La Gestión de Riesgos según las
Normas UNE-EN-ISO
9001:2015 UNE-EN-ISO 14001:2015
ISO 9000:2015 / ISO 14001:2015Efecto de la incertidumbre
Un efecto es una desviación de lo esperado, ya sea positivo o negativo Incertidumbre es la deficiencia de información relacionada con el
conocimiento de un evento, su consecuencia o su probabilidad Expresado como la combinación de las consecuencias y la probabilidad
asociada a que ocurra
¿qué es un riesgo?
ISO 31000:2009Efecto de la incertidumbre sobre el logro de los objetivos
ISO 14001:2015Riesgos y Oportunidades efectos potenciales adversos (amenazas) y efectos potenciales beneficiosos (oportunidades)
¿qué es gestión de riesgos?
GESTION DE RIESGOS
Actividades coordinadas para dirigir y controlar una
organización con respecto a los riesgos
Comencemos por la Norma UNE-EN-ISO 9001:2015…
Principales cambios en las Normas ISO
PRINCIPALES CAMBIOS Y
NUEVOS REQUISITOS
CONTEXTO DE LA ORGANIZACIÓN
LIDERAZGO
ENFOQUE BASADO EN PROCESOS
GESTIÓN DEL RIESGO
EVALUACIÓN DEL DESEMPEÑO
INFORMACIÓN DOCUMENTADA
CAMBIO DE ESTRUCTURA
Pensamiento basado en riesgos
Concepto implícito en versiones anteriores de la Norma acciones preventivas para evitar No conformidades potenciales.
La organización necesita planificar e implementar acciones para abordar los riesgos y oportunidades. Es la base para:
Aumentar la eficacia del sistema de gestión de la calidad
Alcanzar mejores resultados
Prevenir efectos negativos
Pensamiento basado en riesgos
Permite a una organización determinar los factores que podrían causar que los procesos y el sistema de gestión se desvíen de los resultados planificados, para poner en marcha controles preventivos para minimizar los efectos negativos y maximizar el uso de las oportunidades a medida que surjan.
La organización debe abordar los riesgos y
oportunidades asociadas con su contexto y
objetivos
Ciclo PDCA
Planificar: Establecer los objetivos del sistema y sus procesos y los recursos necesarios para generar y proporcionar resultados de acuerdo con los requisitos del cliente y las políticas de la organización, e identificar y abordar los riesgos y las oportunidades
RequisitosCONTEXTO DE
ORGANIZACION LIDERAZGO PLANIFICACION APOYO OPERACION EVALUACION DESEMPEÑO MEJORA
Comprensión Organización y
Contexto
Liderazgo y Compromiso
Acciones abordar Riesgos Oportunidades
RecursosPlanificación y
Control Operacional
Seguimiento, med., análisis y
evaluaciónGeneralidades
Comprensión necesidades y
expetc. P.I.Política Calidad
Objetivos y Planificación
para lograrlosCompetencia
Requisitos de productos y
servicios
Auditoria Interna
No conformidad y Acción Correct.
Alcance del Sistema de
Gestión
Roles, Responsab. y
Autoridad
Planificación de los cambios
Toma de conciencia
Diseño y Desarrollo
Revisión por la Dirección
Mejora Continua
Sistema Gestión y sus
ProcesosComunicación
Control Suministros
externamente
Información documentada
Producción y provisión del
servicio
Liberación de productos y
servicios
Control de las salidas no conformes
RequisitosCONTEXTO DE
ORGANIZACION LIDERAZGO PLANIFICACION APOYO OPERACION EVALUACION DESEMPEÑO MEJORA
Comprensión Organización y
Contexto
Liderazgo y Compromiso
Acciones abordar Riesgos Oportunidades
RecursosPlanificación y
Control Operacional
Seguimiento, med., análisis y
evaluaciónGeneralidades
Comprensión necesidades y
expetc. P.I.Política Calidad
Objetivos y Planificación
para lograrlosCompetencia
Requisitos de productos y
servicios
Auditoria Interna
No conformidad y Acción Correct.
