Archivo

Posts Tagged ‘iso 31000’

ISO 31000:2018-DIRECTRICES PARA GESTION DE RIESGOS

ISO 31000:2018-DIRECTRICES PARA GESTION DE RIESGOS

 

Toda organización nace con un propósito, y para cumplirlo requiere reunir diversas condiciones que le permitan crecer y desarrollarse de manera permanente, independientemente de su tamaño, naturaleza o actividades; la primera condición a cumplir será conocer y comprender su contexto, a fin de determinar los factores internos y externos y la influencia que estos ejercen y afectan su propósito, este conocimiento incluye la definición de sus partes interesadas y necesidades.

En el conocimiento y comprensión del contexto, deberá definir las amenazas que lo aquejan para prever acciones que le ayuden a mitigar sus posibles impactos adversos; es precisamente aquí en donde se genera una incertidumbre sobre los riesgos que representan esas amenazas; para ello debe adoptar una gestión de riesgos que le aporte los insumos suficientes para administrar de forma más acertada la incertidumbre y tomar las decisiones más adecuadas.

La Gestión del Riesgo, de cualquier tipo de riesgo sin especificar industria o sector alguno, se estandarizó mediante la Norma ISO 31000:2009, el primer estándar internacional que ha proporcionado un acercamiento común para gestionar los riesgos a los que están expuestos las organizaciones.

En este contexto, la revisión 2018 de la ISO 31000 supone un paso firme para la norma como guía de referencia en lo relativo al riesgo para los estándares de ISO que dan lugar a otros sistemas de gestión, tales como ISO 9001, 14001, 45001, etc, los que, tras la aprobación por parte de ISO de la estructura de alto nivel (HLS) en 2012, estos estándares ISO y sus revisiones tienen que incluir una consideración del riesgo.

El comité técnico ISO ha publicado la nueva versión de ISO 31000:2018. Esta norma para la Gestión de Riesgos ha sido simplificada, y permite a las empresas y organizaciones revaluar sus metodologías de gestión sobre cualquier tipo de riesgo.

La norma se centra de forma exhaustiva en la atención de la gestión del riesgo, como una herramienta para minimizar de forma anticipada las posibles inseguridades que pudieran producirse. Por tanto, ISO 31000:2018 se actualiza para dar respuesta con eficacia y seguridad a los riesgos y peligros actuales a los que se enfrentan las organizaciones y empresas.

 

ISO 31000 - GESTION DE RIESGOS

ISO 31000 – GESTION DE RIESGOS

 

PRINCIPIOS DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

En la nueva actualización de ISO 31000 se reducen de once a ocho principios como factores clave de éxito:

  1. Integración en todas las actividades. El proceso de gestión de riesgos debe ser parte integral de los diferentes procesos que conforman el Sistema de Gestión de la organización.
  2. Estructuración. El proceso de gestión de riesgos debe estar adecuadamente definido y contar con su propia estructura, además deber ser completo y detallado.
  3. Adaptación a la organización. El proceso de gestión de riesgos debe adaptarse al contexto específico de la organización, es decir, tener su propio marco de referencia.
  4. Inclusión de todas las partes interesadas. El proceso de gestión de riesgos debe promover la participación de todas las partes interesadas, lo que resulta en información confiable y una mayor toma de conciencia.
  5. Dinamismo y respuesta a los cambios. Los riesgos aparecen, cambian o desaparecen con los cambios en el contexto de la organización. La organización debe responder a esos cambios de manera apropiada y oportuna.
  6. Base en la mejor información disponible. La gestión de riesgos se debe hacer con información histórica actualizada, así como las expectativas en el futuro. La información debe ser oportuna, clara y disponible para las partes interesadas.
  7. Consideración de factores humanos y culturales. El comportamiento humano y la cultural deben ser considerados por el proceso de gestión de riesgos.
  8. Foco en la mejora continua. El proceso de gestión de riesgos debe mostrar mejora en el tiempo en eficacia y eficiencia.

 

ESTRUCTURA DE ISO 31000:2018 PARA LA GESTIÓN DE RIESGOS

La estructura de la nueva Norma ISO 31000:2018 Directrices para la Gestión de Riesgos es la siguiente:

  • 1. Objeto y campo de aplicación.
  • 2. Referencias normativa.
  • 3. Términos y definiciones.
  • 4. Principios.
  • 5. Marco de trabajo.
  • 5.1 Generalidades.
  • 5.2 Liderazgo y compromiso.
  • 5.3 Integración.
  • 5.4 Diseño.
  • 5.5 Implementación.
  • 5.6 Evaluación.
  • 5.7 Mejora.
  • 6. Proceso.
  • 6.1 Generalidades.
  • 6.2 Comunicación y consulta.
  • 6.3 Alcance, contexto y criterios.
  • 6.4 Apreciación del riesgo.
  • 6.5 Tratamiento del riesgo.
  • 6.6 Seguimiento y revisión.
  • 6.7 Registro y presentación de informes.

