Metodología para el análisis de riesgos según ISO 9001

Las organizaciones deben implementar una metodología para el análisis de riesgos según ISO
9001, no porque la norma lo exija, sino porque es la forma apropiada para identificar riesgos y tomar
decisiones sobre cómo gestionarlos o eliminarlos.
El propósito de una metodología para el análisis de riesgos según ISO 9001 es encontrar
problemas potenciales que, eventualmente, pueden surgir durante la elaboración de un
producto o en la ejecución de un proceso específico. Así, será posible jerarquizar el riesgo y
realizar alguna acción al respecto.
La tarea comienza con la elección de una metodología para el análisis de riesgos según ISO 9001.
Existen varias herramientas para ello, pero una de las más populares y eficaces es el Análisis de
Modos de Falla y Efecto (FMEA por sus iniciales en inglés).

¿Cómo funciona el análisis FMEA como metodología para el análisis de riesgos

según ISO 9001?
El Análisis de Modos de Fallas y Efectos no solo es utilizado como una metodología para el análisis
de riesgos según ISO 9001. Su aplicación va mucho más allá, desde la gestión de riesgos en
general, hasta la identificación de riesgos en áreas tan específicas como la seguridad de la
información, por ejemplo.
El modelo, atiende a la posibilidad de que un proceso pueda funcionar de manera deficiente y
considera tres elementos básicos: efecto, causa y detección. El efecto es la consecuencia del fallo
que puede afectar al cliente. La causa se refiere a la razón por la cual se presenta la falla. La
detección es la forma utilizada dentro del proceso para evitar los fallos.
El FMEA tiene como objetivo identificar, definir y describir un no cumplimiento, o una no
conformidad, generado por un proceso. De la misma manera, pretende identificar y describir las
causas y los efectos.
A nivel muy general, se distinguen dos tipos de análisis FMEA:
 FMEA de producto: relacionado con las fallas que pueden ocurrir durante la elaboración de
un producto, desde las especificaciones iniciales tomadas para su fabricación.
 FMEA de proceso: aborda los fallos relacionados con un proceso, que pueden ocurrir durante
la planificación o la ejecución.
La aplicación del análisis FMEA, como metodología para el análisis de riesgos según ISO 9001,
puede resultar un tanto compleja. Por ello, hoy mencionamos los cuatro pasos básicos necesarios
para realizar un análisis FMEA:
Paso 1: identificar los riesgos
Al igual que cualquier otra metodología para el análisis de riesgos según ISO 9001, una sesión
de lluvia de ideas, con los encargados de procesos en las áreas críticas, suele ser un buen punto
de inicio para identificar los riesgos. También las entrevistas, encuestas, foros o discusiones
pueden aportar la información inicial.
La persona que tenga a su cargo la elaboración del análisis FMEA también puede recopilar valiosa
información extrayéndola de informes de incidentes, multas o sanciones, llamadas de advertencia
de entidades gubernamentales, o informes de compañías aseguradoras, entre otros lugares.
Paso 2: determinar el nivel de criticidad de cada riesgo
En esta etapa, podemos hacer uso de otra herramienta muy valiosa que ya hemos descrito con
detalle en textos anteriores: la matriz de riesgos.
En una matriz de riesgos asignamos un valor numérico, generalmente en una escala de 1 a 10,
a factores como la severidad del daño, la probabilidad de ocurrencia y la posibilidad de
detección. De una sencilla ecuación matemática podemos asignar un nivel de criticidad para cada
uno de los riesgos.
Paso 3: clasificar los riesgos
Ya tenemos la información suficiente para clasificar los riesgos, inicialmente en dos
categorías: aceptables e inaceptables. Un riesgo con alta probabilidad de ocurrencia y un impacto
negativo muy fuerte, es un riesgo inaceptable. Por el contrario, un riesgo de bajo impacto y escasa
probabilidad, es un riesgo que se puede tolerar.
Paso 4: determinar las acciones necesarias
Una vez que se han identificado los riesgos, se ha establecido su criticidad y se han clasificado,
podemos determinar las acciones preventivas que tomaremos. Algunos riesgos podrán ser
eliminados, en tanto que otros solo admitirán que se mitigue su impacto. Otros, los que debemos
tolerar, podrán ser compartidos o reubicados.
El análisis FMEA, la matriz de riesgos o cualquier otra metodología para el análisis de riesgos según
ISO 9001, nos entregan una información basada en ecuaciones matemáticas. Sin embargo, a
veces, el sentido común puede indicarnos otro camino que también debemos valorar. Por
ello, no se trata de evaluaciones concluyentes.
Por ejemplo, el análisis FMEA nos puede decir que el riesgo de que las instalaciones sean
alcanzadas por un rayo, durante una tormenta eléctrica, es escaso. El impacto es grave, la
probabilidad de ocurrencia es escasa y la posibilidad de detección es muy baja. Así, probablemente,
sea calificado como un riesgo tolerable, como en efecto lo es, pero que con una acción muy sencilla
como instalar un pararrayos se puede eliminar.
La conclusión es que utilizar una metodología para el análisis de riesgos según ISO 9001, o
cualquier herramienta dedicada a la evaluación o análisis de riesgos, es una buena
práctica. Pero no olvidemos el sentido común, siempre nos guiará por un buen camino.