Início 10 Melhores Artigos Catálogo de Cursos RONIN Consultoria

CÓMO usar AMFE para Gestión de Riesgos en la ISO

9001:2015 por Gregório Suarez
gregorioasuarez / 7 07America/Sao_Paulo agosto 07America/Sao_Paulo 2016

Por Gregório Suarez

En este trabajo presento minuciosamente el

AMFE para RIESGOS del NEGOCIO,

conocido como “Business Risk Failure Mode and Effects Analysis (BR FMEA)”, esto es, una variación del AMFE apta a
realizar el proceso completo de la Gestión de Riesgos dentro de un Sistema de Gestión de Calidad.

Sus bases conceptuales son:

1. La Gestión de Riesgos en una organización abordada a través de sus procesos

2. Los riesgos del proceso identificados a partir de sus indicadores
3. Los modos de riesgo son internos al proceso, ya los eventos son externos a la organización
4. Los efectos percibidos por las partes interesadas al impactar en un indicador
5. Las causas buscadas siempre dentro del proceso y así tratables
6. La evaluación de riesgo a través de la severidad, ocurrencia y detección
7. El cálculo del nivel de prioridad de riesgo para escoger y tratar los principales riesgos
8. Los criterios de prioridad de riesgo muestran el perfil y el apetito de riesgo de la organización
9. La revaluación del nivel de riesgo tras el monitoreo y análisis crítica de los riesgos
10. El AMFE actualizado tras los cambios en el proceso y en el contexto, revisado regularmente.

A lo largo de este artículo cada uno de esos puntos será aclarado y detallado minuciosamente a través de ejemplos.

Sin embargo, como todas las otras variantes de AMFE, el “AMFE para Riesgos del Negocio” mantiene las características básicas de:

ser un método analítico en niveles

aplicar el trabajo en equipo multidisciplinar
permitir que se considere de modo completo un sistema, producto o proceso
realizarse antes incluso de su efectiva existencia o ejecución
identificar y analizar riesgos potenciales
evaluar y priorizar riesgos
definir y monitorizar acciones
realizar mejora.

Como el AMFE para Riesgos del Negocio (BR FMEA) sigue los principios y directrices de un AMFE típico, utilizamos el formulario
patrón de la AIAG (Automotive Industry Action Group) en su cuarta edición, que es una guía internacional ampliamente conocida y con
fácil posibilidad de entrenamiento.

Aquí está su figura:

Está bien claro que las principales actividades de la Gestión de Riesgos no solamente están cubiertas por el AMFE, sino que también
son realizadas de modo integrado, o sea:

Establecimiento del contexto (5.2)

Identificación de riesgos (5.4.2)
Análisis de riesgos (5.4.3)
Evaluación de riesgos (5.4.4)
Tratamiento de riesgos (5.5)
Monitoreo y análisis crítica (5.6)
Registros del proceso de la gestión de riesgos (5.7)

Recordando que el riesgo puede tener impacto

negativo (ser una amenaza) o

positivo (ser una oportunidad), tenemos entonces:

BR (T) FMEA o sea el “AMFE para Riesgos (Amenaza) del Negocio”:

cuando consideramos solamente las amenazas para los objetivos de la organización,

“T” es “threat”, amenaza en inglés.

BR (O) FMEA o sea el “AMFE para Riesgos (Oportunidad) del Negocio”:

cuando analizamos las oportunidades para la obtención de los resultados,

“O” es “opportunity”, oportunidad en inglés.

En este trabajo voy a concentrarme en el proceso de la realización de un BR (T) FMEA, o sea,

un AMFE para Riesgos (Amenaza) del Negocio

que trata de los riesgos que son amenazas para los objetivos y expectativas de las partes interesadas.

Presentaré las etapas para la realización de un estudio de BR (T) FMEA para amenazas o riesgos que degradan el desempeño de los
procesos.

1ª Etapa BR (T) FMEA: Preparar al equipo AMFE

El AMFE depende fuertemente de un equipo de desarrollo adecuado y bien preparado. Para eso se recomienda que el equipo:

se componga por entre 4 y 6 participantes

multidisciplinar, con representantes de áreas afines y partes interesadas
con conocimiento y experiencia del proceso
con la presencia de un especialista AMFE para garantizar la buena aplicación del método
bajo la coordinación del responsable, piloto/dueño del proceso
 recupere un máximo de informaciones estratégicas sobre la organización y su contexto.

En esta fase inicial es importante

obtener una visión estratégica del negocio,

establecer el contexto de la operación de la organización

para tanto se debe obtener un conjunto denso de informaciones y análisis y así propiciar una amplia y adecuada visión de la empresa,
sus procesos y diferentes contextos.

