domingo, 7 de septiembre de 2014

Una herramienta para incorporar el análisis de Riesgos y Oportunidades en el proceso de Revisión por la Dirección


No en todas las normas se da la suficiente relevancia al proceso de análisis y gestión de riesgos y oportunidades. Es un punto crítico en normas como la ISO 14001 (gestión medioambiental) o la ISO 27001 (Seguridad de la Información). También lo encontramos en la ISO 20000 (Gestión de Servicios) y en algunas más. Sin embargo, no está presente en la más genérica, la norma ISO 9001, aunque lo estará en la próxima revisión que será publicada en 2015 (ver más adelante).

Esta ausencia tan significativa es consecuencia de la complejidad de implementar este proceso en todos los niveles de la organización. En CMMI, por ejemplo, la gestión de riesgos no se introduce de forma global  hasta el cuarto nivel de madurez de los cinco establecidos.

Por el contrario, muchas organizaciones le restan importancia limitando su alcance a las operaciones (al desarrollo de productos y servicios) y reduciendo la gestión de riesgos a la mera selección de unos cuantos entre los expuestos en listas previamente preparadas y su posterior evaluación en cuanto a probabilidad de ocurrencia y posible impacto.

ANÁLISIS DE RIESGOS EN LA ORGANIZACIÓN

Sin pretenderlo, nos pasamos media vida evaluando riesgos, aceptándolo o tomando acciones para mitigarlos. La incertidumbre siempre está presente en todas nuestras decisiones.

¿Cruzo ahora o espero a que se ponga el semáforo en verde?. Aunque el impacto puede ser terrible, no veo ningún vehículo demasiado cerca  así que no parece probable que pueda sufrir un accidente: me arriesgo. ¿Aprovecho esta oferta para comprar un coche o me muestro prudente para poder afrontar posibles imprevistos?. Seguramente el Euribur bajará y mantendré mi puesto de trabajo, espero incluso una importante revisión salarial: me arriesgo.

El entorno empresarial no es distinto. Cuando se lanza un nuevo proyecto siempre incrementamos el presupuesto en cierta medida para atender posibles contingencias. Al priorizar las tareas en nuestra agenda también evaluamos y asumimos ciertos riesgos. ¿Me centro en aquéllas que sé con seguridad podré concluir con éxito o ataco primero las más complejas?. ¿Qué ocurrirá si fallo?, ¿cómo impactará el error en mis objetivos, en mi carrera profesional?. ¿Acepto gestionar este proyecto aún sabiendo que los recursos disponibles están en el límite?

El análisis se realiza en todos los niveles de la organización. Para establecer el presupuesto anual, la dirección revisa el resultado del año anterior y solicita a las diferentes unidades de negocio y demás departamentos una estimación para el actual. Si la incertidumbre para alcanzar la cifra de negocio esperada u obtener los márgenes deseados es elevada, la organización limitará las inversiones e intentará reducir costes. Por el contrario, si se prevén grandes oportunidades de negocio quizás decida aumentar las inversiones o permitir un mayor nivel de gasto (nuestra subida salarial depende en gran medida de esta decisión).

Es un proceso que comienza desde abajo (bottom-up) mientras se van consolidando las estimaciones proporcionadas por las unidades de negocio y que, luego, es promovido desde la dirección (top-down) al fijar para cada unidad o departamento unos objetivos en función de los planteados globalmente.

REVISIÓN POR LA DIRECCIÓN

La Gestión de la Calidad tampoco es ajena a este proceso. Las acciones preventivas mitigan el riesgo de que se produzcan fallos en los procesos o en la conformidad de los productos desarrollado. A un nivel más alto, fijamos objetivos y planteamos acciones de mejora para aprovechar las oportunidades detectadas. También  identificamos los factores que podrían afectar al sistema en el siguiente periodo.

Es, sin embargo, una aproximación demasiado básica de un análisis de riesgos y oportunidades que deberíamos establecer de forma sistemática en todos los procesos críticos de la organización. Desde abajo, partiendo de la información recopilada sobre el desempeño de estos procesos, previendo posibles cambios y detectando oportunidades. Desde arriba, planteando y promoviendo acciones de mejora específicas para cada uno de ellos.

Anualmente presentamos a la Dirección un detallado informe sobre el desempeño del Sistema de Gestión. Parece un buen momento para consolidar este proceso de análisis de riesgos y oportunidades. Pero, si ya es complicado plantearlo para proyectos o servicios individuales, ¿cómo podremos afrontar este reto para el conjunto de la organización?.

UNA HERRAMIENTA REALMENTE ÚTIL

Los DAFO pueden servirnos de gran ayuda, especialmente para exponer las conclusiones del análisis realizado. El nombre se corresponde con las siglas de Debilidades, Amenazas, Fortalezas y Oportunidades (SWOT en inglés: Strengths, Weaknesses, Opportunities y Threats) aunque, en ocasiones, también se les referencia como FODA, todo depende del orden elegido en la representación.

