Hasta ahora, no sé qué fue lo que estaba mal en el típico proceso de gestión de riesgos, lo que motivó a la gente de ISO a presentar este nuevo término (Risk Based Thinking).
Sin embargo, en este artículo, voy a mostrar una manera comprobada y fácil de crear un modelo de pensamiento basado en el riesgo basado en las cláusulas ISO 9001: 2015.
Pero antes de profundizar en los detalles, me gustaría compartir una breve historia con usted …
Haz esto y obtendrás resultados pésimos. La última vez que mi amigo celebró una reunión para identificar los riesgos con sus compañeros de trabajo; Obtuvo resultados inesperados y desagradables. La reunión terminó con más confusión y no pudo lograr los resultados de la reunión.
Fue la primera reunión con los departamentos principales en su organización después de la formación de transición a QMS ISO 9001: 2015. Pidió a todos que pensaran en los riesgos que podrían encontrar en su trabajo.
¡Decenas de respuestas negativas, consecuencias y malos eventos empezaron a fluir mientras que nadie mencionaba riesgos o oportunidades al alza! Trató de mostrarles que el término riesgo incluye tanto riesgos al alza (oportunidades) como riesgos a la baja (amenazas). Algunos están convencidos, otros rechazaron la idea, y el resto fueron confundidos.
¿Puedes averiguar por qué sucedió esto ?!
No los preparó para la etapa más fácil pero la más importante en el proceso de gestión de riesgos: «La etapa de definición o el establecimiento del contexto»
A pesar de la formación de su gente asistió a la nueva QMS ISO 9001: 2015, pero su mente sigue conectado con la definición del laico de riesgo. Pregúntele a cualquier persona si le gustaría tener un riesgo para él / ella y obtendrá respuestas «No» todo el tiempo.
Es importante aclarar la definición de riesgo para evitar la confusión entre los equipos que tratan de manejar sus riesgos.
No puedo enfatizar más esto, uno de sus desafíos como profesional de calidad es instalar e inculcar la definición técnica en la mente de su gente antes de seguir adelante, para no confrontar los mismos resultados de mi amigo.
En este artículo voy a mostrar cómo crear un modelo de pensamiento basado en el riesgo para su implementación ISO 9001: 2015. Además de, voy a ofrecerle 25 técnicas y herramientas para identificar y analizar adecuadamente los riesgos al alza y en la baja. Para hacerlo, cuatro cosas que voy a compartir con ustedes, Hoy:
- ¿Cómo va el pensamiento basado en el riesgo y la auditoría basada en el riesgo?
- ¿Cómo cambiar la mentalidad de su gente para adoptar la definición técnica de riesgo?
- 6 preguntas universales para formular su modelo de pensamiento basado en el riesgo
- El Toolkit del Pensador Basado en el Riesgo.
Pensamiento basado en el riesgo y auditoría basada en el riesgo
Uno de los beneficios de las auditorías basadas en el riesgo que se habían introducido desde 2011 es desbloquear los riesgos ocultos que no pudieron ser identificados por la propia organización y el monitoreo de los tratamientos de riesgo actuales.
Pero el auditor puede no identificar el riesgo significativo, o puede identificar un riesgo que no es importante, porque la evaluación del auditor depende principalmente de las muestras, por lo tanto, eso implicaría un riesgo de muestreo.
La nueva ISO 9001: 2015 incorporó el sistema de gestión de la calidad al principio, durante la fase de planificación, de manera que todos los riesgos y oportunidades asociados con el contexto y los objetivos de la organización se identifican, analizan, tratan y monitorean.
El auditor interno o externo no es el único responsable de esto, sino el liderazgo de la organización y todos los propietarios del proceso también.
Así es como la auditoría basada en el riesgo y el pensamiento basado en el riesgo van de la mano, y he dedicado el resto del artículo a mostrar cómo hacerlo sin ser abrumado por la jerga de gestión de riesgos.
el nuevo paradigma
La historia que he presentado anteriormente puede suceder simplemente dentro de sus salas, por lo que tiene que preludio el término de riesgo a su gente de una manera que no los confunda.
¿Pero, cómo puedes hacer eso?