Esta base general de información sobre el negocio se puede construir por medio de documentos como:

Plan Estratégico de Negocios

Mapa de Macro procesos de la organización
Análisis de la Matriz DAFO (SWOT)
Análisis de las Cinco Fuerzas de Porter
Cuadro de Mando Integral (BSC Balanced Score Card)
Plan de Contingencia
Análisis de Riesgos Ambientales
Investigación del Clima Organizacional
Investigaciones y estudios de mercado, etc.

La profundidad y la riqueza de los elementos de información y datos disponibles establecen los fundamentos para un AMFE igualmente
detallado y capaz de generar acciones eficaces.

En esta etapa ya debe existir un plan general para la realización de los estudios AMFE para cada proceso organizacional, así como
una definición inicial de los participantes involucrados en el esfuerzo.

Resalto que la calidad final de un estudio de AMFE depende esencialmente de la existencia de un equipo calificado, motivado y liderado
para la realización de un excelente trabajo.

2ª Etapa BR (T) FMEA: Definir los límites del estudio

En cualquier AMFE es importante establecer claramente el alcance del estudio para garantizar que el perímetro de análisis sea
abordado completa y profundamente.

Definir límites de estudio significa:

Delimitar claramente el proceso organizacional en análisis: límites, interfaces, etc…

Buscar informaciones detalladas sobre el proceso
Levantar los indicadores de desempeño del proceso
Verificar partes interesadas y sus expectativas

En este momento se debe traer para subsidiar el análisis sobre el proceso las siguientes informaciones:

El diagrama de tortuga del proceso

El flujograma de actividades del proceso
Los indicadores de desempeño del proceso
Plan de Acción para la Mejora del Proceso y
Toda información documentada relativa al proceso en análisis.

El BR (T) FMEA de un proceso no abarca los modos de riesgo de otros procesos internos, pues cada proceso debe tener su propio
AMFE, en los cuales se busca garantizar los resultados de sus clientes, inclusive los internos.

También entiende que ya ocurrió la adecuada identificación de las partes interesadas y la correcta definición de los procesos y de sus
indicadores de desempeño.

3ª Etapa BR (T) FMEA: Levantar los datos

Para cada indicador, levantar datos implica:

Recolección de resultados históricos de los indicadores

Recuperar objetivos y trayectorias establecidas
Levantar acciones y medidas ya definidas y su avance
Iniciar la cumplimentación del formulario AMFE

El análisis de los procesos organizacionales será ejecutado a través de sus indicadores de desempeño, los cuales sintetizan las
expectativas de las partes interesadas y monitoriza el alcance de sus objetivos.

Este enfoque permite investigar en profundidad todos los riesgos potenciales de modo analítico y completo ya que cualquier riesgo
potencial tendrá siempre impacto en un indicador.

En este momento se empieza el cumplimiento del formulario entre los campos desde la A hasta la G.
4ª Etapa BR (T) FMEA: Realizar los análisis
En este paso se debe:

Listar los indicadores definidos en el formulario

Levantar los potenciales eventos y modos de riesgo
Identificar los efectos de los modos y eventos
Establecer las causas potenciales de los modos y eventos de riesgo

El estudio avanzará, indicador por indicador, desde la columna a1 hasta la columna i.

Esta es una ventaja excepcional del AMFE, además de la capacidad de analizar verticalmente partiendo del proceso organizacional
para dentro de sí mismo, realiza un análisis horizontal al comenzar del indicador para el modo de riesgo y de ahí para sus causas.

Al ejecutar un BR (T) FMEA tenemos una importante diferencia conceptual sobre el Modo de Riesgo pues añadiremos el concepto de
Evento de Riesgo:

Modo y Evento de Riesgo (b):

Es definido como la manera por la cual el indicador puede potencialmente desviarse de los resultados esperados.

Cada indicador debe tener múltiples modos y eventos de riesgo.

De hecho acurren dos situaciones distintas sobre lo que puede ocurrir de errado, el cual entendemos como:

Modos de riesgo, cuando son internos al proceso en estudio.

Eventos de riesgo, cuando son externos a la organización, o sea, cuando relacionados al ambiente y contexto donde la
empresa opera.

La identificación de los modos y eventos de riesgo puede hacerse a través de diversas técnicas como:

Tormenta de Ideas
Método 6-3-5
Workshop
Diagrama de Ishikawa
Mapa Mental, etc…

Aquí algunos ejemplos de los Modos y Eventos de Riesgo en un BR (T) FMEA, dentro de un típico proceso de Recursos Humanos:

Ya la definición de Efecto de un BR (T) FMEA permanece como:

Efecto Potencial (c):

Es el efecto del modo y evento de riesgo como notado por las partes interesadas.