 

PRINCIPALES CAMBIOS EN ISO 31000:2018

Entre los principales cambios de la ISO 31000:2018 con respecto a la versión anterior de 2009, se pueden mencionar a los siguientes:

  • Revisión de los principios de la gestión de riesgos, que son los criterios clave para su éxito.
  • La versión 2018 se enfoca más en crear y proteger el valor como el impulsor clave de la gestión del riesgo y presenta otros principios relacionados tales como la mejora continua, la inclusión de partes interesadas, la personalización de la organización y la consideración de factores humanos y culturales.
  • Centrarse en el liderazgo de la alta dirección que debe garantizar que la gestión de riesgos se integre en todas las actividades de la organización, comenzando con su gobernanza.
  • Mayor énfasis en la naturaleza iterativa de la gestión de riesgos, aprovechando las nuevas experiencias, el conocimiento y el análisis para la revisión de los elementos del proceso, las
    acciones y los controles en cada etapa del proceso.
  • Optimización del contenido con un mayor enfoque en el mantenimiento de un modelo de sistemas abiertos que regularmente intercambia retroalimentación con su entorno externo
    para adaptarse a múltiples necesidades y contextos.
  • Mayor foco en la integración de la gestión del riesgo con la organización y el papel de los líderes y su responsabilidad. La gestión del riesgo es una parte integral de los negocios.
  • Cada sección de la norma se revisó con un espíritu de claridad, utilizando un lenguaje más simple para facilitar la comprensión y hacerla accesible a todos los interesados.
  • Mayor énfasis en el logro de objetivos de la gestión del riesgo, haciendo una revisión de procesos, acciones y controles en cada etapa del proceso.

 

BENEFICIOS DE IMPLEMENTAR ISO 31000:2018

La implementación de la Norma ISO 31000:2018 para Gestión de Riesgos implica una serie de beneficios, y entre los más relevantes se encuentran los siguientes:

Beneficios para las partes interesadas:

  • Ofrece seguridad a sus partes interesadas, al tratar con una organización comprometida con la adecuada gestión de sus amenazas y riesgos.
  • Aumenta la eficacia en la respuesta ante situaciones de emergencia.
  • Permite contar con planes adecuados para enfrentar posibles amenazas o riesgos.

Beneficios en el mercado:

  • Imagen de credibilidad y prestigio.
  • Brinda seguridad y confianza a sus partes interesadas.
  • Competitividad, fortaleza y adecuada gestión de riesgos, evitando afectar a sus partes interesadas.

Beneficios para la organización:

  • Imagen de credibilidad y prestigio del organismo.
  • Brinda seguridad y confianza a sus colaboradores y clientes.
  • Competitividad, fortaleza y adecuada gestión de riesgos.
  • Con la norma ISO 31000:2018 permite a las partes interesadas destacar en la toma de decisiones, el logro de objetivos y la mejora del desempeño ante amenazas y riesgos que se presenten en la organización.
  • Cualquier organización está expuesta a factores externos, internos e influencias que hacen que sea incierto si lograrán sus objetivos, sin embargo, con las buenas prácticas y los conocimientos obtenidos en gestión de riesgos, se pueden mejorar los procesos de implementación.
  • La gestión del riesgo es dinámica y ayuda a las organizaciones a establecer estrategias, alcanzar objetivos y tomar decisiones informadas.
  • Contribuye a la mejora de los sistemas de gestión de riesgos.

 

PLAN PARA TRATAMIENTO DEL RIESGO

Un daño a la reputación de la empresa o de la marca, un delito cibernético, incumplimientos legales y/o regulatorios, o un acto de terrorismo son ejemplos de algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con mayor frecuencia.

La versión 2018 de ISO 31000 busca ayudar a manejar la incertidumbre que se presenta en cada decisión de una organización. Hacer frente al riesgo es parte de la gobernanza y el liderazgo, y es fundamental para la gestión de una organización en todos los niveles. ISO 31000: 2018 ofrece una guía más clara, breve y concisa que ayuda a las organizaciones a utilizar principios de gestión de riesgos para mejorar la planificación y tomar mejores decisiones.

 

ISO 31000 - GESTION DE RIESGOS

ISO 31000 – GESTION DE RIESGOS

 

De este modo, en el capítulo 6.5 Tratamiento del riesgo, en el ítem 6.5.3 Preparación e implementación de los planes de tratamiento del riesgo la Norma ISO 31000:2018 establece que un Plan para Tratamiento del Riesgo debe especificar la manera en que se implementarán las opciones elegidas para el tratamiento de tales riesgos, y además debe incluir como mínimo la siguiente información:

  • Los fundamentos de la selección de las opciones para el tratamiento de riesgos
  • Las personas responsables por la implementación del Plan
  • Las acciones propuestas
  • Los recursos necesarios
  • Las medidas del desempeño
  • Los informes de seguimiento requeridos
  • Los plazos previstos

Con el objeto de elaborar un Plan para Tratamiento del Riesgo que resulte adecuado a lo especificado por la Norma ISO 31000:2018, se deberían tomar en consideración los siguientes aspectos:

  • Definición del alcance del plan de riesgos. Los riesgos a tratar se circunscriben a un proyecto, a un proceso, o abarcan a toda la compañía?
  • Recopilación de información sobre riesgos. Se debe obtener información sobre los riesgos a tratar. Una buena iniciativa puede ser vincular a las personas clave de la empresa en las actividades de gestión de riesgos para favorecer la comunicación interna de riesgos y hacer que las prácticas de gestión de riesgos se multipliquen por la empresa.
  • Identificación de los riesgos y sus consecuencias. Confeccionar lista de riesgos, asociando cada riesgo con sus consecuencias de manera específica.
  • Identificación de los controles de cada riesgo. Los controles son actividades, procedimientos o mecanismos que, una vez implementados, pueden actuar sobre un riesgo, alterando su probabilidad o su impacto.
  • Análisis de probabilidad. Para cada riesgo de la lista, se debe determinar la probabilidad de que este riesgo se materialice.
  • Análisis del impacto. Para cada riesgo de la lista, se debe determinar la magnitud de las consecuencias de que este riesgo se materialice.
  • Determinación del nivel del riesgo, en base a la probabilidad y al impacto de cada riesgo.
  • Definición de prioridades, en función del nivel de riesgo.
  • Planificación de estrategias de mitigación (reducir la probabilidad de que un riesgo se materialice) y contingencia (reducir el impacto de un riesgo si se materializa)
  • Analisis de eficacia de las estrategias implementadas.
  • Monitoreo de los riesgos. Se debería disponer de herramientas cuantitativas que permitan monitorear, realizar seguimiento y establecer cuándo tomar acciones para mitigar riesgos. Dichos indicadores cuantitativos son comúnmente conocidos como o KRI (key risk indicator), y se trata de métricas creadas para poder sintetizar objetivamente aquellos riesgos considerados como significativos y que necesitan un tratamiento diferenciado. Estas métricas permiten llevar un registro de incidencias, monitorear su comportamiento, informar sobre su evolución, reportarlos y establecer planes de acción cuando salen de la tendencia esperada.

 

USO DE SOFTWARE PARA SISTEMAS DE GESTION DE RIESGOS

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión de Riesgos ISO 31000, las organizaciones pueden aprovechar la automatización que un SOFTWARE aporta, contribuyendo así al logro de la excelencia. Especialmente, si dicho SOFTWARE PARA SISTEMAS DE GESTION DE RIESGOS ha sido diseñado para lograr una gestión documental más efectiva, logrando una optimización en la comunicación organizativa, una gestión efectiva de hallazgos, no conformidades y puesta en marcha de acciones de mejora, así como un importante ahorro económico y de tiempos. Todo ello, se ve reflejado en una mejora en la eficiencia de la organización y sus resultados.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión de Riesgos.

 

SOFTWARE PARA GESTION DE RIESGOS ISO 31000

SOFTWARE PARA GESTION DE RIESGOS ISO 31000

 

El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA GESTION DE RIESGOS ISO 31000 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.

 

ASESORÍA ESPECIALIZADA ISO 14001:2015

ASESORÍA ESPECIALIZADA ISO 14001:2015

 

 

Anuncios

GESTION DEL RIESGO – ISO 31000

GESTION DEL RIESGO – ISO 31000

Todas las organizaciones, grandes o pequeñas, de capital privado o del ámbito publico, industriales o de servicios, se enfrentan a factores internos y externos que le restan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es lo que se define como “Riesgo” y es inherente a todas las actividades.

Un Riesgo es el efecto de la incertidumbre sobre los objetivos.

NOTA 1 Un efecto es una desviación de aquello que se espera, sea positivo, negativo o ambos.
NOTA 2 Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas ambientales) y se pueden aplicar en niveles diferentes (estratégico, en toda la organización, en proyectos, productos y procesos).
NOTA 3 A menudo el riesgo está caracterizado por la referencia a los eventos potenciales y las consecuencias o a una combinación de ellos.
NOTA 4 Con frecuencia, el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y en la probabilidad de que suceda.
NOTA 5 Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad.

Ante esta situación, las organizaciones deben gestionar el riesgo de manera eficaz para poder asegurar el cumplimiento de sus objetivos estratégicos, y una manera adecuada de hacerlo es siguiendo los lineamientos que define la Norma ISO 31000 – Gestión del Riesgos. Principios y Directrices, la cual provee de los principios, el marco de trabajo (framework) y un proceso destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble dentro de cualquier alcance o contexto.

Así, la Norma ISO 31000 es un excelente complemento para normas de sistemas de gestión, como ISO 9001:2015 o ISO 14001:2015, ya que permite abordar los riesgos pertinentes definidos en el capítulo 6 de ambas normas.

 

ISO 31000 - GESTION DEL RIESGO

ISO 31000 – GESTION DEL RIESGO

 

Este estándar ISO 31000:2009 puede ser utilizada por cualquier organización, de carácter público, privado, sin fines de lucro, asociación, grupo o individuo, y no es específica a alguna industria o sector.

Cuando la gestión del riesgo se implementa y se mantiene de acuerdo con esta norma ISO 31000, le permite a la organización:

  • Aumentar la probabilidad de alcanzar los objetivos;
  • Fomentar la gestión proactiva;
  • Ser consciente de la necesidad de identificar y tratar los riesgos en toda la organización;
  • Cumplir con los requisitos legales y reglamentarios pertinentes y con las normas internacionales;
  • Mejorar la presentación de informes obligatorios y voluntarios;
  • Mejorar el gobierno;
  • Mejorar la confianza y honestidad de las partes involucradas,
  • Establecer una base confiable para la toma de decisiones y la planificación;
  • Mejorar los controles;
  • Asignar y usar eficazmente los recursos para el tratamiento del riesgo;
  • Mejorar la eficacia y la eficiencia operativa;
  • Incrementar el desempeño de la salud y la seguridad, así como la protección ambiental;
  • Mejorar la prevención de pérdidas y la gestión de incidentes;
  • Minimizar las pérdidas;
  • Mejorar el aprendizaje organizacional; y
  • Mejorar la flexibilidad organizacional.

