El pensamiento basado en el riesgo ha surgido como piedra angular de la gestión moderna de la calidad y se utiliza simultáneamente en la vigilancia del mercado.
Este artículo pretende profundizar en nuestra comprensión de la conexión entre riesgo, calidad y seguridad y explicar su importancia para la gestión de la calidad, la vigilancia del mercado y la infraestructura general de la calidad. Para ello, abordamos el modo en que el pensamiento sobre el riesgo se ha desarrollado y seguirá desarrollándose en el mundo de la calidad.
Interacción entre calidad y riesgo
La relación entre calidad y riesgo es crucial: una mayor calidad suele implicar un menor riesgo, mientras que una mala calidad suele aumentar la probabilidad de resultados adversos.
Por ejemplo, pensemos en dos coches: uno bien mantenido y con dispositivos de seguridad avanzados, y otro con un mantenimiento mínimo y medidas de seguridad básicas. El coche bien mantenido tiene menos probabilidades de averiarse o sufrir accidentes, lo que garantiza un rendimiento y una seguridad fiables. Por el contrario, el coche de menor calidad corre un mayor riesgo de sufrir fallos mecánicos, peligros para la seguridad y problemas de funcionamiento.
En la fabricación, las medidas proactivas de control de calidad, como el mantenimiento rutinario de los equipos y la formación de los empleados, ayudan a minimizar los defectos de los productos y los riesgos asociados. Del mismo modo, en el sector servicios, los mecanismos de control de calidad, como los sistemas de opinión de los clientes, pueden detectar posibles problemas de servicio antes de que se agraven.
Tanto la calidad como la gestión de riesgos se benefician de un enfoque de mejora continua, en el que las evaluaciones de riesgos ayudan a detectar oportunidades de mejora.
Riesgo de producto y oportunidades de mercado
El diagrama resume una concepción más amplia del riesgo relacionado con los productos:
El primer objetivo es identificar y minimizar los riesgos para la seguridad y la salud de trabajadores y consumidores. El Estado tiene un mandato de protección que considera esto a través de la vigilancia del mercado. En principio, los organismos estatales se centran en controlar los riesgos graves.
Debido a la limitación de los recursos públicos, el Estado suele delegar el control de los productos en las empresas que los fabrican o comercializan. En la Unión Europea, los operadores económicos indican que un producto cumple toda la normativa técnica mediante la colocación de la marca CE. Sin embargo, la gestión de riesgos también se extiende a la garantía de calidad. Aquí, la principal preocupación es que el proveedor cumpla las propiedades del producto acordadas contractualmente. La empresa está legalmente protegida frente a la responsabilidad si se basa en normas y servicios acreditados de evaluación de la conformidad.
Otro ámbito de la gestión de riesgos se refiere a los riesgos positivos. Detrás de muchas amenazas, a su vez, se esconden oportunidades de negocio. Sin embargo, para aprovecharlas se necesita una mentalidad diferente. Mientras que la gestión de riesgos tradicional requiere un pensamiento reacio al riesgo, la gestión de oportunidades requiere una actitud más arriesgada. Para ello, puede ser útil involucrar a otro tipo de personas.
Tres tipos de gestión de riesgos
El pensamiento sobre el riesgo puede aplicarse a todos los niveles de la gestión de la calidad:
- En un primer momento, a nivel de productos y servicios, se trata de anticiparse a los posibles acontecimientos que podrían hacer que estos productos y servicios no cumplieran los requisitos de seguridad y calidad definidos en las normas de productos y otras reivindicaciones.
- Los sistemas de control respaldan la seguridad y la calidad de los productos a nivel de proceso. En seguridad alimentaria, el análisis de peligros se lleva a cabo en los puntos críticos de control (sistemas APPCC), y en la fabricación de productos de construcción, el control de producción en fábrica (CPF) garantiza que los productos comercializados tengan unas características de rendimiento homogéneas.
- Por último, la reflexión sobre el riesgo también es pertinente a nivel organizativo. En este caso, se trata de anticipar posibles riesgos de sanciones y de reputación. En última instancia, se trata de la competitividad y la supervivencia a largo plazo de la empresa.
Ciclo de gestión de riesgos
La gestión de riesgos sigue una lógica de proceso que suele presentarse en forma de ciclo:
- El primer paso consiste en identificar los posibles riesgos. Puede tratarse de acontecimientos internos o externos a la empresa. En principio, los riesgos internos suelen ser más fáciles de controlar e influir, mientras que en el caso de los riesgos externos, la empresa tiene que adaptarse a ellos lo mejor posible.
- En el segundo paso, se evalúan los riesgos identificados en cuanto a su probabilidad de ocurrencia y posibles efectos. A continuación, los posibles sucesos pueden ordenarse en una matriz de impacto y probabilidad. Esto, por supuesto, supone que es posible realizar la evaluación correspondiente. Sin embargo, algunos riesgos suelen ser difíciles de evaluar y calificar. Los llamados riesgos salvajes eluden a menudo este enfoque.
- Una vez identificados y evaluados los riesgos, el siguiente paso es tratarlos. En el caso de los riesgos negativos, hay que tomar medidas para mitigarlos. A la inversa, aprovechar las oportunidades identificadas es cuestión de adoptar un enfoque más iterativo y arriesgado. Ambos enfoques pueden combinarse en una gestión integrada de riesgos y oportunidades.
- En última instancia, el objetivo es supervisar e informar continuamente de los riesgos a la dirección. El éxito de la gestión de riesgos es también un proceso continuo.
De este modo, la gestión de riesgos sigue la misma concepción circular que el proceso de mejora continua en la gestión de la calidad.
Gestión de riesgos en las normas de calidad
El riesgo se define como el «efecto de la incertidumbre sobre un resultado esperado».
La revisión de 2015 de la norma ISO 9001 dio más protagonismo al pensamiento basado en el riesgo al sustituir el anterior enfoque de «acción preventiva» por una visión más amplia del riesgo que incluye tanto las amenazas negativas como las oportunidades positivas.
La norma ISO 9001:2015 exige a las organizaciones que aborden los riesgos y las oportunidades de forma sistemática, permitiendo diversas estrategias como la evitación, la reducción y la aceptación de los riesgos sobre la base de una toma de decisiones informada. Sin embargo, la norma no prescribe métodos específicos de gestión de riesgos, animando a las empresas a integrar prácticas de gestión de riesgos en sus iniciativas generales de calidad.
La norma ISO 31000:2018 proporciona orientaciones específicas para la gestión de riesgos. La norma se basa en el modelo descrito del ciclo de gestión de riesgos y enumera diferentes técnicas para las distintas fases. También hace hincapié en la importancia de la comunicación y la consulta de los riesgos.
La norma ISO 31000 se aplica a varios sistemas de gestión de la calidad, como ISO 9001 (calidad), ISO 27001 (seguridad de la información) e ISO 20000 (gestión de servicios de TI). Aunque la ISO 31000 no es certificable, proporciona herramientas valiosas para mejorar el pensamiento basado en el riesgo en diversos campos.
Actualmente se está elaborando una nueva versión de la norma ISO 31000.
Los límites del pensamiento de riesgo
La gestión tradicional del riesgo es más eficaz cuando los riesgos están claramente definidos y pueden calcularse sus probabilidades. Sin embargo, la naturaleza compleja e interconectada de los riesgos modernos desafía a menudo el razonamiento lineal de causa y efecto, y en tales casos los enfoques convencionales de gestión de riesgos pueden quedarse cortos.
Vivimos en un mundo volátil, incierto, complejo y ambiguo, y las empresas se enfrentan cada vez más a riesgos inesperados. Ejemplos de ello son fenómenos meteorológicos extremos como olas de calor, olas de frío, lluvias torrenciales, ciclones tropicales y sequías prolongadas. Otro ejemplo son las consecuencias imprevistas de la introducción de nuevas tecnologías digitales, como la inteligencia artificial, que pueden comprometer la seguridad de los datos y facilitar la ciberdelincuencia y la difusión de noticias falsas.
Una respuesta a estos nuevos fenómenos la ofrece la norma ISO/TS 31050:2023 Gestión de riesgos – Directrices para la gestión de un riesgo emergente con el fin de reforzar la resiliencia. Esta norma tiene por objeto promover la resiliencia de las organizaciones, es decir, permitirles anticiparse, prepararse y responder a los cambios de contexto. La norma ISO 31050 es una herramienta esencial para gestionar eficazmente los riesgos emergentes.
Más allá del cumplimiento: Gestión estratégica de riesgos
La incorporación del pensamiento basado en el riesgo a los sistemas de gestión de la calidad va más allá del cumplimiento de la normativa. Fomenta una cultura de mejora continua, en la que las organizaciones identifican y abordan los riesgos de forma proactiva, les dan prioridad y aprovechan las oportunidades. Este planteamiento estratégico ayuda a las organizaciones a tomar decisiones con conocimiento de causa que impulsan la eficiencia y la competitividad, mejorando el rendimiento y el crecimiento sostenible.
La integración de la gestión de riesgos con las prácticas de calidad ayuda a prevenir resultados adversos al tiempo que apoya las iniciativas de mejora continua. Las organizaciones que adoptan esta mentalidad obtienen una ventaja competitiva en el dinámico entorno empresarial actual, en el que la adaptabilidad y la resistencia son fundamentales.
Un ejemplo complejo: Interrupciones en la cadena de suministro
Pensemos en una empresa que adquiere componentes a múltiples proveedores de todo el mundo. Un conflicto geopolítico en una región podría interrumpir el transporte y retrasar la entrega de piezas críticas. El impacto inmediato puede ser un retraso, pero los efectos en cadena podrían incluir:
- Calidad del producto comprometida: La producción acelerada o el uso de materiales de menor calidad para compensar los retrasos pueden provocar desviaciones de la calidad.
- Mayor riesgo para los proveedores: los proveedores originales pueden tener dificultades para cumplir los nuevos plazos, lo que provocaría más incoherencias.
- Incumplimiento de la normativa: Los materiales sustitutivos podrían no cumplir las normas reglamentarias, lo que daría lugar a responsabilidades legales.
- Insatisfacción del cliente: Los retrasos y los problemas de calidad pueden dañar la confianza de los clientes y afectar a la reputación de la marca.
En este escenario, los efectos en cascada de la perturbación se entrecruzan con varias dimensiones de la calidad, lo que pone de relieve la necesidad de una gestión del riesgo adaptable y consciente del contexto que tenga en cuenta los riesgos interconectados.
Infraestructuras de calidad
Las instituciones de infraestructuras de calidad apoyan el pensamiento basado en el riesgo en organizaciones y contextos económicos. La normalización sienta las bases conceptuales y comunica las mejores prácticas de gestión de riesgos a través de directrices como ISO 31000 e ISO 31050.
Las normas sobre productos son esenciales para identificar riesgos importantes y contienen buenas prácticas para prevenirlos y mitigarlos. Las normas de procesos y sistemas de gestión amplían la gestión de riesgos y, a su vez, contribuyen significativamente a la seguridad y calidad de los productos.
Los servicios de evaluación de la conformidad ayudan a minimizar los riesgos entre operadores económicos mediante pruebas y certificación. La evaluación de la conformidad comienza con la identificación de los requisitos legales y reglamentarios pertinentes para la empresa. Esto incluye directivas, reglamentos y otros requisitos legales de la UE para los productos y procesos de la empresa. Este proceso ayuda a identificar los posibles riesgos de conformidad en una fase temprana.
La evaluación de la conformidad comienza con la identificación de los requisitos legales y reglamentarios pertinentes para la empresa. Esto incluye las directivas y reglamentos de la UE y otros requisitos legales aplicables a los productos y procesos de la empresa. Su fiabilidad se ve reforzada por la acreditación.
La metrología contribuye a la gestión de riesgos en la empresa proporcionando la base para mediciones precisas, datos fiables y decisiones bien fundadas. En la producción, la metrología ayuda a garantizar el cumplimiento de las tolerancias y a minimizar los riesgos de producción. Las mediciones precisas garantizan la calidad y seguridad de los productos, reduciendo el riesgo de retiradas o reclamaciones de responsabilidad. En medicina y farmacia, la precisión de las mediciones es crucial para la seguridad de los pacientes. Los métodos metrológicos ayudan a minimizar los riesgos en la dosificación de medicamentos o en los procedimientos de diagnóstico.
En el futuro, se espera que la integración de la inteligencia artificial y el aprendizaje automático en los procesos metrológicos conduzca a mediciones aún más precisas y eficientes. Esto mejorará aún más la gestión de riesgos al permitir una identificación y evaluación de riesgos aún más precisas.
Desafíos para una infraestructura de calidad en la gestión de riesgos
La función de apoyo de la infraestructura de calidad en la identificación, evaluación y mitigación de los riesgos negativos está bien documentada. En cambio, los servicios de mejora de la calidad han sido hasta ahora poco utilizados o diseñados para apoyar la gestión de las oportunidades por parte de las empresas.
Las normas deben permitir a las empresas buscar con más ahínco y de forma más sistemática las oportunidades que puedan surgir de los cambios en el entorno del mercado o de los puntos fuertes internos. Si las empresas aprendieran a ver nuevas oportunidades de mercado detrás de las amenazas, podrían reforzar su competitividad y obtener mejores resultados en un entorno empresarial dinámico.
Los servicios de evaluación de la conformidad también pueden utilizarse de forma más proactiva. El análisis sistemático de los resultados de las pruebas puede mejorar las características de los productos, incluido su diseño y proceso de fabricación. Del mismo modo, los métodos metrológicos pueden ayudar a las empresas a identificar cambios sutiles y tendencias en procesos y productos en una fase temprana, al proporcionar mediciones precisas. Esto permite a las empresas identificar y aprovechar a tiempo posibles oportunidades.
En definitiva, las aportaciones de la mejora de la calidad a la gestión de riesgos deberían considerarse más detenidamente y utilizarse de forma sistemática.
Referencias:
Adam, Patricia A. (2021). Gestión integrada de riesgos y oportunidades – Aplicación de la cláusula 6.1. HochschuleHannover.
Grupo de Prácticas de Auditoría (2016). Orientación sobre el pensamiento basado en el riesgo. Comité ISO.
Gaucher, Françoise (2017) Francia: La Poste et ISO 31000Estudio de caso.
Goetz, Nadja (2014). La revisión de la norma ISO 9001:2015 no llegará hasta finales de 2026. DQS Global.
Graichen, Frank (2022). Enfoque basado en el riesgo en ISO 9001.DQS Global.
ISO 31000:2018 Gestión de riesgos – Directrices
ISO y ONUDI (2021) ISO 31000:2018 – Gestión de riesgos, Guía práctica, Ginebra
ISO/TS 31050:2023 Gestión de riesgos – Directrices para la gestión de un riesgo emergente para mejorar la resiliencia
Pooley, Tony/ Hogarth, Rob, Bandidos del riesgo (2015): Rescuing Risk Management from Tokenism, Bloomington