Se recomienda:

Describir los efectos como la consecuencia o la forma como el riesgo se experimenta, sufrido por el cliente / partes interesadas.
Establecer claramente si el riesgo puede impactar en la seguridad del cumplimiento de los requisitos reglamentares.

Aquí están algunos ejemplos de efectos en un BR (T) FMEA, considerando un típico proceso de Producción:
Ya el concepto de causa dentro de un BR (T) FMEA es bien diferente, teniendo dos componentes:

Causa Potencial del Modo o Evento de Riesgo (f):

· para modos de riesgo, internos al proceso, las causas son una indicación de cómo el riesgo puede ocurrir

· para eventos de riesgo, externos a la organización, las causas son las flaquezas, debilidades o puntos sensibles del proceso en
análisis.

De todas maneras, las causas deben describirse:

como algo que puede ser corregido o controlado.

de forma completa y nunca con frases genéricas,

de esta forma posibilitando un tratamiento adecuado.

Aquí algunos ejemplos de las causas en un BR (T) FMEA, considerando un típico proceso Compras:

5ª Etapa BR (T) FMEA: Evaluar riesgos y NPR

En este paso se debe:

Definir los niveles de la severidad y ocurrencia

Identificar los controles para la prevención y la detección
Definir el nivel de la detección
Calcular el NPR (Nivel de Prioridad de Riesgo)

Esto se hace con tres componentes:

Severidad – evaluación del nivel de impacto del riesgo en el cliente.

Ocurrencia – con que probabilidad el riesgo puede ocurrir.
Detección – cómo los controles detectan la causa o el modo de riesgo

Usaremos índices negativos en un BR (T) FMEA para diferenciar del BR (O) FMEA donde las evaluaciones de oportunidad deben tener
índice positivo.

Severidad – S (d):

Es el valor asociado al efecto más serio atribuido a un modo y evento de riesgo potencial con relación al cliente.

No es recomendable la modificación del criterio de clasificación para las notas 9 y 10, aún tras la implementación de las acciones.

Aquí está la tabla de Severidad para un BR (T) AMFE:

 Ocurrencia – O (g):

Es la probabilidad de que un modo o evento de riesgo ocurra.

Es una estimativa de probabilidad de la ocurrencia de un modo o evento de riesgo potencial en escala de 1 a 10.

Aquí está la tabla de Ocurrencia para el BR (T) AMFE:

La definición de Control en un BR (T) AMFE es distinta de lo usual como sigue:

Controles aplicados en el Proceso (h):

Actividades que pueden tanto prevenir la causa de un riesgo, como detectarlo cuando ocurre. Pueden ser de:

· Prevención (h1): son métodos o técnicas capaces de reducir la exposición del proceso a los eventos de riesgo, fortaleciendo
puntos sensibles y mejorando el propio proceso.

· Detección (h2): son métodos o técnicas capaces de detectar el evento de riesgo con tiempo suficiente para un plan de
contingencia o actuar directamente en el evento de riesgo.

Tenemos como ejemplos de Controles de Prevención:

Técnicas de Calidad como Poka-Yoke, CEP,…

Mejora Continua de los Procesos (Kaizen)
Busca de la Excelencia Organizacional (Pensamiento Esbelto, WCM,…).

E como ejemplos de Controles de Detección:

Análisis estratégicos tipo DAFO

Monitoreo Severo de Indicadores,
Sistemas automáticos de alerta sobre Indicadores de Proceso.

Aquí algunos ejemplos de Controles en un BR (T) FMEA, considerando un típico proceso Logístico:

Detección – D (i):

Es la clasificación asociada con el mejor control de detección identificado en la columna de Controles de Detección.

Cuando más de un control sea identificado es recomendado que sea incluida la clasificación de cada uno de ellos.

También se debe registrar la clasificación del menor valor en la columna de detección y no aceptar que la clasificación de detección es
baja debido a que la ocurrencia sea baja.

Este componente “Detección” no es usual en la Gestión de Riesgo y representa más una ventaja de la aplicación de AMFE.

La Detección/Control representa la propia capacidad del proceso organizacional de estar preparado para percibir y resistir a un evento
de riesgo que interfiera negativamente en su desempeño.
Tomemos el ejemplo de la posibilidad de aprobación de una nueva ley ambiental para la cual nuestro producto actual no está preparado
para atender.

