La norma ISO 9001, la más extendida en todo el mundo, incluye en su nueva versión de 2015 el concepto de «enfoque basado en el riesgo». Los cambios en esta norma afectarán a más de 1.500 organizaciones en Asturias. En esta entrevista, Vicente Córdoba, Consultor, Auditor y Formador independiente de Sistemas de Gestión de la Calidad y Control Interno, nos ayuda a comprender el alcance de estos cambios.
C.A.C. Cuando hablamos de gestión ¿Qué es el riesgo? ¿A qué riesgos se enfrenta cualquier organización?
Riesgo es el efecto de la incertidumbre en el logro de los objetivos. Así dicho puede parecer algo extraño o sofisticado pero, por el contrario, el riesgo está continuamente presente en nuestras vidas.
Por ejemplo, si uno de tus objetivos es hacer un viaje a Londres, te enfrentas a diversos riesgos que irás solventando: no encontrar billete de vuelo para la fecha elegida, no llegar a tiempo al aeropuerto o que tu salud no te permita emprender el viaje. Gestionar con éxito estos riesgos significa: reservar el billete lo antes posible, no ir justo de tiempo al aeropuerto y no cenar en exceso la noche anterior.
Igualmente, las organizaciones se enfrentan a múltiples riesgos, externos e internos. Externos como fenómenos medioambientales, políticos, sociales o económicos; internos como errores operativos, decisiones equivocadas o comportamientos inadecuados. Aunque no todos los riesgos son negativos o producen una pérdida, sino que pueden ofrecer oportunidades que hay que saber aprovechar.
C.A.C. ¿El riesgo se puede gestionar?
Claro que sí; lo hacemos habitualmente de forma inconsciente, aunque, para evitar lamentables olvidos, errores o sorpresas, es mucho mejor y más rentable hacerlo de forma consciente y sistemática; además ¡es bueno para la salud!
De gestionar riesgos saben mucho las compañías aseguradoras; ya desde el siglo XIV se tiene constancia de pólizas de seguros para transporte marítimo, en las que se aseguraba la mercancía contra naufragios y ataques piratas.
Existen diversas metodologías, las más extendidas son ISO 31000:2009 y el Marco Integrado para la gestión de riesgos corporativos COSO 2004. Ambas ofrecen métodos para que gestionar los riesgos sea una actividad muy rentable para el presente y el futuro de las organizaciones.
C.A.C. ¿En qué consiste el «enfoque basado en el riesgo» de la nueva ISO 9001:2015?
Digamos que supone tener en cuenta los riesgos en el ámbito de la organización para planificar nuestro sistema de gestión. Es una muy buena noticia, porque reubica a la Calidad en el lugar de donde nunca debió salir: la prevención. Hubiera sido mucho más claro hablar de gestión de riesgos en vez de este confuso «enfoque basado en el riesgo».
En mi faceta de auditor de sistemas de gestión de la calidad me he encontrado habitualmente con dos asuntos que las empresas intentan eludir: el diseño y las acciones preventivas, cuando, en realidad ¡son la esencia de la calidad!
El riesgo es la razón de ser de las acciones preventivas, al igual que la no-conformidad es la razón de ser de las acciones correctivas.
C.A.C. ¿Están las pymes y micro-pymes preparadas para adaptarse a este reto?
Gestionar los riesgos no es cuestión de tamaño, sino de nivel de riesgo, es decir, de los posibles impactos si lo hacemos mal: accidentes, intoxicaciones, pérdidas económicas, etc.
Gestionar los riesgos es fácil si se sabe cómo y, como antes decía, muy rentable; no hace falta adquirir costosos activos ni realizar cambios traumáticos.
Para pymes y micro-pymes es tan fácil o tan difícil gestionar los riesgos como para grandes organizaciones, todo depende de la decisión y el compromiso de la dirección.