Documentos para la Gestión de riesgos.
¿Qué información documentada debemos generar para poder realizar correctamente una gestión de riesgos de los procesos de la empresa? En la siguiente publicación os mostraré algunos formatos, para daros una idea de cómo lo podéis realizar.
Como os he comentado varias veces, tanto la metodología a seguir como los formatos que os facilito, son para guiaros de cómo podríais documentar este requisito de la norma. existen numerosos procedimientos que podéis seguir, yo he seleccionado este por su sencillez y fácil comprensión.
En artículos anteriores os detallé, una posible metodología y sistemática para la elaboración del procedimiento de gestión de riesgos para cumplir con los requisitos de la norma ISO 9001:2015.
Primero de todo, se debe realizar un registro de riesgos de los procesos, algunos vienen directos de los propios procesos, otros de la operatividad de la empresa, otros derivados del análisis del contexto de la organización (matriz DAFO). Un posible formato sería el siguiente:
Para no crear más documentos que los necesarios, podemos aprovechar el anterior registro, para colocar la puntuación / clasificación del riesgo que hemos evaluado para cada aspecto identificado.
Una vez identificados todos los riesgos se procede a la evaluación de riesgos, en los que debemos utilizar el formato de documento que sea coherente con el procedimiento redactado, en nuestro ejemplo, el documento podría tener la siguiente forma:
Identificación del aspecto: ROTACIÓN DEL PERSONAL: Personal con experiencia abandona el proyecto antes que finalice
(1)*R= Probabilidad*Impacto (2)*RM es la media ponderada de los diferentes valores individuales R
Riesgo 1-3 se corresponde con riesgo bajo (Riesgo de tipo D)
Riesgo 4-8 se corresponde con riesgo medio (Riesgo de tipo C)
Riesgo 9-14 se corresponde con riesgo alto (Riesgo de tipo B)
Riesgo 15-25 se corresponde con riesgo muy alto (Riesgo de tipo A)
Nota: todos los bloques anteriores, es importante que estén en una única página, ya que de esta manera es más visible la ficha y la evaluación de cada aspecto. Podríamos reorganizarlo de este modo:
Para analizar los datos obtenidos, es importante realizar un plan de contingencias, es decir, con los resultados obtenidos, qué debemos hacer y y cómo debemos tratar cada riesgo. Como he comentado antes, con la finalidad de minimizar los documentos, se puede aprovechar el registro de riesgos anteriormente expuesto, añadiendo columnas a la derecha estableciendo las medidas a tomar para cada uno de los aspectos evaluados. Independientemente del plan de contingencias, se deberá definir en el procedimiento de gestión de riesgos, la definición de la clasificación y su significado, en nuestro ejemplo, yo lo he definido con este criterio:
A – Riesgo intolerable: el riesgo requiere de una acción inmediata, el coste no debe ser una limitación y el no hacer nada no es una opción aceptable. Un riesgo de tipo A representa una situación de emergencia y deben establecerse controles temporales inmediatos. La mitigación debe hacerse por medio de controles de ingeniería y/o por factores humanos hasta reducirlos a un tipo C o preferentemente de tipo D en un periodo de tiempo inferior a 90 días.
B – Riesgo indeseable: el riesgo debe ser reducido y hay margen para investigar y analizar con más detalle. No obstante la acción correctiva debe darse en los primeros 90 días. Si la situación se demora más tiempo deben establecerse controles temporales inmediatos para reducir el riesgo.
C – Riesgo aceptable con controles: el riesgo es significativo pero se pueden acompañar las acciones correctivas con el paro de las instalaciones programadas. Los medios de solución para atender los hallazgos deben darse en los próximos 18 meses. La mitigación debe enfocarse en la disciplina operativa y en la confiabilidad de los sistemas de protección.
D – Riesgo razonablemente aceptable: el riesgo requiere de acción pero es de bajo impacto y puede programarse su atención y reducción conjuntamente con otras mejoras operativas.
Por lo tanto, si establecéis estos criterios, deberéis realizar el plan de contingencias coherente a los plazos y la importancia establecidos en el procedimiento.
Finalmente, recomiendo realizar un informe anual, con el análisis de la gestión de riesgos de la empresa, y después hacer referencia en el acta de la Revisión del sistema, de las conclusiones de este informe. También tenéis otra opción, y es incorporar en el mismo acta de la revisión del sistema, el informe completo derivado de la gestión de riesgos de la empresa.