Alcance del Sistema de
Gestión
Roles, Responsab. y
Autoridad
Planificación de los cambios
Toma de conciencia
Diseño y Desarrollo
Revisión por la Dirección
Mejora Continua
Sistema Gestión y sus
ProcesosComunicación
Control Suministros
externamente
Información documentada
Producción y provisión del
servicio
Liberación de productos y
servicios
Control de las salidas no conformes
Punto principal
Menciona la gestión de riesgos directamente
Menciona la gestión de riesgos indirectamente
Requisitos
6.1 Acciones para abordar riesgos y oportunidades
6.1.1Al planificar el sistema de gestión de la calidad, la organización debe considerar cuestiones relacionadas con: la comprensión de la organización y su contexto la comprensión de las necesidades y expectativas de las partes interesadas.
Y determinar los riesgos y oportunidades que es necesario abordar
Requisitos
6.1 Acciones para abordar riesgos y oportunidades
6.1.2Debe planificar las acciones para abordar los riesgos y oportunidades. la manera de
integrar e implementar las acciones en su procesos del sistema de calidad evaluar la eficacia de esas acciones
Requisitos
6.1 Acciones para abordar riesgos y oportunidades
Las acciones tomadas para abordar los riesgos deben ser proporcionales al impacto potencial en la conformidad de los productos y servicios: Evitar riesgos Aceptar el riesgo para perseguir una oportunidad Eliminar la fuente de riesgo Cambiar la probabilidad o consecuencias Compartir el riesgo Tomar la decisión de mantener el riesgo
Requisitos
4.4 Gestión de la Calidad y sus Procesos
La organización debe determinar los procesos necesarios y debe determinar:
a) las entradas requeridas y las salidas esperadasb) la secuencia e interacción de estos procesosc) los criterios y los métodos necesarios para la operación y control eficazd) recursos necesarios para estos procesos y asegurar su disponibilidade) responsabilidades y autoridades para estos procesosf) abordar los riesgos y oportunidades determinados de acuerdo con los
requisitos del apartado 6.1.g) evaluar los procesos e implementar cualquier cambioh) Mejorar los procesos y el sistema de gestión de la calidad.
Requisitos
5.1 Liderazgo y Compromiso
5.1.1 GeneralidadesLa alta dirección debe demostrar liderazgo y compromiso mediante
a) asumiendo la responsabilidad y obligación de rendir cuentas
b) establecimiento de la política de calidad y objetivos
c) integrando los requisitos del sistema de calidad en los procesos del negocio
d) promoviendo el uso del enfoque a procesos y el pensamiento basado en el riesgo
e) asegurando los recursos necesariosf) comunicando la importancia de una gestión de calidad eficazg) asegurando que el sistema de calidad logre los resultados previstosh) …
Requisitos
5.1 Liderazgo y Compromiso
5.1.2 Enfoque al clienteLa alta dirección debe demostrar liderazgo y compromiso asegurando que
a) se determinan, se comprenden y se cumplen regularmente los requisitos del cliente y los legales y reglamentarios
b) se determinan y consideran los riesgos y oportunidades que puede afectar a la conformidad de los productos y servicios y a la capacidad de aumentar la satisfacción del cliente
c) se mantiene el enfoque en el aumento de la satisfacción del cliente
Requisitos
9.1.3 Análisis y evaluación Los resultados del análisis del seguimiento y medición deben utilizarse para:
a) la conformidad de los productos y servicios
b) el grado de satisfacción del cliente
c) el desempeño y eficacia del sistema
d) si lo planificado se ha implementado de forma eficaz
e) la eficacia de las acciones tomadas para abordar riesgos y oportunidadesf) el desempeño de proveedores externos
g) la necesidad de mejoras en el sistema de gestión de la calidad
9.1 Seguimiento, medición, análisis y evaluación
Requisitos
9.3 Análisis y evaluación La revisión por la dirección debe planificarse y llevarse a cabo incluyendo consideraciones sobre:
a) el estado de acciones de las revisiones por la dirección
b) los cambios en cuestione externas e internas
c) Información sobre el desempeño y la eficacia del sistema
d) la adecuación de los recursos
e) la eficacia de las acciones tomadas para abordar riesgos y oportunidadesf) las oportunidades de mejora
9.3 Revisión por la dirección
Requisitos
10.2 No conformidad y acción correctiva
Cuando ocurra una no conformidad, incluida las originadas por quejas, la organización debe:
a) reaccionar ante una no conformidad
b) evaluar la necesidad de acciones para eliminar las causas de no conformidad
c) implementar cualquier acción necesaria
d) revisar la eficacia de cualquier acción correctiva tomada
e) si fuera necesario, actualizar los riesgos y oportunidades determinados durante la planificación
f) si fuera necesario, hacer cambios en el sistema de gestión de la calidad
¿Y según la Norma
UNE-EN-ISO 14001:2015…?
