Como elaborar desde cero

un proceso de
GESTIÓN DE RIESGOS
de acuerdo con la ISO 9001:2015

Blog de LaCalidad
¿QUÉ VA A APRENDER
EN ESTE EBOOK?
IDENTIFICANDO Y DOCUMENTANDO RIESGOS...............................................................................................................................................2

DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS......................................................................................................................................12

ENTENDIENDO LAS ESTRATEGIAS PARA ABORDAR RIESGOS Y OPORTUNIDADES.......................................................................18

MATRIZ DE RIESGOS.......................................................................................................................................................................................................19

ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES.............................................................................................................................21

4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS............................................................................26

COMIENCE DE LA MANERA CORRECTA...............................................................................................................................................................31

LEA TAMBIÉN.................................................................................................................................................................................................................... 32

Blog de LaCalidad
 INTRODUCCIÓN

Con la estandarización de las normas ISO en la estructura de alto nivel del

ANEXO SL, la gestión de riesgos se ha convertido en una actividad básica para
implantar sistemas de gestión. Aunque no es obligatorio hacer un proceso
documentado sobre esto, varios profesionales de la calidad experimentados
están implantando un proceso para así sistematizar actividades preventivas y
poner en la rutina de las personas la mentalidad de riesgo.
Este eBook tiene como objetivo ayudarle a elaborar un proceso de gestión de
riesgos lo suficientemente bueno para comenzar una cultura de pensamiento
basada en riesgos en su organización. Este es uno de los pasos para la
transición de la ISO 9001: 2008 a la ISO 9001: 2015

Blog de LaCalidad 1
IDENTIFICANDO Y
DOCUMENTANDO
RIESGOS

Blog de LaCalidad 2
IDENTIFICANDO Y DOCUMENTANDO RIESGOS

ELIJA UN PROCESO,
PROYECTO O TEMA
Si usted comienza a hablar de riesgos de una manera muy las personas que están involucradas, de alguna forma,
amplia, pensando en todos los procesos y proyectos de la en el asunto que usted eligió, sea en el operativo o
organización al mismo tiempo, todo se tornará estratégico, para discutir los riesgos de este proceso,
desordenado y confuso, usted no podrá pedir ayuda a otras proyecto o tema.
personas, pues ellas también quedarán perdidas y no
podrán contribuir de forma productiva. Entonces, para
facilitar, separe la organización en "pedazos", bien sea por
procesos, proyectos o temas y tenga bien claro lo que usted
necesita hacer: "Vamos a levantar los riesgos del Proceso de
Reclutamiento y Selección ", o vamos a hablar de "Riesgos
de mercado ". Después de eso, programe una reunión con

Blog de LaCalidad 3
IDENTIFICANDO Y DOCUMENTANDO RIESGOS

EJEMPLOS DE EJEMPLOS DE EJEMPLOS DE

PROCESOS PROYECTOS TEMAS

PROCESO DE PLANIFICACIÓN RIESGOS ESTRATÉGICOS Y

TRANSICIÓN DE LA ISO 9001:2015
ESTRATÉGICO DE MERCADO

PROCESO DE ADQUISICIÓN IMPLANTACIÓN DE SOFTWARE

RIESGOS OPERACIONALES
DE CLIENTES PARA CALIDAD

PROCESO DE ATENDIMIENTO AL
WORSHOP ACERCA DE RIESGOS RIESGOS COMPLIANCE
CLIENTE

PROCESOS DE ENTRENAMIENTO Y
IMPLANTAR SGI RIESGOS DE REPUTACIÓN
CAPACITACIÓN

Blog de LaCalidad 4
IDENTIFICANDO Y DOCUMENTANDO RIESGOS

HAGA UNA
LISTA DE RIESGOS
El método más común de levantamiento de riesgos es el brainstorm
(tormenta de ideas), pero para que ese método sea realmente
efectivo, es necesario preparar al equipo para esa reunión. Levante
los datos sobre los resultados de las Auditorías Internas y Externas,
Encuentas de Satisfacción internas y / o externas, Análisis críticos de
la dirección, Planificación estratégica y otras fuentes que sean
necesarias para que usted aproveche al máximo de la experiencia de
su equipo en el asunto y fomente la mentalidad de riesgos. Envíe
esos datos con antelación a los participantes estén conscientes y
presenten los mismos datos al inicio de la reunión como contenido
introductorio.

Blog de LaCalidad 5
IDENTIFICANDO Y DOCUMENTANDO RIESGOS

IDENTIFICAR AMENAZAS
Reúna a todas las personas que están
involucradas con el proceso, el proyecto o el tema
elegido en una sala de reunión y pregunte: "¿Qué
es lo que puede salir mal en ese proceso? ". Haga
una lista con todas las sugerencias. Un listado
simple de todo lo fue dicho, sin hacer filtros o
juicios, este no es momento para eso. Pero busque
entender los riesgos discutidos, para que no
queden dudas. Algunos riesgos operacionales, es
decir, relacionados con la operación de los
procesos, son muy comunes, como: Pérdida de
clientes, el desperdicio, la reducción de ingresos, la
pérdida de personal, en fin.
Blog de LaCalidad 6
IDENTIFICANDO Y DOCUMENTANDO RIESGOS

IDENTIFICAR OPORTUNIDADES
Exactamente como fue hecho anteriormente,
coordine una reunión sobre el mismo
procedimiento en otro día y pregunte: "¿Qué podría
traer un resultado más allá de lo esperado en este No identifique oportunidades en la

proceso? ". Si hablamos de un proceso de misma reunión que determino las

producción, por ejemplo, podríamos decir que, si amenazas, sobre todo por las

tenemos determinada certificación, podríamos predisposiciones mentales de las

ganar una licitación o vender para otros países. personas que ya están condicionadas

Podríamos tener la oportunidad de llegar al soñado a pensar cosas negativas, esto

0 defectos, o terminar la producción 30% más puede hacer que la identificación

rápido de lo normal. En fin, recolecte las ideas sin de oportunidades no sea tan

filtros o juicios, así como se hacen en el productiva.

levantamiento de las amenazas.

Blog de LaCalidad 7
IDENTIFICANDO Y DOCUMENTANDO RIESGOS
HÁGA UN FILTRO
He filtrado la lista del brainstorm y todavía tengo 47
riesgos relevantes para monitorear, ¿y ahora? ¿Necesito
terminar con todo? No necesariamente. Usted tendrá
que establecer algunos criterios para identificar lo que
necesitará ser monitoreado.
Involucre a la Directiva en esa decisión y déjele
bien claro que ese filtro es a lo que usted
necesita hacerle seguir para alcanzar sus
objetivos y no otra cosa sobre lo que usted
necesita actuar.
Muy Alto
Alto
Medio
Bajo
Piense que si usted tiene un riesgo como "caer un meteoro
en la empresa" usted puede elegir seguir o no. Eliminar lo que
usted no quiera en el radio de preocupación de su
organización, considerando que debe tener total coherencia
con la estrategia de la empresa. Limitar su campo de
preocupación ayuda a enfocarse, después de todo, ¿usted
quiere que su equipo invierta energía preocupándose por un
"meteoro que pueda caer en la empresa" o con la posibilidad
de que un ¿"producto salga defectuoso de la línea de
producción "?
Blog de LaCalidad 8
IDENTIFICANDO Y DOCUMENTANDO RIESGOS

DEFINA LOS RESPONSABLES

Normalmente, tomaríamos ese paso como una cosa obvia y sin

mucho énfasis, pero resolví separar ese ítem que puede hacer una
total diferencia en la efectividad del tratamiento de un riesgo. No
coloque a "cualquier" responsable, sólo por asignar a alguien.
Defina una persona que sea capaz de hacer un análisis de ese
problema, pero no sólo operacionalmente hablando, sino un
análisis un poco más sistémico. Si es posible, involucre a más
personas para apoyar a los responsables, porque es importante
que este proceso se haga como el análisis de causa de una no
conformidad: Con más de una persona, con diferentes visiones
sobre el mismo proceso.

Blog de LaCalidad 9
IDENTIFICANDO Y DOCUMENTANDO RIESGOS

USE CATEGORIAS Y CLASIFICACIONES

Agrupe los riesgos por categorías y clasificaciones, para facilitar

la recolección de información, para generar informes y actuar
sobre los riesgos. Por ejemplo, si estamos en el proceso de
salud ocupacional podríamos hablar de riesgos ergonómicos,
físicos, químicos, biológicos, entre otros. Es interesante
categorizar los riesgos en relación con sus causas, como "ruido",
"temperatura", "Comportamiento". Esto no es una regla, y la
mayoría de las personas, en un primer momento, no lo hacen,
pero en algunos casos, ayuda mucho en la toma de decisiones
y presentación de resultados.

Blog de LaCalidad 10
IDENTIFICANDO Y DOCUMENTANDO RIESGOS

DESCRIBA LA UBICACIÓN DEL RIESGO

La ubicación del riesgo es diferente de un departamento o

espacio físico, ya que es más específico. Mientras el
departamento habla de "Producción", la ubicación del riesgo
puede ser la "máquina X"; mientras que el espacio físico puede

!
ser "la cocina" el lugar de riesgo puede ser "La estufa", y así
sucesivamente. Esto hace que la información se vea clara
mejorando la comunicación y el análisis del riesgo.

Blog de LaCalidad 11
 DEFINIENDO CRITERIOS
PARA ANALIZAR RIESGOS

Blog de LaCalidad 12
DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS

El principio del análisis de un riesgo es la identificación de la

probabilidad con que puede suceder y el impacto que él
tendrá si llega a suceder. Estos dos criterios determinarán la
prioridad a ser dada para ese riesgo, que puede ser
acompañada por la posición de ese riesgo en la Matriz de
Riesgo, por ejemplo.
¿Pero un impacto del 20% de retraso en el cronograma del
proyecto es considerado un impacto alto o medio? Eso
dependerá de la organización y el proceso, proyecto o tema en
cuestión, entonces definir criterios para el análisis de riesgos
ayudará a crear un entorno consenso a la hora de gestionar un
riesgo.

Blog de LaCalidad 13
DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS

PROBALIDAD Frecuencia
de riesgo
Clasificación Definición

10% Muy Bajo Nunca ocurrió

La probabilidad evalúa cuán posible es que 30% Bajo Ocurre por lo menos 1 vez por año

ese riesgo suceda. Generalmente está Ocurre más de 1 vez por año
50% Medio y menos de 1 vez por mes
relacionada con la frecuencia de un
70% Alto Ocurre mensualmente
determinado riesgo, según la tabla a
90% Muy Alto Ocurre Semanalmente
siguiente:

De acuerdo con este modelo, debe crear los criterios que

son adecuados para su realidad, pero siempre pensando
en criterios que se utilizarán para analizar los riesgos que
usted levantó. Para evaluar esta probabilidad, puede
utilizar el historial de eventos, es decir, identificar si el
riesgo ya ha ocurrido y cuántas veces ha ocurrido.

Blog de LaCalidad 14
DEFINIENDO CRITERIOS PARA ANALIZAR RIESGOS

IMPACTO Severidade
Definición
del Riesgo

Muy Bajo Los riesgos poseen daños poco significativos.

El impacto está relacionado con la
afectación a la empresa si se produce el
Bajo
riesgo. Esta evaluación es más cualitativa,
Medio
pero es importante definir criterios para que
todos sólo usen una norma para evaluar los Alto
Los riesgos poseen daños reversibles a corto y
mediano plazo con costos pocos significativos.
Los riesgos poseen daños reversibles a corto y
medio plazo con costos bajos.
Los riesgos poseen daños reversibles a corto y
mediano plazo pero costos altos.

impactos, según el modelo a seguir: Los riesgos poseen daños irreversibles o

Muy Alto
Con costos económicamente inviables.

Para hacer esta evaluación de impacto, es muy común tener en cuenta las consecuencias
económico-financiera (flujo de caja, rentabilidad, gastos, desperdicios) y estratégico-operacionales (viabilidad
de ejecución, alcance de objetivos, participación en el mercado). Pero cuando no es posible cuantificar, el
análisis se convierte solamente cualitativo, por lo tanto, es bueno tener más de 2 o 3 personas para discutir
este criterio, si es posible, de diferentes departamentos.
Blog de LaCalidad 15
ENTENDIENDO LAS ESTRATÉGIAS
PARA ABORDAR RIESGOS

Blog de LaCalidad 16
ENTENDIENDO LAS ESTRATÉGIASPARA ABORDAR RIESGOS
Después de definir la probabilidad y el impacto del
riesgo, necesitamos decidir qué estrategia
adoptaremos para ese riesgo, es decir, hacer un plan
de respuesta al riesgo. Es básicamente identificar
cuál es la postura que tendremos ante la ocurrencia
de un riesgo. Existen riesgos que conviene disminuir,
prevenirlo eliminar, otros pueden transferir o aceptar.
Por ejemplo, el riesgo de que el producto salga
defectuoso de la línea de producción "es un riesgo
que conviene trabajar para disminuir, pero un riesgo
como el de "Ocurrir un incendio", tal vez pueda ser
tercerizado al contratar a una aseguradora.
No sólo esos, sino riesgos como "caer el internet",
"falta de energía eléctrica ", entre otros, todos van a
depender de la visión de su empresa, de lo que
deciden importante. Para una empresa de
tecnología, por ejemplo, quedarse sin internet puede
generar un caos, pero para una obra en la
construcción civil, ese puede ser un riesgo que no
interfiere en el producto. Pero recuerde, es bueno
mantener el registro de los riesgos aceptados,
transferidos, o cualquier otro que esté siendo
trabajado, eso documenta una información ya
discutida y decidida.
Blog de LaCalidad 17
Estrategias para Estrategias para
abordar las amenazas abordar oportunidades

Prevenir, eliminar o evitar Explorar o perseguir:

Significa eliminar la causa de ese riesgo. Es un Consiste en abrazar la oportunidad hasta el punto de hacerla

enfoque más radical, por ejemplo, cuando una suceder. Es mucho más radical que mejorarlo, pues, en vez de

empresa coloca una página en Facebook, ella corre el tomar algunas acciones sólo, el explorar puede hacer que esa

riesgo de tener reclamos de clientes en la página. Si oportunidad sea parte de la estrategia y utilizar todos los

yo asumo que la postura de eliminar ese riesgo, yo no métodos para que suceda. Un ejemplo podría ser "batir la meta

colocaré una página en Facebook. de ventas en la primera quincena del mes", entonces, usted va a

hacer todas las acciones posibles para alcanzar esa

oportunidad.

Mitigar o reducir Mejorar:

Es cuando usted trabaja para reducir la probabilidad Significa que usted hará acciones para estar más cerca de

o impacto de ese riesgo. Es una estrategia que no aquella oportunidad. Por ejemplo, si usted quiere ganar una

elimina el riesgo, pero actúa para que sea más difícil licitación y hay un requisito que es "Tener la ISO 9001: 2015", al

que el riesgo se produzca, o, si ocurre, tenga el menor comenzar el proceso de implantación, usted está aumentando

impacto para la empresa. En el ejemplo del riesgo de sus posibilidades de ganar la licitación. Está relacionado con

"un producto defectuoso que llegue al cliente", la aumentar la probabilidad de que suceda.

acción de hacer una auditoría de los productos antes

de ser entregados a los clientes es una acción de

mitigación.

Transferir o Tercerizar (Subcontratar): Compartir:

Significa que usted colocará el riesgo bajo la Esta posición significa que usted transferirá total o

responsabilidad de un tercero. Un ejemplo clásico de parcialmente una oportunidad para un tercero que tiene

eso es cuando usted contrata una mayor capacidad de hacerlo. Un buen ejemplo de

aseguradora. Aunque este riesgo ocurra, la compartir las oportunidades son las joint ventures.

consecuencia de ese riesgo será asumida por la

aseguradora, y no por su empresa.

ACEPTAR
El "aceptar" aparece tanto en riesgos positivos (lo que llamamos oportunidades en la ISO 9001: 2015) como en los negativos. Es la decisión de

no tomar acciones preventivas para disminuir (para riesgos negativos) ni aumentar (para riesgos positivos) la probabilidad de ocurrencia del

evento.

La aceptación, puede ser activa o pasiva. Activa cuando se toman precauciones construyendo un plan de contingencia (Página 25) o

definiendo barreras. Pasiva cuando no se planea ninguna acción hasta que ocurra el riesgo.

Blog de LaCalidad 18
MATRIZ DE RIESGOS

Blog de LaCalidad 19
MATRIZ DE RIESGOS

La matriz de riesgos, también conocida como matriz de probabilidad e impacto, es una herramienta visual que
muestra el nivel de criticidad de un riesgo de acuerdo con su probabilidad e impacto. Es decir, al ver una matriz de
riesgo, usted puede apreciar cuales son riesgos que tienen más probabilidad e impacto de suceder, facilitando la
toma de decisiones para asignar el orden de prioridad y ayudar en la sensibilización de los involucrados.

Punto crítico,
Planee acciones para
implemente acciones
oportunidades
inmediatamente!
Punto de atención,
Centre su mirada en
estos riesgos. Cree una rutina de
Amenazas Oportunidad
inspección

90
Probabilidad

70

50

30

10
Haga análisis Cuando fuese de bajo
Muy Muy Muy Muy impacto, olvídelo. Si
periódicos y maneje por Bajo Medio Alto Alto Medio Bajo
procedimento de rutina Bajo Alto Alto Bajo fuese de alto impacto
actué sobre ellos

Blog de LaCalidad 20
ACCIONES PARA TRATAR RIESGOS
Y OPORTUNIDADES

Blog de LaCalidad 21
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

Después de analizar el riesgo, usted habrá

determinado el nivel de criticidad y definido
la postura que va a adoptar en relación a él.
Ahora ha llegado el momento de actuar
sobre los riesgos, y usted puede hacerlo a
través de Planes de acción, no
conformidades o planes de contingencia.

Blog de LaCalidad 22
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

PLANES DE ACCIÓN

Los planes de acciones y proyectos serán abiertos cuando

usted está actuando para disminuir la probabilidad o el
impacto de un riesgo, es decir, estarán relacionados con
la actitud que usted asumió ante el riesgo. Cuando yo
defino que tendré la estrategia para mitigar un riesgo,
por ejemplo, formalizo un plan de acción que puede
surtir un efecto de mitigación sobre ese riesgo.

Riesgo Producto con defecto

Estrategia Mitigar / Reducir

Plan de acción Inspección de productos antes de la entrega

Blog de LaCalidad 23
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES

NO CONFORMIDADES

Si usted eligió supervisar el riesgo de "producto que llega

al destino defectuoso" y un cliente se llama a la empresa
diciendo que ha recibido un producto con defectos,
significa que el riesgo tuvo una incidencia, es decir,

En este caso, como todo reclamo del cliente y

problemas de procesos, la incidencia debe ser tratada
como no conformidad.

Blog de LaCalidad 24
ACCIONES PARA TRATAR RIESGOS Y OPORTUNIDADES
PLANES DE CONTINGENCIA
Un plan de contingencia son un conjunto de acciones
definidas para se ejecuten en caso de producirse un
riesgo. El plan de la contingencia es accionado por algo,
que puede ser un número o una evidencia de que el
riesgo ha tenido incidencia. Por ejemplo: Si el nivel del
agua de un depósito es superior a 10 metros, se deben
abrir las compuertas. Es muy parecido a la acción
inmediata que estamos acostumbrados en el
tratamiento de las no conformidades, pero el plan de
contingencia, generalmente, ya tiene responsables
definidos y una estructura bien clara que se
documentada en el riesgo.
Podemos entender el plan de contingencia como un
proceso Plan B, recordando que podemos tener un Plan C,
D, E, F y cuantos sean necesarios para cada riesgo. Los
planes de contingencia se definen independientemente
de la estrategia adoptada, es decir, no importa si usted va
mitigar, aceptar, o transferir un riesgo, se puede tener se
registrará lo que se hará si el riesgo ocurre.
Sin embargo, sólo son obligatorios cuando usted asume la
estrategia de aceptar activamente un riesgo.
Blog de LaCalidad 25
 4 ERRORES COMUNES
QUE USTED DEBE EVITAR
EN LA GESTIÓN DE RIESGOS

