Las organizaciones deben adoptar una metodología de análisis de riesgos conforme a la normativa ISO 9001. No es solo una obligación normativa, sino también la manera más adecuada de identificar riesgos y tomar decisiones sobre su gestión o eliminación.
Esta metodología tiene como objetivo detectar posibles problemas que podrían surgir durante la producción de un producto o la ejecución de un proceso específico. Esto permite priorizar los riesgos y tomar medidas preventivas correspondientes.
El punto de partida es la selección de una metodología de análisis de riesgos según la ISO 9001. Aunque existen varias herramientas disponibles, una de las más ampliamente reconocidas y eficientes es el Análisis de Modos de Falla y Efecto (FMEA). En este sentido, nos enfocaremos en esta metodología.
Análisis FMEA como metodología para el análisis de riesgos según ISO 9001
El Análisis de Modos de Falla y Efectos (FMEA) no se limita únicamente a ser una metodología para el análisis de riesgos según la norma ISO 9001. Su alcance es mucho más amplio, ya que se utiliza desde la gestión general de riesgos hasta la identificación de riesgos en áreas tan específicas como la seguridad de la información, entre otras.
Este modelo se centra en la posibilidad de que un proceso falle y considera tres elementos fundamentales: efecto, causa y detección. El efecto es la consecuencia del fallo que puede impactar al cliente, la causa es la razón detrás de la falla, y la detección se refiere a los métodos utilizados en el proceso para prevenir los fallos.
El objetivo principal del FMEA es identificar, definir y describir un incumplimiento o una no conformidad generada por un proceso, al mismo tiempo que busca identificar y describir sus causas y efectos.
De manera general, se distinguen dos tipos de análisis FMEA:
- FMEA de producto: se enfoca en las fallas que pueden ocurrir durante la fabricación de un producto, desde las etapas iniciales de sus especificaciones.
- FMEA de proceso: trata las fallas asociadas a un proceso, ya sea durante la fase de planificación o ejecución.
La implementación del análisis FMEA como parte de la metodología para el análisis de riesgos según la ISO 9001 puede resultar algo compleja. Por este motivo, hoy nos enfocaremos en los cuatro pasos fundamentales necesarios para llevar a cabo un análisis FMEA:
Paso 1: Identificar los riesgos
Igual que otras metodologías de análisis de riesgos bajo la normativa ISO 9001, iniciar con una sesión de lluvia de ideas junto a los responsables de procesos en áreas críticas suele ser un excelente punto de partida para identificar riesgos. Además, entrevistas, encuestas, foros o discusiones también pueden aportar información inicial relevante.
La persona a cargo de elaborar el análisis FMEA puede obtener información valiosa de diversas fuentes, como informes de incidentes, multas o sanciones, alertas emitidas por entidades gubernamentales o informes de compañías aseguradoras, entre otros recursos disponibles.
Paso 2: Determinar el nivel de criticidad tras el análisis de riesgos
Durante esta fase, podemos aprovechar otra herramienta importante: la matriz de riesgos.
En una matriz de riesgos, asignamos valores numéricos, típicamente en una escala del 1 al 10, a aspectos como la gravedad del daño, la probabilidad de ocurrencia y la capacidad de detección. Con una simple operación matemática, podemos determinar un nivel de criticidad para cada riesgo identificado.
Paso 3: Clasificación tras el análisis de riesgos
Disponemos de información adecuada para clasificar los riesgos en dos grupos iniciales: aquellos aceptables y los inaceptables. Un riesgo se considera inaceptable cuando tiene una alta probabilidad de ocurrir y genera un impacto negativo significativo. Por el contrario, un riesgo con bajo impacto y una probabilidad mínima es considerado como tolerable.
Paso 4: Determinar las acciones necesarias
Una vez que hemos identificado, evaluado la criticidad y clasificado los riesgos, podemos determinar las medidas preventivas a adoptar. Algunos riesgos podrán ser eliminados, mientras que otros requerirán acciones para mitigar su impacto. Aquellos que debamos tolerar podrían ser compartidos o reubicados.
El análisis FMEA, la matriz de riesgos y otras metodologías para el análisis de riesgos bajo la normativa ISO 9001 nos proporcionan datos basados en cálculos matemáticos. Sin embargo, en ocasiones, el sentido común puede señalar alternativas que también deben ser consideradas. Por lo tanto, estas evaluaciones no son definitivas.
Por ejemplo, el análisis FMEA puede indicar que el riesgo de que las instalaciones sufran un impacto de rayo durante una tormenta eléctrica es bajo. Aunque el impacto sería significativo, la probabilidad de que ocurra es mínima y la detección es difícil. Por ende, este riesgo podría ser catalogado como tolerable, pero una acción simple como instalar un pararrayos podría eliminarlo por completo.
En resumen, emplear una metodología para el análisis de riesgos conforme a la ISO 9001 o cualquier herramienta dedicada a la evaluación de riesgos es una práctica sólida. No obstante, es esencial no descartar el sentido común, ya que siempre nos guiará hacia decisiones acertadas.
Fuente: https://www.nueva-iso-9001-2015.com/2023/11/analisis-de-riesgos-segun-la-iso-90012015/