Esta norma está destinada a satisfacer las necesidades de un rango amplio de partes involucradas, incluyendo:

  • a) aquellos responsables del desarrollo de la política de gestión del riesgo dentro de la organización;
  • b) aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro de la organización como unidad o dentro de un área, proyecto o actividad específicos;
  • c) aquellos que necesitan evaluar la eficacia de una organización en cuanto a la gestión del riesgo; y
  • d) aquellos que desarrollan normas, guías, procedimientos y códigos de práctica que, parcial o totalmente, establecen la manera de gestionar el riesgo dentro del contexto específico de estos documentos.

La norma ISO 31000:2009 establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo. Esta Norma Internacional recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo de la organización, planificación y estrategia, gestión, procesos de información, políticas, valores y cultura.

La relación entre los Principios Básicos de la Gestión de Riesgos, el Marco de Trabajo (Framework), así como el Proceso de Gestión del Riesgo desarrollado en la Norma ISO 31000 se resume en la figura siguiente:

GESTION DEL RIESGO

GESTION DEL RIESGO

 

GESTIÓN DEL RIESGO – VOCABULARIO

En el marco de la Gestión de Riesgos, se utilizan conceptos para los cuales es muy importante contar con una adecuada definición. Al respecto, la norma “ISO/Guide 73:2009 Risk management — Vocabulary” proporciona un vocabulario básico para desarrollar un entendimiento común sobre los conceptos de gestión de riesgos y las condiciones, entre entidades y funciones, a través de diferentes aplicaciones y tipos.
En el contexto de la terminología de gestión de riesgos, se pretende que se dará preferencia a las definiciones que figuran en esta guía.

Esta Guía ISO/Guide 73:2009 es genérica y se compila para abarcar el campo general de la gestión de riesgos. Los términos están dispuestos en el orden siguiente:

  • Las disposiciones relacionadas con el riesgo;
  • Los términos relacionados con la gestión de riesgos;
  • Los términos relacionados con el proceso de gestión de riesgos;
  • Las condiciones relacionadas con la comunicación y la consulta;
  • Los términos relacionados con el contexto;
  • Término relacionado con la evaluación de riesgos;
  • Los términos relativos a la identificación de riesgos;
  • Los términos relacionados con el análisis de riesgos;
  • Los términos relativos a la evaluación de riesgos;
  • Los términos relacionados con el tratamiento del riesgo;
  • Las disposiciones relacionadas con el seguimiento y la medición.

PROCESO PARA GESTIÓN DEL RIESGO – APRECIACIÓN DEL RIESGO

Todas las actividades de una organización implican riesgos que se deberían gestionar. El proceso de gestión del riesgo ayuda a tomar decisiones teniendo en cuenta la incertidumbre y la posibilidad de futuros sucesos o circunstancias (previstas o imprevistas) y sus efectos sobre los objetivos acordados.

La gestión del riesgo incluye la aplicación de métodos lógicos y sistemáticos para:

  • Comunicar y consultar a lo largo de este proceso;
  • Establecer del contexto para la identificación, análisis, evaluación, tratamiento del riesgo asociado con cualquier actividad, proceso, función o producto;Realizar el seguimiento y revisar los riesgos;
  • Informar y registrar los resultados de manera apropiada.

 

PROCESO DE GESTION DEL RIESGO

PROCESO DE GESTION DEL RIESGO

 

El Proceso para Gestión del Riesgo que establece la norma ISO 31000 comprende, entre otras, una etapa de Evaluación o Apreciación del Riesgo, que es la parte de la gestión del riesgo que proporciona un proceso estructurado que identifica la manera en que los objetivos pueden resultar afectados, y analiza el riesgo en términos de consecuencias y de sus probabilidades antes de decidir si se necesita un tratamiento adicional.

La apreciación del riesgo trata de dar respuesta a las siguientes cuestiones fundamentales:

  • ¿Qué puede suceder y porque (para la identificación del riesgo)?
  • ¿Cuáles son las consecuencias?
  • ¿Cuál es la probabilidad de su ocurrencia futura?
  • ¿Existen factores que mitiguen las consecuencias del riesgo o que reduzcan la probabilidad del riesgo?

En este punto, resulta de gran utilidad tomar en consideración la norma ISO 31010:2009 Gestión del riesgo – Técnicas de apreciación del riesgo, que proporciona directrices para la selección y aplicación de técnicas sistemáticas para la apreciación o evaluación del riesgo.

Esta norma presenta una serie de técnicas, y hace referencia a otras normas donde se describe con mayor detalle el concepto y la aplicación de algunas de ellas. ISO 31010:2009 no especifica el método de análisis del riesgo que se requiere para una aplicación particular ni hace referencia a todas las técnicas. El hecho de que una técnica no sea mencionada no significa que no sea válida.

La finalidad de la apreciación del riesgo consiste en proporcionar evidencias basadas en información y análisis para tomar decisiones informadas sobre cómo tratar riesgos particulares y cómo hacer la selección entre distintas opciones.

Entre los principales beneficios de realizar la apreciación del riesgo, se incluyen:

  • Comprender el riesgo y su impacto potencial sobre los objetivos;
  • Proporcionar información a las personas que toman decisiones;
  • Contribuir a comprender los riesgos, para ayudar en la selección de las opciones de tratamiento;
  • Identificar a los factores principales que contribuyan a los riesgos, y los puntos débiles en los sistemas y organizaciones;
  • Comparar los riesgos en sistemas, tecnologías o enfoques alternativos;
  • Comunicar los riesgos y las incertidumbres;
  • Ayudar a establecer prioridades;
  • Contribuir a la prevención de incidentes en base a investigaciones posteriores de incidentes;
  • Seleccionar diferentes formas de tratamiento del riesgo;
  • Cumplir los requisitos reglamentarios;
  • Proporcionar información que ayudará a evaluar si se debería aceptar el riesgo cuando se compara con criterios predefinidos;
  • Realizar la apreciación de los riesgos unidos al final de la vida útil.

