Análisis de Riesgos ISO 9001

El análisis de riesgos ISO 9001 es una de las mayores novedades que ha

incorporado la nueva versión de la norma. El análisis de riesgos ISO 9001 es
considerado uno de los pasos más importantes para la identificación de los
posibles problemas que podrían surgir en la organización, también conocidos
como riesgos. Servirá como herramienta de decisión para hacer frente a dichos
riesgos. La evaluación y análisis de riesgos ISO 9001 son utilizados actualmente
por muchas empresas especialmente en el proceso de diseño del producto.

Un método usado comúnmente de identificación y análisis de riesgos ISO

9001 es el Análisis de Modos de Fallo y Efectos (FMEA) que se realiza durante
el diseño de un producto o proceso. La idea de esta evaluación es identificar
todos los posibles problemas que podrían surgir en el producto o proceso, identificar
la criticidad global del riesgo y decidir qué hacer al respecto. Esto suena bastante
simple, pero puede presentar desafíos.

Análisis de Modos de Fallo y Efectos (FMEA)

Podemos establecer cuatro pasos básicos en el proceso de FMEA:

IDENTIFICAR LOS RIESGOS

Esto se hace a menudo como una lluvia de ideas con gente con conocimientos de
diferentes áreas de la organización. En este paso, se enumeran todos los posibles
problemas que pueden surgir en el producto o el uso del proceso. Por ejemplo, el
proceso para usar un martillo tiene el riesgo de que el mango se puede romper, una
astilla de metal puede romper la cabeza del martillo, la cabeza puede volar fuera del
mango, etc.

DETERMINAR LA FORMA CRÍTICA CADA RIESGO

Esto se realiza mediante la evaluación del riesgo en relación a un conjunto de

factores y la clasificación que, frecuentemente, es en una escala del 1 al 10. Los
factores, a menudo, son algo así como probabilidad de ocurrencia, gravedad de
 ocurrencia y posibilidad de detección de ocurrencia. Por lo tanto, los tres riesgos
anteriores podrían tener probabilidad, gravedad, y los números de detección de:

 Mango roto. 2 – madera utilizada, 9 – inutilizable, 8 – puede tener pequeñas grietas

no detectadas.

 Astilla de metal. 2 – acero templado usado, 7 – si las gafas de seguridad están

gastadas y el martillo es aún utilizable, 6 – puede ser difícil de detectar.

 Que la cabeza pierda el control. 4 – puede suceder si la madera se contrae, 9 –

peligroso y el martillo queda inservible, 1 – se detecta con facilidad.

CLASIFICAR LOS RIESGOS

Los riesgos se clasifican para ver que son aceptables y que son inaceptables. Con
el sistema de numeración anterior, los tres números se multiplican para obtener un
valor de riesgo, mientras que otros sistemas de tablas pueden ser utilizados para
comparar los resultados. Por lo tanto, para nuestro ejemplo, los números de riesgo
son:

 Mango roto: 144.

 Astilla de metal: 84.

 Que la cabeza pierda el control: 36.

Por lo tanto, a pesar de que la opción de que la cabeza del martillo pierda el control
y salga volando es la más peligrosa, esta es fácil de detectar, por lo que el resultado
corresponde al número más bajo.

DETERMINAR LAS ACCIONES

Por último, una vez que se entiendan los riesgos de mejor manera, se puede
determinar qué se va a hacer. Esto puede ser cualquier cosa, desde la adopción de
medidas para reducir o eliminar los riesgos, como por ejemplo un programa de
mantenimiento para controlar el desgaste del martillo y los problemas que pueden
causar, hasta no hacer nada porque la probabilidad de que el riesgo ocurra es muy
baja y será arreglado fácilmente si se produce. Es importante recordar que no todos
los análisis de riesgos deben dar lugar a acciones de reducción de riesgos.
 ¿Cuáles son los beneficios y las críticas del FMEA?

Los beneficios del FMEA son simples. Es fácil de usar, una vez comprendido da
resultados que son fáciles de determinar y, por lo tanto, proporciona un marco para
asignar recursos a la reducción del riesgo. El proceso de FMEA es también
ampliamente utilizado porque si la organización pertenece a una industria
donde este método es usado entonces no habrá necesidad de explicar lo que
se ha hecho.