Como control de detección, podríamos contratar un estudio de Abogados para monitorear el andamiento de esa reglamentación e
informe de la situación.

Como control de prevención, podríamos preparar el proceso de importación del producto de otra unidad y al mismo tiempo iniciar el
proceso de adecuación del producto en nuevas versiones.

Solamente la AMFE permite incorporar estas iniciativas y de esta manera reducir el nivel propio de riesgo.

Aquí está la tabla de Detección para el BR (T) FMEA:

Creo que es importante aclarar el tema de la sistemática de la evaluación del BR (T) FMEA, examinando el tema a través de tres
dimensiones: cuantitativa, costes y cualitativa.

Las evaluaciones cuantitativas dependen de un esfuerzo y consumo de tiempo que no se justifican de ningún modo, pues tratamos de
evaluar el riesgo y priorizar acciones. Por lo tanto, la búsqueda por informaciones más precisas se torna apenas una distracción para
nuestro real objetivo: actuar.

Una segunda posible dimensión de análisis sería el cálculo de los costes para los riesgos, especialmente por ser una información muy
concreta e incluso porque es el lenguaje de los ejecutivos.

Pero cuál es el coste de una vida humana, de la destrucción de un río, el de no cumplir una ley, de ensuciar la imagen de la empresa,
de eliminar puestos de trabajo? O sea, aquí estamos hablando de cálculos complejos y cuya utilidad y ética es muy cuestionable.

Por lo tanto, concluimos que la sistemática clásica del AMFE de evaluación cualitativa de los componentes de riesgo es muy adecuada
para los propósitos de un estudio de Gestión de Riesgo, o sea, atiende a la necesidad de definir un nivel de riesgo y priorizar las
acciones.

A continuación, debemos realizar una evaluación global de riesgo que considere los tres componentes.

De modo clásico, eso se calcula a través de:

Nivel de Prioridad de Riesgo (NPR) = Severidad X Ocurrencia X Detección

El NPR posibilita:

Priorizar la acción sobre los riesgos de mayor nivel o sea los más importantes
Definir niveles de riesgo total de procesos y de la propia organización
Evaluar la mejora del nivel de riesgo, tras cada ciclo de acciones.

Aquí está un ejemplo de cálculo de NPR en un BR (T) FMEA, considerando un proceso de Compras:

Evidentemente el modo (1) es el más arriesgado y debe ser tratado con prioridad.

Sin embargo el evento de riesgo (4) presenta severidad 9, lo que es crítico y debe ser priorizado.

6ª Etapa BR (T) FMEA: Implantar acciones

En este paso se debe:

Definir el criterio de priorización para el tratamiento

Buscar soluciones para cada riesgo prioritario
Definir acciones con el responsable y plazo
Monitorear y garantizar la implantación de las acciones
Cada organización dependiendo del tipo y ambiente de negocio, así como de un perfil propio de actuación tendrá una reacción y
abordaje específico a los riesgos.

Como está ilustrada en la figura:

De este modo podrá reaccionar de diferentes maneras:

Evitar el riesgo y decidir a no iniciar o salir de la actividad de riesgo

Apostar en el riesgo y explorar la posibilidad o

Aceptar el riesgo conscientemente y actuar a través de:

retirada de la fuente de riesgo
alteración de la probabilidad
mejora de la detección
alteración de las consecuencias
compartir los riesgos con otras partes

Priorización de las acciones por el NPR

Se recomienda identificar los riesgos con mayor NPR y actuar sobre ellos con prioridad.

La organización puede, por ejemplo, decidir a tratar los diez riesgos de NPR más elevado, sea en la primera edición del AMEF como en
cada ciclo de revisión anual.

El uso de límites de NPR NO es una práctica recomendable para determinar las necesidades de las acciones pues sería una
restricción al esfuerzo de Mejora, esencial en todas las actividades del SGC.

Acciones periódicas de revisión del AMEF, siguiendo la misma regla, bajará progresivamente el NPR total del proceso.

Severidad Alta (9 o 10) merecen atención especial: asegurar que el riesgo es tratado, a través de controles o acciones recomendadas.

Severidad 8 o abajo considerar causas con altos índices de ocurrencia o detección.