¿Cómo llevar a su gente desde donde están (la definición de riesgo del laico) en este momento a un nuevo modelo mental, un paradigma diferente y una forma diferente de pensar sobre el riesgo?
Usted puede hacer que al permitirles reconocer que tanto las amenazas y las oportunidades son igualmente importantes para el éxito de su negocio, y para que quede claro en su mente, usted tiene que presentarles las dos fallas.
Hay dos fallas iguales que deben evitarse:
- La amenaza ocurrió y podría haberse mitigado o evitado.
- Oportunidad perdida y que podría haber sido aprovechada o explotada.
«El temor al daño debe ser proporcional no sólo a la gravedad del daño, sino también a la probabilidad del evento». Antoine Arnauld (1612-1694)
«La emoción que siente un jugador al hacer una apuesta es igual a la cantidad que podría ganar veces la probabilidad de ganarla». Blaise Pascal (1623-1662)
Lea las dos citas de nuevo con la reflexión, que intencionalmente los trajo aquí …. ¿Cuáles son sus implicaciones?
El teólogo y filósofo Arnauld y su amigo Pascal, el desarrollador de la teoría de la probabilidad, habían enmarcado el riesgo a la baja y Riesgo al alza en estas dos cotizaciones hace muchos años. Estas citas revelan que la idea de tratar amenazas y oportunidades no es nueva, ya que estaba siendo abordada por dos de los primeros pensadores en el campo de la gestión de riesgos. Si todavía tiene dudas, o no está convencido, lo he explicado en Mi artículo anterior con una encuesta realizada.
De hecho, todo el Método Socrático se basa en que el maestro no hace nada más que hacer preguntas, dirigir el enfoque del estudiante y hacer que ellos presenten sus propias respuestas.
«El que hace preguntas no puede evitar las respuestas» Proverbio Cameron Si eres un Propietario de negocio o un alto ejecutivo y no puede permitirse el gran presupuesto del proceso de gestión de riesgos, tomó tiempo para los talleres de riesgo, la creación de registros de riesgo y los informes, a continuación, actualizar todo eso consistentemente. Y te gustaría ser más delgado que eso, Especialmente no hay marco formal ni documentos requeridos por ISO 9001: 2015! Hay seis preguntas universales, cualquier pensador basado en el riesgo (por ejemplo, gerente de riesgo, especialista de la calidad, o un ejecutivo) podría preguntarse a sí mismo oa sí mismo
Tabla 1: Las seis preguntas y su referencia en ISO 9001: 2015
Utilizar estas preguntas sencillas como marco para gestionar los riesgos en las PYMES le hará evitar el uso del riesgo Jerga de la gerencia.
Por lo tanto, su gente puede entender fácilmente lo que está pidiendo a ellos, y no se va a sentir abrumado. Sin embargo, estas preguntas se podrían utilizar en cualquier tamaño del negocio sin importar su industry.Here es una extremidad práctica importante que quisiera compartir con usted. No trate todos sus procesos como iguales. Por supuesto, hay algunos procesos son más críticos que otros, algunas actividades tienen mayor impacto que otros, y algunas tareas tienen consecuencias más probables que otras.
Por lo tanto, puede profundizar con más investigación en cada etapa de la gestión de riesgos y hacer preguntas ¿como que? ¿Cuando? ¿Dónde? Y ¿Por qué? ¡Usted es el que decidirá si bucear o simplemente nadar! Pero para ayudarle en esta decisión, considere los siguientes tres elementos … Tres elementos principales que usted tiene que considerar si desea ir más allá de estas preguntas (como la adopción de ISO 31000 como guía), a menos que este marco satisfaga sus necesidades.
Los tres elementos son:
- El tamaño de su organización y su contexto,
- La complejidad de sus procesos,
- Las competencias de las personas que están haciendo el trabajo.
Pero las grandes corporaciones tendrán que entrar en un proceso detallado de gestión de riesgos para cubrir todas sus necesidades internas Y los principales riesgos externos. Por lo tanto, pueden contratar a gerentes de riesgo a tiempo completo, el uso de software de gestión de riesgos especializados y crear informes detallados de riesgo.
Por otro lado, las PYMES pueden dirigir una reunión para averiguar las respuestas de estas preguntas y luego hacerlo en intervalos específicos, Para revisar las acciones tomadas y compartir las lecciones aprendidas. Estos intervalos podrían abarcar, pero no limitarse a, controles diarios de rutina, autoevaluaciones (auditorías internas), revisiones de gestión y evaluación de proveedores. Todos estos son también llamados auditorías de rendimiento o Auditorías Basadas en Riesgo.
Al mismo tiempo, Usted no está violando el típico proceso de gestión de riesgos, pero siguiéndolo con menos formalidad. En este artículo y el anterior, traté de Hacer que el plazo de riesgo claro para usted, entonces le mostré cómo desarrollar un modelo de pensamiento basado en el riesgo para que pueda abordar los riesgos y oportunidades en su organization.I también no se olvide de proporcionarle las técnicas y herramientas para apoyar su gestión de riesgos programa.
[:en]
So far, I don’t know what was wrong with the typical risk management process, that motivated the ISO folks to come up with this brand new term (Risk Based Thinking).
However, in this article, I’m going to show you a proven and easy way to create a Risk Based Thinking Model based on ISO 9001:2015 clauses.
But before delving into the details, I’d like to share a quick story with you …
Do this and you will get lousy results. The last time my friend held a meeting to identify risks with his coworkers; he got unexpected and unpleasant results. The meeting ended up with more confusion and he couldn’t achieve the meeting’s outcomes.
It was the first meeting with the head departments in his organization after the transition training to QMS ISO 9001:2015. He asked everyone to brainstorm the risks that they might encounter in their work.
Tens of negative responses, consequences and bad events started to flow while no one mentioned any upside risks or opportunities! He tried to show them that the term risk includes both upside risks (opportunities) and downside risks (threats). Some are convinced, others refused the idea, and the rest were confused.
Can you figure out Why did this happen?!
He didn’t prepare them for the easiest but the most important stage in the risk management process: “The Definition Stage or Establishing the Context”
Despite the training your people attended about the new QMS ISO 9001:2015, but their mind still wired with the layman’s definition of risk. Ask anyone if he would like to have a risk happen for him/her and you will get “No” responses all the time.
It’s important to be clear about the definition of risk to avoid confusion among teams trying to manage their risks.
I can’t emphasize this more, one of your challenges as a quality professional is to install and instill the technical definition in your people’s mind before moving on, to not confront the same results of my friend.
In this article I’m going to show you how to create a Risk Based Thinking Model for your ISO 9001:2015 implementation. In addition to, I’m going to provide you with 25 techniques and tools to properly identify and analyze upside and downside risks. To do so, four things I’m going to share with you, Today:
- How Risk Based Thinking and Risk Based Auditing will go together?
- How to shift your people’s mind to adopt the technical definition of risk?
- 6 universal questions to formulate your Risk Based Thinking Model
- The Risk Based Thinker’s Toolkit.
Risk Based Thinking and Risk Based Auditing
One of the benefits of risk based audits that had been introduced since 2011 is to unlock the hidden risks that couldn’t be identified by the organization itself and monitoring of the current risk treatments.
But the auditor may fail to identify significant risk, or may identify a risk that is not important, because the auditor’s evaluation mainly depends on samples, therefore that would involve a sampling risk.
The new ISO 9001:2015 incorporated Risk Based Thinking to the quality management system in the very beginning, during the planning stage, so all risks and opportunities associated with the organization’s context and objectives are identified, analyzed, treated and monitored a head of time.
The internal or external auditor is not solely responsible for this anymore, but the organization leadership and every process owner too.
This is how Risk Based Auditing and Risk Based Thinking will go hand in hand, and I’ve devoted the rest of the article to show how to do this without being overwhelmed by the risk management jargon.
Rewire The New Paradigm
The story that I’ve introduced earlier can simply happen inside your halls, so you have to prelude the risk term to your people in a manner that doesn’t confuse them.
But, how can you do that?
How to take your people from where they’re (the layman’s definition of risk) right now to a new mental model, different paradigm, and different way of thinking about risk?