 

SELECCIÓN DE TÉCNICAS DE APRECIACIÓN DEL RIESGO

Las técnicas descritas en la norma ISO 31010:2009 son las siguientes:

  • Tormenta de ideas
  • Entrevistas estructuradas o semiestructuradas
  • Delphi
  • Listas de ejemplo
  • Análisis de riesgos preliminar (PHA)
  • Estudio de Peligros y Operabilidad – HAZOP
  • Análisis de peligros y puntos críticos de control (HACCP)
  • Evaluación del riesgo ambiental
  • Análisis de causas y consecuencias
  • Análisis de casa y efecto
  • Análisis de Capas de Protección (LOPA)
  • Árboles de decisión
  • Análisis de la fiabilidad humana
  • Árbol de fallos y sucesos iniciadores (bow tie)
  • Mantenimiento Centrado en la Fiabilidad (RCM)
  • Análisis de circuitos de fugas
  • Análisis de cadenas de Markov
  • Análisis Qué pasa si
  • Análisis de escenarios
  • Análisis de Impacto de negocio (BIA)
  • Análisis de Causa Raíz (RCA)
  • Análisis de modo y efecto de la falla ( FMEA )
  • Análisis de árbol de fallos
  • Análisis de árbol de eventos
  • Simulación de Monte Carlo
  • Análisis Bayesiano
  • Curvas FN
  • Índices de riesgo
  • Matrices de probabilidad y consecuencia
  • Análisis costo beneficio
  • Análisis de decisión multicriterio (MCDA)

La apreciación del riesgo se puede realizar con diferentes grados de profundidad y de detalle, y utilizando uno o varios de los métodos o técnicas ya mencionados, y que varían desde simples a complejos. La forma de la apreciación y de sus resultados debería ser consecuente con los criterios de riesgo desarrollados como parte del establecimiento del contexto.

En términos generales, las técnicas adecuadas deberían tener las siguientes características:

  • Deberían ser justificables y apropiadas a la situación u organización que se está considerando;
  • Deberían proporcionar resultados de una forma que mejoren la comprensión de la naturaleza del riesgo y de cómo se puede tratar;
  • Deberían poderse utilizar de una manera que sea trazable, reproducible y verificable.

Se deberían dar las razones para la elección de técnicas, en cuanto a la importancia y a la idoneidad. Cuando se integran los resultados procedentes de estudios diferentes, las técnicas utilizadas y los resultados deberían ser comparables.

 
Bibliografía:

ISO 9001:2015 – Requisitos para sistemas de gestión de la calidad
ISO 9000:2015 – Sistemas de Gestión de la Calidad. Fundamentos y Vocabulario

ISO 31000:2009 – Gestión del Riesgo. Principios y Directrices
ISO/Guide 73:2009 Risk management — Vocabulary
ISO 31010:2009 Gestión del riesgo – Técnicas de apreciación del riesgo

 

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 - ISO 14001 - ISO 45001 - ISO 50001 width=
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.
 

Transición a la nueva versión ISO 9001:2015

Transición a la nueva versión ISO 9001:2015

TRANSICIÓN A ISO 9001:2015. CONSIDERACIONES

TRANSICIÓN A ISO 9001:2015. CONSIDERACIONES

Todas las normas ISO de sistemas de gestión están sujetas a una revisión periódica según sus propias reglas. La revisión de la Norma ISO 9001 se orientó a mantener su relevancia en el mercado actual y futuro, para lo cual definió los siguientes objetivos:

  • Favorecer la integración con otros sistemas de gestión
  • Proporcionar un enfoque integrado de la gestión organizacional
  • Reflejar los entornos cada vez más complejos en los que operan las organizaciones
  • Mejorar la capacidad de la organización para satisfacer a sus clientes

De este modo, en Septiembre de 2015 la Organización Internacional de Normalización – ISO publicó la nueva Norma ISO 9001:2015, estableciendo un nuevo hito en su evolución.

 

NUEVA ISO 9001:2015 - EVOLUCIÓN DE ISO 9001

NUEVA ISO 9001:2015 – EVOLUCIÓN DE ISO 9001

 

Esta evolución requiere que las organizaciones que utilizan este estándar para sus Sistemas de Gestión lleven a cabo una cuidadosa transición desde la Norma ISO 9001:2008 a la ISO 9001:2015, para lo cual es conveniente tener en consideración los aspectos que se detallan seguidamente.

Formación necesaria sobre ISO 9001:2015

La nueva ISO 9001:2015 incorpora nuevos requisitos e introduce muchos conceptos significativos que requieren de la formación necesaria para la transición a los nuevos requisitos de ISO 9001:2015.

En este sentido, es conveniente tener en cuenta que tal formación no sólo debe involucrar al  responsable del SGC, la principal persona responsable de la norma ISO 9001 dentro de su organización, sino que tal formación debe incluir también a cualquier persona que esté involucrada en cualquier parte del proceso ISO 9001 dentro de una organización, ya que ésta deberá comprender los cambios más relevantes en la norma ISO 9001:2015.