Plan de contingencia
Con esta publicación cierro la serie de artículos dedicados al nuevo concepto de la Gestión de Riesgos que expone como requisito la nueva actualización de la norma ISO 9001. Todas las empresas que ya estén certificadas en ISO 9001 como aquellas que quieran certificarse deberán incorporar en su sistema de gestión de calidad una metodología en materia de evaluación de riesgos asociada a la gestión de los procesos de la empresa.
Como os he mencionado con anterioridad, existen numerosas estrategias y mecanismos reconocidos para la evaluación de ellas, todas muy válidas. Para ayudaros a establecer una metodología sólida, consistente y sencilla, he escogido una, que para mí, cumple con todas las anteriores características y que paso a paso os he introducido en las anteriores publicaciones, basándome en la norma ISO 31000.
Las diferentes fases del procedimiento de gestión de riesgos son:
a) Comunicación y consulta
b) Establecimiento del contexto
c) Valoración del riesgo
d) Identificación del riesgo
e) Análisis del riesgo
f) Evaluación del riesgo
g) Tratamiento del riesgo
h) Monitoreo y revisión
Cada uno de los apartados anteriores está detallado y descrito en las siguientes publicaciones:
– Nuevo requisito ISO 9001:2015: evaluación del riesgo
– Gestión del riesgo según ISO 9001:2015
– Análisis del riesgo
– Evaluación del riesgo
Siguiendo las pautas de los anteriores artículos podéis elaborar vuestro procedimiento de evaluación de riesgos según la norma ISO 9001:2015.
El último punto, e importante es:
¿Qué es el Monitoreo y revisión (que se corresponde al punto 5.6 de la norma ISO 31000)? ¿Qué requisitos se deben cumplir según la norma ISO 9001:2015?
Se debe planificar, verificar y vigilar tanto el monitoreo como la re-edición, debe ser una parte planificada del proceso para la gestión del riesgo.
Se realizará en la reunión anual de evaluación de riesgos, o bien en el caso que sea necesario debido a la detección de un riesgo grave que no esté registrado.
La Dirección tiene la responsabilidad del monitoreo y la revisión.
Los procesos de monitoreo y revisión deben comprender todos los aspectos del proceso para la gestión del riesgo con el fin de:
– Garantizar que los controles son eficaces y eficientes tanto en el diseño como en la operación.
– Obtener información adicional para mejorar la valoración del riesgo.
– Analizar y aprender lecciones a partir de los eventos (incluyendo los accidentes), los cambios, las tendencias, los éxitos y los fracasos.
– Detectar cambios en el contexto externo e interno, incluyendo los cambios en los criterios del riesgo y en el riesgo mismo que puedan exigir revisión de los tratamientos del riesgo y las prioridades.
– Identificar los riesgos emergentes. El avance en la implementación de los planes para tratamiento del riesgo suministra una medida de desempeño. Los resultados se pueden incorporar en las actividades globales de gestión del desempeño, medición y reporte externo e interno de la organización.
Para poder evidenciar la realización del monitoreo y revisión de la gestión de riesgos realizada, se realizará un acta de reunión anual, donde se incorporarán el análisis de la gestión, así como la totalidad de la información documentada realizada.
¿Qué información documentada es necesaria para realizar una buena gestión de riesgos?
La información documentada que genera este procedimiento es:
– Ficha de evaluación de riesgos individual
– Registro de evaluación de riesgos de calidad y evaluación final de los riesgos para cada aspecto.
– Formato de acta de reunión anual de riesgos
– Plan de contingencia[:en]Documents for Risk Management.
What information we generate documented to allow for proper risk management processes of the company? In the next post I will show some formats, to give you an idea of how you can perform.
As I have mentioned several times, both the methodology to follow as you facilitated the formats that are to guide how could you document this requirement of the standard. there are numerous procedures that can follow, I selected this for its simplicity and easy comprehension.
In previous articles I detail a possible methodology and systematic procedure for the preparation of risk management to meet the requirements of ISO 9001: 2015.
First of all, you must perform a risk register process, some come direct from the processes themselves, others in the operation of the company, other derivatives of the context analysis of the organization (SWOT matrix). A possible format is as follows:
Not to create more documents than necessary, we can use the previous record, to set the score / classification of risk we have evaluated for each aspect identified.
Having identified all the risks proceed to the risk assessment, which must use the document format that is consistent with the written procedure, in our example, the document could be as follows:
Identification of appearance: STAFF ROTATION: Experienced staff leaves the project before the end
(1) * R = Probability * Impact (2) * RM is the weighted average of the different individual values R
Risk 1-3 corresponds to low risk (risk of type D)
4-8 risk corresponds with average risk (risk of type C)
Risk 9-14 corresponds to high risk (risk of type B)
15-25 risk corresponds to very high risk (risk of type A)
Note: All the above blocks, it is important that they are on a single page, because in this way is more visible the record and evaluation of each aspect. We could reorganize in this way:
To analyze the data, it is important to make a contingency plan, ie with the results, and what should we do and how we should treat each risk. As I said before, in order to minimize the documents, you can take the risk register above, adding columns to the right setting measures to be taken for each of the aspects evaluated. Regardless of the contingency plan, it must be defined in the risk management process, the definition of the classification and its meaning, in our example, I have defined this criterion:
A – Intolerable Risk: The risk requires immediate action, the cost should not be a limitation and doing nothing is not an acceptable option. A rate risk represents an emergency and immediate temporary controls should be established. Mitigation should be through engineering controls and / or human factors to reduce them to a type C or type D preferably over a period of time less than 90 days.
B – undesirable risk: the risk must be reduced and there is scope to research and analyze in more detail. However the corrective action should be in the first 90 days. If the situation longer you delay immediate temporary controls must be established to reduce risk.
C – Acceptable Risk controls: the risk is significant but can be accompanied corrective actions to stop scheduled installations. Media solution to address the findings should occur in the next 18 months. Mitigation should focus on operational discipline and reliability of protection systems.
D – reasonably acceptable risk: The risk requires action but is low impact and can be programmed their attention and reduction in conjunction with other operational improvements.
Therefore, if you establish these criteria, you will have to make the plan consistent deadlines contingencies and importance for the proceedings.
Finally, I recommend an annual report with the analysis of risk management of the company, and then reference in the minutes of the System Review of the conclusions of this report. You also have another option, and is incorporated into the same record of the review of the system, the full report based on the risk management of the company.
Contingency Planning.
With this publication I close the series of articles devoted to the new concept of Risk Management which sets out a requirement for new update of ISO 9001. All companies that are already certified ISO 9001 as those seeking certification should incorporate into your system quality management methodology on risk assessment associated with the management of business processes.
As I have mentioned earlier, there are numerous strategies and recognized for the evaluation of these mechanisms, all very valid. To help you establish a solid, consistent and simple methodology, I have chosen one for me, meets all the above features and step by step I have introduced in the above publications, based on the ISO 31000 standard.
The different phases of the risk management process are:
a) Communication and consultation
b) Establish the context
c) Risk assessment
d) Risk identification
e) Risk analysis
f) Risk assessment
g) Risk treatment
h) Monitoring and review
Each of the above sections is detailed and described in the following publications:
– New requirement ISO 9001: 2015: risk assessment
– Risk management according to ISO 9001: 2015
– Risk analysis
– Risk assessment
Following the guidelines of the above items you can prepare your risk assessment procedure according to ISO 9001: 2015.
The last point is important:
What is Monitoring and review (which corresponds to section 5.6 of the ISO 31000 standard)? What requirements must be met according to ISO 9001: 2015?
Should be planned, verify and monitor both monitoring and re-editing, you must be a planned part of the process for risk management.
It will be held at the annual meeting risk assessment, or if necessary due to the detection of a serious risk that is not registered.
The Directorate is responsible for the monitoring and review.
Process monitoring and review should cover all aspects of the process for risk management in order to:
– Ensure that the controls are effective and efficient in both design and operation.
– Additional information to improve risk assessment.
– Analyze and learn lessons from the events (including accidents), changes, trends, successes and failures.
– Detect changes in the external and internal context, including changes in the criteria of risk and the risk itself that may require revision of risk treatments and priorities.
– Identify emerging risks. Progress in the implementation of risk treatment plans provides a performance measure. The results can be incorporated into the global activities of performance management, internal and external measurement and reporting of the organization.
In order to demonstrate the performance monitoring and review of risk management conducted, a record annual meeting, where management analysis will be incorporated, as well as all of the documented information made will be made.
What documented information is necessary to make a good risk management?
Documented information generated by this procedure is:
– Sheet individual risk assessment
– Record quality risk assessment and final risk assessment for each aspect.
– Format minutes of annual meeting risk[:]