You can do that by letting them recognize that both threats and opportunities are equally important to their business success, and to make that crystal clear in their mind, you have to introduce to them the two failings.
There’re two equal failings should be avoided:
- Threat occurred and could have been mitigated or avoided.
- Opportunity missed and could have been seized or exploited.
“Fear of harm ought to be proportional not merely to the gravity of harm, but also to the probability of the event.”Antoine Arnauld (1612-1694)
“The excitement that a gambler feels when making a bet is equal to the amount he might win times the probability of winning it.” Blaise Pascal (1623-1662)
Read the two quotes again with pondering, I intentionally brought them here …. What are their implications?
The theologian and philosopher Arnauld and his friend Pascal, the developer of the theory of probability, they had framed the downside risk and upside risk in these two quotes many years ago. These quotes reveal that the idea of treating threats and opportunities the same is not new, since it was being addressed by two of the earliest thinkers in the field of risk management.
If you still have doubts, or not convinced, I have explained this in my previous article with a conducted survey. You can pause, and go read it from here.
Now you’re ready to approach the risk definition, so let’s dive into the details …
The Socratic Method and The Six Universal Questions
A quality leader should realize the incredible power of questions and how it could shape people’s thoughts and let them learn virtually anything. In fact the entire Socratic Method is based on the teacher is doing nothing but asking questions, directing the student’s focus and getting them to come up with their own answers.
“He who asks questions cannot avoid the answers” Cameron Proverb
If you’re a business owner or a senior executive and can’t afford the huge budget of the risk management process, taken time for risk workshops, creating risk registers and reports, then update all of that consistently.
And you’d like to be leaner than that, especially there’s no formal framework or even documents required by ISO 9001:2015! which sounds so dumb!
Then, you can use the questioning approach to manage risks smoothly and effectively.
There’re six universal questions, any risk based thinker (e.g., risk manager, quality specialist, or an executive) could ask himself/herself or among teams These questions are universal because they follow the typical risk management process (see Table 1)
Table 1: The six questions and its reference in ISO 9001:2015
Using these simple questions as a framework for managing risks in SME’s will make you avoid using Risk Management Jargon. So, your people can easily understand what are you asking them, and they’re not going to feel overwhelmed. However, these questions could be used at any size of business regardless its industry.
Here’s an important practical tip I’d like to share with you. Don’t treat all your processes as the same. Of course, there’re some processes are more critical than others, some activities have greater impact than others, and some tasks have more probable consequences than others.
So, you can go deeper with more investigation in every stage of risk management and ask questions like: How? When? Where? and Why?
You’re the one who will decide whether to dive or just swim! But to help you in this decision, consider the following three elements….
Three main elements you have to consider if you want to go beyond these questions (such as adopting ISO 31000 as a guidance), unless this framework satisfies your needs. The three elements are:
- The size of your organization and its context,
- The complexity of your processes,
- The competencies of the people who’re doing the job.
But large corporations will need to go into a detailed risk management process to cover all their internal and external major risks. So, they might hire full time risk managers, use specialized risk management software, and create detailed risk reports.
On the other hand, SME’s can run a meeting to figure out the answers of these questions, then doing this in specific intervals or so, to review taken actions, and share the lessons learned.
These intervals could encompass but not limited to day to day routine checks, self assessments (internal audits), management reviews, and vendor assessment. All of these are also called performance audits or Risk Based Audits.
In the same time, You’re not violating the typical risk management process, but following it with less formality.
What’s Next!
In this article and my previous one, I tried to make the term risk clear for you, then I showed you how to develop a Risk Based Thinking Model so you can address risks and opportunities in your organization.
I also didn’t forget to supply you with the techniques and tools to support your risk management program. Here’s the Risk Based Thinker’s Toolkit, you can FREE download it from here, and it provides you with:
- 8 risk identification techniques,
- 5 opportunity analysis techniques and methods,
- 3 threat analysis techniques and methods,
- 9 techniques for both threats and opportunities.
Now, I want you to do two things. First, let me know how did you find this article helpful for you? Second, what is the ONE thing that you still struggling with in your transition?