ISO 9001: 2015. Partes Interesadas

Las llamadas “Partes Interesadas” son uno de los cambios de la nueva ISO 9001:2015, y constituyen la combinación de factores internos y externos que determina el así denominado “Contexto de la organización”.

 

ISO 9001:2015 - PARTES INTERESADAS

ISO 9001:2015 – PARTES INTERESADAS

 

Por tanto, uno de los aportes fundamentales que la revisión de la Norma ISO 9001:2015 ha traído consigo es el enfoque desde el que se debe definir el contexto de la organización y la consideración que se debe hacer de las partes interesadas en la organización, cuya importancia radica en el hecho de que la detección de los factores pertinentes a la planificación e implementación de un Sistema de Gestión de la Calidad está estrechamente vinculado con la consecución de los resultados previstos.

Así, es posible definir a las partes interesadas como el conjunto de factores internos y externos que ejercen influencia sobre la organización. De manera más formal, la Norma ISO 9001:2015 las define como todos los grupos de interés que de alguna forma se puedan ver afectados por la actividad de la empresa o cuyas decisiones puedan afectar al Sistema de Gestión de la Calidad de la organización.

A manera de ejemplo de las partes interesadas de origen externo, por lo general relacionadas con aspectos sobre los que la organización no puede ejercer control alguno, las reglas del juego que son igual para todas las empresas y a las que toda empresa debe acogerse, pueden incluirse a los propios clientes de la empresa, los empleados, socios, propietarios o accionistas, proveedores, competidores, sindicatos, organismos reguladores, grupos de ciudadanos que puedan ejercer una determinada presión, etc.

Entre los factores internos se encuentran el conjunto de elementos sobre los que la organización puede ejercer un control, son inherentes a la propia empresa, y la Alta Dirección los puede cambiar y adaptar a las condiciones existentes.

Ejemplos de factores internos son los siguientes:

  • Recursos Humanos: interés orientado hacia la estabilidad laboral, los planes de carrera y el desarrollo profesional.
  • Accionistas/Socios/Propietarios: interés en el crecimiento en términos de rentabilidad y productividad, y en la reducción de costos de operación.

Una vez identificados los factores internos y externos, es importante saber cuáles de ellos son pertinentes en la implementación del SGC, es decir aquellos que son especialmente relevantes para considerar el efecto que ejercen sobre el logro de los resultados previstos.

ISO 9001: 2015. Documentación

La documentación requerida en la nueva Norma ISO 9001:2015 no debe suponer un aumento de la burocracia, por el contrario esta versión es más liberal en cuanto a los requisitos de documentación.

En la nueva ISO 9001:2015 desaparece de su redacción la expresión “procedimiento documentado”. En su lugar, la norma establece que las organizaciones deberán mantener en relación con sus actividades la “información documentada”, la cual es la información que debe ser controlada y mantenida por una organización y el medio en el que está contenida.

En este sentido, el objetivo primordial de ISO 9001:2015 no es la descripción exhaustiva de todos los procesos, sino la obtención de los resultados que se planificaron, de manera tal que el protagonismo deja de estar centrado en la documentación para poner en primer plano a los procesos y su gestión.

La “información documentada” requerida por la Norma ISO 9001:2015 es la siguiente:

