El tránsito de la versión 2008 a la 2015, ha demandado de que los que estamos en este negocio, desde la capacitación, pasando por la consultoría hasta la auditoría, tenemos que estar actualizados.
Grandes dolores de cabeza, incontables horas de insomnio, de llegadas a las 7 y salidas a las 11 de la noche en el mejor de los casos, fines de semana completos. Esto y más ha sido a lo que se han enfrentado muchas organizaciones que ven ya encima la fecha de transición de sus sistemas de gestión de la calidad ISO 9001:2008 a la flamante ISO 9001:2015, cuyo brillo se opaca poco a poco a la par que se van acumulando algunas historias no gratas de experiencias sobre su implementación.
En particular y digno de atención, es el capítulo de la norma que está haciendo padecer cada vez más a las organizaciones, para muchos el indiscutiblemente fastidioso e intimidante capítulo 6 y en particular el 6.1, Acciones para abordar riesgos y oportunidades. ¿Las causas? Falta de formación en gestión de riesgo, en particular en empresas donde el único sistema de gestión que opera es el de la calidad, interpretaciones erróneas o “sugerencias” de auditores sobre las herramientas que “deberían” emplear las empresas, consultoría inadecuada, querer usar atajos fáciles que no llevan a ninguna parte, entre otras anomalías a las que se enfrentan estas empresas.
Empecemos por lo más básico y esto es la interpretación propiamente del requisito. ISO 9001:2015 de forma literal, requiere de lo siguiente:
Al planificar el sistema de gestión de la calidad, la organización debe considerar las cuestiones referidas en el apartado 4.1 y los requisitos referidos en el apartado 4.2, así determinar los riesgos y oportunidades que es necesario abordar con el fin de:
a) Asegurar que el sistema de gestión de la calidad pueda lograr sus resultados previstos.
b) Aumentar los efectos deseables.
» A la caza de riesgos
Para empezar, abrimos boca con el hecho de la confusión que muchas empresas neófitas en el mejor de los casos, han creado al intentar interpretar y deformar el requisito. Lo primero que hacen es la caza de riesgos de todo tipo (financieros, de salud y seguridad, reputacionales, ambientales, etc.) o el riesgo de incumplir con lo que pide ISO 9001:2015 o el de no lograr la transición y, por supuesto hacer caso omiso que también hay que identificar oportunidades y dejarlas estas fuera de la implementación. Ridículo, pero si hay casos reales bajo esta dinámica. Se omite que esta planificación debe seguir un orden lógico, fluir en cascada, desde las cuestiones externas e internas, hasta los requisitos de partes interesadas, hasta las propias necesidades de los procesos del sistema de gestión de la calidad, de donde se determinarán cuáles son los riesgos y oportunidades inherentes a cada organización.
Cuando al final las organizaciones entienden que los riesgos en cuestión son relacionados con los resultados previstos hacia la calidad, llámese en otras palabras, el logro de los objetivos de la calidad y la eficacia del sistema. Una enorme simplificación se logra finalmente al comprender que de eso finalmente se trata: ISO 9001:2015, y no extenderlo. Los riesgos a los que se enfrenta la organización son infinitos, pero los recursos no lo son, comenta un autor experto en el tema.
Las empresas certificadas la tienen más sencilla, porque en su apreciación de riesgo, tienen que evaluar si los riesgos con los controles adoptados en su sistema actual, son aceptables o tolerables para la organización y la única acción que queda es seguirlos controlando. Muy difícil la tienen empresas que apenas inician este esfuerzo, porque descubren que al pasar del enfoque inercial correctivo de muchos sistemas hacia el requerido de prevención, el esfuerzo es desgastante y descomunal, y a veces muchos auditores comprensivos y empáticos prefieren hacerse de la vista gorda en las auditorías de transición y advertir que en las siguientes vigilancias, evaluarán como va madurando la re-evaluación de riesgos, tras demostrar que las acciones adoptadas para mitigarlos son eficaces por parte de la organización.
La siguiente área de preocupación es cuando la norma no alude ni mucho menos sugiere el uso de apoyo en alguna otra norma ISO (siendo las más directas ISO 31000 e ISO 31010), así como de alguna técnica o herramienta particular de determinación de riesgos y oportunidades. La nueva norma de guía para usarse junto con ISO 9001:2015, ISO/TS 9002, de mención muy limitada o poco común por parte de auditores o instructores, aclara mucho lo anterior.
Cuando las organizaciones, por consejo de sus consultores y en función de la complejidad de sus procesos y requisitos de sus partes interesadas, deciden por empezar con algún enfoque básico e irlo robusteciendo conforme vaya madurando el sistema con este nuevo enfoque, y de entrada cumplen perfectamente con el requisito, llegan los avezados auditores quienes en su alarde de demostrar cuán expertos son en el nuevo enfoque, no chistan en cuestionar y amedrentar a las organizaciones con frases como: “Yo esperaba mejor ver aquí una matriz de impacto o probabilidad” o “¿No te convendría un enfoque cuantitativo para tus criterios de riesgo, ya que el cualitativo lo dejas a la subjetividad? o ¿Quizá te convendría mejor usar un AMEF, que es la mejor herramienta para apreciar riesgo?, entre otras.
» ¿Certificaciones que llegan a su fin?
El viejo vicio de que lo que el auditor vio en una empresa lo espera ver en otra, sigue tan vivo como cuando empezaron a meter el miedo en muchas organizaciones de sistemas muy sencillos; y con poca documentación terminaron por convertirlos en voluminosos y burocratizados engendros, por sobre-documentación.
Por: Oscar Álvarez de la Cuadra López
Director General, Grupo CRASA y Asociados