Cuestiones importantes..
La alta dirección puede abordar eficazmente sus riesgos y oportunidades mediante la INTEGRACIÓN DE LA GESTION AMBIENTAL a sus procesos de negocio, dirección estratégica y toma de decisiones, incorporando la gobernanza ambiental a su sistema de gestión global
CONTEXTO DE LA
ORGANIZACIONLIDERAZGO PLANIFICACION APOYO OPERACION
EVALUACION DEL
DESEMPEÑOMEJORA
Alcance del SGA
SGA
Liderazgo y Compromiso
Política Ambiental
Roles, Responsabilida
des y Autoridades
Acciones para abordar riesgos
y oportunidades
Objetivos ambientales y planificación
para lograrlos
Recursos
Competencia
Toma de Conciencia
Comunicación
Información documentada
Planificación y control
operacional
Preparación y respuesta ante emergencias
Seguimiento, medición, análisis y
evaluación
Auditoria Interna
Revisión por la Dirección
Generalidades
No Conformidad y
Acción Correctiva
Mejora Continua
Requisitos
Comprensión Organización y
Contexto
Comprensión necesidades y
expetc. P.I.
CONTEXTO DE LA
ORGANIZACIONLIDERAZGO PLANIFICACION APOYO OPERACION
EVALUACION DEL
DESEMPEÑOMEJORA
Alcance del SGA
SGA
Liderazgo y Compromiso
Política Ambiental
Roles, Responsabilida
des y Autoridades
Acciones para abordar riesgos oportunidades
Objetivos ambientales y planificación
para lograrlos
Recursos
Competencia
Toma de Conciencia
Comunicación
Información documentada
Planificación y control
operacional
Preparación y respuesta ante emergencias
Seguimiento, medición, análisis y
evaluación
Auditoria Interna
Revisión por la Dirección
Generalidades
No Conformidad y
Acción Correctiva
Mejora Continua
Requisitos
Comprensión Organización y
Contexto
Comprensión necesidades y
expetc. P.I.
Punto principal
Menciona la gestión de riesgos directamente
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 GeneralidadesAl planificar el sistema de gestión ambiental la organización debe considerar: el contexto de la organización las necesidades y expectativas de las partes interesadas el alcance del sistema de gestión ambiental
6.1 Acciones para abordar riesgos y oportunidades
6.1.1 GeneralidadesY determinar los riesgos y oportunidades relacionados con: los aspectos ambientales requisitos legales y otros requisitos otras cuestiones relacionadas con la organización y su contexto y las
necesidades y expectativas de las partes interesadas
6.1 Acciones para abordar riesgos y oportunidades
6.1.4 Planificación de accionesLa organización debe planificar la toma de decisiones para abordar sus, aspectos ambientales significativos requisitos legales y otros requisitos riesgos y oportunidades identificadosY la manera de integrar esas acciones en los procesos de la organización y evaluar su eficacia.
9.3 Revisión por la dirección
9.3 Análisis y evaluación La revisión por la dirección debe revisar el sistema de gestión ambiental a intervalos planificados, para asegurar su conveniencia, adecuación y eficacia
a) el estado de acciones de las revisiones por la dirección
b) los cambios en cuestiones externas e internas las necesidades y expectativas de partes interesadas, inc. requisito legal sus aspectos ambientales significativos los riesgos y oportunidades
c) Grado en el que se han logrado los objetivos ambientales
d) …
¿Y cómo lo contemplo en mi Sistema de
Gestión?
Ninguna de las 2 Normas establecen requisitos formales para la gestión de riesgos, ni la obligatoriedad de un proceso documentado.
Depende de cada organización seleccionar el método a utilizar para determinar sus riesgos y oportunidades.
El método puede ser un simple procesos cualitativo o una evaluación cuantitativa completa. Dependerá del contexto de cada organización.
Cuestiones a tener en cuenta….
Cuestiones a tener en cuenta….
UNE-ISO 31000:2009 Gestión del riesgo. Principios y directrices.
UNE-ISO/TR 31004:2015 Gestión del riesgo. Orientación para la implementación de la Norma ISO 31000
UNE-EN 31010:2011 Gestión del riesgo. Técnicas de apreciación del riesgo.
UNE-ISO GUIA 73:2010 Gestión del riesgo. Vocabulario.