Los DAFO son, en definitiva, un cuadrante sobre el que se realiza un análisis de riesgos y oportunidades de alto nivel que luego debería ser refinado pues conceptos como el impacto o la probabilidad han sido descartado en aras de la claridad de exposición.

Aplicar esta herramienta en el Sistema de Gestión y, más concretamente, en el Proceso de Revisión por la Dirección es relativamente sencillo. Ofrece un ventaja adicional pues la mayoría de los directivos y jefes de departamento la conocen y no es de todo extraño que la utilicen en sus informes. Facilitamos así su trabajo y podemos presentar los resultados empleando un lenguaje familiar para la dirección.

Conviene comenzar solicitando a los propietarios de cada proceso la identificación de las principales debilidades y fortalezas en su área. A partir de ellas será más sencillo localizar posibles amenazas (riesgos, en definitiva) y oportunidades de mejora. Después deberemos priorizar las amenazas y oportunidades identificadas para, a partir de ellas, establecer los objetivos de mejora de la organización. Estos serán preventivos para evitar alguna amenaza o de mejora para aprovechas las oportunidades detectadas.

Os dejo un ejemplo aplicado al proceso de Formación Interna:

 DebilidadesAmenazas 
  • Disponibilidad de formadores internos
  • Pocas Salas de Formación 
  • Salas de Formación mal equipadas
  • La demanda supera a la oferta, se rechazan un X% de las peticiones
  • Falta de recursos para atender una mayor demanda
  • Falta de formadores en nuevas tecnologías
  • Posibilidad de cancelar acciones formativas por falta de salas o formadores
  • Aumento del personal descontento ante demasiados rechazos
 Fortalezas Oportunidades
  • Buenas valoraciones de los participantes
  • Amplio catálogo de formación
  • Proceso bien establecido
  • Clientes valoran positivamente la formación ofrecida a nuestros equipos

  • Mayor interés incluyendo formación en nuevas tecnologías
  • Clientes ha mostrado interés por algunas acciones formativas
  • Plataformas MOOC para impartir formación Online

Subrayar que, en algunos casos, la amenazas son también oportunidades. El desarrollo de nuevas tecnologías amenaza a un Departamento de Formación incapaz de seguir el ritmo exigido. Pero también le ofrece la oportunidad de ampliar su catálogo con formaciones más demandas y que podrían, incluso, despertar el interés de los clientes.

Por supuesto, tras esta identificación inicial de riesgos será necesario realizar un análisis con mayor detalle y plantear planes de contingencia y planes de mitigación allá donde hayamos detectados niveles de riesgo por encima del Nivel de Seguridad y el Nivel de Aceptable.

Nota: la norma ISO 31000:2009 Técnicas de Evaluación de Riesgos podéis encontrar recomendaciones y algunas herramientas para realizar este análisis aunque, evidentemente, aún no haya sido actualizada. En la misma situación se encuentra la noma ISO 31000 Risk Management. Habrá que seguir atentamente la revisión de ambas

LA NUEVA ISO 9001:2015

El análisis de riesgos y oportunidades cobrará una mayor relevancia en la próxima versión de la norma ISO 9001:2015. Para los curiosos, la palabra "Risk" (Riesgo) aparece en 30 ocasiones en el último borrador, casi siempre asociada con un texto similar al siguiente (compuesto a partir de otros presentes en la cláusula 6.1):

"The organization shall determine the risks and opportunities that need to be addressed to assure that the quality management system can achieve its intended outcome(s) and that the organization can consistently achieve conformity of goods and services and customer satisfaction"

Dejo el texto inglés pues, al disponer tan sólo de un borrador, cualquier traducción puede suponer un riesgo. En cualquier caso, lo intento:

"La organización deberá determinar los riesgos y oportunidades que deben tomarse en consideración para asegurar que el sistema de gestión de calidad podrá alcanzar los resultados pretendidos y que la organización es capaz de conseguir, de forma consistente, la  conformidad en sus productos y servicios y la satisfacción del cliente"

Hay otros dos aspectos que merecen una mención especial:
  • Aunque es necesario identificar los riesgos y tomar acciones, ningún requisito impone el establecimiento formal de una metodología de gestión de riesgos (0.3 d)
  • La organización debe considerar el riesgo en la relación con cada proveedor para determinar el grado y tipo de control necesario (0.3 f)
El primero facilita el proceso de cambio a la nueva norma en organizaciones sin suficiente madurez en este área. Sin embargo, y siempre en mi opinión, este requisito no tardará en aparecer en nuevas revisiones.

El segundo subraya un hecho realmente importante, los controles a los proveedores externos deben establecerse en función del riesgo para el negocio. ¿Realmente necesitamos evaluar y auditar al proveedor de material de oficina?


También puede interesarte:

1 comentario: