos en cuenta, sino que “la correcta gestión de los riesgos permite identificar las amenazas y peligros que afectan a la empresa y permite mejorar su rapidez de respuesta, eficiencia y dinamismo”.
Esta primera tendencia de reparación de los efectos provocados por las amenazas, poco a poco va evolucionando para irse anticipando a los riesgos, al igual que disminuye la incertidumbre y se aumenta la transparencia y la capacidad de respuesta a los campos de mercado al permitir anticiparse a los movimientos y adaptarse a ellos.
“En un mundo en el que la rapidez de respuesta y anticipación marcan el éxito o el fracaso en cualquier proyecto que la empresa inicie, la implantación de un Sistema de Gestión de Riesgos es necesaria para aquella empresa que desee permanecer en el mercado y mejorar su posición frente a la competencia”.
Como es habitual en todos los sistemas de gestión, el primer paso y la base sobre la que se sustenta el correcto funcionamiento del sistema es la identificación.
En el caso de la Gestión de Riesgos se basa en la identificación de los riesgos que afectan o pueden afectar a la empresa en todas las facetas de su actividad. Algunos de estos riesgos pueden ser:
Amenazas relacionadas con fallos físicos, daños fortuitos o acciones criminales, al igual que los riesgos relacionados con los mismos factores;
Sucesos de origen natural;
Riesgos operacionales;
Factores que resultan ajenos al control realizado por la empresa;
Incumplimiento de determinados requisitos legales a valorar en cada caso;
Diseño, instalación y utilización de los distintos equipos de seguridad;
Gestión de los datos, información y comunicaciones, de la actividad realizada o algún otro aspecto relacionado con la empresa;
Amenazas a la posible continuidad de las operaciones.
Para poder establecer las medidas de control y gestión de los riesgos adecuadas, siempre se debe partir de la correcta identificación de los distintos factores de riesgo. Una vez que se haya realizado, se valoran de acuerdo a su impacto y se clasifican; con ésta información se pueden comenzar a establecer los distintos planes de acción que servirán para la mitigación, control o eliminación de los riesgos derivados de la actividad.
Para comprender mejor cómo funciona la Gestión de Riesgos vamos a tomar como referencia un fragmento de la revista “AENOR” Nº 280, de marzo del 2013; en el artículo “Facilitar la Exportación” (páginas 24 a la 29), que indica las fases para el desarrollo del Sistema de Gestión de Riesgos:
“Identificación de los riesgos. Es el proceso de encontrar, reconocer y describir los riesgos. En este proceso se incluye la identificación de las fuentes de riesgo, los sucesos, las causas o series de circunstancias, sus potenciales consecuencias. Esta identificación puede apoyarse en datos históricos, análisis teóricos, opiniones autorizadas y en las necesidades de las partes interesadas.
Análisis del riesgo. Se trata de un proceso sistemático para comprender la naturaleza del riesgo y para deducir el nivel de riesgo. Este análisis proporciona las bases para la evaluación del riesgo y para sus decisiones consecuentes.
Valoración del riesgo. Compara los resultados del análisis del riesgo frente a los criterios de riesgo para determinar si el nivel de riesgo es tolerable o no.
Tratamiento del riesgo. Se aplica en función del grado de tolerabilidad del mismo; en general caben las siguientes opciones:
Retención del riesgo. Es la aceptación de las pérdidas que provocaría un riesgo en particular. En el mejor de los casos supone que no se han identificado, así como los riesgos residuales. En cualquier colectivo hay un cierto grado de riesgo retenido puesto que la eliminación absoluta de todos los riesgos es impracticable.
Reducción del riesgo. Se trata de la aplicación de alguna –o de varias- de las estrategias siguientes: Prevención del riesgo (medidas que se toman para reducir la probabilidad de que se produzca un suceso no deseado); Represión del riesgo (medidas implantadas para reducir la probabilidad de que un suceso no deseado dé lugar a consecuencias); y Mitigación del riesgo (medidas que se toman para reducir el efecto de unas consecuencias no deseadas).
Eliminación del riesgo. Es la reducción a cero de la frecuencia de un suceso desfavorable y de su severidad. Debe involucrar la eliminación de las fuentes de riesgo (peligros)”.
Comments