METODO COSO (Committee of Sponsoring Organizations of the Treadway): Creado en 1.985 en EEUU por una comisión voluntaria constituida por representantes de cinco organizaciones del sector privado en EEUU, para proporcionar liderazgo intelectual frente a tres temas interrelacionados: la gestión del riesgo empresarial, el control interno, y la disuasión del fraude. Promovida por las malas prácticas empresariales y los años de crisis anteriores.
ISO 31000
ISO 31000
ESTABLECIMIENTO DEL CONTEXTO
Contexto externo: entorno legal, tecnológico, competitivo, de mercado, cultural, social y económico, etc.
Contexto interno: valores, cultura, conocimientos y desempeño de la organización, recursos, personas, comunicación, etc.
ISO 31000
IDENTIFICACION DEL RIESGO
Determinar qué sucesos podrían afectar positiva y negativamente al logro de los objetivos planificados en los procesos y sistema de gestión.
Debemos tener en cuenta: la misión del proceso los objetivos estratégicos con los que está relacionado el comprensión del contexto interno y externo las necesidades y expectativas de las partes interesadas
ISO 31000
IDENTIFICACION DEL RIESGO
Podemos clasificar los riesgos en distintos tipos: Riesgos estratégicos: se consideran claves e irrenunciables. Riesgos operacionales: afectan a la gestión operativa, y que pueden
llegar a afectar significativamente a las operaciones de la organización, a la conformidad de los productos y a la capacidad de aumentar la satisfacción del cliente.
Riesgos financieros: aquellos que afectan directamente a la gestión económico-financiera de la empresa
Riesgos de cumplimiento: aquellos que afectan a requisitos legales de obligado cumplimiento.
ISO 31000
IDENTIFICACION DEL RIESGO
Para cada uno de los procesos, debemos identificar los riesgos, las causas y consecuencias de los mismos.
RIESGO TIPO CAUSA CONSECUENCIA
Relación Causa - Efecto
ISO 31000
ANALISIS DEL RIESGO
Consiste en comprender el riesgo identificado para proporcionar la confianza suficiente para valorar el riesgo y tomar decisiones. Para ello debemos considerar: las causas (una o varias) las fuentes del riesgo las consecuencias (una o varias) la probabilidad de que estas consecuencias ocurran los controles actuales y su eficacia
ISO 31000
Determinar que riesgos se consideran ya controlados y cuales habría que tratar, así como su prioridad.
Debemos definir un método de valoración de riesgos y unos criterios de valoración.
R = P*C
NIVELES DE RIESGO
ANALISIS DEL RIESGO
ISO 31000
VALORACION DEL RIESGO
EVALUACIÓN RIESGO - NIVEL DE RIESGO OPCIONES DE GESTIÓN DEL RIESGO / EN FUNCIÓN DEL NIVEL DE RIESGO ADMISIBLE
BAJO * Asumir el riesgo
MODERADO * Reducir el riesgo
ALTO * Evitar el riesgo* Compartir o transferir el riesgo
EXTREMO * Reducir el riesgo
* Evitar el riesgo* Compartir o transferir el riesgo
ISO 31000
RIESGO TIPO CAUSA CONSECUENCIA CONTROLES ¿EFECTIVO?P C NIVEL DE RIESGO
Debemos identificar para cada uno de los riesgos el nivel de riesgo como resultado de la probabilidad y la consecuencia.
ANALISIS DEL RIESGO
P C NIVEL DE RIESGO
Riesgo Inherente Riesgo Residual
ISO 31000
TRATAMIENTO DEL RIESGO
Determinados los riesgos que, no se encuentran suficientemente controlados superando el nivel de riesgo aceptado, se deberán establecer medidas y controles para mitigarlo y mantenerlo bajo control, con el fin de que en un plazo determinado se encuentre en el nivel admisible.
Las actuaciones estarán dirigidas a reducir la probabilidad, las consecuencias o ambos.
Esta fase requiere una planificación documentada de acciones a realizar: qué se va hacer, quién, cómo, plazos, presupuesto, orden de prioridad, etc.
ISO 31000
SEGUIMIENTO Y CONTROL
Debemos realizar un seguimiento y control de las acciones planificadas de forma periódica o como respuesta a un hecho específico, asegurando: el plan de tratamiento se implanta y es eficaz el proceso de gestión de riesgos es adecuado, detectando cambios
producidos en el contexto, en los criterios de riesgo, etc.
Muchas gracias