Los Riesgos y Oportunidades en la norma

ISO 9001 2015

Una de las principales novedades de la norma ISO 9001 2015, es la
necesidad de gestionar los Riesgos y las Oportunidades que afecten
a los Procesos de la empresa. Éstos son debidos de los cambios
del Contexto de la organización, tanto de su entorno como de
sus partes interesadas. Y surgen del análisis de los factores internos
y externos, vistos en puntos anteriores de la norma ISO 9001 2015.
En ocasiones sólo se habla de Riesgos, olvidando el término
de Oportunidad. Ya que se considera que aprovechar una
oportunidad que surja en un momento determinado, al
final supone un riesgo si se intenta aprovechar. Por ejemplo: la
oportunidad de entrar en un nuevo mercado, lleva asociado el
riesgo de que no se alcancen los objetivos marcados, y por tanto se
pierda toda la inversión realizada en tiempo y dinero.
En versiones anteriores de la norma ISO 9001, existía la posibilidad
de abrir Acciones Preventivas que evitasen la aparición de No
Conformidades en los procesos de nuestro Sistema de Gestión de la
Calidad. La necesidad de tomar estas acciones debía surgir en el día
a día de la actividad o en la Revisión del Sistema de Gestión, por lo
que el número de Acciones Preventivas era muy escaso. Con
la gestión de los Riesgos este problema desaparece, ya que en
definitiva se trata de adelantarse a los problemas, proporcionando
una sistemática para generar acciones preventivas que reduzcan o
eliminen los riesgos. Convirtiendo el Sistema de Gestión en
una herramienta más preventiva que correctiva, como era hasta
ahora. Favoreciendo además, que las organizaciones apliquen
mejoras de manera proactiva y no sólo reactiva, garantizando
la mejora continua de las mismas.

Pese a que la norma ISO 9001 2015 no establece

ninguna metodología específica para la gestión de los Riesgos y las
Oportunidades. A continuación te presentamos una posible
sistemática, basada en las indicaciones de esta norma, simplificada
a sólo tres pasos:

Paso 1: Identificación de riesgos y

oportunidades
La definición de los Riesgos y las Oportunidades quizás sea la tarea
más crítica, dado que es fundamental no dejarse ningún Riesgo por
identificar. El análisis del Contexto realizado con anterioridad, como
pide la norma ISO 9001 2015, nos proporcionará una buena fuente
de información para la identificación de los Riesgos.
Es importante dedicarle unos días a pensar en posibles riesgos,
evitando cerrar la lista en una única reunión. En la identificación de
los Riesgos y las Oportunidades, además de la Dirección, es bueno
que participen todos los propietarios o responsables de los procesos.
Alguno de los Riesgos más comunes que se dan en la mayoría de
las organizaciones, son los siguientes:

o Relacionados con los sistemas informáticos: virus informáticos,

pérdida o robo de equipos, rotura de servidores, falta de
capacidad...
o Relacionados con los empleados: huelgas, baja productividad,
pérdida de talento, alta rotación, escaso compromiso con la
organización...
o Relacionados con el corte de servicios: Pérdida de acceso a
internet, comunicaciones (teléfono), corte de luz...
o Relacionados con multas y penalizaciones: multas por
incumplimientos legales, pérdida del certificado ISO 9001,
nuevos reglamentos o leyes que resulten de aplicación...
o Relacionados con la Pérdida de competitividad: obsolescencia
de la máquinas, personal poco formado, falta de nuevos
productos (patentes), pérdida de clientes...
o Relacionados con los cambios en el mercado: productos
sustitutivos, aumento de la competencia, falta de crédito,
caída de la demanda...
 o Relacionados con desastres naturales: incendios, inundaciones,
terremotos, explosiones, accidentes...

Algunas de las Oportunidades que se suelen dar en las empresas en

algún momento, son las siguientes:

o Relacionados con el entorno político y económico: La caída del

precio del petróleo, las ayudas públicas al I+D, o la mejora en
las condiciones de financiación, pueden ser oportunidades
para retomar inversiones paradas.
o Relacionados con la evolución del mercado: Una crecimiento de
la demanda puede dar la oportunidad de invertir en el
crecimiento y diversificación de la organización.
o Relacionados con las nuevas tecnologías: Las nuevas
tecnologías ofrecen a las organizaciones la opción de mejorar
sus productos, ofrecer otros nuevos, y optimizar su
productividad y eficiencia.
o Relacionados con los nuevos mercados: La economía global
actual, ofrece un gran número de países y culturas donde
vender nuestros productos.
o Relacionados con el cierre de competidores: Si una empresa
competidora o proveedora cierra, ofrece una gran
oportunidad tanto en la adquisición de maquinaria y equipos,
como en la de contratación de personal altamente cualificado
y experimentado.
o Relacionados con los nuevas necesidades: Los clientes, los
consumidores y la sociedad en general, cambia sus hábitos
de vida continuamente, y por tanto sus necesidades de
compra. Lo que abre un gran número de nuevos nichos de
mercado que cubrir.
o Relacionados con nuevos reglamentos y leyes: La publicación
de una nueva ley, puede dar la oportunidad a la empresa de
ser la primera en adaptarse al nuevo escenario, y por tanto
sacar ventaja a sus competidores.
Una vez definidos todos los Riesgos y las Oportunidades,
pasaremos a evaluar su importancia.
Paso 2: Evaluación de riesgos y oportunidades
Una vez identificados todos los Riesgos y Oportunidades de
nuestra organización, deberemos determinar cuáles de ellos vamos
a tratar. Dado que los recursos para reducirlos suelen ser finitos,
necesitaremos poder valorar cada uno de los riesgos para poder
determinar su criticidad, y así dedicar los recursos disponibles en
los más importantes.