  1. El alcance del sistema de Calidad debe estar disponible y mantenerse como información documentada (capítulo 4.3 – Determinación del alcance del sistema de gestión de la calidad).
  2. En la medida que sea necesario, la organización debe mantener información documentada para apoyar la operación de sus procesos. (Capítulo 4.4 – Sistema de gestión de calidad y sus procesos).
  3. En la medida que sea necesario, la organización debe conservar la información documentada para tener la confianza que los procesos se realizan según lo planificado (capítulo 4.4 – ” Sistema de Gestión de Calidad y sus procesos”).
  4. Política de Calidad (capítulo 5.2.2 a – Política).
  5. Objetivos de la calidad (capítulo 6.2 -Objetivos de la Calidad y planificación para lograrlos).
  6. La organización debe conservar la información documentada apropiada como evidencia de que los recursos de seguimiento y medición son idóneos para su propósito. (capitulo 7.1.5.- Recursos de seguimiento y medición).
  7. Los instrumentos de medición deben verificarse o calibrarse, o ambas, a intervalos especificados, o antes de su utilización, contra patrones de medición trazables a patrones de medición internacionales o nacionales; cuando no existan tales patrones, debe conservarse como información documentada la base utilizada para la calibración o la verificación (capítulo 7.1.5.- Trazabilidad de las mediciones).
  8. Evidencias de la competencia del personal (capítulo 7.2 – “Competencia”).
  9. Información documentada en la medida necesaria para tener confianza que los procesos se han llevado a cabo según lo previsto y para demostrar la conformidad de los productos y servicios con los requisitos. (capítulo 8.1- “Planificación y control operacional”).
  10. La organización debe conservar la información documentada que describe los resultados de la revisión, incluyendo los requisitos nuevos o modificados para los productos y servicios. (capítulo 8.2.3.2 – “Revisión de los requisitos para los productos y servicios”).
  11. Información acerca del diseño y el desarrollo. (capítulo 8.3.3. “Entradas para el diseño y desarrollo”).
  12. Información acerca de los controles al proceso de diseño y el desarrollo. (Capítulo 8.3.4 – Controles del diseño y desarrollo”).
  13. La organización debe conservar información documentada sobre las salidas del diseño y desarrollo. (capítulo 8.3.5 – “Salidas del Diseño y desarrollo”).
  14. La organización debe conservar información documentada sobre los cambios del diseño y desarrollo. (capítulo 8.3.6 – “Cambios del Diseño y desarrollo”).
  15. La organización debe conservar información documentada apropiada de los resultados de las evaluaciones, el seguimiento del desempeño y reevaluaciones de los proveedores externos. (capítulo 8.4 – “Control de los procesos, productos y servicios suministrados externamente”).
  16. Cuando la trazabilidad sea un requisito, la organización debe controlar la identificación única de las salidas del proceso, y conservar la información documentada necesaria para permitir la trazabilidad. (capítulo 8.5.2 – “Identificación y trazabilidad”).
  17. Información al cliente o de un proveedor externo en caso que su propiedad se pierda, deteriore o de algún otro modo se considere inadecuada para su uso. (capítulo 8.5.3 – “Propiedad perteneciente a los clientes o proveedores externos”).
  18. La organización debe conservar información documentada que describa los resultados de la revisión de cambios, las personas que autorizan el cambio y de cualquier acción necesaria que surja de la revisión. (capítulo 8.5.6 – “Control de los cambios”).
  19. Información referente a Liberación de los productos y servicios: Evidencia de la conformidad con los criterios de aceptación; y Trazabilidad a las personas que autorizan la liberación. (capítulo 8.6 – “Liberación de los productos y servicios”).
  20. Información referente a Control de las salidas no conformes: Descripción de la no conformidad, las acciones tomadas, y todas las concesiones obtenidas; identificación de la persona o autoridad que decide la acción con respecto a la no conformidad.
    (capítulo 8.7.2 – “Control de las salidas no conformes”).
  21. La organización debe asegurarse que las actividades de seguimiento y de medición sean implementadas de acuerdo con los requisitos determinados y debe conservar información documentada apropiada como evidencia de los resultados. (capítulo 9.1.1 -. “Seguimiento, medición, análisis y evaluación”).
  22. La organización debe conservar información documentada como evidencia de la implementación del programa de auditoría y los resultados de las auditorías.
    (Capítulo 9.2.2 -. “Auditoría interna”).
  23. La organizacion debe conservar información documentada como evidencia de los resultados de la revisiones por la dirección. (Capitulo 9.3 – Revisión por la dirección).
  24. La organización debe conservar información documentada como evidencia de la naturaleza de las no conformidades y de cualquier acción tomada posteriormente.
    (capítulo 10.2.2 “No conformidad y acción correctiva”).
  25. La organización debe conservar información documentada como evidencia de los resultados de cualquier acción correctiva. (capítulo 10.2.2 “No conformidad y acción correctiva”)

ISO 9001:2015. Planificación de cambios

Los cambios que requieran efectuarse al Sistema de Gestión de la Calidad, según la norma ISO 9001:2015 deben responder a un método establecido por la organización con la finalidad de poder gestionar tales cambios y así garantizar la integridad del SGC.

Para ello, es importante considerar aspectos tales como:

  • Identificación de requisitos, necesidades y oportunidades de cambio: a través de auditorias, verificaciones, validaciones, o medición de la satisfacción del cliente y las partes interesadas es posible identificar no conformidades, oportunidades o riesgos, incumplimientos o ineficacias que indican la necesidad de cambiar la metodología de trabajo, los procedimientos y la información documentada.
  • Solicitudes de cambio: fomentar la participación del personal de la organización en los cambios que se crean oportunos en el Sistema de Gestión de la Calidad.
  • Registro y evaluación de solicitudes de cambio: mantener un registro adecuado de estas actividades, que incluya la información relevante de la solicitud y el proceso de revisión y evaluación efectuados.
  • Liderazgo: definir los recursos humanos a cargo de la gestión de estas solicitudes, por ejemplo  mediante la designación de una persona o un comité como responsables.
  • Evaluar la eficiencia conseguida: La situación esperada después de aplicar el cambio tiene que ser el punto de referencia para evaluar si el cambio se produce según el resultado deseado. Las auditorías internas son el medio adecuado para evaluar si es eficiente el cambio.

Roles, autoridades y responsabilidades en ISO 9001

La cláusula 5.3 de la norma ISO 9001 2015 está orientada a definir todos los roles funcionales, considerando a una función como el papel para ser llevado a cabo por una unidad designada de la organización.

Organización: persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos.
Nota 1 a la entrada: El concepto de organización incluye, entre otros, un trabajador independiente, compañía, corporación, firma, empresa, autoridad, sociedad, asociación, organización benéfica o institución, o una parte o combinación de éstas, ya estén constituidas o no, públicas o privadas.

Norma ISO 9000:2015, Sistemas de gestión de la calidad — Fundamentos y vocabulario, item 3.2.1.

Según esta definición, para conseguir sus objetivos una empresa debe contar con los roles, las autoridades y las responsabilidades adecuadamente definidos. Para ello es necesario establecer cómo se relacionan las actividades a desarrollar y las personas asociadas con tales actividades, de manera tal que resulte posible identificar a:

  • La persona responsable de realizar la tarea.
  • La persona con responsabilidad última sobre la tarea.
  • La persona a la que se consulta sobre la tarea.
  • La persona a la que se debe informar sobre la tarea.