Blog de LaCalidad 26
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

DEFINA OS RESPONSÁVEIS
NO DEFINIR UNA
RUTINA DE ANALISIS
Los riesgos no deben ser subestimados, entonces si hoy tenemos
un evento que representa el 30% de probabilidades de que
acontezca puede ser del 70% mañana. No hay manera de saberlo
si no está siguiendo el riesgo con una cierta frecuencia, por lo que
es necesario que el análisis entre en su rutina y en la rutina de las
personas, dejando de ser algo que se hace "cuando sobra un
tiempo". La buena práctica es siempre definir la fecha de próximo
análisis del riesgo.

Blog de LaCalidad 27
 DEFINA OS RESPONSÁVEIS
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

DEJAR DE DOCUMENTAR
LAS INCIDENCIAS
No documentar incidencias puede interferir directamente en su
análisis, así como no documentar una no conformidad, porque
distorsionará lo que está sucediendo en su empresa.

Blog de LaCalidad 28
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

DEFINA OS RESPONSÁVEIS
EVITAR RIESGOS EN LUGAR
DE GERENCIARLOS
Una cultura de mentalidad de riesgo es reconocida por la
frecuencia con que se hacen las preguntas de prevención (como el
famoso y “¿si eso sucediera?”), ella no debe de ninguna manera,
descartar las ideas para no correr riesgos. Toda acción implica riesgo, y
aunque no haga nada, también estará expuesto a riesgos.
Por lo tanto, no sea el asesino de nuevas ideas tampoco influencie a
otras personas a serlo, ¿ok?

Blog de LaCalidad 29
4 ERRORES COMUNES QUE USTED DEBE EVITAR EN LA GESTIÓN DE RIESGOS

DEFINA OS RESPONSÁVEIS
PENSAR SOLAMENTE EN LA
IMPLATACIÓN DE PROCESO
Es importante recordar que la ISO 9001: 2015 enfatiza la creación
de una cultura con pensamiento basado en riesgo, y no sólo en un
proceso que se ejecute. Por supuesto, a través de un proceso es
más simple involucrar a las personas y demostrar el resultado de
la acción, pero es fundamental dar la debida importancia a la
comunicación y la implicación de los colaboradores, para que la
mentalidad de riesgos esté siempre presente en la organización.

Blog de LaCalidad 30
COMIENCE DE LA MANERA CORRECTA
Un software que ayudara a su SGC a tener un
proceso de gestión de riesgos correcto, ágil y sin hojas de cálculo

Registro de incidentes Prioridad, análisis Atribución de Matriz de Riesgoss

y tratamiento responsabilidades

Documente todas las Dele prioridad y trabaje
ocurrencias de los riesgos en los riesgos que
y utilice esa información demanden más
en los próximos análisis atención y tratamiento
más complejo
Informe el responsable Acompañe visualmente
al registrar un grupo la probabilidad y el
para que no queden impacto de los riesgos
sin tratamiento

Solicite una presentación de Forlogic Risks

con ejemplos de su empresa
Forlogic

Risks Quiero conocer Risks

Blog de LaCalidad 31
LEA TAMBIÉN
Listamos algunos textos del BLOG DE LA CALIDAD que
pueden ayudarle a entender más sobre gestión de riesgos

Diferencia entre Riesgos Gestión de riesgos para líderes que

y Peligros no saben lo que son riesgos

Lea ahora Lea ahora

Gestión de Riesgos: Utilizando

la estrategia de ACEPTAR sin ser
irresponsable

Lea ahora

Blog de LaCalidad 32
DEFINA OS RESPONSÁVEIS

BlogdeLaCalidad
.com