Por otro lado, hay algunas críticas al proceso del FMEA. La mayor crítica es que se
supone que cada uno de los tres factores es igualmente importante y, si no,
otorgarles una misma clasificación numérica y multiplicarlos entre sí es una
suposición errónea.

Los riesgos deben ser comprendidos en su plenitud, y para que esto suceda
debemos realizar una descripción detallada y clara. El objetivo es conseguir una
comprensión del riesgo sencilla y que todas las personas involucradas lo entiendan
y puedan así plantear acciones de tratamiento.

Un ejemplo de lista de elementos descriptivos que podemos usar, es la que sigue:

 Nombre del riesgo.

Será la identificación del riesgo que propongamos.

 Alcance del riesgo.

Corresponde al ámbito del riesgo, a las especificaciones de los posibles

acontecimientos, su tamaño e impacto…

 Naturaleza del riesgo.

Esta información atañe a la clasificación del riesgo, escala de tiempo del potencial
impacto, la descripción del peligro, oportunidades…

 Las partes interesadas.

 Aquí se incluyen los involucrados y afectados, tanto de un modo externo como
interno, sus necesidades probablemente afectadas y sus expectativas.

 Evaluación de riesgos.

Probabilidad y magnitud de los hechos y las posibles consecuencias o impactos

provocados por la materialización del riesgo.

 Experiencias anteriores.

Son experiencias anteriores de incidentes ocurridos o pérdidas relacionadas con los

hechos del riesgo.

 Tolerancia al riesgo.

Esta información puede corresponder a:

o Pérdida potencial e impactos financieros del riesgo.

o Objetivo del control o gestión del riesgo y nivel deseado de rendimiento.

o Riesgo, tolerancia o límites del riesgo.

 Respuesta a los riesgos o el tratamiento.

Se debe incluir aquí información ligada a:

o Mecanismos o actividades existentes para realizar un control o mecanismos

posibles.

o Nivel de confianza para cada uno de los controles existentes.

 Oportunidades para mejorar por el riesgo.

La información a detallar en este punto de la lista es:

o Mejorar o modificar la relación coste – efectividad por tratar el riesgo en cuestión.

o Recomendaciones y plazos de ejecución.

 Estrategia y políticas.
 Por último, en el apartado de estrategias y políticas se debe incluir información
relativa a:

o Responsabilidades de la estrategia de desarrollo relacionada con los hechos del

riesgo.

o La responsabilidad de cumplimiento de los controles de la gestión del riesgo.

Quizás a la hora de identificar el riesgo, ya sea en el seno del Sistema de Gestión

de la Calidad ISO9001 o en cualquier otro ámbito, podamos detallar el tipo de
riesgo de que se trate. Aunque para ello deberíamos basarnos en alguna
metodología de clasificación, a continuación proponemos una, en la que se
distinguen riesgos del entorno, riesgos generados en la empresa y riesgos
empresariales.

Riesgos del entorno.

La importancia de esta tipología de riesgos radica en el país donde se ubica la

organización, la región y la ciudad, la naturaleza de la empresa, el sector donde
opera, las condiciones políticas, sociales y culturales a las que está expuesta…

De acuerdo a esto se pueden presentar riesgos como:

 Riesgos ligados a la naturaleza, relativos a la meteorología y el clima.

 Riesgos ligados al país.

Riesgos generados en la empresa.

En la empresa se puede originar una serie de riesgos que van a afectar a los
procesos, a los recursos, ya sean humanos, tecnológicos, físicos, financieros…, a
los clientes, incluso a la imagen de la empresa. En relación a esto podemos
encontrar riesgos como:

 Riesgos de reputación.

 Riesgos especulativos.

 Riesgos operativos.
 Riesgos estratégicos.

 Riesgos de mercado.

 Riesgos de crédito.

 Riesgos legales.

 Riesgos físicos.

 Riesgos tecnológicos.

Riesgo empresarial.

El riesgo empresarial es definido como un fenómeno del proceso de toma de

decisión, que puede verse desde un punto de vista objetivo al igual que desde un
punto de vista subjetivo, y que puede ocasionar efectos negativos en los objetivos
de la organización. Así, este tipo de riesgos se presentan como un fenómeno
complejo, siendo de carácter objetivo a la vez que subjetivo y que incluye:

 La situación de incertidumbre.

 El acto de toma de decisiones.

 La experiencia de haber tenido pérdidas o fracasos como consecuencia de haber

tomado la alternativa incorrecta.