Con respecto a la autoridad, ésta se refiere a la potestad asignada por la Alta Dirección a una persona o grupo de personas para tomar decisiones sobre un área determinada, y se representa de forma visual mediante un organigrama, en el que se aplican todos los procesos y la estructura de la organización.

ISO 9001:2015. ENFOQUE BASADO EN RIESGOS – ISO 31000

En la nueva versión de la Norma ISO 9001:2015 se destaca la intención de enfatizar y guiar el Enfoque basado en Riesgos, introduciendo éste en varias cláusulas como el enfoque a procesos, en el liderazgo y especialmente en la planificación.

Riesgo: efecto de la incertidumbre
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2 a la entrada: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales y consecuencias, o a una combinación de éstos.
Nota 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la probabilidad asociada de que ocurra.
Nota 5 a la entrada: La palabra “riesgo” algunas veces se utiliza cuando sólo existe la posibilidad de consecuencias negativas. 

Norma ISO 9000:2015, Sistemas de gestión de la calidad — Fundamentos y vocabulario, item 3.7.9.

La norma ISO 31000 conforma un marco para la gestión del riesgo aplicable a cualquier tipo de empresa, sin importar su tamaño o sector.

En el artículo ISO 9001:2015. ENFOQUE BASADO EN RIESGOS que hemos publicado en nuestro blog se trata con más detalle este tema en particular.

 

ISO 9001:2015 - ENFOQUE BASADO EN RIESGOS

ISO 9001:2015 – ENFOQUE BASADO EN RIESGOS

 

Contexto de la Organización en ISO 9001:2015

La nueva Norma ISO 9001:2015  introdujo numerosos cambios a los que las organizaciones tendrán que hacer frente en su certificación o transición hacia este estándar. Uno de esos cambios fundamentales que se introduce en la cláusula número 4 es la obligatoriedad de definir el contexto de la organización.

Contexto de la organización: combinación de cuestiones internas y externas que pueden tener un efecto en el enfoque de la organización para el desarrollo y logro de sus objetivos.
Nota 1 a la entrada: Los objetivos de la organización pueden estar relacionados con sus productos y servicios, inversiones y comportamiento hacia sus partes interesadas.
Nota 2 a la entrada: El concepto de contexto de la organización se aplica por igual tanto a organizaciones sin fines de lucro o de servicio público como a aquellas que buscan beneficios con frecuencia.
Nota 3 a la entrada: En inglés, este concepto con frecuencia se denomina mediante otros términos, tales como “entorno empresarial”, “entorno de la organización” o “ecosistema de una organización”.
Nota 4 a la entrada: Entender la infraestructura puede ayudar a definir el contexto de la organización. 

Norma ISO 9000:2015, Sistemas de gestión de la calidad — Fundamentos y vocabulario, item 3.2.2.

En el artículo ISO 9001:2015. CONTEXTO DE LA ORGANIZACIÓN que hemos publicado en nuestro blog se trata con más detalle este tema en particular.

Papel del Responsable del SGC en ISO 9001:2015

Uno de los temas que ha despertado mayor interés entre los cambios de la Norma ISO 9001:2015 es el referido al papel del responsable del Sistema de Gestión de la Calidad, ya que la nueva versión de la norma no incluye requisitos específicos para la figura del representante de la gestión de la calidad, lo que no implica que desaparezca esta figura en una organización, sino que desaparece el concepto de obligatoriedad asociado a este rol, otorgando mayor flexibilidad a esta función.

La principal diferencia de la versión 2015 con respecto a la de 2008, es que ya no es obligatorio asignar esta responsabilidad a un Representante de Dirección, sino que hay mayor libertad por parte de la Alta Dirección para decidir cómo repartir estas funciones.

 

USO DE SOFTWARE PARA SISTEMAS DE GESTION

Para aumentar la probabilidad de implementar de manera exitosa un Sistema de Gestión Ambiental, Gestión de la Calidad, de Salud y Seguridad Ocupacional, Gestión de la Energía, entre otros según estándares internacionales ISO 9001, ISO 14001, ISO 45001, ISO 50001, muchas organizaciones recurren a la automatización de las actividades.

Para ello se requiere utilizar una herramienta tecnológica específicamente diseñada para administrar de manera integrada, ágil y eficaz todos los componentes de un Sistema de Gestión.

SOFTWARE PARA SISTEMAS DE GESTION ISO 9001 - ISO 14001 - ISO 45001 - ISO 50001 width=
El mercado actual presenta una gran variedad de soluciones informáticas, por lo que resulta sumamente importante efectuar una correcta elección, no solo de la herramienta, sino también de su tipo, es decir, diferenciando entre aplicaciones propietarias, desarrollos a medida y software as a service (software en la nube).

Mediante nuestra página web puede acceder a una DEMO GRATUITA DE UN SOFTWARE PARA ISO 9001, ISO 14001, ISO 45001, ISO 50001 que le permitirá evaluar una herramienta de gran utilidad para sistemas de gestión.

Solicite la DEMO en FORMA GRATUITA completando nuestro formulario.
 

Bibliografía:

ISO 9001:2015 – Requisitos para sistemas de gestión de la calidad
ISO 9000:2015 “Sistemas de Gestión de la Calidad. Fundamentos y Vocabulario”
ISO 9004:2009 – Gestión para el éxito sostenido de una organización — Enfoque de gestión de la calidad

 

Transición a la nueva versión ISO 9001:2015

Transición a la nueva versión ISO 9001:2015

A %d blogueros les gusta esto: