6.1 RIESGOS Y OPORTUNIDADES. PARTE 3. ISO 9001:2015

Continuamos con el desarrollo del apartado 6.1 relacionado a los riesgos y oportunidades.

Es el tercer apartado relacionado a los riesgos que presentamos.

En el apartado anterior identificamos la probabilidad y consecuencia de los riesgos.

Los colores representan el nivel de riesgo son los siguientes:

  • Rojo: nivel de riesgo extremo.
  • Naranja: nivel de riesgo alto. 
  • Amarillo: nivel de riesgo moderado.
  • Verde: nivel de riesgo bajo.

En nuestro ejemplo estamos en nivel de riesgo alto.

Este nivel de riesgo está definido como magnitud de un riesgo o en una combinación de riesgo expresada en términos de combinación de consecuencias con la probabilidad.

Tanto el nivel de riesgo como los criterios para determinar la probabilidad y consecuencia representan una metodología que recomiendo.

La norma iso 9001 no determina los criterios para determinar niveles de riesgo y consecuencias, sino determinar un marco para que se adopten metodologías.

Existen diferentes metodologías, sin embargo, todas se enmarcan en determinar probabilidades consecuencias fuentes de riesgos niveles de riesgos.

¿Para qué son los niveles de riesgos?

La primera:

Es para priorizar los riesgos, hemos hablado que los tratamientos de los riesgos requieren recursos por lo que determinar los niveles de riesgos nos permitirán priorizar aquellos de mayor criticidad para la organización.

Si tenemos un conjunto de riesgos lo más recomendable es atender a aquellos que se encuentren en este orden extrema, alta, moderada y baja con esos ya tienen los problemas más críticos para la organización.

La segunda:

El nivel de riesgo facilitará determinar la aceptación del riesgo, es decir determinar qué hacer con los riesgos dependiendo el nivel de riesgo obtenido.

Por ejemplo:

La organización podrá decidir que los riesgos bajos aceptarán tratamientos de compartir financiar o retener, para los riesgos moderados compartir o financiar.

Para los riesgos altos evitar compartido financiar y finalmente para los riesgos extremos la decisión es evitar o compartir estos tratamientos los analizaremos más adelante. 

Tercero:

Que facilitará el monitoreo puesto que se espera que con la realización de tratamientos el riesgo cambie su nivel a un color aceptable.

Se espera que los tratamientos permitan que el nivel de riesgo inicial no sea el mismo que el residual por lo que estos riesgos deberían bajar su probabilidad o su consecuencia y por ende el nivel de riesgo.

Continuemos con la evaluación del riesgo la cual es relacionada por la norma ISO 9001 como el proceso de comparación de los resultados del análisis del riesgo con los criterios del riesgo para determinar el riesgo.

La aceptación del riesgo es definida como la decisión informada tomar el riesgo particular con el tratamiento que se determine existen diferentes tratamientos:

  • Compartir el riesgo forma de tratamiento del riesgo que implica la distribución pactada el riesgo con otras partes 

Por ejemplo, proveedores clientes u otras empresas con las que eventualmente se pueda realizar un convenio entre otras

  • Evitar el riesgo decisión informada de no involucrarse en una actividad o retirarse de ella con el fin de no quedar expuesto a un riesgo particular.
    Básicamente no va a ser la actividad que genera el riesgo para eso también se podría analizar la tecnología utilizada los métodos empleados entre otros.
  • Financiación del riesgo forma de tratamiento del riesgo que implica acuerdos contingentes para la provisión de fondos para satisfacer o modificar las consecuencias financieras.
    Las organizaciones compran pólizas de seguros en algunas actividades para riesgos cuyas consecuencias pueden ser financiados.
  • Retención del riesgo aceptación del beneficio potencial de ganar o perder provenientes de un riesgo particular
    Se acepta el riesgo con algunos controles específicos o sin controles esos riesgos se aceptan generalmente cuando su nivel es bajo es decir color verde.

La gestión sobre los tratamientos puede ser incluidas en una política de administración de riesgos en la cual se determine qué se va a hacer con los riesgos determinados,

Por ejemplo podemos decir:

La organización Banco de la Alegría ABC se encuentra comprometida con la identificación continua de riesgos que afecten el cumplimiento de nuestros objetivos.

Es por eso que los riesgos se revisarán anualmente y se priorizarán en el orden de los niveles de riesgos extremos, altos, moderados y bajos a través de los siguientes tratamientos.

  • Riesgo de nivel extremo pueden ser evitados o compartidos.
  • Riesgos de nivel alto pueden ser evitados compartidos o financiados. 
  • Riesgo de nivel moderado pueden ser financiados o compartidos. 
  • Riesgos de nivel bajo pueden ser compartidos financiados o retenidos. 

Estos cuatro tipos de tratamientos deben ser llevado a cabo dependiendo el nivel de riesgo para esto desarrollaremos el ejemplo del contenido anterior:

Determinaremos la fuente de nuestro riesgo es sobre esta fuente que debemos identificar el tratamiento y este tratamiento debe incluir como mínimo actividades responsables plazos y evidencias con eso se realiza un seguimiento objetivo.

El riesgo de la tardanza en la asignación de créditos a los clientes para determinar la fuente unimos al equipo del trabajo mediante diferentes metodologías de análisis de causas se pueden determinar algunas fuentes como por ejemplo: 

  • Inconsistencia y reiterativas en la documentación presentada por parte de los clientes. 
  • Cantidad excesiva de documentos a revisar que no aportan información de valor.
  • Falta de competencia de las personas que evalúan la asignación de créditos entre otras. 

Por lo que tomaremos estas tres fuentes también es necesario aclarar que un riesgo puede tener una o más fuentes, es sobre estas que realizaremos el tratamiento por lo que podemos documentar para cada riesgo los siguientes ítems.

riesgos y oportunidades

  • Fuente 
  • Riesgo 
  • Actividad 
  • Responsable 
  • Fecha
  • Evidencia 

Esta versión se llama tratamiento definido por ISO 31000 como el proceso para modificar el riesgo. 

     A. Para este riesgo ubicado en un nivel alto podemos compartir su tratamiento con el cliente para la la entrega de un check list para que verifique los documentos antes de presentarlos.

     B. Para la fuente cantidad excesiva de documentos a revisar que no aportan información de valor se puede compartir el riesgo con otros procesos para determinar cuáles documentos aportan valor para ser requeridos con el fin de optimizar nuestro proceso.

     C. Para la fuente falta de competencia de las personas que evalúan la asignación de créditos se compartirá el riesgo con el proceso de gestión del talento humano con el fin de determinar la competencia necesaria el personal para realizar el oportuno análisis de los créditos.

Posteriormente se debe realizar el monitoreo con el fin de verificar que las actividades se ejecutaron de acuerdo a los plazos para esto se ha de analizar la evidencia planificada.

Finalizamos, la gestión de riesgos se realiza para cada uno de los procesos identificados en cuanto a las oportunidades.

Te invitamos a ver el apartado 4.1, explicamos cómo identificarlas y cómo planificar acciones para obtener resultados deseables.

Nos vemos…

avatar-testimonial-courses

Lo Asesoramos desde el primer contacto con la empresa certificadora hasta la entrega del certificado de homologación de proveedores

Gabriela Hinostroza
Gerente Comercial

Mas de 1000
5 estrellas

5-stars-white

Calificado 5/5 por 1,000 Clientes