Acciones Recomendadas (k):

Estas acciones deben tornar el proceso:

· más firme y preparado para enfrentar eventos de riesgo

· más confiable y seguro para enfrentar el riesgo

Se recomienda mejorar el proceso actuando en los riesgos para la:

Mejora de la Detección (D): introducir nuevos métodos a prueba de error, mejorar los mecanismos actuales de detección, así
como alterar el proceso para aumentar la probabilidad de detección.
Reducción de la Ocurrencia (O): actuar en la mejora de la firmeza del proceso y en el control de una o más causas o
mecanismos de los modos, reduciendo la probabilidad de afectar el proceso organizacional.
Reducción de la Severidad (S): revisar el proceso para tornarlo más inmune a los riesgos o por lo menos mitigar el impacto de
potenciales modos y eventos de riesgo, de esta manera bajando su clasificación.
Aquí algunos ejemplos de Acciones Recomendadas en un BR (T) FMEA, considerando un típico proceso de Ventas:

7ª Etapa BR (T) FMEA: Controlar los resultados

En este paso se debe:

Coordinar la efectiva implantación de las acciones definidas

Controlar los resultados obtenidos y verificar la eficacia
Garantizar la continuidad de las acciones y controles establecidos
Actualizar la base general de acciones: el Plan de Gestión de Riesgos;
Planificar la próxima revisión de este AMFE

La cumplimentación del formulario debe concluirse con las informaciones sobre las acciones definidas, sus resultados y sobre la nueva
situación del nivel de riesgo.

El líder del equipo es el responsable por asegurar que todas las acciones recomendadas sean concluidas o correctamente tratadas.

Además de eso, tales medidas deben integrarse y absorberse por la documentación de los procesos y especialmente como Lecciones
Aprendidas. Esto posibilitará su estabilización y mantenimiento.

En esta fase se debe realizar una actividad fundamental: el Plan de Gestión de Riesgos, que debe cumplir la función de registrar y
mantener informaciones documentadas relativas al proceso de Gestión de Riesgos.

Tales informaciones incluyen todas:

las acciones definidas para Control de Prevención y Detección

las acciones implementadas para la Reducción del NPR
los detalles de la implementación y eficacia de las medidas.

Gestión del AMFE

El AMFE, como herramienta de la Calidad, es incuestionable, pero también depende de una adecuada gestión para obtener un máximo
de eficacia.

Aquí algunas recomendaciones:

1. La Alta Gerencia es la dueña del proceso AMFE y, por lo tanto, responsable por:

seleccionar y aplicar los recursos

asegurar la efectiva gestión de riesgos incluyendo plazos
apoyar el trabajo del equipo y eliminar obstáculos
garantizar la disponibilidad de toda la base de informaciones estratégicas.

2. El AMFE es un documento vivo y debe revisarse:

cuando el proceso se modifique por cualquier motivo

cuando el contexto y ambiente de negocios presenten cambio importante
cuando ocurra un evento de riesgo
anualmente, para su actualización y realización de la Mejora Continua.

3. La actividad más importante del AMFE es la definición e implementación de las acciones, a medida que las etapas
anteriores fornecen el soporte necesario para su éxito.

Conclusión
Este artículo propone una modalidad de AMFE desarrollada específicamente para realizar el proceso de Gestión de Riesgo dentro de
los requisitos de la ISO 9001:2015:

El AMFE para RIESGOS del NEGOCIO (BR FMEA) es un método estructurado para:

Identificar los modos y eventos de riesgo que puedan impactar los objetivos.
Analizar causas potenciales en el proceso en análisis de modos de riesgo
Estimar el riesgo relacionado, evaluando severidad, ocurrencia y detección.
Evaluar los posibles controles para prever y detectar riesgos.
Implantar las acciones que deben ser tomadas para mejorar el proceso.
Construir un Plan de Gestión de Riesgos que contribuya para la Mejora.
Aplicable a riesgos negativos: amenazas tanto como a riesgos positivos: oportunidades.

Finalmente, debemos recordar que la buena realización de la Gestión de Riesgo depende del real involucramiento y efectivo
compromiso de la Alta Dirección con ese proceso.

Por lo tanto, el BR FMEA debe verse como una herramienta valiosa que debe ser usada para desarrollar procesos organizacionales
más adaptados al riesgo y en constante mejora, y al final gestionar riesgos de modo eficaz.

Un buen consejo de Antonio Machado

En un articulo anterior yo detallo la elección del AMFE para Gestión de Riesgos:

POR QUE usar AMFE para Gestión de Riesgos en la ISO 9001:2015 por Gregório Suarez

Se voce prefere ler o original deste artigo em portugues, acesse o link:

COMO usar FMEA para Gestão de Riscos na ISO 9001:2015 por Gregório Suarez

Agradecimientos a

Camila B. Suarez,
Guido Paula,
Raúl Sejzer, visite su blog CALIDAD TOTAL

Acerca del autor: Gregório Suarez

Bibliografia: