Ivan Gonçalves: Gestión de Riesgos desde el punto de vista de la ISO 9001

Los últimos días tuvimos en Qualyteam una enriquecedora charla con Ivan Gonçalves. Ivan es Consultor especializado en sistemas de gestión de calidad, medio ambiente, antisoborno y compliance.

 

El video está en portugués, y se encuentra subtitulado en español. De todas maneras, también facilitamos la transcripción para aquellos que prefieran leer la entrevista que contiene ejemplos simples y claros para entender un poco más sobre la Gestión de Riesgos.

 

 

– Mi nombre es Thaisi, soy analista de soporte aquí en Qualyteam y hoy estamos aquí con Ivan para abordar el tema de Gestión de Riesgos en las empresas. Ivan es auditor,  él tiene gran experiencia con implementación de ISO 9001 y hoy nos vamos a enfocar un poco más en las acciones para gestionar Riesgos y Oportunidades. Ivan siéntete como en casa para presentarte:

– Buenas Tardes Thaisi. Gracias por la oportunidad de estar participando con ustedes en este encuentro. Buena observación, hablar de gestión de riesgos, y gestión de oportunidades es algo cada vez más común, principalmente cuando lo vemos desde el enfoque de la ISO 9001, entonces espero poder contribuir con los conceptos que la norma establece y traer un poco a la práctica de lo que vemos en el mercado en relación a los riesgos y oportunidades.

– Entonces los primeros puntos para levantar es el inicio de todo en la gestión de riesgos, ¿por qué es importante realizar esta gestión de riesgos y por dónde debemos comenzar en nuestra organización a realizar este levantamiento?

– Interesante, porque si hablamos de gestión de riesgos, desde el enfoque de la norma, en la versión de la ISO 9001:2008 eso era subjetivo entonces, si tomamos la norma en aquel contexto de 2008, teníamos las acciones preventivas, aquel requisito 8.5.3 de la norma, que hablaba de acciones preventivas, si miramos para la nueva norma no contempla las acciones preventivas, habla de acciones para abordar riesgos y oportunidades. Entonces aquello que era una acción preventiva en la versión anterior de la norma fue transformada o migró a la parte de riesgos y oportunidades. La gestión de riesgos, porqué es importante entonces, hacer gestión de riesgos y oportunidades dentro de una organización. Primero porque toda organización tiene objetivos a ser alcanzados, minimizar éstos riesgos, minimizar ese efecto negativo y las incertidumbres de los eventos a que la empresa está sujeta, traen esa, esa reducción de riesgos que hace que aumente la posibilidad de que se pueda alcanzar esos objetivos. Otras, en fin, hasta la propia norma establece que la gestión de riesgos ayuda a mejorar aquello que es bueno, potenciar lo que se desea y reducir los efectos indeseables, promoverla mejora contínua, existe una serie de factores que llevan a una organización a implementar una sistemática de gestión de riesgos, sacando la obligatoriedad de cumplir un requisito de norma, pero porque las organizaciones hacen esto, justamente para potenciar lo que es bueno, reducir lo que es malo y para alcanzarlos objetivos que tiene establecidos.

– Dentro de tu experiencia en las auditorías y organizaciones ¿Cómo es que las personas acostumbran a identificar los riesgos dentro de la organización?  ¿Existe alguna herramienta, más fácil o correcta para utilizar para ese levantamiento de riesgos o no hay nada específico?

– Mira que pregunta interesante, normalmente cuando hacemos un proceso de auditoría identificamos diferentes herramientas siendo utilizadas para gestión de riesgos, y estas herramientas no están bien o mal, están adecuadas a la realidad y la comprensión de la organización, entonces usar una herramienta más robusta, una sistemática más robusta o menos robusta depende del tipo de organización, depende de la complejidad de los procesos, depende de la comprensión conceptual que identifica, dentro de la propia organización. Entonces no existe, primero una herramienta correcta para hacer la identificación de los riesgos, vale recordar que hay una norma, la ISO 31000 que es la referencia para la gestión de riesgos, entonces dentro de la norma ISO 31000 existen las etapas, la identificación del riesgo, análisis del riesgo, la evaluación del riesgo, el tratamiento del riesgo, de acuerdo con la evaluación y la verificación de la eficacia de aquellas acciones, o sea si hacemos una comparación, tenemos un PHVA relacionado con la gestión de riesgos.

– Bien, y ¿cómo identificamos, separamos oportunidades de mejora y oportunidades dentro de la gestión de riesgos, cuál es la diferencia para que la gente pueda entender mejor esta cuestión?

Excelente pregunta. Primero se necesita entender que; cuando hablamos de gestión de riesgos y oportunidades lo que dice la norma, en el requisito 6.1 , acciones para abordar riesgos y oportunidades, pero estamos hablando de acciones preventivas, como hablé al principio de nuestra conversación, lo que era acción preventiva en la versión anterior, en esta versión pasó a ser acciones para abordar riesgos y oportunidades, entonces las oportunidades relacionadas a la organización, son oportunidades que surgen de un evento potencial, es un concepto importante también porque las empresas tienen una cierta dificultad de, -ay! voy a identificar un riesgo o identificar una oportunidad. Lo qué es un riesgo o lo que es una oportunidad, es una consecuencia, vamos a pensar en el riesgo, es una consecuencia negativa, lo que es una oportunidad, una consecuencia positiva, pero una consecuencia de qué? De un evento, entonces no tengo un riesgo, no tengo una oportunidad, si no tengo un origen, y ese origen es un evento, o una actividad que la organización ejecuta, entonces cuando estemos tratando oportunidades relacionadas a un evento, si ese evento potencial ¿qué es lo que dice la norma en el requisito 6.1 estas oportunidades potenciales?, estas no se caracterizan como una oportunidad de mejora de algo que ya está ocurriendo. En algunas organizaciones se identifica oportunidades en un proceso por ejemplo, entonces tengo; vamos a imaginar una línea de producción, donde estoy produciendo un producto en serie y percibo que si yo, hiciera un movimiento en el  lay out de aquella línea , o acelerar mi proceso, puedo implementar una acción de mejora, puedo implementar una mejora en mi proceso, pero mi proceso ya está pasando, entonces esta característica que son las oportunidades de mejora, en algo que ya está pasando. Cuando miramos los requisitos 6.1 que habla de acciones para abordar riesgos y oportunidades, estas oportunidades son oportunidades potenciales generadas a partir de un evento que todavía no ocurrió, es una diferencia básica entre oportunidades de mejora que ya ocurren dentro de un proceso y aquellas oportunidades de mejora potenciales.

– Entonces identificamos los riesgos de la organización, hicimos un levantamiento y ¿cómo hacemos el seguimiento de estos riesgos? Tenemos una forma correcta, o el auditor puede cuestionarme alguna cosa, ¿cómo es que hago este seguimiento en el día a día?

– Vamos a volver un poco en la parte de la ISO 31000, de las etapas de una… vamos a hacer aquí una implementación imaginaria de gestión de riesgos de manera práctica. Entonces lo primero que necesito es identificar, si miramos la norma ISO 9001 necesito identificar los eventos potenciales, externos e internos de mi organización, entonces está allá en la cláusula 4 que habla del contexto de la organización, análisis del contexto externo, y análisis del contexto interno, entonces todas las empresas están sujetas a eventos, entonces vamos a suponer, todas las empresas están sujetas a un evento llamado «aumento de la carga tributaria» vamos a tomar ese evento externo, ese evento, ocurre dentro de una probabilidad y de un impacto, dentro de una frecuencia y trae un impacto para mi organización, necesito medir mi apetito del riesgo, cuánto yo soporto, o cuánto mi empresa soporta si aquel evento potencial se tornase un evento real. Entonces establezco criterios normalmente basados en la probabilidad y en el impacto, pero establezco criterios para decir si consigo convivir con aquel riesgo, si consigo, si preciso gestionar aquel riesgo, o preciso evitar ese riesgo, entonces si tomamos el ejemplo de un acontecimiento llamado aumento de la carga tributaria, el gobierno resolvió aumentar potencialmente aumentarla carga tributaria. Tengo las consecuencias negativas de ese evento, o sea, el riesgo entonces si aumenta, si ese riesgo aumenta, la carga tributaria puede inviabilizar un producto mío o un servicio mío porque económicamente se va volver inviable. Entonces esa es una consecuencia negativa. Una consecuencia positiva, léase oportunidad, si aumenta la carga tributaria, qué puedo traer como oportunidad, puedo cambiar el marco tributario de mi organización, disminuyendo la alícuota de impuestos que pago. Puedo crear un nuevo producto, desarrollar un nuevo portfolio de servicios, puedo traer innovación, puedo reducir el costo de mi proceso productivo, entonces tengo varias oportunidades potenciales que se configuran como consecuencias positivas de un potencial evento. Entonces, identifiqué los eventos internos y externos, segunda etapa es con base en mi apetito al riesgo, en mis criterios definir que yo voy a hacer con eso. Entonces para cada evento hago una evaluación de ese evento, primero hago un análisis de ese evento, cuál es la probabilidad de que ocurra, cuál es el impacto si ocurre, tengo la probabilidad voy a dar ejemplos; probabilidad alta e impacto alto, entonces yo «califiqué» mi evento, cuando califico alto y alto qué es lo que tengo que hacer, ese qué tengo que hacer que es el análisis. Cuando comparo ese resultado con mi apetito de riesgo, puedo decir que tengo que evitar el riesgo, puedo gestionar el riesgo, o puedo solo hacer seguimiento del riesgo, voy a dar ejemplos; impacto alto, probabilidad alta, yo evito el riesgo. Impacto alto, probabilidad baja, o impacto bajo y probabilidad alta, yo gestiono el riesgo, probabilidad baja e impacto bajo, solo hago seguimiento, entonces la regla es que soy yo quien establece. Algunas organizaciones dicen está bien hacer de esta manera, está bien de otra manera. La norma no dice cómo hacer, dice qué es lo que se tiene que hacer, habla de gestión de riesgos. Cómo, configurar esa gestión de riesgos depende de cada organización, cuando habla de seguimiento, ese seguimiento es consecuencia de un análisis y una evaluación. No puedo dentro de un proceso de auditoría encontrar por ejemplo un evento que tiene riesgo alto, alta probabilidad de suceder y que trae un impacto alto para la empresa, que sólo esté bajo seguimiento, ¿por qué? Porque es… no es lógico eventos que traen un gran impacto para la organización y que no estén tratados de una manera un poco más consistente, con acciones que mitiguen ese impacto o hasta lo eliminen. Puedo dar otro ejemplo imagínense una Siderurgia, una máquina, dónde la persona coloca una chapa y la máquina aplasta esa chapa, moldea esa chapa, se imagina que la persona coloca esa chapa y coloca el brazo junto, y la máquina está automatizada y puede en cualquier momento aplastar el brazo, entonces ¿cuál es el evento?, el evento es «moldeo de la chapa», ¿cuál es el riesgo?, la consecuencia negativa, aplastamiento, pérdida humana, aplastamiento del brazo de la persona, ¿cuál es la probabilidad que ese evento ocurra?, moldeado de la chapa, probabilidad es alta, sucede todo el día, ¿cuál es el impacto?, es elevado, si el problema ocurre el riesgo se vuelve realidad, yo voy a tener un funcionario sin brazo, entonces que necesito hacer, necesito tomar una acción para evitar ese riesgo,una de las acciones, dejar de hacer esa actividad, automatizar esa actividad de manera que el colaborador no coloque más el brazo, entonces todas las acciones que son tomadas para abordar a partir de un evento el riesgo, consecuencia negativa o la oportunidad proviene del apetito del riesgo que la organización definió en su planificación, entonces y ¿cuál es el apetito del riesgo?, es la organización que lo define, nadie puede hablar; mira eso que estás diciendo está equivocado, es una definición de la organización, porque lo importante es que a partir de esa definición las reglas sean seguidas, o sea las acciones sean coherentes con el análisis y evaluación que fueron hechos anteriormente.

– Entonces, gracias Ivan por proporcionar estas aclaraciones y hablar un poco sobre esa diferencia que es un evento y es un riesgo, lo encuentro muy importante y un punto en que la gente se confunde bastante durante la implementación de gestión de riesgos en su organización y espero poder charlar nuevamente, muchas gracias.

– Muchas gracias

Pruebe gratis la herramienta para la gestión de la calidad Qualyteam

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *