Gestión de riesgos ≠ Pensamiento basado en el riesgo.

Versión original disponible en: https://www.linkedin.com/pulse/expert-risk-management-risk-based-thinking-dan-nelson

Para aquellos que piensan que la gestión del riesgo será exigida en el pensamiento basado en el riesgo (por la norma ISO 9001: 2015), por favor consideren los puntos de vista de un experto: el Dr. Nigel Croft-presidente del TC 176, Organismo autor de ISO 9001. El Dr. Croft directamente abordó este asunto en una presentación sobre los planes para el lanzamiento de la norma ISO 9001: 2015.

Aquí hay un enlace a esa presentación (realizada en diciembre de 2014):

Presentación

En 9:33, el Dr. Croft habla del pensamiento basado en el riesgo.

Él dice: “El pensamiento basado en el riesgo no significa necesariamente gestión de riesgos, evaluación de riesgos completa, registros de riesgos, y todo eso. Significa incorporar en todo lo que hacemos la idea, “¿Cómo afectará esto a los resultados que queremos lograr?.

Más comentarios del experto

El Dr. Croft ofreció más comentarios pertinentes a esta discusión a través de una sesión de Google Hangout (en junio de 2014). Aquí hay un enlace a la grabación de la sesión:

Sesión Hangouts

Comenzando a las 17:50, el Dr. Croft ofrece los siguientes comentarios:

“El SGC se trata de la prevención de los problemas, de anticipar lo que podría ir mal y hacer cosas para evitar la producción de los llamados productos no conformes”.

“Tenemos que reconocer que no todos los procesos son iguales. No todos los procesos tienen el mismo impacto en los objetivos del sistema de gestión de la calidad, es decir, en la calidad del producto. . . algunos tienen una consecuencia indirecta, algunos un impacto muy directo”. “En algunos casos, un producto no conforme podría causar un inconveniente menor, en otros casos puede causar la muerte, o múltiples desastres”.

“Por lo tanto, hemos incorporado la idea del pensamiento basado en el riesgo” en el sistema de gestión de calidad”.

“Ahora, eso no significa necesariamente un enfoque completo de la gestión de riesgos”.

“La forma tradicional que hemos adoptado para [gestionar los riesgos de la posibilidad de producir un producto no conforme], manera en la cual las organizaciones se han sentido muy cómodas y familiarizadas, es el uso del conocimiento de los procesos, la comprensión de -no sólo de lo que llamamos procesos operacionales- sino también de los procesos del sistema de gestión y sus interacciones, cosas como la comprensión de las necesidades y expectativas de los clientes y otras partes interesadas, cosas como la comprensión del contexto de la organización.”

“¿Está usted en un sector de negocios de muy alta tecnología, de alto riesgo, en un entorno de alta tecnología? O, ¿Tiene usted una pequeña tienda familiar vendiendo productos de bajo riesgo en la esquina de la calle?. La comprensión de este contexto, y pensando en los riesgos, pensando en la causa y el efecto. “¿Cuánto control necesito efectuar sobre este proceso para tener confianza en que los resultados serán eficaces?”.

“Y así, lo que hemos hecho es: tenemos tres grandes pilares de la norma. . . mantenemos firmemente este “enfoque basado en procesos,” la comprensión de la organización como un conjunto de procesos interrelacionados que actúan como un sistema. Tenemos que gestionar cada proceso individual y el sistema en su conjunto: planificar, hacer, verificar, actuar. Y la cantidad de rigor, la cantidad de disciplina, la cantidad de atención, que regirá en algunos casos quizás de forma intuitiva, por el pensamiento basado en el riesgo.”

. ¿De qué manera este proceso afecta a los resultados que quiero lograr?

“En algunas organizaciones, digamos muchas organizaciones exigentes, entonces absolutamente un enfoque completo de la gestión de riesgos puede ser apropiado. Pero no es apropiado para. . . organizaciones pequeñas, de bajo riesgo exigir llevar a cabo la evaluación completa de los riesgos y la gestión de riesgos.”

A partir de los comentarios del Dr Croft, parece que la exigencia automática de un enfoque de gestión completa de los riesgos, sin tomar en cuenta el contexto de la organización representa una falla en la aplicación eficaz del pensamiento basado en el riesgo esperado según la norma ISO 9001: 2015.

El Riesgo a la calidad ya está “integrado en”  ISO 9001

ISO 9001 es desarrollado por expertos dedicados a la calidad de todo el mundo, personas que han estado prestando atención específicamente a los problemas de calidad durante décadas. Estos expertos han incluido entre los criterios de evaluación de la norma ISO 9001 requisitos específicos que abordan los riesgos conocidos para la calidad: trabajar con el producto no identificado, emplear a personal no competente para llevar a cabo trabajos que afectan la calidad; trabajar con documentos no controlados; fallos en la preservación de la conformidad del producto durante y después del procesamiento, etc.

La norma no sólo requiere que un SGC considere estos riesgos genéricos conocidos para la calidad, sino que también se aborden los riesgos particulares de la organización, teniendo en cuenta su contexto.

Para operar eficazmente, como lo hace un SGC en funcionamiento, los riesgos para la calidad en el contexto de la organización ya deben ser tenidos en cuenta. ISO 9001 no está diseñado para suministrar el SGC o mejorar el SGC, simplemente está diseñado para evaluar el SGC. La Dirección es responsable de considerar los riesgos para la calidad a la hora de establecer, mantener y mejorar un sistema diseñado para satisfacer a los clientes de manera sistémica.

La norma sólo requiere que se demuestre la aplicación sensata del pensamiento basado en el riesgo (por ejemplo, quizás mediante la estructura del SGC, su documentación y el nivel de detalles instruccionales relativos a la formación proporcionada, o por la evidencia de las acciones eficaces adoptadas por la dirección para mejorar el sistema de procesos).

El riesgo considerado dentro del alcance de manera eficaz

Los expertos enfocados específicamente en el riesgo para la calidad han asegurado que el riesgo ya está siendo abordado adecuadamente por la norma ISO 9001, desde una perspectiva de riesgos para la gestión de la calidad pertinente para el alcance de las operaciones de un SGC. ISO 9001 en sí misma, podría ser vista como una norma de gestión de riesgos, centrada en los riesgos para alcanzar de forma coherente los objetivos de calidad; esto no necesita aumentarse con otra norma (más general) para la gestión de riesgos.

Si bien puede ser apropiado para la norma ISO 9001 hacer referencia a la norma ISO 31000 como una norma de gestión de riesgos, la ISO 9001 le da un tratamiento apropiado al riesgo en su ámbito de aplicación. Mientras que algunas organizaciones pueden beneficiarse al comprometerse con un proceso de gestión de riesgos, a menudo será suficiente la aplicación de PDCA los planes establecidos existentes para la gestión de riesgos a la calidad. ISO 9001 no requiere la gestión de riesgos más allá del pensamiento basado en el riesgo, estableciendo, manteniendo y mejorando un SGC eficaz.

De nuevo, si un SGC ya está operando de manera eficaz hacia producto de salida coherentemente, ya está gestionando con eficacia los riesgos para el logro de los objetivos de calidad (en la medida en que sea coherente).). En otras palabras, el riesgo a la calidad en el ámbito de operaciones registrado ya está siendo controlado eficazmente por el sistema. Si se necesitara la evaluación completa de los riesgos por parte de las organizaciones para un proceso de gestión de riesgo a fin de alcanzar de forma coherente los objetivos de calidad, ¿cómo existen tantas organizaciones haciéndolo hoy sin una evaluación completa de los riesgos o la gestión de riesgos?

Dese cuenta que las organizaciones no necesitan ISO 9001 para lograr sus objetivos de calidad. Sin embargo, los auditores pueden necesitar ISO 9001 para evaluar el SGC de manera objetiva, coherente y sistemática.

2ee836d

Dan Nelson:

Deja un comentario