Para poder valorar los riesgos de manera objetiva, evitando las

opiniones subjetivas del evaluador, deberemos definir previamente
los criterios que vamos a utilizar en la evaluación. Estos criterios
deberán ser lo más cuantificables que podamos: evitando términos
como "muchas veces, pocas o casi nunca", y utilizando otros como
"más de 5 veces al día, menos de 1 vez al mes". Los dos criterios
clásicos que se utilizan para este tipo de evaluación, son
la probabilidad y el impacto. Y son suficientes para el cumplimiento
de los requisitos de la norma ISO 9001 2015.

o La Probabilidad: calcular la probabilidad de que un riesgo se

materialice suele ser complicado. Para ello deberemos
consultar las veces que nos ha sucedido en el pasado  en la
empresa, o buscar en internet información al respecto.
o El Impacto: la mejor forma de poder comparar los impactos
de diferentes riesgos, es calcular el coste económico en caso
de materializarse. No sólo el coste de reposición de la
maquinaria, de las materias primas o de los servicios  que
necesitaremos subcontratar, sino también el de todas las
horas del personal propio implicado.
Una vez valorados todos los Riesgos y Oportunidades bajo estos
criterios, deberemos aplicar una fórmula para determinar el nivel
de riesgo de cada uno de ellos. Esta fórmula puede ser desde una
simple suma o producto de la valoración de los criterios, a un
algoritmo ponderado más complejo.

Ya hemos calculado el nivel de riesgo de cada uno de los

Riesgos/Oportunidades, ahora deberemos determinar cuáles de
ellos tratamos/aprovechamos. Evidentemente será aquellos
con mejor puntuación, pero dado que los recursos son limitados,
habrá que determinar un punto de corte. Éste debe ser
determinado y aprobado por la Dirección, que asumirá el resto
de riesgos como tolerables y el resto de oportunidades como
aplazables.
IMPORTANTE: La evaluación de riesgos debe ser aprobada por la
Dirección. Evitando así, incoherencias con los Objetivos y
la Estrategia de la organización, y cumplir así los requisitos de la
norma ISO 9001 2015. Por ejemplo: no es coherente que tengamos
como objetivo mejorar la atención de los clientes, y aceptar como
tolerable el riesgo de eliminar sus correos electrónicos por ser
confundidos como "spam".
RECOMENDACIÓN: Se debe reevaluar periódicamente los riesgos y
oportunidades, siendo lo más habitual al menos una vez al año o
ante cambios importantes del Contexto. Disponer de una
evaluación actualizada de loa Riesgos y las Oportunidades es
requisito de la norma ISO 9001 2015.
Paso 3: Tratamiento de riesgos y oportunidades
Una vez realizada la evaluación de los riesgos y de las
oportunidades, y saber cuáles de ellos vamos a tratar, es el
momento de definir las acciones que vamos a realizar. En el caso de
los Riesgos, estas acciones irán dirigidas a conseguir alguno de los
siguientes objetivos:

o Eliminar el Riesgo: Siempre será la mejor solución, pero pocas

veces será posible. Para ello deberemos centrarnos en
analizar el foco y origen del riesgo, para tratarlo y así eliminar
el riesgo.
o Reducir la probabilidad: Al tomar acciones sobre un
determinado riesgo, podremos centrarnos en reducir la
probabilidad de que éste se materialice. Y por tanto, reducir
dicho riesgo. Por ejemplo: el invertir en un antivirus de
garantías, reducirá la probabilidad de que los equipos
informáticos de la organización sean infectados.
o Limitar el impacto: La otra opción es realizar acciones para
reducir su impacto en el caso de que suceda. Por ejemplo:
ante el riesgo de ser penalizado o multado económicamente
por una suma de dinero que cuestionaría la continuidad de la
organización, podemos contratar un seguro.
o Asumir el Riesgo: Cuando el riesgo puede considerarse
tolerable o trivial, existe la opción de asumir dicho riesgo y
por tanto no tomar ningún tipo de acción para corregirlo.
o Desviar el Riesgo: subrogar el riesgo a un proveedor o
colaborador es bastante habitual en actividades que no
aportan valor añadido a nuestros productos. Por ejemplo: si
la distribución de nuestros productos la realizamos con
vehículos propios, podemos subcontratar el reparto y así
desviar a la empresa repartidora el riesgo de accidente o
penalizaciones por retrasos en la entrega.

Todas las acciones que vayamos a llevar a cabo, incluyendo su

planificación con plazos y responsables, pueden ser definidos en
un Plan de Acción específico. O integrados en la Planificación del
Sistema de Gestión. Realizando un seguimiento periódico de todas
las acciones, y corrigiendo las posibles desviaciones que puedan
surgir.